Erschienen in Ausgabe 5-2017Unternehmen & Management

Top-Manager unter digitalem Druck

Cyberangriffe als Haftungsrisiko für Directors und Officers

Von Michael Unglaub und Thomas LangeVersicherungswirtschaft

Lesen Sie den vollständigen Artikel

Erhalten Sie Zugang zu allen Artikeln unserer Fachzeitschriften und Publikationen.
Wenn Vorstände oder Aufsichtsräte Fehler machen und damit dem Unternehmen schaden, werden sie dafür haftbar gemacht. Das Risiko, für Fehlverhalten auf Schadenersatz in Anspruch genommen zu werden, ist in den letzten Jahren erheblich gestiegen. Konzerne schließen heute in der Regel D&O-Policen ab, die den Schaden begleichen sollen. Allerdings wird die Unternehmenswelt der Organe zunehmend komplexer und es ergeben sich konstant neue Haftungsrisiken. Angriffe aus dem Internet, sogenannte Cyberhacks und Datenschutzvorfälle entwickeln sich für die D&Os beispielsweise zunehmend zu einem scheinbar grenzenlosen Haftungsrisiko. Schließlich kann ein erfolgreicher Angriff aus dem Internet die Reputation eines Unternehmens über Nacht zerstören und den Aktienwert auf Talfahrt schicken. Das AIG White Paper „Rethinking the Role of Boards in the Cyber Age“ diskutiert, dass sich Cyber-Risiken inzwischen zu einer der größten Bedrohungen für die Arbeit der D&Os etabliert haben. Dabei befindet sich das Problem Cyber-Kriminalität noch in den Kinderschuhen.
Blickt man in die USA, wird ersichtlich, welche Dimensionen Cyber-Risiken für die Haftung von Organen inzwischen erreichen. Besondere Aufmerksamkeit hat hier sicherlich das ergangene Urteil des US District Court of Georgia, File no.1.15 CV-2999-TWT, zur Haftung der Organe für einen dem Unternehmen entstandenen Vermögensschaden, dem ein Cyber-Schaden/Datenverlust vorausgegangen war, verdient. Home-Depot, die größte Baumarktkette der Welt, wurde im September 2014 Opfer eines besonders hinterhältigen Hacks. Cyberkriminelle hatten es geschafft, Malware in das Kassensystem von über 2000 Filialen einzuschleusen. Die Folge davon: 56 Millionen Kreditkarteninformationen von Bürgern der USA und Kanada wurden direkt bei der Zahlung in den Home-Depot Filialen entwendet. Darüber hinaus fielen auch noch 53 Millionen E-Mail-Adressen in die Hände der Hacker. Der Schaden für das US-Unternehmen wird auf rund 62 Mio. US-Dollar beziffert.
Das Gericht lehnte in diesem speziellen Fall eine Haftung der D&Os ab, weil es regelmäßige Cybersecurity-Reports durch ein vom Management eingesetztes Audit-Committee gab. Zudem gab es nachweislich bereits vor dem Angriff einen Vorstandsbeschluss, mögliche Sicherheitslücken aufzudecken und zu beheben. Obwohl die Durchführung dieses Beschlusses eher langsam umgesetzt wurde, bewegten sich die D&Os noch im Rahmen der „Business Judgment Rule“, so dass sich eine Haftung nicht begründen ließ. Auch…