Geschäftsführer-Haftung bei Cyberrisiken: NIS2, DSGVO & Absicherung 2026
Die persönliche Haftung von Geschäftsführern und Vorständen bei Cybervorfällen ist ein Thema, das in der Praxis oft unterschätzt wird. Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht und den bereits bestehenden DSGVO-Regelungen hat sich die rechtliche Situation für Unternehmensleiter erheblich verschärft. Wer als Geschäftsführer keine angemessenen IT-Sicherheitsmaßnahmen trifft, riskiert nicht nur Unternehmensbußgelder – sondern auch die persönliche Haftung gegenüber Gesellschaftern, Kunden und Behörden.
Dieser Ratgeber erklärt, welche konkreten Pflichten NIS2 und DSGVO für Führungskräfte begründen, und zeigt, wie Sie sich als Geschäftsführer gegen Cyberrisiken effektiv absichern können.
Persönliche Haftung von Geschäftsführern bei Cyberrisiken
Achtung: Die Haftungslandschaft im Cyber-Bereich hat sich drastisch verändert. Geschäftsführer stehen heute persönlich im Fokus der Regulierungsbehörden und Gerichte.
NIS2-Richtlinie: Was Geschäftsführer wissen müssen
Die NIS2-Richtlinie (Network and Information Security Directive 2) wurde Ende 2024 in deutsches Recht umgesetzt und gilt für eine deutlich größere Zahl von Unternehmen als die Vorgängerregelung. Betroffene Unternehmen müssen unter anderem:
- 🛡️ Technische und organisatorische Maßnahmen zur Cybersicherheit implementieren
- 🚨 Sicherheitsvorfälle innerhalb von 24 Stunden an das BSI melden
- 📊 Regelmäßige Risikoanalysen und Sicherheitsaudits durchführen
- 💼 Geschäftsführer persönlich für die Einhaltung der Sicherheitsanforderungen verantwortlich machen
Das Besondere: NIS2 sieht eine ausdrückliche persönliche Verantwortung der Geschäftsleitung vor. Verstöße können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden – und Geschäftsführer können persönlich zur Rechenschaft gezogen werden.
DSGVO-Haftung für Führungskräfte
Auch nach der DSGVO tragen Führungskräfte eine erhebliche Verantwortung. Bei Datenschutzverletzungen drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Zudem können betroffene Personen Schadensersatz direkt vom Unternehmen fordern.
Entscheidend ist: Wenn ein Geschäftsführer nachweislich keine angemessenen Schutzmaßnahmen getroffen hat und es dadurch zu einer Datenpanne kommt, kann er intern von der Gesellschaft in Regress genommen werden. Das Unternehmen kann also Schadensersatz vom Geschäftsführer persönlich einfordern.
Welche Pflichten haben Geschäftsführer konkret?
Die Sorgfaltspflichten von Geschäftsführern im Bereich Cybersicherheit umfassen insbesondere:
Risikobeurteilung: Regelmäßige Identifikation und Bewertung von IT-Sicherheitsrisiken
Sicherheitsmaßnahmen: Implementierung angemessener technischer und organisatorischer Schutzmaßnahmen
Budgetfreigabe: Bereitstellung ausreichender Ressourcen für IT-Sicherheit
Mitarbeiterschulung: Sensibilisierung der Belegschaft für Cyberrisiken
Notfallplanung: Vorbereitung und Test von Incident-Response-Plänen
- ✅ Meldepflichten: Kenntnis und Einhaltung von Meldepflichten (BSI, Datenschutzbehörden)
- ✅ Lieferkettensicherheit: Prüfung der Cybersicherheit von Dienstleistern und Lieferanten
Absicherungsmöglichkeiten für Geschäftsführer
Um das persönliche Haftungsrisiko zu minimieren, stehen Geschäftsführern mehrere Instrumente zur Verfügung:
D&O-Versicherung (Directors & Officers Liability)
Die D&O-Versicherung schützt Geschäftsführer und Vorstände vor persönlichen Haftungsansprüchen, die aus ihrer Managementtätigkeit resultieren. Sie übernimmt Anwaltskosten, Gerichtskosten und Schadensersatzzahlungen. Wichtig: Prüfen Sie, ob Ihre D&O-Police explizit auch Cybervorfälle abdeckt – viele ältere Policen haben hier Ausschlüsse.
Unternehmens-Cyberversicherung
Eine umfassende Cyberversicherung für das Unternehmen schützt nicht nur die Gesellschaft, sondern entlastet auch Führungskräfte, da sie die finanziellen Folgen eines Cyberangriffs abfedert. Damit sinkt das Risiko eines internen Innenregresss gegen den Geschäftsführer.
Im Streitfall muss der Geschäftsführer nachweisen, dass er seine Pflichten erfüllt hat. Eine lückenlose Dokumentation aller Sicherheitsmaßnahmen, Risikoanalysen und Schulungen ist daher unerlässlich.
Welche Branchen sind besonders betroffen?
NIS2 gilt für Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz in kritischen Sektoren wie:
| Sektor-Gruppe | Beispiele |
|---|---|
| Infrastruktur | Energie, Wasser, Abfallwirtschaft, Verkehr und Logistik |
| Gesundheit | Gesundheitswesen und Pharma, Lebensmittelproduktion |
| Finanzen & IT | Banken, Finanzmarkt, Digitale Infrastruktur, IT-Dienste |
| Verwaltung | Öffentliche Verwaltung |
Häufig gestellte Fragen
1 Haftet der Geschäftsführer persönlich für Cyberschäden?
Ja, unter bestimmten Umständen. Wenn ein Geschäftsführer nachweislich seine Sorgfaltspflichten verletzt hat – also keine angemessenen Sicherheitsmaßnahmen getroffen hat –, kann er persönlich vom Unternehmen oder von Dritten in Haftung genommen werden.
2 Was ist der Unterschied zwischen D&O und Cyberversicherung für Führungskräfte?
Die D&O-Versicherung schützt die Privatperson des Geschäftsführers gegen persönliche Haftungsansprüchen. Die Cyberversicherung schützt das Unternehmen vor den finanziellen Folgen eines Cyberangriffs. Beide Absicherungen ergänzen sich und sollten gemeinsam betrachtet werden.
3 Muss unser Unternehmen NIS2 umsetzen?
Das hängt von Ihrer Branche und Unternehmensgröße ab. NIS2 gilt für „wesentliche" und „wichtige" Einrichtungen. Prüfen Sie mit einem Fachberater, ob Ihr Unternehmen unter die NIS2-Pflichten fällt – und welche Maßnahmen konkret erforderlich sind.
4 Wie dokumentiere ich meine Sorgfaltspflichten als Geschäftsführer?
Halten Sie alle Sicherheitsentscheidungen, Risikoanalysen, Schulungsmaßnahmen und IT-Investitionen in Protokollen fest. Lassen Sie wichtige Sicherheitsmaßnahmen durch IT-Sicherheitsexperten zertifizieren und dokumentieren Sie regelmäßige Reviews.
📋 Zusammenfassung
- 🎯 NIS2 verschärft die persönliche Haftung der Geschäftsleitung deutlich.
- 🖥️ Es besteht eine Pflicht zur Implementierung technischer Schutzmaßnahmen.
- 💰 D&O- und Cyberversicherungen sind zentrale Bausteine der Risikoabsicherung.
- ✍️ Eine lückenlose Dokumentation ist die beste Verteidigung im Schadensfall.
Jetzt Cyberversicherung für Ihr Unternehmen vergleichen
Schützen Sie sich und Ihr Unternehmen vor den finanziellen Folgen von Cyberrisiken. Vergleichen Sie jetzt kostenlos die besten Tarife für Unternehmen aller Größen.
Zum Vergleichsrechner →Geschrieben von
Thomas Dewein
Unabhängiger Versicherungsmakler mit Spezialisierung auf Cyberversicherungen für KMU, Arztpraxen und Kanzleien. Erlaubnis nach §34d GewO.
