Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
Sorgfaltspflichten Geschäftsleitung IT-SicherheitIT-Sicherheit Geschäftsführer Pflicht§ 38 BSIGSorgfaltspflicht NIS2

Sorgfaltspflichten der Geschäftsleitung bei IT-Sicherheit

§ 43 GmbHG, § 93 AktG und § 38 BSIG konkretisieren 2026 die IT-Sorgfaltspflichten der Geschäftsleitung.

Veröffentlicht: 16. März 2026Letzte Aktualisierung: 20. März 202610 Min. Lesezeit

Sorgfaltspflichten der Geschäftsleitung bei IT-Sicherheit

Die Sorgfaltspflichten der Geschäftsleitung bei IT-Sicherheit ergeben sich aus § 43 GmbHG, § 93 AktG, § 38 BSIG, Art. 20 NIS2, Art. 4 AI Act und flankierend aus der DSGVO. Für 2026 ist der Punkt eindeutig: IT-Sicherheit ist keine bloße Fachfrage der IT mehr, sondern Teil der Organpflichten von Geschäftsführung und Vorstand. Wer Cyberrisiken kennt, aber Billigung, Überwachung, Schulung, Budget und Nachweise nicht organisiert, verletzt den Maßstab des ordentlichen und gewissenhaften Geschäftsleiters.

Letzte Aktualisierung: 20. März 2026

Die kurze Antwort lautet deshalb: Ja, die Sorgfaltspflichten der Geschäftsleitung umfassen 2026 ausdrücklich IT-Sicherheit. Das folgt einerseits aus den allgemeinen gesellschaftsrechtlichen Organpflichten und wird andererseits durch § 38 BSIG für besonders wichtige und wichtige Einrichtungen konkretisiert. Wenn Sie zuerst die Haftungslogik im Gesamtbild einordnen wollen, lesen Sie ergänzend Geschäftsführer-Haftung bei Cyberangriffen, Organhaftung bei IT-Sicherheit, den Beitrag IT-Sicherheit für Geschäftsführer, den Überblick NIS2, AI Act und DSGVO im Mittelstand, den NIS2-Hub und den ISO-42001-Hub.

Die gesetzlichen Grundlagen ziehen IT-Sicherheit auf die Organebene

Die rechtliche Grundlage beginnt bei der allgemeinen Sorgfaltspflicht. § 43 Abs. 1 GmbHG verlangt von Geschäftsführern die Sorgfalt eines ordentlichen Geschäftsmannes, § 93 Abs. 1 AktG von Vorstandsmitgliedern die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Diese Formeln sind bewusst offen, werden aber durch den technischen und regulatorischen Kontext konkretisiert. Im Jahr 2026 gehört dazu zwingend die angemessene Steuerung von IT-Sicherheitsrisiken.

Hinzu kommt § 91 Abs. 2 AktG. Die Norm verlangt ein Überwachungssystem, das bestandsgefährdende Entwicklungen früh erkennt. Cyberrisiken gehören heute offensichtlich zu diesen bestandsgefährdenden Entwicklungen. Ransomware, Identitätsdiebstahl, Cloud-Fehlkonfigurationen, Lieferkettenvorfälle und Datenabflüsse können Produktion, Vertrieb, Zahlungsfähigkeit und Meldepflichten gleichzeitig treffen. Wer sie nicht in ein Frühwarn- und Berichtssystem einbezieht, organisiert die Gesellschaft unvollständig.

Für NIS2-betroffene Unternehmen wird diese allgemeine Organpflicht zusätzlich ausdrücklich normiert. § 38 Abs. 1 BSIG verpflichtet Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen, die nach § 30 BSIG erforderlichen Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. § 38 Abs. 2 BSIG verknüpft Pflichtverletzungen ausdrücklich mit den gesellschaftsrechtlichen Haftungsregeln. § 38 Abs. 3 BSIG verlangt darüber hinaus regelmäßige Schulungen der Geschäftsleitung selbst.

Die Praxisfolge ist klar: Das Gesellschaftsrecht liefert den Haftungsmaßstab, § 38 BSIG die ausdrückliche Cyber-Konkretisierung, Art. 20 NIS2 die europäische Governance-Linie und Art. 4 AI Act die Kompetenzpflicht für KI-bezogene Tätigkeiten. Die Geschäftsleitung muss deshalb heute nicht nur Sicherheitsmaßnahmen dulden, sondern aktiv führen.

Der Sorgfaltsmaßstab verlangt Risikoidentifikation, Maßnahmen, Überwachung und Dokumentation

Der Maßstab eines ordentlichen und gewissenhaften Geschäftsleiters ist bei IT-Sicherheit kein Technik-Examen, sondern ein Governance-Maßstab. Die Geschäftsleitung muss kein eigenes Security Operations Center betreiben, wohl aber sicherstellen, dass wesentliche Risiken erkannt, priorisiert, adressiert und kontrolliert werden. Vier Kernpflichten lassen sich 2026 zuverlässig ableiten.

Erstens muss die Geschäftsleitung ein belastbares Risikobild schaffen. Dazu gehören eine aktuelle Übersicht über kritische Prozesse, schützenswerte Daten, wesentliche IT-Systeme, externe Dienstleister, identitätsbasierte Risiken und denkbare Ausfallfolgen. Ohne dieses Risikobild ist jede Budget- oder Priorisierungsentscheidung rechtlich angreifbar, weil sie nicht auf angemessener Information beruht.

Zweitens muss die Geschäftsleitung angemessene Maßnahmen billigen. Angemessen bedeutet nicht maximal, sondern risikoadäquat. In der Praxis gehören dazu regelmäßig Mehrfaktor-Authentifizierung, Patch- und Vulnerability-Management, Backup- und Restore-Konzepte, Incident Response, Rollen- und Berechtigungsmanagement, Lieferkettenkontrollen, Phishing-Resilienz und Schulung. Welche Tiefe notwendig ist, hängt von Größe, Branche, Bedrohungslage und Geschäftsmodell ab. Untätigkeit oder bloße Minimalfolien genügen aber nicht.

Drittens muss die Geschäftsleitung die Umsetzung überwachen. Genau hier scheitert Delegation häufig. Ein freigegebenes Security-Budget oder ein benannter IT-Leiter genügen für sich genommen nicht. Management und Aufsichtsorgane müssen sich berichten lassen, offene Findings priorisieren, Fristen nachhalten und bei wesentlichen Lücken eingreifen. Cybersecurity ist rechtlich erst dann geführt, wenn die Leitung erkennen kann, welche Risiken offen, welche Maßnahmen verzögert und welche Restgefahren akzeptiert sind.

Viertens muss die Geschäftsleitung ihre Sorgfalt dokumentieren. Dokumentation ist nicht bloß Formalismus für Audits, sondern die zentrale Entlastungsgrundlage im Haftungsfall. Ohne datierte Risikoanalysen, Beschlussprotokolle, Budgetfreigaben, Schulungsregister, Testnachweise und Eskalationsvermerke lässt sich später kaum nachweisen, dass die Leitung informiert und pflichtgemäß gehandelt hat.

Tabelle: Sorgfaltspflichten nach Rechtsquelle

RechtsquellePflichtkernWas die Geschäftsleitung praktisch tun mussTypischer Nachweis
§ 43 GmbHGSorgfalt eines ordentlichen GeschäftsmannesCyberrisiken als Unternehmensrisiko behandeln, Zuständigkeiten und Budget festlegenProtokolle, Organbeschlüsse, Budgetfreigaben
§ 93 AktGSorgfalt eines ordentlichen und gewissenhaften GeschäftsleitersInformierte Entscheidungen treffen und kritische Findings nachhaltenReporting, Management-Reviews, Maßnahmenlisten
§ 91 Abs. 2 AktGFrühwarnsystem für bestandsgefährdende RisikenCyber-Risiken in Risikomanagement und Eskalation integrierenRisikobericht, Eskalationsmatrix, Aufsichtsratsvorlage
§ 38 BSIGUmsetzung, Überwachung und SchulungMaßnahmen billigen, Umsetzung überwachen, selbst an Schulungen teilnehmenSchulungsnachweise, Review-Protokolle, Maßnahmenstatus
Art. 20 NIS2Billigungs- und Überwachungspflicht des LeitungsorgansGovernance-Struktur schaffen und Management-Verantwortung wahrnehmenBoard-Protokolle, Freigaben, Review-Termine
Art. 4 AI ActAusreichende KI-Kompetenz nach bestem BemühenKI-bezogene Rollen schulen und Nutzungsvorgaben steuernSchulungsplan, Lernnachweise, Rollenmatrix

Die Tabelle zeigt den Kernpunkt des Themas: IT-Sicherheit ist 2026 nicht nur aus dem BSIG heraus relevant. Sie ist Teil allgemeiner Organ- und Compliance-Pflichten und wird durch NIS2 und AI Act zusätzlich geschärft.

NIS2 und § 38 BSIG setzen klare Delegationsgrenzen

Die wichtigste Veränderung gegenüber älteren Managementvorstellungen liegt in der Delegationsgrenze. Die Geschäftsleitung darf operative IT-Sicherheit delegieren, aber nicht ihre Letztverantwortung. § 38 Abs. 1 BSIG spricht ausdrücklich von der Pflicht der Geschäftsleitung, Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen. Das bedeutet: Die Verantwortung bleibt gerade dann auf Organebene, wenn Spezialisten die operative Arbeit erledigen.

Das ist auch sachlich folgerichtig. Ein CISO, IT-Leiter oder externer Managed-Security-Anbieter kann Risiken analysieren, Maßnahmen vorbereiten und Statusberichte liefern. Er kann aber nicht an Stelle der Geschäftsleitung entscheiden, welches Restrisiko getragen wird, welches Budget freigegeben wird, wann ein Vorfall eskaliert oder welche Priorität kritische Maßnahmen im Verhältnis zu anderen Unternehmenszielen haben. Genau diese Entscheidungen sind Leitungsentscheidungen.

Regelmäßige Schulungspflicht verschärft diese Verantwortung weiter. § 38 Abs. 3 BSIG verlangt, dass Geschäftsleitungen regelmäßig an Schulungen teilnehmen, um Risiken und Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik erkennen und bewerten zu können. Das Gesetz verlangt also gerade nicht technische Detailadministration, wohl aber ein Mindestmaß an urteilsfähiger Managementkompetenz. Wer sich pauschal auf fehlende Techniknähe beruft, verkennt den Normzweck.

Für die Praxis heißt das: Delegation ist nur dann entlastend, wenn sie qualifiziert, dokumentiert und überwacht erfolgt. Die Geschäftsleitung braucht klare Zuständigkeiten, Berichtspflichten, Eskalationsschwellen, regelmäßige Reviews und einen belastbaren Nachweis, dass kritische Feststellungen nicht liegen geblieben sind. Ergänzend dazu sind Geschäftsführer-Haftung bei Cyberangriffen und IT-Sicherheit für Geschäftsführer sinnvoll, weil beide die Schulungs- und Haftungsperspektive im Gesamtbild vertiefen.

Gerichte konkretisieren die Organpflichten seit Jahren auch für IT-nahe Risiken

Die gerichtliche Linie ist älter als NIS2, aber NIS2 macht sie explizit. Für die allgemeine Compliance- und Organisationspflicht ist die sogenannte Siemens/Neubürger-Entscheidung des LG München I vom 10.12.2013, Az. 5 HK O 1387/10 zentral. Das Gericht hat die Leitungsverantwortung für ein wirksames Compliance-System herausgearbeitet und klargestellt, dass bei konkreten Hinweisen auf Rechtsverstöße die Effizienz des Systems überprüft und verbessert werden muss. Für IT-Sicherheit ist das hochrelevant: Cybersecurity ist heute Teil derselben allgemeinen Compliance-Organisation.

Die Entscheidung wird deshalb zu Recht weit über Korruptionssachverhalte hinaus rezipiert. Wenn bekannte Schwachstellen, Audit-Hinweise, ausgebliebene Patches, ungetestete Backups oder fehlende Management-Schulungen dokumentiert sind, lässt sich das nicht mehr als bloße technische Einzelpanne darstellen. Es wird zur Frage, ob die Leitung eine auf Schadensprävention und Risikokontrolle ausgerichtete Organisation geschaffen hat.

Auch die BGH-Rechtsprechung zur Compliance-Organisation bestätigt diese Linie. Der BGH, Urteil vom 17.07.2009, Az. 5 StR 394/08, betont in der Sache die fortbestehende Überwachungspflicht trotz Delegation. Übertragen auf Cybersecurity heißt das: Selbst eine saubere Ressortverteilung oder die Beauftragung externer Spezialisten beseitigt nicht die Pflicht der Geschäftsleitung, kritische Risiken zu kennen und auf Mängel zu reagieren.

Für IT-nahe Pflichtverletzungen ist außerdem das OLG Hamm, Urteil vom 01.12.2004, Az. 13 U 133/03, ein frühes Warnsignal. Die Entscheidung wird bis heute herangezogen, weil sie zeigt, dass Datensicherung und Wiederherstellbarkeit haftungsrechtlich keine Komfortfrage sind. Backups, Restore-Tests und Notfallfähigkeit gehören damit nicht nur in technische Projektpläne, sondern in die Organisationsverantwortung der Leitung.

IT-Sicherheit ist Teil der allgemeinen Compliance-Pflicht

IT-Sicherheit ist 2026 nicht nur eine Spezialmaterie für regulierte Sektoren, sondern Teil der allgemeinen Compliance-Pflicht jeder Geschäftsleitung. Genau an dieser Stelle ist der Rückgriff auf das Siemens/Neubürger-Urteil des LG München I so wichtig. Die Entscheidung steht für den Grundsatz, dass Leitungsorgane eine Organisation schaffen müssen, die Rechtsverstöße möglichst verhindert, Risiken früh erkennt und auf Warnsignale wirksam reagiert. Dieser Grundsatz lässt sich heute nicht ernsthaft von Cyber- und Datenrisiken trennen.

Sobald ein Unternehmen digital arbeitet, verarbeitet es Daten, nutzt Zugangs- und Cloud-Strukturen, steuert Lieferanten digital und ist Angriffen ausgesetzt. Fehlt es dann an Rollen, Budgets, Freigaben, Schulung, Eskalation oder Aufsicht, liegt das Problem nicht nur in der Technik. Es liegt in unzureichender Compliance-Organisation. Deshalb gehören IT-Sicherheit, Datenschutz, KI-Governance und allgemeine Unternehmens-Compliance zunehmend in dieselbe Management-Logik. Wer diese Verzahnung im Mittelstand systematisch aufbauen will, sollte den Beitrag Compliance-Dreiklang im Mittelstand und den Vergleich AI Act, NIS2 und DSGVO ergänzend lesen.

Besonders relevant wird das bei KI-gestützten Prozessen. Wenn Mitarbeitende generative KI, Copiloten, Entscheidungsunterstützung oder Analysewerkzeuge nutzen, steigen Daten-, Sicherheits- und Governance-Risiken gleichzeitig. Art. 4 AI Act verschärft daher die Erwartung an Kompetenz und Steuerung, auch wenn er nicht die klassische IT-Sicherheit ersetzt. Für die Management-Perspektive lohnt sich deshalb zusätzlich der Blick auf Geschäftsführer-Haftung bei Cyberangriffen, Organhaftung bei IT-Sicherheit und die EU AI Act Schulung.

So erfüllt die Geschäftsleitung ihre Sorgfaltspflicht praktisch

Die Sorgfaltspflicht wird nicht durch ein einzelnes Tool erfüllt, sondern durch eine belastbare Entscheidungskette. Für die Geschäftsleitung sind acht Maßnahmen besonders wichtig.

  1. Führen Sie mindestens jährlich ein formelles Cyber-Risikoreview auf Leitungsebene durch.
  2. Verlangen Sie eine priorisierte Übersicht über kritische Systeme, offene Schwachstellen und Abhängigkeiten von Dienstleistern.
  3. Beschließen Sie ein risikobezogenes Sicherheitsbudget statt bloßer IT-Betriebskosten.
  4. Lassen Sie sich Backup- und Restore-Tests mit Ergebnis und Fristen berichten.
  5. Etablieren Sie einen Incident-Response-Prozess mit klarer Management-Eskalation.
  6. Dokumentieren Sie Management-Schulungen und rollenbezogene Schulungen für Mitarbeitende.
  7. Verlangen Sie ein regelmäßiges Reporting zu offenen Findings, Fristüberschreitungen und Restrisiken.
  8. Binden Sie Aufsichtsrat oder Beirat bei wesentlichen Risiken über formalisierte Risikoberichte ein.

Diese Liste ist bewusst konkret, weil gerade an diesen Punkten spätere Haftungsdiskussionen ansetzen. Wer Budgetentscheidungen nicht dokumentiert, Schulung nicht nachweisen kann oder Restore-Tests nie gesehen hat, verliert im Ernstfall schnell die Verteidigungslinie, man habe angemessen gehandelt. Für NIS2-betroffene Unternehmen kommen ergänzend Meldewege, Lieferkettenkontrolle und sektorspezifische Anforderungen hinzu. Einen operativen Einstieg dazu bieten NIS2 Incident Response Plan, NIS2 Vorfallmeldung Anleitung und der NIS2-Hub.

Für KI- und Governance-Fragen hilft zusätzlich ein Managementsystem-Blick. Der ISO-42001-Hub ist kein Ersatz für gesetzliche Pflichten, aber ein nützlicher Rahmen für Rollen, Reviews, Kompetenz und Nachweise. Wer IT-Sicherheit, KI-Kompetenz und Compliance gemeinsam steuerbar machen will, reduziert damit nicht nur operative Reibung, sondern verbessert auch die spätere Beweisposition.

Welche Dokumentation Sorgfalt im Ernstfall tatsächlich nachweist

Entscheidend ist nicht, was intern „eigentlich bekannt“ war, sondern was sich beweisen lässt. Die Geschäftsleitung sollte deshalb einen belastbaren Entlastungsordner aufbauen. Dazu gehören Risikoanalysen mit Datum, Management-Protokolle zu Freigaben und Prioritäten, Statusberichte zu kritischen Maßnahmen, Schulungsnachweise der Leitung, Nachweise zu Backup- und Restore-Tests, Ergebnisse von Incident-Übungen und Eskalationsvermerke bei wesentlichen Vorfällen.

Besonders stark sind Dokumente, die nicht nur Existenz, sondern Überwachung zeigen. Ein IT-Konzept allein hilft wenig. Ein Protokoll, aus dem hervorgeht, dass die Geschäftsleitung einen kritischen Restore-Mangel adressiert, Fristen gesetzt und den Nachweis der Umsetzung eingefordert hat, ist wesentlich belastbarer. Dasselbe gilt für Schulungen: Eine E-Learning-Lizenz ist schwach, datierte Teilnahme- und Abschlussnachweise mit Rollenbezug und Folgeaktionen sind stark.

Auch der Bericht an Aufsichtsrat oder Beirat ist kein optionales Extra. Wo Überwachungsgremien bestehen, sollte die Geschäftsleitung wesentliche Cyber-Risiken, Budgets, Vorfälle und offene Restgefahren strukturiert berichten. Das folgt aus guter Governance, erleichtert die interne Kontrolle und stärkt im Ernstfall die Nachweisbarkeit, dass IT-Sicherheit nicht isoliert in der Fachabteilung hängen geblieben ist.

Fazit: Sorgfaltspflichten bei IT-Sicherheit enden nicht bei der Delegation

Die Sorgfaltspflichten der Geschäftsleitung bei IT-Sicherheit sind 2026 eindeutig rechtlich verankert. § 43 GmbHG und § 93 AktG liefern den allgemeinen Maßstab, § 91 Abs. 2 AktG die Frühwarnlogik und § 38 BSIG die ausdrückliche Cyber-Konkretisierung für besonders wichtige und wichtige Einrichtungen. Die gerichtliche Linie aus BGH, OLG-Rechtsprechung und der Siemens/Neubürger-Entscheidung des LG München I zeigt zusätzlich: Organisationspflicht, Überwachung und Systemverbesserung sind echte Leitungsaufgaben.

Die pragmatische Konsequenz ist deshalb klar. Geschäftsleitungen müssen Cyberrisiken erkennen, Maßnahmen billigen, Umsetzung überwachen, selbst geschult sein und ihre Entscheidungen dokumentieren. Wer das sauber organisiert, reduziert nicht nur Sicherheitsrisiken, sondern auch sein persönliches Haftungsrisiko. Wenn Sie dafür einen belastbaren Einstieg in Governance, Kompetenz und Nachweise suchen, ist die EU AI Act Schulung ein sinnvoller Startpunkt; für die vertiefende Struktur helfen der NIS2-Hub, der ISO-42001-Hub und unsere Beiträge zu Geschäftsführer-Haftung bei Cyberangriffen und Organhaftung bei IT-Sicherheit.

FAQ zu Sorgfaltspflichten der Geschäftsleitung bei IT-Sicherheit

Hafte ich als Geschäftsführer persönlich für Cyberangriffe?

Ja, wenn Sie erkennbare Cyberrisiken organisatorisch nicht angemessen beherrschen. Persönliche Haftung entsteht typischerweise über § 43 GmbHG oder § 93 AktG, wenn fehlende Billigung, Überwachung, Dokumentation oder Budgetierung zu einem Schaden der Gesellschaft führen.

Schützt meine D&O-Versicherung bei NIS2?

Nicht automatisch. D&O kann fahrlässige Pflichtverletzungen abdecken, schützt aber nicht sicher gegen jede wissentliche Untätigkeit. Ohne nachvollziehbare Risikoanalyse, Management-Schulung und Überwachungsnachweise wird auch die Deckungsdiskussion deutlich schwieriger.

Welche konkreten IT-Sicherheitsmaßnahmen muss die Geschäftsleitung umsetzen?

Die Geschäftsleitung muss mindestens eine Risikoanalyse, angemessene technische und organisatorische Maßnahmen, klare Verantwortlichkeiten, ein Incident-Response-Modell, getestete Backups, Schulung, Lieferkettenkontrolle und Management-Reporting etablieren und deren Umsetzung überwachen.

Reicht die Delegation an den IT-Leiter zur Enthaftung?

Nein. Operative Aufgaben dürfen delegiert werden, die Letztverantwortung für Auswahl, Instruktion, Billigung, Kontrolle und Eskalation bleibt aber bei der Geschäftsleitung. Genau diese Delegationsgrenze betonen § 38 BSIG, Art. 20 NIS2 und die BGH-Compliance-Rechtsprechung.

Welche Dokumentation weist Sorgfalt nach?

Belastbar sind vor allem datierte Risikoanalysen, Protokolle von Management-Beschlüssen, Budgetfreigaben, Berichte zu offenen Findings, Nachweise über Schulungen, Backup- und Restore-Tests, Incident-Übungen sowie Eskalations- und Maßnahmenlisten mit Verantwortlichen und Fristen.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →