skip to Main Content
Mainz +49 6131 144 560 Berlin +49 30 285 058 56 kanzlei@res-media.net

Wofür haften Geschäftsführers einer Gesellschaft beim Scheitern von IT-Projekten?

Die Organisation und Kontrolle der IT-Sicherheit gehört zu den zentralen Anforderungen an die Unternehmensführung. Nicht nur bei Datenverlust steht ein Geschäftsführer schnell persönlich in der Haftung. Die Durchführung von IT-Projekten ist geradezu ein Musterbeispiel für Risiken, die jede Geschäftsleitung rechtzeitig erkennen und begrenzen sollte.

Projektrisiken sind umso höher einzustufen, je stärker ein Scheitern des jeweiligen Projekts den Bestand des auftraggebenden Unternehmens gefährden kann.
Bei Verletzung dieser Pflicht durch Nichtanwendung der erforderlichen Sorgfalt haften die Mitglieder der Geschäftsleitung gegenüber dem Unternehmen, für das sie handeln, persönlich auf Ersatz entstandener Schäden (§§ 93 Abs. 1 und 2 AktG für Vorstände, ähnlich § 43 Abs. 1 und 2 GmbHG für Geschäftsführer).

  • Welche Pflichten bestehen für Vorstände und Geschäftsführer?

Das Gesellschaftsrecht verpflichtet die Geschäftsleitung eines Unternehmens zum effizienten Risikomanagement. Nach § 93 AktG hat der Vorstand einer Aktiengesellschaft die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Nach § 91 Abs. 2 AktG hat der Vorstand geeignete Maßnahmen zu ergreifen, um frühzeitig Entwicklungen erkennen zu können, die den Fortbestand des Unternehmens gefährden können – also ein Überwachungssystem einzurichten. Angesichts des Gefahrenpotentials der neuen Informationstechnologien zählt dazu die Schaffung und Erhaltung einer angemessenen IT-Sicherheit.

Für GmbH-Geschäftsführer gilt ähnliches. Nach § 43 Abs. 1 GmbHG ist er ebenfalls zur Sorgfalt eines ordentlichen Geschäftsleiters verpflichtet. Je nach Größe, Komplexität und Struktur muss er die Geschäfte der Gesellschaft unter Berücksichtigung gesicherter betriebswirtschaftlicher Erkenntnisse fachlich einwandfrei führen. Nach der ständigen Rechtsprechung des BGH und der Instanzgerichte (BGH, Urt. vom 12.7.1996, Az. X ZR 64/94; vgl. OLG Karlsruhe, Urt. vom 20.12.1995 – Az.10 U 123/95, CR 1996, 348f.) ist eine laufende Datensicherung selbstverständlich.

  • Reichweite der Haftung

Verletzt der Geschäftsführer schuldhaft seine Pflicht zur Gewährleistung einer angemessenen IT-Sicherheit, steht der GmbH ein Schadensersatzanspruch nach § 43 Abs. 2 GmbHG gegen diesen persönlich zu.

Voraussetzung der persönlichen Haftung von AG-Vorständen oder GmbH-Geschäftsführern ist, dass durch die Pflichtverletzung unternehmensgefährdende Risiken für das Unternehmen entstehen und diese Pflichtverletzung von dem oder den Mitglied oder Mitgliedern der Geschäftsleitung zu vertreten ist. Dieser Fall kann zum Beispiel eintreten, wenn das Scheitern eines nicht ausreichend kontrollierten Projekts den Produktionsbetrieb des Unternehmens gefährdet.

Rechtsprechung zur Haftung am Beispiel des Geschäftsführer einer GmbH
In einer Entscheidung des OLG Hamm (OLG Hamm, Urt. vom 1.12.2003, Az.13 U 133/03). hatte ein Reiseunternehmen einen Computer-Reparaturdienst mit der Suche nach dem Grund einer Fehlermeldung beauftragt. Das Unterlassen der erforderlichen Sicherungsroutinen durch den IT-Verantwortlichen des Reisebüros bezeichnete das Gericht als „blauäugig” und lehnte deshalb einen Schadensersatzanspruch des Reisebüros gegen den Reparaturdienst wegen Mitverschuldens ab.

Im Fall von Datenverlust aufgrund unzureichender Sicherungsmaßnahmen kann die Gesellschaft den Geschäftsführer regelmäßig persönlich in Anspruch nehmen (vgl. BGH, Urt. v. 09.12.1991, Az. II ZR 43/91). Sein Verschulden wird vermutet. Der Geschäftsführer kann sich nur exkulpieren, wenn er glaubhaft machen kann, dass er die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters i.S.d. § 43 Abs. 1 GmbHG angewandt hat (vgl. BGH, Bes. v. 18.2.2008, Az. II ZR 62/07), z. B. durch zuverlässige und umfassende Sicherungsroutinen.

Zur Exkulpation genügt es, wenn die IT-Sicherheit einem ausreichend qualifizierten Mitarbeiter anvertraut worden ist und der Geschäftsführer seiner ordnungsgemäßen Auswahl und Überwachung des IT-Verantwortlichen nachgekommen ist.
Bei mehreren Geschäftsführern besteht eine Gesamtverantwortung, von der die einzelnen Geschäftsführer nicht einfach durch Zuständigkeitsteilung frei werden können (BGH, Urt. v. 15.10.1996, Az. VI ZR 319/9; BGH, NJW-RR 1985, 12559).

  • Sanktionen bei Verstößen gegen Datenschutzrecht

Daneben drohen die Sanktionen der §§ 43, 44 BDSG, sofern durch den Datenverlust gegen die Vorschriften zum Schutz personenbezogener Daten verstoßen wird. Ein Verstoß gegen § 43 Abs. 1 BDSG kann Bußgelder nach sich ziehen, beispielsweise, wenn die innerbetriebliche Datenverarbeitung von einem Drittunternehmen im Auftrag durchgeführt wird und der Geschäftsführer (Auftragsgeber) seiner Auswahl- und Überwachungspflicht hinsichtlich der Gewährleistung einer angemessene IT-Sicherheit nicht genügt hat.

Sind gegen die Gesellschaft Bußgelder verhängt worden, kann sie je nach Maß der Pflichtverletzung den Geschäftsführer in Regress nehmen. Dies gilt auch, wenn die klagende Gesellschaft einer durch den Datenverlust betroffenen Person gegenüber gem. § 7 BDSG Schadensersatz geleistet hat.

Fazit:

Im Ergebnis hat der Geschäftsführer einer GmbH oder der Vorstand einer AG nicht nur regelmäßige Datensicherungen und den Schutz der Unternehmensdaten vor dem Zugriff unbefugter Dritter zu gewährleisten, um seiner Pflicht zum effizienten Risikomanagement gerecht zu werden.

Zu überwachungsbedürftigen Risiken gehören auch Risiken aus dem Ausfall von IT- Systemen durch vorhersehbare Systemfehler, Angriffe aus dem Netz und in Einzelfällen auch Risiken aus der Nutzung nicht lizenzierter Software durch Mitarbeiter. Die Konsequenzen von Störungen und Ausfällen betrieblicher IT-Systeme oder aus massiven Angriffen Dritter aus dem Internet auf das IT-System können zur zeitweisen Unterbrechung der gesamten Produktion und/oder Geschäftstätigkeit führen (insbesondere bei unzureichender Datensicherung) und damit rasch zur Insolvenz des betroffenen Unternehmens. Deshalb gehört auch die Überwachung des gesicherten Ablaufs der Funktionen betrieblicher IT-Systeme zur notwendigen Bestandssicherung, ebenso aber das Vorbeugen von Risiken aus Verzögerung oder gar Scheitern von IT- Projekten.

Unabdingbar aber auch grundsätzlich eine anfängliche und regelmäßige Sicherheitsanalyse zur Feststellung der Eignung und angemessenen Handhabung von Hard- und Software auf Firmencomputern sowie auf mobilen Datenspeichern.

Zur Minimierung des persönlichen Haftungsrisikos empfiehlt sich daneben stets eine Directors and- Officers- (D&O)-Versicherung für Geschäftsführer und (IT-)Verantwortliche. Der GmbH-Geschäftsführer sollte ferner im eigenen Interesse und im Sinne des Risikomanagements versuchen, die Risiken der GmbH gegenüber Dritten durch eine geeignete IT-Haftpflichtversicherung mit ausreichend hohen Versicherungssummen zu minimieren. Dafür sollte die IT-Haftpflichtversicherung eine Vermögensschadenhaftpflichtversicherung und eine Betriebshaftpflichtversicherung enthalten.

Bildnachweis: jro-grafik – Fotolia

geschrieben von: Dr. Kerstin Heiß

Dr. Kerstin Heiß

Dr. Kerstin Heiß
Fachanwältin für Informationstechnologierecht (IT-Recht)

 

 

 

RESMEDIA Mainz – Anwälte für IT-IP-Medien
Am Winterhafen 78 | 55131 Mainz
Fon +49 6131 144 56 -0 | Fax +49 6131 144 56 – 20
E-Mail: drheiss@res-media.net
Internet: www.res-media.net

 

Wie hat Ihnen der Beitrag gefallen?
[Total: 0 Average: 0]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top