Suchformular öffnen Menü öffnen
Expertensuche
Suche
Gesellschaftsrecht
  • 20 Nov 2025
  • 5 Minuten Lesezeit

BSIG-E: Pflichtenkreis der Geschäftsführung und Organhaftungsrisiken durch das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

Verfasst von

David Santa

Dr. Robert Schiller

Der Gesetzesentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (BSIG-E) erweitert die IT-Sicherheitspflichten für Unternehmen erheblich. Für die Organe von Gesellschaften bedeutet dies eine substantielle Erweiterung ihrer Geschäftsführungspflichten und eine signifikante Zunahme der Haftungsrisiken. Der folgende Beitrag analysiert die wesentlichen Implikationen des BSIG-E für die Geschäftsführung und beleuchtet die daraus resultierenden Organhaftungsrisiken.

Überblick über den Anwendungsbereich des BSIG-E

Der BSIG-E führt die Kategorie der „Unternehmen im besonderen öffentlichen Interesse“ ein. Betroffen sind insbesondere große Unternehmen mit erheblicher inländischer Wertschöpfung, systemrelevante Zulieferer und Betreiber von Betriebsbereichen der oberen Klasse nach Störfall-Verordnung. Diese Unternehmen unterliegen besonderen IT-Sicherheitspflichten, die weit über die bisherigen Anforderungen hinausgehen.

  1. Wesentliche Pflichten und ihre Auswirkungen auf die Geschäftsführung

    Die Selbsterklärungspflicht als Kerngeschäftsführungsaufgabe

    Die zentrale Pflicht stellt die in § 8f Abs. 1 BSIG-E geregelte Selbsterklärung zur IT-Sicherheit dar. Betroffene Unternehmen müssen alle zwei Jahre eine Selbsterklärung beim BSI einreichen, die Angaben zu durchgeführten Zertifizierungen, Sicherheitsaudits und Maßnahmen zum Schutz besonders schützenswerter IT-Systeme unter Einhaltung des Stands der Technik enthält. Diese Pflicht kann nicht delegiert werden, ohne die Gesamtverantwortung der Geschäftsleitung zu reduzieren.

    Registrierungs- und Meldepflichten als Organisationsverantwortung

    Die Registrierungs- und Erreichbarkeitspflicht (§ 8f Abs. 5 BSIG-E) sowie die Meldepflichten bei Störungen (§ 8f Abs. 7 BSIG-E) konkretisieren die Organisationsverantwortung der Geschäftsleitung. Die Organe müssen interne Prozesse etablieren, die eine zeitnahe Bearbeitung von Meldungen und Anfragen des BSI gewährleisten. Die mangelhafte Umsetzung dieser Pflichten kann bereits eine Pflichtverletzung im Sinne von § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG darstellen.

  2. Vertiefung der Geschäftsführungspflichten

    Erweiterung der Legalitätspflicht als Kernaufgabe

    Der BSIG-E stellt eine wesentliche Erweiterung der Legalitätspflicht der Geschäftsleitung dar. Für die Einhaltung dieser Bestimmungen gilt der Grundsatz der Gesamtverantwortung. Unabhängig von der Ausgestaltung der Geschäftsführungs- und Vertretungsbefugnis hat jedes Organmitglied im Rahmen der laufenden Geschäftsführung für das rechtmäßige Verhalten der Gesellschaft zu sorgen und die Erfüllung der der Gesellschaft auferlegten öffentlich-rechtlichen Pflichten sicherzustellen. Diese Gesamtverantwortung kann nicht durch Delegation auf nachgeordnete Mitarbeitende oder externe Dienstleister ausgeschlossen werden.

    Konkretisierung der Überwachungspflicht

    Die neuen IT-Sicherheitspflichten konkretisieren die Überwachungspflichten der Geschäftsleitung in besonderem Maße. Die Rechtsprechung hat klargestellt, dass der Geschäftsführer das von ihm geführte Unternehmen so organisieren muss, dass er jederzeit Überblick über die wirtschaftliche und finanzielle Lage der Gesellschaft hat. Dies erfordert ein Überwachungssystem, mit dem Risiken für den Unternehmensfortbestand erfasst und kontrolliert werden können. Die IT-Sicherheit stellt dabei ein wesentliches Unternehmensrisiko dar, das von der Geschäftsleitung aktiv überwacht werden muss.

    Pflicht zur Implementierung eines IT-Compliance-Systems

    Aus der Legalitätspflicht folgt die Verpflichtung der Geschäftsleitung zur Einrichtung eines IT-Compliance-Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen im Bereich der IT-Sicherheit verhindern. Der Geschäftsführer muss nicht nur den Geschäftsgang überwachen, sondern auch sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen. Ein angemessenes IT-Compliance-System umfasst Risikomanagement, Sicherheitsrichtlinien, Zugangskontrollen, technische Schutzmaßnahmen, Datensicherung, Notfallmanagement, Schulungen und regelmäßige Audits.

  3. Organhaftungsrisiken bei Verstößen

    Zivilrechtliche Haftung nach § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG

    Verstöße gegen die neuen IT-Sicherheitspflichten können zu erheblichen zivilrechtlichen Haftungsrisiken führen. Eine Haftung setzt grundsätzlich voraus, dass (i) das Organmitglied seine Pflichten verletzt hat, (ii) der Gesellschaft hierdurch ein Schaden entstanden ist, und (iii) die Pflichtverletzung für den Schaden kausal war. Mögliche Schäden sind Bußgelder, Schäden durch Cyberangriffe, Reputationsschäden, Kosten für die Behebung von Sicherheitsmängeln oder Betriebsunterbrechungen.

    Besondere Bedeutung der Beweislastumkehr

    Besonders relevant ist die Verteilung der Darlegungs- und Beweislast. Gemäß § 93 Abs. 2 Satz 2 AktG hat das Geschäftsleitungsorgan darzulegen und zu beweisen, dass es die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt hat. Die Gesellschaft muss nur Tatsachen vortragen, aus denen sich die Möglichkeit einer Pflichtverletzung ergibt. Diese Beweislastumkehr gilt auch für GmbH-Geschäftsführer analog. Das Organmitglied muss im Haftungsfall den Nachweis erbringen, dass es die erforderlichen IT-Sicherheitsmaßnahmen getroffen hat oder dass ihm die Einhaltung des Sorgfaltsmaßstabs unverschuldet unmöglich war.

    Ordnungswidrigkeitenhaftung nach § 130 OWiG

    Zusätzlich zur zivilrechtlichen Haftung droht eine Ordnungswidrigkeitenhaftung nach § 130 OWiG. Diese Vorschrift stellt das Unterlassen der erforderlichen Aufsichtsmaßnahmen zur Verhinderung von Zuwiderhandlungen gegen Pflichten, die die Gesellschaft treffen, unter Strafe. § 130 OWiG knüpft an Organisations- und Aufsichtspflichtverletzungen an, die unter zivilrechtlicher Betrachtung nur eine Innenhaftung gegenüber der Gesellschaft begründen. Mit der Bußgeldandrohung für juristische Personen bis zu einer Millionen Euro je Verstoß bezwecken §§ 130, 30 OWiG vor allem Sanktion und Abschreckung.

    Keine Außenhaftung gegenüber Dritten

    Die Organhaftung ist grundsätzlich auf das Innenverhältnis zur Gesellschaft beschränkt. Allein aus der Stellung als Organmitglied ergibt sich keine Garantenpflicht gegenüber außenstehenden Dritten, eine Schädigung ihres Vermögens zu verhindern. Die Pflichten aus der Organstellung bestehen grundsätzlich nur dieser gegenüber und lassen bei ihrer Verletzung Schadensersatzansprüche grundsätzlich nur der Gesellschaft entstehen. Eine Außenhaftung kommt nur in begrenztem Umfang aufgrund besonderer Anspruchsgrundlagen in Betracht, etwa wenn das Organmitglied den Schaden selbst durch eine unerlaubte Handlung herbeigeführt hat.

  4. Praktische Handlungsempfehlungen für die Geschäftsleitung

    Implementierung eines IT-Sicherheitsmanagementsystems

    Die Geschäftsleitung sollte ein umfassendes IT-Sicherheitsmanagementsystem implementieren, das den Anforderungen des BSIG-E entspricht. Dieses sollte Risikomanagement, Sicherheitsrichtlinien, organisatorische und technische Maßnahmen, Notfallmanagement und kontinuierliche Verbesserung umfassen.

    Lückenlose Dokumentation

    Angesichts der Beweislastumkehr ist eine sorgfältige Dokumentation aller IT-Sicherheitsmaßnahmen entscheidend. Alle durchgeführten Sicherheitsaudits, Zertifizierungen, Entscheidungen und Maßnahmen müssen lückenlos dokumentiert werden, um im Haftungsfall die Einhaltung der Sorgfaltspflichten nachweisen zu können.

    Regelmäßige Schulung und Sensibilisierung

    Die Geschäftsleitung sollte für regelmäßige Schulungen und Sensibilisierung aller Mitarbeitenden im Bereich IT-Sicherheit sorgen. Die Organe selbst sollten an diesen Schulungen teilnehmen, um die notwendige Fachkompetenz zur Wahrnehmung ihrer Überwachungspflichten zu erlangen.

    Etablierung klarer Meldeprozesse

    Klare Meldeprozesse für sicherheitsrelevante Ereignisse müssen etabliert werden, um eine zeitnahe Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen zu gewährleisten. Diese Prozesse sollten regelmäßig getestet werden.

    Prüfung des D&O-Versicherungsschutzes

    Angesichts der erhöhten Haftungsrisiken sollte der bestehende D&O-Versicherungsschutz überprüft und angepasst werden. Es muss sichergestellt werden, dass Verstöße gegen IT-Sicherheitspflichten vom Versicherungsschutz umfasst sind.

Fazit

Der BSIG-E stellt eine wesentliche Herausforderung für die Geschäftsleitung dar. Die neuen IT-Sicherheitspflichten erweitern die Geschäftsführungspflichten substantiell und erhöhen die Organhaftungsrisiken erheblich. Die proaktive Auseinandersetzung mit diesen Pflichten und die Implementierung angemessener Sicherheitsmaßnahmen können nicht nur Haftungsrisiken minimieren, sondern auch die Widerstandsfähigkeit des Unternehmens gegen Cyberangriffe stärken. Die Geschäftsleitung sollte diese Herausforderung als Chance nutzen, die IT-Sicherheit als zentrale Aufgabe der Corporate Governance zu etablieren und somit den langfristigen Erfolg des Unternehmens zu sichern.

Kontaktieren Sie uns

David Santa

Senior Manager Mannheim
Gesellschaftsrecht Litigation, Arbitration

Tel.  +49 621 40069-320

Mail  E-Mail

Profil anzeigen

Dr. Robert Schiller

Senior Manager Mannheim
Gesellschaftsrecht Litigation, Arbitration

Tel.  +49 151 52157484

Mail  E-Mail

Profil anzeigen

Weitere Fachbeiträge und Blogs

Litigation, Arbitration
Commercial Courts und Commercial Chambers: Urteil ohne Warteschlange
  • 19 Nov 2025
  • 6 Minuten Lesezeit
Financial Services
EU-Kommission veröffentlicht Empfehlung und Konzept für Spar- und Anlagekonten für 2025
  • 10 Nov 2025
  • 42 Minuten Lesezeit
Financial Services
Europäische Kommission veröffentlicht ihre 2025 Strategie zur Förderung der Finanzkompetenz
  • 10 Nov 2025
  • 34 Minuten Lesezeit
Alle Fachbeiträge und Blogs