IT Sicherheit Teil 6/1 Haftung für eigenes Verschulden
4.3 Haftung für eigenes Verschulden
Verschulden eines Unternehmens bedeutet in der Praxis meistens ein Organisationsverschulden. Im Bereich der IT-Sicherheit ist das genauso. Ein solches Verschulden liegt dann vor, wenn das Unternehmen nicht auf die Art und Weise organisiert ist, wie es unter Einhaltung aller Sicherheitsstandards sein sollte. Konkret ist dies dann der Fall, wenn die diesbezüglichen Entscheidungskompetenzen und Prüfungspflichten nicht bei den dafür zuständigen Organen liegen.4.3.1 Haftung der Geschäftsführung
Gemäß § 43 GmbHG wird der Geschäftsführer einer GmbH zu einem ordnungsgemäßen Handeln für die GmbH verpflichtet. Hierbei hat er in Angelegenheiten der GmbH die Sorgfalt eines „ordentlichen Geschäftsmannes“ anzuwenden.
§ 43 GmbHG lautet im Detail:
Abs. 1 Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
Abs. 2 Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.
Diese zugegeben „schwammige“ Formulierung muss im Einzelfall konkretisiert werden. Abzustellen ist auf den Kompetenz- und Verantwortungsbereich des oder der Geschäftsführer. Obliegt einem Geschäftsführer die Aufsicht über das Unternehmen, so ist er auch für den Bereich der Informationstechnologie haftbar, sofern er nicht beweisen kann, dass er seine Sorgfaltspflicht in vollem Maße wahrgenommen hat.
Beispiel:
Eine GmbH hat einen Geschäftsführer und 20 angestellte Mitarbeiter. Einen dieser Mitarbeiter wählt der Geschäftsführer zum IT-Verantwortlichen aus. Der Mitarbeiter hat sich bislang als sehr zuverlässig erwiesen und ist technisch sehr versiert. Sein neuer Aufgabenbereich wird genau festgelegt. Er hat regelmäßig Bericht an den Geschäftsführer zu erstatten.
Der Geschäftsführer hat in diesem kurz skizzierten Fall der erforderlichen Sorgfalt genüge getan. In einem Haftungsfall wird ihm ein Gegner schwerlich ein Organisationsverschulden nachweisen können.
Vielfach handelt der GmbH – Geschäftsführer, je nach Gesellschaftsform, auf Weisung der Gesellschaftsversammlung. Unter Umständen kommt dann sogar, je nach Art des Einzelfalls, eine Haftungserweiterung auf die ganze Gesellschaftsversammlung in Betracht.
Ferner kann in der Satzung der Gesellschaft oder im Anstellungsvertrag zwischen GmbH und Geschäftsführer eine Haftungsbeschränkung vereinbart werden. Auf diesem Wege kann der Haftungsmaßstab des Geschäftsführers durch Vertragsgestaltung nochmals reduziert werden. In einem solchen Falle würde ein Geschäftsführer folglich nur haften, wenn er schlechthin absichtlich Sicherheitslücken in der Informationstechnologie offen lässt, oder es vorsätzlich bzw. grob fahrlässig unterlässt, regelmäßige Sicherungen und Wartungen durchführen zu lassen. Es empfiehlt sich daher, die Ausgestaltung der Haftungsklausel im Geschäftsführervertrag genau zu prüfen bzw. entsprechend rechtssicher zu gestalten.
Wurde eine Haftungsbeschränkung jedoch nicht vereinbart und tritt ein Schadensfall ein, so kann der Geschäftsführer gegenüber der Gesellschaft persönlich für den daraus entstandenen Schaden haftbar gemacht werden. Ferner besteht für den Geschäftsführer die Gefahr, nicht nur der Gesellschaft selbst, sondern auch Dritten gegenüber zur Haftung herangezogen zu werden. Dies gilt insbesondere dann, wenn der Dritte in besonderem Maße Vertrauen für sich in Anspruch nimmt und dadurch die Vertragsverhandlungen erheblich beeinflusst.
Beispiel:
S ist Geschäftsführer einer Bau-GmbH. Er bittet den an einer Beauftragung interessierten Neukunden K in die Geschäftsräume der GmbH. K bringt sein Laptop mit, um dem G die darauf enthaltenen Pläne des Architekten zu zeigen.
Der Geschäftsführer Sorglos holt seinen USB-Stick, um diese Pläne vom Laptop des Kunden auf diesem zu speichern. Auf diesem USB-Sick befindet sich jedoch ein Virus, der durch das Einstecken und den Speichervorgang auf den Laptop des Kunden gelangt. Der Virus zerstört trotz Virenscanner des K dessen gesamte Daten. Durch den Datenverlust tritt beim K dadurch ein konkreter Schaden ein.
G tritt in diesem Fall als Geschäftsführer für die Gesellschaft auf. K seinerseits nimmt bei den Vertragsverhandlungen ein besonderes Vertrauen für sich in Anspruch und ist daher schutzwürdig. Nach den Maßstäben der §§ 311 Abs. 2, 280 BGB kann nun G persönlich für den Schaden des K haftbar gemacht werden.
Aus diesen Gründen ist es für den Geschäftsführer unerlässlich, sich um Sicherheitskriterien zu kümmern. Ohne ein entsprechendes Sicherheitsmanagement, technisch als auch vertraglich, so handelt er nicht mehr nach dem Maßstab der „Sorgfalt eines ordentlichen Geschäftsmannes“ (§ 43 GmbHG) und begibt sich so in die Gefahr der persönlichen Haftung.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie IT-Sicherheit
Stand: Dezember 2025
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Mehr Beiträge zum Thema finden Sie unter:
Rechtsinfos/ Datenschutzrecht/ IT-SecurityRechtsinfos/ IT-Recht/ Internetrecht/ Viren
Rechtsinfos/ Gesellschaftsrecht/ GmbH/ Haftung
Rechtsinfos/ Gesellschaftsrecht/ GmbH/ Vorgesellschaft
Rechtsinfos/ IT-Recht/ IT-Security
Rechtsinfos/ Gesellschaftsrecht/ GmbH/ Gründung/ Haftung
Rechtsinfos/ Gesellschaftsrecht/ GmbH/ Geschäftsführung
Rechtsinfos/ Gesellschaftsrecht/ GmbH/ Gesellschaftervertrag