Funktionierende Cybersecurity ist Chefsache. Der Vorstand einer Aktiengesellschaft und niemand sonst ist hierfür verantwortlich. Diese Aufgabe kann weder delegiert noch ausgelagert werden. Gibt es keine adäquate Cybersecurity und kommt es durch einen Hackerangriff zu einem Schaden für das Unternehmen, ist der Vorstand dem Unternehmen gegenüber persönlich (mit seinem Gehalt, seinem Haus, seinen Spareinlagen etc.) für alle Schäden haftbar, wenn er sich nicht adäquat um funktionierende Cybersecuritymaßnahmen gekümmert hat.
Vielen Vorständen ist diese Ausgangslage nicht (vollumfänglich) bewusst. Mit dem Verweis auf eine Arbeitsteilung im Vorstand, eine Cyberversicherung für das Unternehmen, die für Führungskräfte obligatorische D&O-Versicherung oder die fehlende Attraktivität des Unternehmens für Hackerangriffe wähnen sich Vorstände sicher und enthaftet.
Die im Betrieb mit der Einrichtung funktionierender Cybersecurity beauftragten Mitarbeiter und Datenschutzbeauftragten scheitern regelmäßig mit Projektplänen und Budgetanfragen aufgrund der Fehlvorstellungen relevanter Entscheidungsträger. Die angefragten Projekte und Maßnahmen werden durch den Vorstand nur als Kostenpositionen betrachtet. Gefahren werden entweder nicht erkannt, negiert oder falsch eingeschätzt. Die Erkenntnis, dass durch funktionierende Cybersecurity die Existenz und die Funktionsfähigkeit des Unternehmens genau so geschützt wird wie die persönliche wirtschaftliche Existenz des Vorstands, erhöht dessen Bereitschaft zur Budgetfreigabe allerdings deutlich.
Das Bewusstsein des Vorstands für die vorgenannten Umstände zu schärfen, ist nicht nur ein sicherer Weg zum Wunschbudget, sondern auch eine effektive Maßnahme zur Sicherung der Arbeitsplätze aller Mitarbeiter gegen Gefahren, die aus einem Schaden des Unternehmens infolge eines Hackerangriffs herrühren. Selbst wenn nach einem Hackerangriff der Vorstand vollständig haftet, sind die Schäden oft so hoch, dass sie nicht durch einen Regress beim Vorstand kompensiert werden können. Das Unternehmen und damit der Arbeitsplatz aller Mitarbeiter ist hierdurch einer konkreten Existenzgefahr ausgesetzt.
In seinem Vortrag erläutert der Syndikusrechtsanwalt Ferdinand Grieger (Deutsche Gesellschaft für Cybersicherheit mbH & Co. KG) die Haftungsgrundlagen für AG-Vorstände und räumt mit den gängigsten Missverständnissen zur Enthaftung mit klassischen Exkulpationsmechanismen auf. Er gibt Ihnen dadurch die notwendigen, rechtlich relevanten Argumente für die nächste Budgetverhandlung mit auf den Weg. Mit diesen Argumenten können Sie sowohl Ihr Wunschbudget durchsetzen, als auch das sehr wichtige Bewusstsein für die Gefahren aus mangelnder Cybersecurity beim Vorstand erzeugen. Nicht nur der Vorstand allein, sondern das ganze Unternehmen, seine Mitarbeiter, Aktionäre, Kunden, Lieferanten und verwandte Unternehmen können so wirksam vor den existenziellen Gefahren mangelnder Cybersecurity geschützt werden.
