Persönliche Haftung nach Artikel 20 NIS2: Was Geschäftsführer bei Verstößen riskieren – und wie sie sich schützen

Vonadmin
Geschäftsführer in Konferenzraum mit Haftungssymbol – NIS2 persönliche Haftung Artikel 20

Die meisten Geschäftsführer und Vorstandsmitglieder gehen davon aus, dass NIS2-Bußgelder das Unternehmen treffen – nicht sie persönlich. Das ist ein teures Missverständnis. Artikel 20 der NIS-2-Richtlinie (EU) 2022/2555 und §38 des deutschen Umsetzungsgesetzes NIS2UmsuCG weisen die Verantwortung für Cybersicherheit explizit den Leitungsorganen zu – mit persönlicher Haftungswirkung, die kein Gesellschaftsvertrag und keine Satzung ausschließen kann. Dieser Beitrag erklärt die vier Kernrisiken: Billigungspflicht, persönliche Haftung, Amtssuspendierung und Schulungspflicht – und warum sich die Rechtslage für GmbH und AG unterschiedlich gestaltet.

Was Artikel 20 NIS2 und §38 BSIG von der Geschäftsleitung fordern

Artikel 20 Absatz 1 der NIS-2-Richtlinie verpflichtet die Leitungsorgane wesentlicher und wichtiger Einrichtungen dazu, die Cybersicherheits-Risikomanagementmaßnahmen nach Artikel 21 zu billigen und deren Umsetzung zu überwachen. Die Leitungsorgane können für Verstöße der Einrichtung gegen die in Artikel 21 geregelten Maßnahmen haftbar gemacht werden [1]. Das ist keine abstrakte Verantwortungsklausel – es ist eine unmittelbar anwendbare Haftungsgrundlage im europäischen Primärrecht.

Das deutsche Umsetzungsgesetz NIS2UmsuCG konkretisiert dies in §38 BSIG [2]: Absatz 1 schreibt vor, dass die Geschäftsleitung besonders wichtiger und wichtiger Einrichtungen die nach §30 BSIG erforderlichen Risikomanagementmaßnahmen umsetzt und deren Einhaltung überwacht. Absatz 2 normiert die persönliche Haftung der Geschäftsleitung gegenüber der Einrichtung. Absatz 3 schreibt regelmäßige Schulungen vor. Die drei Absätze greifen unmittelbar ineinander: Wer die Maßnahmen nicht aktiv billigt, haftet persönlich für daraus entstehende Schäden; wer die Schulungen nicht absolviert, kann die Maßnahmen nicht sachgerecht beurteilen und damit auch nicht ordnungsgemäß billigen.

Entscheidend ist der Unterschied zwischen informeller Kenntnisnahme und formeller Billigung. Eine mündliche Zustimmung oder ein E-Mail-Umlauf genügt §38 Abs. 1 BSIG nicht. Verlangt wird ein dokumentierter Beschluss des Leitungsorgans – mit Datum, namentlicher Liste der Beteiligten und den konkret gebilligten Maßnahmen. Die Einordnung, ob Ihre Einrichtung unter NIS2 fällt, erläutert unser NIS-2-Grundlagenüberblick.

Persönliche Haftung: Was konkret auf dem Spiel steht

§38 Absatz 2 BSIG normiert eine persönliche Haftung der Geschäftsleitung gegenüber der eigenen Einrichtung. Die Haftung greift bei Fahrlässigkeit – wenn ein Schaden durch einen Cyberangriff entstanden ist, der bei ordnungsgemäßer Genehmigung und Überwachung der §30-Maßnahmen vermeidbar gewesen wäre. Maßgeblich ist dabei das Gesellschaftsrecht des jeweiligen Unternehmenstyps: §43 GmbHG für GmbH-Geschäftsführer, §93 AktG für AG-Vorstandsmitglieder [5].

Drei Aspekte werden in der Praxis regelmäßig unterschätzt:

  • Kein Haftungsverzicht möglich. Gesellschaftsverträge und Satzungen können die NIS2-Haftung nach §38 Abs. 2 BSIG nicht wirksam ausschließen. Was vertraglich wie eine Freistellung aussieht, ist regulatorisch unwirksam [2].
  • Gesamtschuldnerische Haftung aller Leitungsorgane. Nicht nur das IT-verantwortliche Vorstandsmitglied trägt das Risiko. Alle Mitglieder der Geschäftsleitung haften gemeinsam – solange keine klar dokumentierte, im Beschlusswerk verankerte Ressortverteilung mit nachweisbarem Überwachungssystem existiert [5].
  • D&O-Versicherungen decken NIS2-Szenarien häufig nicht ab. Viele Directors-&-Officers-Policen enthalten explizite Cybersicherheitsausschlüsse oder decken Verwaltungssanktionen grundsätzlich nicht. Eine NIS2-bedingte persönliche Haftungssituation kann damit vollständig unversichert sein [5].

Die Bußgelder nach §65 BSIG – bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen, bis zu 7 Mio. Euro oder 1,4 % für wichtige Einrichtungen [3] – treffen die Einrichtung, nicht die Geschäftsleitung persönlich. Die persönliche Haftung gegenüber dem Unternehmen nach §38 Abs. 2 BSIG entsteht zusätzlich und unabhängig davon. Alle Bußgeldtatbestände nach §65 BSIG finden Sie in unserer Übersicht der NIS2-Sanktionen.

Suspendierung vom Amt – wenn das BSI eingreift

Die weitreichendste Sanktion im deutschen NIS2-Recht ist keine Geldbuße: Nach §61 Absatz 9 BSIG kann das BSI Mitglieder der Geschäftsleitung vorübergehend von der Wahrnehmung ihrer Leitungsaufgaben entbinden, wenn diese trotz verbindlicher BSI-Anordnungen wiederholt gegen ihre NIS2-Pflichten verstoßen und dadurch erhebliche Sicherheitsrisiken entstehen [4]. Compliance-Experten bezeichnen diese Befugnis als beispiellos im deutschen Regulierungsrecht – eine vergleichbare behördliche Sanktion gegen natürliche Personen kannte das BSIG bislang nicht.

Für eine Suspendierung müssen typischerweise mehrere Voraussetzungen kumulativ vorliegen: wiederholte, schwerwiegende Pflichtverletzungen; bereits ergangene, nicht befolgte BSI-Anordnungen; und ein fortbestehendes erhebliches Sicherheitsrisiko für die Einrichtung oder Dritte. Die Maßnahme ist verhältnismäßig anzuwenden und zielt auf Verhaltensänderung, nicht auf Dauersanktion. Für die betroffene Person hat eine Suspendierung unmittelbare gesellschaftsrechtliche Konsequenzen: Der GmbH-Geschäftsführer verliert vorübergehend seine Vertretungsmacht; das Vorstandsmitglied einer AG kann seine Ressortzuständigkeiten nicht mehr wahrnehmen. Anstellungsvertrag und Vergütung bleiben zunächst unberührt – bis gerichtliche oder gesellschaftsrechtliche Folgemaßnahmen eingeleitet werden. Das allein macht die Amtssuspendierung zum stärksten Argument für proaktive Compliance.

GmbH und AG im Vergleich: Unterschiedliche Haftungsrahmen

§38 BSIG gilt für GmbH-Geschäftsführer und AG-Vorstände gleichermaßen. Die gesellschaftsrechtliche Ausgestaltung der persönlichen Haftung und die Durchsetzungswege unterscheiden sich jedoch erheblich:

Kriterium GmbH (§43 GmbHG) AG (§93 AktG)
Haftungsgrundlage §43 Abs. 2 GmbHG: Sorgfaltspflichtverletzung gegenüber der Gesellschaft §93 Abs. 2 AktG: Sorgfaltspflichtverletzung; Business Judgment Rule als Entlastung anwendbar
Klageberechtigte Gesellschaft (durch neue GF oder Liquidator); Gesellschafter mit Sonderprüfungsrecht Aufsichtsrat (Pflicht zur Geltendmachung); Aktionärsminderheit nach §147 AktG
Haftungsverzicht Gesellschaftsvertraglich grundsätzlich nicht möglich; §38 Abs. 2 BSIG schließt Abbedingung aus Erst nach 3 Jahren per HV-Beschluss möglich; §38 Abs. 2 BSIG bleibt unberührt
Aufsichtsgremium Gesellschafterversammlung; kein obligatorischer Aufsichtsrat unter 500 Arbeitnehmern Obligatorischer Aufsichtsrat mit formalen Berichts- und Überwachungspflichten
NIS2-Praxisrisiko Gesellschafter können direkt Schadensersatz fordern; im Insolvenzfall hohes Regressrisiko AR ist ggf. verpflichtet, Ansprüche zu verfolgen; AR-Untätigkeit erzeugt eigene Haftung des AR

Besonders relevant für Aktiengesellschaften: Unterlässt der Aufsichtsrat die Verfolgung von Haftungsansprüchen gegen NIS2-pflichtverletzende Vorstandsmitglieder ohne hinreichenden Grund, kann er sich seinerseits gegenüber der Gesellschaft schadensersatzpflichtig machen. NIS2 erzeugt damit eine Haftungskette, die von der Geschäftsleitung bis in das Aufsichtsgremium reicht [5].

Schulungspflicht nach §38 Abs. 3 BSIG

§38 Absatz 3 BSIG schreibt vor, dass Mitglieder der Geschäftsleitung von besonders wichtigen und wichtigen Einrichtungen regelmäßig an Schulungen teilnehmen müssen. Die Schulungen müssen ausreichende Kenntnisse und Fähigkeiten in drei Bereichen vermitteln: Erkennung und Bewertung von Cybersicherheitsrisiken; Anwendung von Risikomanagementmaßnahmen; und Beurteilung, wie sich Risiken und Maßnahmen auf die von der Einrichtung erbrachten Dienste auswirken [2][7]. Als Mindesthäufigkeit hat sich in der Praxis ein Dreijahresrhythmus etabliert [6]. Diese Pflicht ist nicht delegierbar – ein Mitarbeiter kann nicht stellvertretend für die Geschäftsleitung an der Schulung teilnehmen.

Was für eine BSI-Prüfung individuell dokumentiert sein muss:

  • Teilnahmebestätigung oder Zertifikat mit Schulungsdatum und Anbieter – für jedes Mitglied der Geschäftsleitung separat
  • Inhaltliche Abdeckung der drei §38-Abs.-3-Bereiche, nachweisbar aus dem Schulungsprogramm oder der Kursbeschreibung
  • Archivierung der Nachweise für spätere BSI-Prüfungen; eine pauschale Bestätigung für das gesamte Leitungsgremium genügt nicht

Das BSI stellt auf seiner Website Informationsmaterial zu den Anforderungen an Geschäftsleitungsschulungen bereit [7]. Die Schulungspflicht nach §38 Abs. 3 BSIG ist von den allgemeinen Mitarbeiterschulungen nach §30 BSIG zu trennen – sie richtet sich ausschließlich an die Leitungsebene. Anforderungen an Cybersicherheitsschulungen für die gesamte Organisation erläutert unsere Seite zu den NIS2-Schulungsanforderungen.

Fünf Schritte zur Absicherung vor persönlicher Haftung

  1. Formellen Leitungsbeschluss fassen. Genehmigen Sie die §30-Risikomanagementmaßnahmen per dokumentiertem Beschluss – mit Datum, Teilnehmerliste und den konkret gebilligten Maßnahmen. Ein schriftlicher Vorstandsbeschluss oder Gesellschafterbeschluss ist der entscheidende Einzelnachweis im BSI-Prüffall und aktiviert bei AG-Vorständen die Business-Judgment-Rule-Schutzwirkung.
  2. Ressortverantwortung schriftlich verankern. Eine im Geschäftsverteilungsplan verankerte, klare Zuordnung der NIS2-Verantwortung mit nachweisbarem Berichtssystem reduziert das Risiko gesamtschuldnerischer Haftung aller Leitungsorgane. Die Zuordnung muss nachvollziehbar und öffentlich zugänglich sein.
  3. Regelmäßige Überwachungsberichte einrichten. §38 Abs. 1 BSIG fordert nicht nur Genehmigung, sondern aktive Überwachung. Definieren Sie messbare KPIs für die Informationssicherheit und lassen Sie diese dem Leitungsgremium quartalsweise berichten – mit Datum, Unterschrift und Archivierung.
  4. Schulungspflicht fristgerecht und individuell erfüllen. Planen Sie die Teilnahme aller Leitungsorgane an einer §38-Abs.-3-konformen Schulung innerhalb des Dreijahresrhythmus und archivieren Sie die Nachweise individuell.
  5. D&O-Versicherung auf NIS2-Lücken überprüfen. Lassen Sie Ihre Police gezielt auf Cybersicherheitsausschlüsse und den Ausschluss von Verwaltungssanktionen prüfen. Passen Sie Deckungssummen und Ausschlussklauseln an den erhöhten NIS2-Haftungsrahmen an.

Häufig gestellte Fragen

Gilt die persönliche Haftung auch für Geschäftsführer kleiner GmbHs?
Ja – sofern die GmbH als besonders wichtige oder wichtige Einrichtung unter NIS2 fällt. Die Einordnung hängt von Sektor, Mitarbeiterzahl und Jahresumsatz ab, nicht von der Rechtsform. Ob Ihr Unternehmen betroffen ist, erläutert unser NIS-2-Grundlagenüberblick.

Können wir die Haftung auf den CISO übertragen?
Nein. §38 Abs. 2 BSIG normiert die Haftung für die Geschäftsleitung. Die operative Ausführung der Maßnahmen darf delegiert werden; die Haftung für ordnungsgemäße Billigung und Überwachung verbleibt unabdingbar beim Leitungsorgan [2].

Ab wann gilt die Schulungspflicht?
Das NIS2UmsuCG trat am 6. Dezember 2025 in Kraft. Eine Übergangsfrist für die Schulungspflicht nach §38 Abs. 3 BSIG ist nicht vorgesehen [6]. Schulungen sollten daher zeitnah eingeplant werden.

Was passiert gesellschaftsrechtlich bei einer Amtssuspendierung?
Der suspendierte Geschäftsführer verliert vorübergehend seine Vertretungsmacht; das Vorstandsmitglied seine Ressortzuständigkeit. Die Gesellschaft muss kurzfristig Leitungsfunktionen reorganisieren – mit allen operativen und haftungsrechtlichen Folgerisiken. Die Amtssuspendierung beseitigt das Sicherheitsrisiko nicht automatisch; sie macht das Unternehmen in der Krise zusätzlich handlungsunfähig. Das ist das stärkste Argument für proaktive Compliance.

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechts- oder Compliance-Beratung dar. Anforderungen können je nach Rechtsordnung und Unternehmenstyp variieren. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an einen qualifizierten Rechtsanwalt oder Compliance-Spezialisten.

Quellen

Ähnliche Beiträge