Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
Organhaftung IT-SicherheitVorstand Haftung Cybersecurity§93 AktG IT

Organhaftung — Wenn der Vorstand für IT-Sicherheit haftet

§ 93 AktG und NIS2 § 38 BSIG: Wie Vorstände und Geschäftsführer für IT-Sicherheitsversäumnisse haften.

Veröffentlicht: 14. März 2026Letzte Aktualisierung: 20. März 202612 Min. Lesezeit

Die Organhaftung für IT-Sicherheit umfasst nach Art. 20 NIS2, § 93 AktG und § 43 GmbHG die persönliche Verantwortung von Vorstand und Geschäftsführung für angemessene Cybersecurity-Maßnahmen. Es gibt im deutschen Organhaftungsrecht keine IT-Ausnahme: Wer erkennbare Cyber-Risiken organisatorisch ignoriert, riskiert Innenhaftung gegenüber der Gesellschaft, Aufsichtsfolgen und im Einzelfall auch persönliche Außenhaftung.

Die wichtigste Einordnung vorweg: Nicht jeder Cyberangriff führt automatisch zur persönlichen Haftung. Persönliche Haftung entsteht aber schnell, wenn die Geschäftsleitung keine tragfähige Organisation schafft, obwohl Cybersecurity heute eine Leitungsaufgabe ist. Wenn Sie die allgemeine Haftungslogik der Geschäftsleitung zuerst breiter einordnen wollen, lesen Sie ergänzend Geschäftsführer-Haftung bei KI, Geschäftsführer-Haftung: Persönliche Risiken im AI Act und AI Act CEO Haftung.

Lead: Organhaftung greift auch bei IT-Sicherheitsversäumnissen

Organhaftung greift bei IT-Sicherheitsversäumnissen deshalb so direkt, weil § 93 Abs. 1 AktG und § 43 GmbHG nicht zwischen Finanz-, Personal-, Compliance- oder IT-Entscheidungen unterscheiden. Maßstab ist immer dieselbe Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters oder ordentlichen Geschäftsmannes. Im Jahr 2026 gehört dazu, Cyber-Risiken zu erkennen, angemessene Schutzmaßnahmen zu finanzieren, Verantwortlichkeiten zu definieren und die Umsetzung zu überwachen.

IT-Sicherheit ist heute auch keine rein technische Spezialfrage mehr. Ransomware, Business-E-Mail-Compromise, Lieferkettenangriffe und Cloud-Fehlkonfigurationen bedrohen unmittelbar Liquidität, Lieferfähigkeit, Meldepflichten, Vertraulichkeit und Organverantwortung. Wer als Vorstand oder Geschäftsführer IT-Sicherheit nur als Aufgabe des CISO oder der internen IT behandelt, unterschätzt die rechtliche Lage.

Für die Praxis ist deshalb die richtige Ausgangsfrage nicht: "Hafte ich für jeden Cyberangriff persönlich?" Die richtige Ausgangsfrage lautet: "Kann ich im Schadensfall belegen, dass ich Cyber-Risiken auf angemessener Informationsgrundlage organisiert, entschieden, finanziert und überwacht habe?" Genau an dieser Stelle entscheidet sich, ob ein Incident ein unternehmerisches Restrisiko bleibt oder zur Organhaftung eskaliert.

Organhaftung im deutschen Recht: Innenhaftung, Außenhaftung, Durchgriff

Innenhaftung bedeutet, dass die Gesellschaft ihr Organ selbst auf Schadensersatz in Anspruch nimmt. Für die AG ist das der Regelfall nach § 93 Abs. 2 AktG, für die GmbH nach § 43 Abs. 2 GmbHG. Entsteht der Gesellschaft durch unzureichende IT-Sicherheitsorganisation ein Schaden, kann sie Regress beim Vorstand oder Geschäftsführer nehmen. Typische Schadenspositionen sind Incident-Response-Kosten, Stillstandsschäden, Vertragsstrafen, Sanierungskosten, externe Forensik, Krisenkommunikation und Bußgelder, soweit diese gesellschaftsrechtlich regressfähig sind.

Außenhaftung meint die unmittelbare Inanspruchnahme durch Dritte. Sie ist seltener als die Innenhaftung, aber keineswegs ausgeschlossen. Gläubiger, Vertragspartner oder Betroffene können bei eigenen Anspruchsgrundlagen versuchen, zusätzlich zur Gesellschaft auch Organmitglieder persönlich in Anspruch zu nehmen. Bei der AG zeigt § 93 Abs. 5 AktG, dass Gläubigeransprüche jedenfalls in bestimmten Konstellationen rechtlich mitgedacht werden. Für Cyber-Fälle relevant wird das vor allem dann, wenn neben Organisationsmängeln besondere persönliche Pflichtverstöße, Garantenstellungen oder deliktische Handlungen im Raum stehen.

Durchgriffshaftung ist kein eigener Standardtatbestand, sondern die praktische Frage, wann sich Unternehmenspflichten auf die Leitungsebene verdichten. Genau hier wird IT-Sicherheit gefährlich. Wenn die Gesellschaft ein Bußgeld, einen Großschaden oder einen massiven Betriebsunterbrechungsschaden erleidet und intern dokumentiert ist, dass Budgetfreigaben verweigert, Warnungen ignoriert oder Audits aufgeschoben wurden, wird aus dem Unternehmensschaden schnell ein persönliches Regressrisiko.

Die Haftungslogik lässt sich für Cybersecurity auf vier Regelungsebenen verdichten:

RechtsgrundlagePflichtkernHaftungsfolge für Organmitglieder
§ 93 AktGSorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters; Business Judgment Rule; Beweislast bei streitiger SorgfaltInnenhaftung gegenüber der AG, gesamtschuldnerisch
§ 43 GmbHGSorgfalt eines ordentlichen GeschäftsmannesInnenhaftung gegenüber der GmbH, solidarisch
§ 38 BSIGGeschäftsleitung muss Risikomanagementmaßnahmen umsetzen, überwachen und regelmäßig Schulungen absolvierenVerweist ausdrücklich auf gesellschaftsrechtliche Organhaftung
§ 130 OWiGErforderliche Aufsichtsmaßnahmen zur Verhinderung von PflichtverstößenEigenständiges Aufsichtsrisiko bei Organisationsmängeln

Diese Tabelle zeigt die Kernbotschaft des Artikels: Die Organhaftung bei IT-Sicherheit ist keine exotische Sondermaterie, sondern die Anwendung klassischer Sorgfalts- und Aufsichtspflichten auf ein inzwischen geschäftskritisches Risikofeld.

IT-Sicherheit ist eine Leitungsaufgabe

IT-Sicherheit ist eine Leitungsaufgabe, weil sie Geschäftsmodell, Lieferfähigkeit und Rechtskonformität betrifft. Die Rechtsprechung des BGH zur Compliance-Organisation verlangt seit Jahren, dass Unternehmensleitungen eine funktionsfähige Organisations- und Überwachungsstruktur schaffen. Operative Umsetzung kann delegiert werden; die Pflicht zur Organisation, Auswahl, Instruktion und Überwachung bleibt bei der Leitung. Genau dazu passt § 130 OWiG, der ausdrücklich auch Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen nennt.

Für Cybersecurity wird diese allgemeine Linie durch NIS2 und deutsches BSIG noch schärfer. § 38 Abs. 1 BSIG verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen, die nach § 30 BSIG erforderlichen Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. § 38 Abs. 3 BSIG verlangt zusätzlich regelmäßige Schulungen der Geschäftsleitung selbst. Damit ist Cybersecurity erstmals nicht nur faktisch, sondern ausdrücklich gesetzlich Vorstandsthema.

Wichtig ist die Abgrenzung: Delegation bleibt zulässig, vollständige Entlastung aber nicht. Der Vorstand darf einen CISO bestellen, externe Penetrationstests beauftragen oder Verantwortung auf Ressorts verteilen. Er darf jedoch nicht annehmen, dass damit die eigene Verantwortung endet. Die Geschäftsleitung muss wissen, welche wesentlichen Cyber-Risiken bestehen, welche Mindestmaßnahmen gewählt wurden, welche Lücken offen sind und ob die beschlossenen Maßnahmen tatsächlich umgesetzt werden.

Gerade in mittelständischen Unternehmen scheitert die Praxis oft an drei Punkten. Erstens fehlt ein belastbares Risikobild, obwohl operative Teams seit Jahren mit Legacy-Systemen, Cloud-Diensten und Dienstleisterzugängen arbeiten. Zweitens fehlt eine dokumentierte Budgetentscheidung, sodass Sicherheit immer wieder gegen kurzfristige Kostenziele verliert. Drittens fehlt ein regelmäßiges Reporting an die Geschäftsleitung. Diese Lücken sind nicht nur ein Technikproblem, sondern der klassische Ausgangspunkt von Organhaftung.

Wenn Sie die Governance-Perspektive strukturiert aufbauen wollen, sind die Beiträge KI-Policy für Unternehmen, Artikel-4-Checkliste und die EU AI Act Schulung als methodischer Rahmen nützlich, auch wenn Cybersecurity daneben eigene sektorspezifische Pflichten auslöst.

Business Judgment Rule und IT-Sicherheit

Die Business Judgment Rule aus § 93 Abs. 1 Satz 2 AktG schützt Vorstände, wenn sie bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durften, auf Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Für IT-Sicherheit ist das hochrelevant, aber oft falsch verstanden.

Der Safe Harbor schützt nicht das Untätigbleiben gegenüber klaren Mindestpflichten. Wer bekannte gesetzliche Anforderungen, Meldepflichten, Audit-Befunde oder eklatante Sicherheitsmängel ignoriert, trifft keine geschützte Ermessensentscheidung, sondern verletzt eine Organpflicht. Die Business Judgment Rule kann daher nicht mit dem Argument helfen, man habe sich "unternehmerisch gegen Cybersecurity" entschieden.

Der Schutz greift aber bei echten Auswahl- und Priorisierungsentscheidungen. Typische Beispiele sind die Frage, ob ein Unternehmen zuerst MFA flächendeckend ausrollt oder zunächst die Backup-Architektur modernisiert, ob ein SOC intern aufgebaut oder extern bezogen wird, ob eine Zero-Trust-Initiative stufenweise erfolgt oder ob ein bestimmter Managed-Security-Anbieter gewählt wird. In solchen Fällen geht es um unternehmerische Abwägungen unter Unsicherheit. Haftungsarm wird die Entscheidung aber nur, wenn sie auf angemessener Information basiert.

Angemessene Information bei IT-Entscheidungen bedeutet mindestens fünf Dinge:

  1. Risikobild: Die Geschäftsleitung kennt das wesentliche Bedrohungsbild und die kritischsten Assets.
  2. Optionenvergleich: Es liegt eine nachvollziehbare Entscheidung zwischen Handlungsoptionen vor.
  3. Kosten-Nutzen-Abwägung: Budget, Eintrittswahrscheinlichkeit und Schadenshöhe wurden betrachtet.
  4. Expertise: Interne oder externe Fachkenntnis wurde eingeholt, statt auf Bauchgefühl zu entscheiden.
  5. Dokumentation: Beschlüsse, Freigaben und Review-Termine sind protokolliert.

Für die Haftungspraxis ist der letzte Punkt oft entscheidend. Ohne Beschlussdokumentation wirkt selbst eine vernünftige Sicherheitsentscheidung im Nachhinein wie Zufall oder Untätigkeit. Mit sauberem Protokoll lässt sich dagegen zeigen, dass die Geschäftsleitung informiert, risikobewusst und zum Gesellschaftswohl gehandelt hat.

Persönliche Haftung des Vorstands: Gesamtschuld, Ressorts, Überwachung

Vorstandsmitglieder haften nach § 93 Abs. 2 AktG als Gesamtschuldner, wenn sie ihre Pflichten verletzen. Für Geschäftsführer gilt nach § 43 Abs. 2 GmbHG die solidarische Haftung. Das ist für Cybersecurity deshalb brisant, weil Sicherheitsversäumnisse selten nur in einem Ressort entstehen. Budget, Beschaffung, Governance, Datenschutz, IT-Betrieb, Lieferantensteuerung und Krisenmanagement greifen ineinander.

Eine Ressortverteilung entlastet nur begrenzt. Sie kann Zuständigkeiten ordnen, hebt aber die Gesamtverantwortung des Gesamtorgans nicht vollständig auf. Jedes Organmitglied muss in wesentlichen Risiko- und Krisenlagen aufmerksam bleiben, sich informieren und eingreifen, wenn Anzeichen für gravierende Defizite bestehen. Bei Cybersecurity ist diese Schwelle regelmäßig schneller erreicht als bei operativen Detailfragen, weil Schäden oft existenziell und zeitkritisch sind.

Praktisch relevant wird das etwa bei wiederholten Warnungen der IT-Leitung, ungepatchten Kernsystemen, fehlender Notfallübung, veralteten Backups oder nicht besetzten Schlüsselrollen. Wer solche Warnsignale im Vorstand kennt oder kennen muss, kann sich später kaum darauf berufen, das Thema habe allein im Technikressort gelegen.

Dazu kommt die Beweislastlogik. Ist streitig, ob Vorstandsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, trägt nach § 93 Abs. 2 AktG das Organ die Beweislast. Für Cyber-Fälle heißt das praktisch: Nicht die Gesellschaft muss jedes Organisationsdetail beweisen, sondern das Vorstandsmitglied muss seine Sorgfalt plausibel machen können. Ohne Reporting, Beschlussprotokolle, Budgets, Audit-Follow-up und Schulungsnachweise ist diese Verteidigung schwach.

Typische Haftungsszenarien in der Praxis

Typische Haftungsszenarien beginnen selten mit einem "großen Fehlurteil", sondern fast immer mit einer Serie kleiner Unterlassungen. Gerade deshalb sollten Vorstände und Geschäftsführer nicht nur Einzelmaßnahmen, sondern die gesamte Entscheidungskette betrachten.

Das erste Standardszenario ist der bekannte, aber nicht priorisierte Sicherheitsmangel. Ein Unternehmen weiß seit Monaten, dass ein zentrales System nicht mehr supported wird, dass MFA nur lückenhaft aktiv ist oder dass Backups nie sauber getestet wurden. Wenn dann ein Ransomware-Fall eintritt, stellt sich sofort die Frage, warum die Leitung trotz Risikohinweisen weder Budget freigegeben noch einen belastbaren Umsetzungsplan verlangt hat. Je klarer die Warnlage, desto schwächer wird später jede Berufung auf "allgemeines Restrisiko".

Das zweite Szenario ist Lieferketten- und Dienstleisterversagen. Viele schwerwiegende Cyber-Vorfälle entstehen nicht im eigenen Rechenzentrum, sondern über Managed Service Provider, Cloud-Zugänge, Fernwartungsdienstleister oder kompromittierte Softwarelieferketten. Organhaftung entsteht hier nicht deshalb, weil jeder Dienstleisterfehler dem Vorstand persönlich zugerechnet würde. Sie entsteht vielmehr dann, wenn Auswahl, vertragliche Absicherung, Kontrollrechte, Exit-Szenarien oder Review-Prozesse auf Leitungsebene nie sauber geregelt wurden.

Das dritte Szenario ist die Krisensituation ohne belastbare Eskalation. Ein Incident tritt ein, aber niemand weiß, wann die Geschäftsleitung informiert werden muss, wer über Abschaltung, Kommunikation, Strafanzeige, Versicherer, Forensik und Meldepflichten entscheidet oder wie lange der Geschäftsbetrieb ohne Systeme aufrechterhalten werden kann. In solchen Situationen wird besonders deutlich, dass IT-Sicherheit nicht am Technikteam endet. Fehlende Notfallorganisation ist ein klassisches Leitungsversagen.

Das vierte Szenario ist die Scheindokumentation. Viele Unternehmen haben Audit-Folien, Awareness-Schulungen oder Policies, können aber nicht belegen, dass offene Findings tatsächlich verfolgt, Budgets bewilligt und Managemententscheidungen wiederkehrend überprüft wurden. Für Organhaftung ist genau das riskant. Ein formales Papier ohne Steuerungswirkung wirkt im Haftungsfall häufig sogar belastend, weil es zeigt, dass das Risiko bekannt war, aber trotzdem nicht konsequent bearbeitet wurde.

Wer diese vier Szenarien vermeiden will, braucht keine theoretische Perfektion, sondern verlässliche Managementroutine: Risiko-Reporting, klare Priorisierung, dokumentierte Budgetentscheidungen und ein Eskalationssystem, das auch unter Vorfallsdruck funktioniert.

NIS2 und § 38 BSIG sind der Game Changer

NIS2 und § 38 BSIG sind der Game Changer, weil sie die bisherige Organhaftungslogik für Cybersecurity ausdrücklich auf die Geschäftsleitung zuschneiden. Während § 93 AktG und § 43 GmbHG allgemeine Sorgfaltsnormen bleiben, sagt das BSIG nun ausdrücklich: Geschäftsleitungen müssen Risikomanagementmaßnahmen umsetzen, ihre Umsetzung überwachen und regelmäßig an Schulungen teilnehmen.

Das ist mehr als Symbolik. § 38 Abs. 2 BSIG verknüpft die Pflichtverletzung ausdrücklich mit den auf die Rechtsform anwendbaren gesellschaftsrechtlichen Haftungsregeln. Der Gesetzgeber macht damit unmissverständlich klar, dass Cybersecurity-Versäumnisse kein Randthema unterhalb der Leitungsebene mehr sind.

Die praktische Folge lautet: Für NIS2-betroffene Unternehmen reicht es nicht, nur technische Maßnahmen auf Fachebene zu dokumentieren. Die Geschäftsleitung selbst muss Schulung, Entscheidung, Überwachung und Nachweis ernst nehmen. Das betrifft nicht nur KRITIS-Konzerne, sondern auch viele "wichtige Einrichtungen", die erstmals im erweiterten Anwendungsbereich reguliert werden.

Genauso wichtig ist, was § 38 BSIG nicht sagt: Die Norm macht die Geschäftsleitung nicht zum persönlichen Versicherer gegen jeden Cyberangriff. Haftung bleibt verschuldensabhängig. Aber sie verschiebt die Argumentationslast deutlich zugunsten der Frage, ob die Leitungsebene ihre Aufgaben organisiert und überwacht hat. Wer das nicht kann, verliert die wichtigste Verteidigungslinie.

Haftungsvermeidung: Was Vorstand und Geschäftsführung jetzt dokumentieren sollten

Haftungsvermeidung beginnt bei IT-Sicherheit nicht mit einer Police, sondern mit belastbarer Governance. D&O-Versicherung kann wichtig sein, ersetzt aber keine Sorgfalt. Dokumentierte Untätigkeit ist der schlechteste Fall für jede spätere Deckungs- und Haftungsdiskussion.

Die wirksamsten Schutzmaßnahmen sind in der Praxis erstaunlich klar:

  1. Beschlussdokumentation auf Vorstandsebene: Halten Sie fest, welche Risiken bekannt waren, welche Optionen geprüft wurden und warum bestimmte Maßnahmen priorisiert wurden.
  2. Budget-Freigabe mit Risikobezug: Dokumentieren Sie, welche Sicherheitsmaßnahmen finanziert oder bewusst verschoben wurden und auf welcher Informationsbasis diese Entscheidung erfolgte.
  3. Externe Expertise bei Kernfragen: Ziehen Sie bei Architektur-, Forensik-, Notfall- oder NIS2-Fragen gezielt externe Fachleute hinzu, wenn intern keine ausreichende Tiefe vorhanden ist.
  4. Regelmäßige Reviews: Lassen Sie sich in festen Intervallen über offene Risiken, Audit-Funde, Vorfälle und Umsetzungsstände berichten.
  5. Übungen und Nachweise: Verlangen Sie Nachweise zu Incident-Response-Tests, Backup-Tests, Lieferantenprüfungen und Management-Schulungen.
  6. Klare Eskalationswege: Definieren Sie, wann der Vorstand sofort informiert wird und welche Schwellenwerte für Melde-, Krisen- und Budgetentscheidungen gelten.

Besonders stark wirkt eine Dokumentation, die nicht nur Existenz, sondern Qualität der Entscheidung zeigt. Ein Beschluss "IT-Sicherheit ist wichtig" hilft wenig. Ein Protokoll, das Risikoszenarien, empfohlene Maßnahmen, Budgetvarianten, verbleibende Restrisiken und den nächsten Review enthält, ist im Haftungsfall deutlich belastbarer.

Ebenso wichtig ist die Anschlussfähigkeit der Dokumentation. Ein Vorstandsbeschluss schützt wenig, wenn er nicht mit Audit-Protokollen, Maßnahmenlisten, Verantwortlichen, Fristen und Review-Ergebnissen verbunden ist. Gute Cyber-Governance schafft deshalb eine durchgehende Belegkette vom Risiko über die Entscheidung bis zur Umsetzung. Genau diese Kette entscheidet im Regressfall oft darüber, ob ein Sicherheitsvorfall als tragisch, aber beherrscht bewertet wird oder als Ausdruck struktureller Leitungsmängel.

Auch D&O-Fragen sollten früh geklärt werden. Die Police schützt typischerweise gegen fahrlässige Pflichtverletzungen, nicht gegen jede wissentliche Missachtung klarer Pflichten. Wer wissen will, wie Governance, Nachweis und Leitungspflichten im Regulierungsumfeld zusammenhängen, sollte außerdem FAQ, Über uns und die EU AI Act Schulung als Einstieg für Compliance- und Managementschulung nutzen.

Fazit: Organhaftung macht Cybersecurity zur Vorstandssache

Organhaftung bei IT-Sicherheit bedeutet nicht automatische persönliche Haftung nach jedem Angriff. Organhaftung bei IT-Sicherheit bedeutet aber, dass Vorstand und Geschäftsführung keine rechtliche Ausrede mehr haben, Cybersecurity als rein technische Unterfunktion zu behandeln. § 93 AktG, § 43 GmbHG, § 130 OWiG und besonders § 38 BSIG zwingen die Leitungsorgane dazu, Risiken informiert zu entscheiden, Maßnahmen zu überwachen und den eigenen Sorgfaltsmaßstab belegen zu können.

Die operative Konsequenz ist klar: Cybersecurity braucht auf Leitungsebene Beschlüsse, Budget, Reporting, Reviews und Schulung. Wer diese Basis jetzt schafft, verbessert nicht nur die Sicherheit des Unternehmens, sondern auch seine persönliche Haftungsposition.

Wenn Sie Governance, Schulung und dokumentierbare Verantwortlichkeiten strukturiert aufbauen wollen, ist die EU AI Act Schulung ein sinnvoller Einstieg für die Management- und Compliance-Perspektive. Ergänzend helfen Geschäftsführer-Haftung bei KI, Geschäftsführer-Haftung: Persönliche Risiken im AI Act und KI-Policy für Unternehmen, um Beschlüsse, Rollen und Nachweise sauber zusammenzuführen.

FAQ zur Organhaftung bei IT-Sicherheit

Hafte ich als Geschäftsführer persönlich für Cyberangriffe?

Nein, nicht automatisch. Persönliche Haftung entsteht typischerweise erst dann, wenn Sie erkennbare Cyber-Risiken organisatorisch nicht angemessen gesteuert haben und der Gesellschaft daraus ein Schaden entsteht. Maßgeblich sind vor allem § 43 GmbHG, § 93 AktG und bei Aufsichtslücken § 130 OWiG.

Schützt meine D&O-Versicherung bei NIS2?

D&O kann schützen, ersetzt aber keine Sorgfalt. Entscheidend ist, ob ein bloß fahrlässiger Fehlgriff oder eine schwer vermittelbare Pflichtverletzung vorliegt. Je besser Beschlüsse, Budgets, Schulungen und Reviews dokumentiert sind, desto stärker ist Ihre Verteidigungsposition im Deckungs- und Haftungsfall.

Was ist die Business Judgment Rule bei IT-Sicherheit?

Die Business Judgment Rule schützt echte unternehmerische Ermessensentscheidungen auf angemessener Informationsgrundlage. Sie schützt nicht das Ignorieren klarer Mindestpflichten. Bei IT-Sicherheit kann sie etwa die Auswahl zwischen mehreren vertretbaren Maßnahmen oder Anbietern absichern, nicht aber dokumentierte Untätigkeit.

Kann der Vorstand IT-Sicherheit vollständig delegieren?

Nein. Operative Aufgaben können delegiert werden, die Letztverantwortung für Organisation, Auswahl, Instruktion und Überwachung aber nicht. Genau das zeigen § 130 OWiG und für NIS2-betroffene Einrichtungen besonders deutlich § 38 BSIG.

Welche Dokumentation schützt vor Organhaftung?

Am wichtigsten sind datierte Beschlussprotokolle, Risiko-Reports, Budgetfreigaben, Audit-Follow-up, Notfall- und Übungsnachweise, Management-Schulungen und dokumentierte Review-Termine. Diese Unterlagen zeigen, dass die Geschäftsleitung nicht nur delegiert, sondern auch informiert entschieden und überwacht hat.

Quellen

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →