Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
Beweislastumkehr NIS2NIS2 Geschäftsführer Beweis§38 BSIG BeweislastNIS2 Beweislastumkehr Geschäftsführer

NIS2-Beweislastumkehr: Was Geschäftsführer beweisen müssen

NIS2 verschärft die Nachweispflichten der Geschäftsleitung: Geschäftsführer müssen dokumentieren, dass sie Cyberrisiken angemessen gesteuert haben.

Veröffentlicht: 18. März 2026Letzte Aktualisierung: 20. März 20268 Min. Lesezeit

NIS2-Beweislastumkehr: Was Geschäftsführer beweisen müssen

Die NIS2-Richtlinie führt eine faktische Beweislastumkehr ein: Geschäftsführer müssen im Schadensfall nachweisen, dass sie angemessene Cybersecurity-Maßnahmen ergriffen haben, ähnlich wie bei der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO und den dokumentationsgetriebenen Nachweisen rund um Konformitätsbewertung und Governance im AI Act. Juristisch sauber formuliert heißt das: NIS2 schreibt die Worte "Beweislastumkehr" nicht ausdrücklich ins Gesetz, verschärft aber den Nachweisdruck auf der Leitungsebene massiv.

Letzte Aktualisierung: 20. März 2026

Die kurze Antwort lautet deshalb: Nicht das Unternehmen muss im Haftungsprozess mühsam jede einzelne Unterlassung der Geschäftsführung rekonstruieren. Vielmehr muss der Geschäftsführer regelmäßig darlegen und erforderlichenfalls beweisen, dass er seine Sorgfaltspflichten erfüllt hat. Genau diese Logik kennen deutsche Gerichte aus § 43 Abs. 2 GmbHG und § 93 Abs. 2 AktG seit Langem. NIS2 verstärkt sie, weil mit Art. 20 NIS2 und § 38 BSIG neue, ausdrücklich dokumentationsbedürftige Leitungsaufgaben hinzukommen.

Wenn Sie zuerst den allgemeinen Haftungsrahmen der Geschäftsleitung einordnen möchten, lesen Sie ergänzend Geschäftsführer-Haftung bei Cyberangriffen, Organhaftung bei IT-Sicherheit, IT-Sicherheit für Geschäftsführer, D&O-Versicherung und Cybersecurity, den NIS2-Hub, den ISO-42001-Hub und unsere EU AI Act Schulung.

Beweislastumkehr bei NIS2 heißt nicht neues Zauberwort, sondern alte Organhaftung plus neue Pflichten

Die zentrale Klarstellung lautet: NIS2 schafft keine eigenständige zivilprozessuale Sondernorm, in der wörtlich steht, dass Geschäftsführer ihre Unschuld beweisen müssen. Die faktische Beweislastumkehr entsteht vielmehr aus dem Zusammenspiel von Gesellschaftsrecht und Cyber-Regulierung. Im Organhaftungsprozess muss die Gesellschaft typischerweise Schaden und Pflichtenkreis darlegen. Die Geschäftsführung muss dann erklären, warum sie sorgfältig gehandelt hat, warum sie kein Verschulden trifft oder warum der Schaden auch bei pflichtgemäßem Alternativverhalten eingetreten wäre.

Für GmbH-Geschäftsführer folgt diese Risikologik aus § 43 Abs. 1 und 2 GmbHG. Für Vorstände gilt dieselbe Grundidee über § 93 AktG. Die Aussage "Ich habe mich auf die IT verlassen" genügt im Ernstfall nicht. Rechtlich zählt nicht das Bauchgefühl der Geschäftsleitung, sondern die belegbare Sorgfalt.

Genau hier verschiebt NIS2 das Kräfteverhältnis. Sobald die Leitungsebene Maßnahmen billigen, ihre Umsetzung überwachen und selbst Schulungen absolvieren muss, wird aus einer eher allgemeinen Organisationspflicht ein eng umrissenes Nachweisprogramm. Wer diese Nachweise nicht hat, verliert im Streit oft schon die erste Verteidigungslinie.

§ 38 BSIG und Art. 20 NIS2 verschärfen Billigung, Überwachung und Schulung

NIS2 macht Cybersecurity ausdrücklich zur Aufgabe des Leitungsorgans. Art. 20 Abs. 1 NIS2 verlangt, dass Leitungsorgane die Maßnahmen des Cyber-Risikomanagements billigen und deren Umsetzung überwachen. § 38 BSIG spiegelt diese Logik im deutschen Recht und ergänzt die regelmäßige Schulungspflicht der Geschäftsleitung. Damit reicht es nicht mehr, IT-Sicherheit nur abstrakt zu unterstützen. Die Geschäftsleitung muss als Geschäftsleitung handeln.

Billigung bedeutet rechtlich mehr als ein stillschweigendes "Macht mal". Geschäftsführer müssen erkennen lassen, dass sie Risikoanalysen, Prioritäten, Budgets und Schutzmaßnahmen bewusst freigegeben haben. Überwachung bedeutet mehr als ein Quartalsgespräch ohne Protokoll. Verlangt sind belastbare Reports, Nachverfolgung kritischer Findings, Review-Termine und Eskalationsentscheidungen. Schulung bedeutet wiederum nicht bloß Awareness im Unternehmen, sondern eigenes Wissen der Leitungsebene über Cyber-Risiken und deren geschäftliche Folgen.

Dadurch wird die Beweisfrage schärfer. Früher konnte eine Geschäftsführung eher argumentieren, dass IT-Sicherheit operativ bei Fachabteilungen lag. Nach NIS2 ist diese Verteidigung schwächer, weil die Leitungsebene selbst zum Normadressaten geworden ist. Wer sich entlasten will, braucht deshalb Unterlagen, nicht bloß gute Absichten.

Alte Rechtslage vs. NIS2-Rechtslage: Was sich für Geschäftsführer praktisch ändert

Die Veränderung lässt sich am besten im direkten Vergleich sehen:

PunktVor NIS2Mit NIS2 und § 38 BSIG
Rolle der Geschäftsleitungallgemeine Organ- und Aufsichtspflichtausdrücklich benannte Billigungs-, Überwachungs- und Schulungspflicht
Delegation an IT/CISOoperativ möglich, aber schon früher nicht vollständig entlastendweiter möglich, aber noch schwerer als Entlastungsargument
Beweis im HaftungsfallSorgfalt musste bereits belegt werden, oft mit allgemeiner Governance-DokumentationSorgfalt muss anhand konkreter Cyber-Nachweise belegt werden
Schulung der Leitungsinnvoll, aber oft nicht ausdrücklich normiertausdrücklich gefordert
Dokumentationhilfreichpraktisch unverzichtbar
Regressrisikovor allem bei groben Organisationsmängelndeutlich höher, weil Pflichtprogramm klarer beschrieben ist

Die wichtigste praktische Änderung ist also nicht, dass plötzlich eine ganz neue Haftungswelt entsteht. Die wichtigste Änderung ist, dass sich pflichtgemäßes Verhalten viel präziser prüfen lässt. Je präziser die Pflicht, desto schwerer wird das pauschale Bestreiten.

Was Geschäftsführer im Streitfall konkret beweisen müssen

Geschäftsführer müssen im Ernstfall keine mathematische Perfektion beweisen, wohl aber eine nachvollziehbare Managementlinie. Zentral sind fünf Punkte.

Erstens müssen Sie beweisen können, dass eine belastbare Risikoanalyse durchgeführt wurde. Wer keine dokumentierte Einschätzung zu Bedrohungen, Kronjuwelen, Lieferketten, Backups, Identitäten und Notfallprozessen vorlegen kann, startet im Haftungsfall schlecht.

Zweitens müssen Sie zeigen, dass angemessene Ressourcen freigegeben wurden. Ein häufiges Haftungsmuster lautet nicht "Es gab gar kein Budget", sondern "Bekannte Maßnahmen wurden trotz Warnsignalen verschoben". Deshalb sind Budgetbeschlüsse, Priorisierungsentscheidungen und Freigaben zentrale Entlastungsbelege.

Drittens müssen Sie belegen, dass beschlossene Maßnahmen tatsächlich implementiert wurden. Ein Security-Programm auf Folien schützt nicht. Maßgeblich sind Nachweise zu MFA, Patch-Management, Backup- und Restore-Tests, Incident Response, Lieferantenkontrolle, Logging, Schwachstellenmanagement und Awareness.

Viertens müssen Sie Ihre eigene Schulung und Kompetenz dokumentieren. NIS2 verlangt Management-Schulung; flankierend zeigt Art. 4 AI Act, wie stark europäische Regulierung heute auf dokumentierte Kompetenz setzt. Wer Management-Verantwortung übernimmt, muss auch zeigen können, dass er deren Inhalt verstanden hat.

Fünftens müssen Sie die laufende Überwachung belegen. Entscheidend sind Protokolle zu Quartals-Reviews, offenen Findings, Audit-Follow-up, Eskalationen und Nachbesserungen. Genau an dieser Stelle scheitern viele Verteidigungen: Es gab vielleicht Maßnahmen, aber keinen Nachweis echter Leitungskontrolle.

Dokumentation ist der eigentliche Entlastungsbeweis

Die beste Haftungsabwehr besteht aus einer lückenlosen Belegkette. Dazu gehören Beschlussprotokolle, Risikoberichte, Budgetvermerke, Schulungsnachweise, Audit-Ergebnisse, Übungsprotokolle und Management-Reviews. Besonders wertvoll sind Unterlagen, die nicht nur Existenz, sondern aktive Kontrolle zeigen.

Ein Beispiel: Ein allgemeines Informationssicherheitskonzept ist hilfreich, aber schwächer als ein Protokoll, aus dem hervorgeht, dass die Geschäftsleitung einen kritischen Backup-Mangel besprochen, Mittel freigegeben und einen Wiederholungsbericht angefordert hat. Ebenso ist ein Schulungszugang schwächer als ein dokumentierter Abschluss mit Test, Datum und Rollenzuordnung. Wenn Sie diese Nachweislogik vertiefen möchten, helfen auch Schulungsnachweis als Haftungsschutz, Cybersecurity-Schulungspflicht und KI-Schulung dokumentieren nach Art. 4.

Für die Praxis empfiehlt sich eine kleine, aber belastbare Compliance-Akte der Geschäftsleitung. Sie sollte mindestens enthalten:

  1. datierte Risikoanalysen und Risikoberichte,
  2. Beschlüsse zu Prioritäten, Budgets und Fristen,
  3. Umsetzungs- und Statusberichte zu kritischen Maßnahmen,
  4. Nachweise über Management- und Mitarbeiterschulungen,
  5. Audit-, Test- und Übungsberichte einschließlich Follow-up.

Diese Akte ist kein Selbstzweck. Sie ist der Unterschied zwischen "Wir hatten das Thema auf dem Schirm" und "Hier ist der belastbare Entlastungsbeweis".

Gerichtsurteile: Was Rechtsprechung zur Darlegungs- und Beweislast sagt

Die Rechtsprechung bestätigt diese strenge Linie. Das OLG Düsseldorf, Urteil vom 08.11.2019 - 4 U 182/17, formuliert die abgestufte Lastverteilung sehr klar: Die klagende Gesellschaft muss darlegen und beweisen, dass ihr durch ein möglicherweise pflichtwidriges Verhalten im Pflichtenkreis des Geschäftsführers ein Schaden entstanden ist. Der Geschäftsführer muss dagegen darlegen und erforderlichenfalls beweisen, dass er seinen Sorgfaltspflichten nachgekommen ist, ihn kein Verschulden trifft oder der Schaden auch bei pflichtgemäßem Alternativverhalten eingetreten wäre. Genau darin liegt der Kern der faktischen Beweislastumkehr.

Wichtig ist dabei die Präzision: Das OLG Düsseldorf stützt sich für diese Aussage auf die BGH-Linie zu § 43 GmbHG. Die Beweislastumkehr ist also keine freie Management-Parole, sondern Ausdruck gefestigter Organhaftung.

Der oft zitierte BGH-Fall II ZR 175/95 vom 21. April 1997, besser bekannt als ARAG/Garmenbeck, ist in diesem Zusammenhang ebenfalls wichtig, aber etwas anders gelagert. Er zeigt vor allem, dass Organhaftungsansprüche ernsthaft verfolgt werden müssen, wenn dies im Unternehmensinteresse geboten ist. Für Geschäftsführer bedeutet das: Selbst wenn der Cybervorfall zunächst "unternehmensintern" wirkt, darf niemand darauf vertrauen, dass mögliche Regressansprüche später großzügig liegen gelassen werden.

Die Lehre für NIS2-Fälle lautet damit zweifach. Erstens wird die Geschäftsleitung an ihrer Dokumentation gemessen. Zweitens steigt das Risiko, dass dokumentierte Versäumnisse tatsächlich in Regressverfahren münden.

Welche Beweismittel für NIS2, AI Act und DSGVO besonders stark sind

Regulierung funktioniert 2026 zunehmend über Accountability. Die folgende Übersicht zeigt, welche Nachweise in mehreren Regimen zugleich helfen:

RegulierungTypischer EntlastungsnachweisBeispiel
NIS2 / § 38 BSIGBilligungs- und ÜberwachungsdokumentationGF-Protokoll zu Risikoanalyse, Budgetfreigabe, Review offener Findings
AI ActKompetenz- und Governance-NachweiseRollenmatrix, Schulungsnachweis, Freigabeprozess, technische Dokumentation
DSGVO Art. 5 Abs. 2Rechenschaftspflicht und TOM-NachweiseVerzeichnis, TOM-Dokumentation, Incident-Prozess, Lösch- und Berechtigungskonzept

Gerade für Geschäftsführer ist diese Tabelle wichtig, weil sich dieselbe Evidenz oft mehrfach nutzen lässt. Ein dokumentierter Review-Prozess, eine Schulung mit Abschlusstest oder ein externer Auditbericht stützen nicht nur NIS2, sondern auch Datenschutz- und KI-Governance. Wer diese Synergien strukturiert aufbauen will, sollte den Governance-Rahmen über ISO 42001 für Unternehmen und die Grundlagen im ISO-42001-Hub mitdenken.

Praxistipps: Wie Geschäftsführer die Beweislast aktiv beherrschbar machen

Die pragmatische Lösung ist nicht mehr Papier, sondern bessere Führungsroutine. Führen Sie eine Compliance-Akte der Geschäftsleitung, lassen Sie sich quartalsweise Cyber-Risikoberichte vorlegen, dokumentieren Sie Budgetentscheidungen ausdrücklich mit Risikobezug und holen Sie bei Kernfragen externe Audits oder technische Reviews ein. Externe Prüfberichte sind kein Haftungsfreibrief, aber starke Indizien dafür, dass die Leitungsebene sich nicht blind gestellt hat.

Ebenso wichtig ist die Abstimmung mit der Versicherung. Prüfen Sie anhand des Beitrags D&O-Versicherung und Cybersecurity, welche Nachweise Ihr Versicherer im Schadenfall sehen will und wo Cyber-Ausschlüsse drohen. Eine Police hilft erst dann wirklich, wenn Governance und Nachweis dazu passen.

Wer heute strukturiert handelt, erreicht drei Dinge zugleich: bessere Sicherheitslage, bessere Verteidigung im Haftungsfall und bessere Anschlussfähigkeit an benachbarte Regime wie AI Act und DSGVO. Genau deshalb ist die Beweislastfrage kein rein juristisches Detail, sondern ein Management-Thema.

Fazit: NIS2 dreht nicht das Gesetzeswort, sondern die prozessuale Realität

Die NIS2-Beweislastumkehr für Geschäftsführer ist keine neue Zauberformel im Gesetzestext, sondern die praktische Folge aus alter Organhaftung und neuen Cyber-Pflichten. § 43 GmbHG und § 93 AktG verlangten schon bisher pflichtgemäße Sorgfalt. Art. 20 NIS2 und § 38 BSIG machen heute aber viel klarer, was Leitungsebene konkret billigen, überwachen, lernen und dokumentieren muss.

Für Geschäftsführer heißt das praktisch: Sie müssen nicht beweisen, dass Cyberangriffe unmöglich gewesen wären. Sie müssen beweisen können, dass Sie Risiken erkannt, Budgets freigegeben, Maßnahmen nachverfolgt, Schulungen absolviert und Ihre Kontrolle dokumentiert haben. Wenn Sie diese Nachweisbasis jetzt sauber aufbauen wollen, ist die EU AI Act Schulung ein guter Einstieg für dokumentierte Management-Kompetenz; den breiteren Haftungsrahmen vertiefen Sie über Geschäftsführer-Haftung bei Cyberangriffen und Organhaftung bei IT-Sicherheit.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →