Ransomware verschlüsselt 8.000 Patientenakten. 21 Tage Betriebsunterbrechung. 147.000 € Schaden. Und dann die Frage, die kein Geschäftsführer hören will: „Warum gab es keine Multi-Faktor-Authentifizierung? Warum kein aktuelles Backup-Konzept? Warum keine Cyberversicherung?"
Diese Fragen stellt nicht der Angreifer. Sie stellt der eigene Gesellschafter, der Insolvenzverwalter oder das Gericht. Denn IT-Sicherheit ist keine Aufgabe der IT-Abteilung — sie ist Chefsache. Und wer als Geschäftsführer seine Sorgfaltspflicht verletzt, haftet persönlich. Mit seinem Privatvermögen.
Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz. § 38 BSIG stellt klar: Die Geschäftsleitung ist persönlich für Cybersicherheit verantwortlich. Ein Verzicht auf Ersatzansprüche gegen die Geschäftsführung — etwa durch Gesellschaftervereinbarung — ist ausdrücklich unwirksam.
Rechtsgrundlagen: Warum der Geschäftsführer persönlich haftet
Die persönliche Haftung des Geschäftsführers bei Cyberangriffen ergibt sich nicht aus einem einzelnen Gesetz, sondern aus dem Zusammenspiel mehrerer Rechtsgrundlagen. Drei sind besonders relevant:
§ 43 GmbHG — Die Sorgfaltspflicht
„Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden." (§ 43 Abs. 1 GmbHG)
Das bedeutet: Der Geschäftsführer muss ein angemessenes IT-Sicherheitsmanagement aufbauen, regelmäßige Risikoanalysen durchführen und ausreichend Ressourcen bereitstellen. Bereits leichte Fahrlässigkeit genügt für eine Haftung (§ 43 Abs. 2 GmbHG). Es handelt sich um eine Innenhaftung — der Geschäftsführer haftet gegenüber der eigenen Gesellschaft mit seinem Privatvermögen.
Für AG-Vorstände gilt § 93 AktG mit vergleichbaren Pflichten und der sogenannten Business Judgment Rule (§ 93 Abs. 1 S. 2 AktG): Eine Pflichtverletzung liegt nicht vor, wenn der Vorstand auf Basis angemessener Informationen zum Wohle der Gesellschaft gehandelt hat. Das setzt aber voraus, dass Risikoanalysen dokumentiert, Experten einbezogen und Entscheidungen nachvollziehbar begründet wurden. Wer Cybersicherheit ignoriert oder Warnungen übergeht, kann sich auf die Business Judgment Rule nicht berufen.
§ 38 BSIG (NIS2-Umsetzungsgesetz) — Die Verschärfung
Seit dem 6. Dezember 2025 gilt § 38 BSIG. Er konkretisiert die Geschäftsführer-Pflichten für alle Unternehmen, die unter die NIS2-Richtlinie fallen (ab 50 Mitarbeiter oder 10 Mio. € Umsatz in 18 kritischen Sektoren — betrifft ca. 30.000 Unternehmen in Deutschland):
- § Abs. 1 — Umsetzungspflicht: Geschäftsleitungen müssen Risikomanagementmaßnahmen nach § 30 BSIG umsetzen und deren Umsetzung überwachen.
- § Abs. 2 — Persönliche Haftung: Wer diese Pflichten verletzt, haftet nach den gesellschaftsrechtlichen Regeln (§ 43 GmbHG / § 93 AktG). Ein Verzicht auf Ersatzansprüche ist unwirksam.
- § Abs. 3 — Schulungspflicht: Geschäftsführer müssen regelmäßig an Schulungen teilnehmen, um Cyberrisiken erkennen und bewerten zu können — mindestens 4 Stunden in 3 Jahren.
Zentral: Cybersicherheit ist nach § 38 BSIG nicht delegierbar. Die operative Umsetzung kann an einen IT-Leiter oder externen Dienstleister übertragen werden — die strategische Verantwortung und die Überwachungspflicht bleiben bei der Geschäftsleitung.
DSGVO Art. 82 und 83 — Datenschutz und Bußgelder
Wenn bei einem Cyberangriff personenbezogene Daten betroffen sind — und das ist bei Ransomware fast immer der Fall — greift zusätzlich die DSGVO:
- → Art. 82 DSGVO: Jede betroffene Person hat Anspruch auf Schadensersatz — materiell und immateriell. Diese Ansprüche bestehen neben Bußgeldern.
- → Art. 83 DSGVO: Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.
- → Art. 33/34 DSGVO: 72-Stunden-Meldepflicht an die Aufsichtsbehörde und ggf. Benachrichtigung der Betroffenen. Verstöße lösen zusätzliche Bußgelder aus.
Das OLG Dresden hat 2021 festgestellt, dass der Geschäftsführer einer GmbH neben der Gesellschaft persönlich auf DSGVO-Schadensersatz haften kann (Az. 4 U 1158/21) — weil er kraft Organstellung als „Verantwortlicher" im Sinne von Art. 4 Nr. 7 DSGVO gelten kann.
Was genau droht — die Übersicht
| Rechtsgrundlage | Haftung / Sanktion | Besonderheit |
|---|---|---|
| § 43 GmbHG | Persönliche Haftung mit Privatvermögen | Innenhaftung ggü. Gesellschaft, bereits leichte Fahrlässigkeit |
| § 93 AktG | Persönliche Haftung, gesamtschuldnerisch | Business Judgment Rule schützt nur bei dokumentierter Sorgfalt |
| § 38 BSIG (NIS2) | Bis 10 Mio. € oder 2 % Jahresumsatz | Kein Haftungsverzicht möglich, Schulungspflicht |
| DSGVO Art. 83 | Bis 20 Mio. € oder 4 % Jahresumsatz | Kumulativ zu NIS2 — beide Bußgelder gleichzeitig möglich |
| DSGVO Art. 82 | Schadensersatz pro betroffener Person | Materieller und immaterieller Schaden, GF ggf. persönlich |
| KonTraG | Pflicht zum Risikomanagement | IT-Risiken gehören zum Pflichtprogramm für Kapitalgesellschaften |
Praxisfall: So entsteht persönliche Haftung
Ein mittelständisches Unternehmen mit 85 Mitarbeitern wird durch Ransomware lahmgelegt. 14 Tage Stillstand, 230.000 € Schaden. Die anschließende forensische Analyse ergibt:
- 1 Remote-Zugang (VPN) ohne Multi-Faktor-Authentifizierung — der Angreifer kam über gestohlene Zugangsdaten hinein, vermutlich per Phishing.
- 2 Backups lagen im selben Netzwerksegment — wurden mitverschlüsselt. Kein getestetes Wiederherstellungskonzept.
- 3 Sicherheitsupdates waren seit 7 Monaten nicht eingespielt. Die ausgenutzte Schwachstelle hatte längst einen Patch.
- 4 Keine Cyberversicherung. Der IT-Leiter hatte vor einem Jahr eine Empfehlung ausgesprochen — der Geschäftsführer hatte abgelehnt: „Zu teuer, passiert uns schon nicht."
Der Gesellschafter lässt die Haftungsfrage durch einen Anwalt prüfen. Das Ergebnis: Der Geschäftsführer hat seine Sorgfaltspflicht nach § 43 GmbHG verletzt. MFA, getrennte Backups und Patch-Management sind Stand der Technik — nicht optional, sondern Pflicht. Die Ablehnung einer Cyberversicherung trotz expliziter Empfehlung verschärft die Lage zusätzlich.
Laut BSI-Lagebericht 2024 erfüllen KMU im Durchschnitt nur die Hälfte der grundlegenden IT-Sicherheitsanforderungen. Gleichzeitig wird laut Cyber-Monitor 2025 fast jeder dritte Antrag auf Cyberversicherung abgelehnt — wegen genau dieser Mängel. Wer heute keine MFA hat, keine getrennten Backups und kein Patch-Management, ist weder versicherbar noch haftungssicher.
D&O-Versicherung vs. Cyberversicherung: Zwei Policen, eine Lücke
Nach einem Cyberangriff stehen zwei Schadensebenen im Raum: der Unternehmensschaden (Forensik, Betriebsunterbrechung, Datenwiederherstellung) und die persönliche Managerhaftung (der Gesellschafter fordert Schadensersatz vom Geschäftsführer). Keine einzelne Police deckt beides ab.
| D&O-Versicherung | Cyberversicherung | |
|---|---|---|
| Schützt | Den Manager persönlich | Das Unternehmen |
| Deckt bei Cyberangriff | Haftungsansprüche wegen Pflichtverletzung | Forensik, Betriebsunterbrechung, Krisenmanagement, Datenwiederherstellung |
| Deckt nicht | Direkten Cyberschaden (Forensik, Lösegeld, Wiederherstellung) | Persönliche Managerhaftung |
| Bußgelder | In der Regel nicht versicherbar | In der Regel nicht versicherbar |
| Typischer Ausschluss | Wissentliche Pflichtverletzung | Obliegenheitsverletzung (fehlende MFA, Patches etc.) |
Die Lücke: Ohne Cyberversicherung trägt das Unternehmen den gesamten Schaden selbst — und der Geschäftsführer ist dem Innenhaftungsanspruch ausgesetzt („Warum gab es keine Versicherung?"). Ohne D&O-Versicherung trifft die persönliche Haftung den Manager direkt.
Wichtig: Die Gesetzgebung zum NIS2-Umsetzungsgesetz stellt klar, dass D&O-Versicherungen durch § 38 BSIG nicht eingeschränkt werden sollen. D&O bleibt also grundsätzlich deckungsfähig für NIS2-bezogene Haftungsansprüche.
Fünf Maßnahmen, die Geschäftsführer jetzt ergreifen sollten
Die gute Nachricht: Persönliche Haftung ist vermeidbar. Nicht durch Wegschauen, sondern durch nachweisbare Sorgfalt. Diese fünf Maßnahmen sind das Minimum:
- 1 IT-Risikomanagement einführen und dokumentieren: Regelmäßige Risikoanalysen durchführen, idealerweise orientiert an BSI IT-Grundschutz oder ISO 27001. Entscheidend ist die Dokumentation: Welche Risiken wurden identifiziert? Welche Maßnahmen beschlossen? Warum? Ohne Dokumentation greift die Business Judgment Rule nicht.
- 2 Technische Mindeststandards umsetzen: Multi-Faktor-Authentifizierung für alle externen Zugriffe, tägliche Backups in physisch getrennter Umgebung mit regelmäßigen Wiederherstellungstests, Patch-Management mit definierten Fristen, Netzwerksegmentierung, Endpoint Detection & Response (EDR).
- 3 Selbst an Cybersecurity-Schulungen teilnehmen: § 38 Abs. 3 BSIG verlangt mindestens 4 Stunden in 3 Jahren. Empfehlung: deutlich mehr. Der Geschäftsführer muss Risiken verstehen können — von Social Engineering bis Ransomware. Nicht jedes Detail der Firewall-Konfiguration, aber die strategischen Entscheidungen und ihre Konsequenzen.
- 4 Cyberversicherung abschließen: Eine Cyberversicherung deckt den Unternehmensschaden (Forensik, Betriebsunterbrechung, Krisenkommunikation, Rechtsberatung) und entlastet damit auch den Geschäftsführer: Er kann nachweisen, dass er für den Ernstfall vorgesorgt hat.
- 5 D&O-Versicherung prüfen: Besteht eine D&O-Police? Deckt sie Cyberansprüche ab oder gibt es Ausschlussklauseln? Ist die Deckungssumme angesichts möglicher NIS2-Bußgelder und DSGVO-Schadensersatzansprüche noch angemessen?
Compliance-Checkliste: Stand der Technik 2026
Aus dem Zusammenspiel von NIS2 (§ 30 BSIG), DSGVO (Art. 32) und den Obliegenheiten der Cyberversicherer ergibt sich ein konkreter Anforderungskatalog. Wer diese Punkte nachweislich erfüllt, ist sowohl haftungsrechtlich als auch versicherungstechnisch auf der sicheren Seite:
| Maßnahme | Rechtsquelle | Versicherer-Pflicht? |
|---|---|---|
| Multi-Faktor-Authentifizierung (MFA) | § 30 BSIG, Art. 32 DSGVO | Ja — ohne MFA oft kein Versicherungsschutz |
| Tägliche Backups, physisch getrennt | § 30 BSIG, Art. 32 DSGVO | Ja — getestete Wiederherstellung |
| Patch-Management | § 30 BSIG, Art. 32 DSGVO | Ja — kritische Patches innerhalb definierter Fristen |
| Berechtigungskonzept (Least Privilege) | § 30 BSIG, Art. 32 DSGVO | Ja — individuelle Zugänge, kein Arbeiten mit Admin-Rechten |
| Mitarbeiter-Schulungen | § 38 Abs. 3 BSIG | Ja — von 41 % der Versicherer explizit gefordert |
| Endpoint Detection & Response (EDR) | § 30 BSIG | Zunehmend gefordert, besonders bei größeren Unternehmen |
| Netzwerksegmentierung | § 30 BSIG | Empfohlen, bei Gesundheitswesen/KRITIS Pflicht |
| Incident-Response-Plan | § 30 BSIG, Art. 33 DSGVO | Ja — 24h-Erstmeldung (NIS2), 72h (DSGVO) |
| Lieferketten-Sicherheit | § 30 Abs. 2 Nr. 4 BSIG | Empfohlen, zunehmend in Risikofragen abgefragt |
| Lückenlose Dokumentation | § 93 AktG (BJR), § 43 GmbHG | Nicht direkt — aber Voraussetzung für Exkulpation |
Rechtsfolgen bei Obliegenheitsverletzung (§§ 28–32 VVG): Bei vorsätzlicher Verletzung wird der Versicherer vollständig leistungsfrei. Bei grober Fahrlässigkeit erfolgt eine quotale Kürzung. Die Beweislast liegt beim Versicherungsnehmer — er muss die Einhaltung nachweisen können.
Wie gut Ihr Unternehmen aktuell aufgestellt ist, können Sie mit unserem kostenlosen Cyber-Risikocheck in 2 Minuten prüfen — 8 Fragen, Sofortergebnis, anonym.
IT-Sicherheit ist kein IT-Thema — sie ist ein Haftungsthema. § 43 GmbHG, § 38 BSIG und die DSGVO machen den Geschäftsführer persönlich verantwortlich. Wer Cybersicherheit delegiert, ohne zu überwachen, riskiert sein Privatvermögen. Der Schutz besteht aus vier Säulen: nachweisbares Risikomanagement, technische Mindeststandards, eine Cyberversicherung für den Unternehmensschaden und eine D&O-Versicherung für die persönliche Haftung. Dokumentation ist der Schlüssel zu allem — ohne sie greift weder die Business Judgment Rule noch die Versicherung.
Häufige Fragen zur Geschäftsführerhaftung
Haftet der Geschäftsführer persönlich nach einem Cyberangriff?
Ja, nach § 43 Abs. 2 GmbHG haftet der Geschäftsführer der Gesellschaft gegenüber persönlich — mit seinem Privatvermögen. IT-Sicherheit gehört zur Sorgfaltspflicht eines ordentlichen Geschäftsmannes. Bereits leichte Fahrlässigkeit genügt. Das NIS2-Umsetzungsgesetz (§ 38 BSIG) verschärft dies seit Dezember 2025 zusätzlich: Ein Verzicht auf Ersatzansprüche gegen die Geschäftsleitung ist ausdrücklich unwirksam.
Schützt eine D&O-Versicherung bei Cyberangriffen?
Nur teilweise. Eine D&O-Versicherung schützt den Geschäftsführer vor persönlichen Haftungsansprüchen wegen Pflichtverletzungen, deckt aber keine direkten Cyberschäden (Forensik, Betriebsunterbrechung, Datenwiederherstellung). Umgekehrt deckt eine Cyberversicherung keine persönliche Managerhaftung. Beide Policen zusammen schließen die Lücke. Bußgelder sind in der Regel weder durch D&O noch durch Cyberversicherung versicherbar.
Was verlangt NIS2 konkret von Geschäftsführern?
§ 38 BSIG verpflichtet Geschäftsleitungen, Risikomanagementmaßnahmen nach § 30 BSIG umzusetzen und zu überwachen. Die Cybersicherheits-Verantwortung ist nicht delegierbar. Geschäftsführer müssen regelmäßig an Schulungen teilnehmen (mindestens 4 Stunden in 3 Jahren). Bei Verstößen drohen Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bzw. 7 Mio. € oder 1,4 % für wichtige Einrichtungen.
Wie schütze ich mich als Geschäftsführer vor persönlicher Haftung?
Vier Säulen: (1) Nachweisbares IT-Risikomanagement nach anerkannten Standards wie BSI IT-Grundschutz oder ISO 27001, mit lückenloser Dokumentation aller Entscheidungen. (2) Technische Mindeststandards: MFA, getrennte Backups, Patch-Management, Netzwerksegmentierung. (3) Eine D&O-Versicherung für persönliche Haftungsansprüche. (4) Eine Cyberversicherung für Unternehmensschäden — die gleichzeitig nachweist, dass der Geschäftsführer vorgesorgt hat.