Im Rahmen dieser Arbeit wird das von Cyberrisiken ausgehende Schadenspotenzial für Unternehmen analysiert. Anschließend werden mögliche Regressansprüche der von Cyberrisiken betroffenen Gesellschaften dargestellt. Dabei liegt der Fokus insbesondere auf der Möglichkeit eines Innenregresses gegenüber der Geschäftsleitung. Im Zuge dessen wird untersucht, welche Maßnahmen Geschäftsleiter zum Schutz vor Cyberrisiken ergreifen müssen und ob dabei ausnahmsweise ein geschützter Ermessensspielraum durch die Business Judgment Rule besteht. Hieran anknüpfend wird ein Ausblick zur zukünftigen Entwicklung der Geschäftsleiterhaftung in Bezug auf Cyberrisiken gegeben.
Die Digitalisierung bietet Unternehmen und ihren Führungskräften - etwa durch den Einsatz von Künstlicher Intelligenz - verschiedenste Möglichkeiten. Aus der wachsenden Komplexität der Systeme und der fortschreitenden Vernetzung entstehen allerdings auch neuartige Probleme. Hierzu zählen insbesondere Cyberrisiken. Doch was sind Cyberrisiken überhaupt? Welche Arten von Cyberrisiken gibt es? Wer sind die Initiatoren von Cyberrisiken und welche Ziele verfolgen sie?
Inhaltsverzeichnis
A. EINLEITUNG
I. URSPRUNG, DEFINITION UND ABGRENZUNG DER CYBERRISIKEN
II. ARTEN VON CYBERRISIKEN
III. DIE INITIATOREN VON CYBERRISIKEN UND IHRE MOTIVE
B. WIRTSCHAFTLICHER SCHADEN DURCH CYBERRISIKEN
I. EIGENSCHÄDEN DER UNTERNEHMEN
II. HAFTUNGSRISIKEN DER GESELLSCHAFT
1. Vertragliche Haftung
2. Deliktische Haftung
3. Haftung nach europäischer DSGVO
4. Bußgelder durch Aufsichtsbehörden
5. Haftung nach ausländischen Rechtsvorschriften
C. ANSPRÜCHE DER BETROFFENEN GESELLSCHAFT
I. ANSPRÜCHE GEGEN ANGREIFER
II. ANSPRÜCHE GEGEN ANDERE BETEILIGTE
III. ANSPRÜCHE GEGEN SOFTWAREHERSTELLER ODER -VERKÄUFER
IV. ANSPRÜCHE GEGEN EXTERNE CLOUD-BETREIBER
V. ANSPRÜCHE GEGEN ARBEITNEHMER
D. INNENREGRESS GEGENÜBER GESCHÄFTSLEITERN
I. HAFTUNGSGRUNDLAGE
1. Legalitätspflicht
a) Gesetzeslage
aa) Spezialbestimmungen
bb) Verwaltungsvorschriften
cc) Europäische Gesetzgebung
dd) Ausländische Gesetzgebung
b) Vertragliche Verpflichtungen
2. Bestandssicherungspflicht nach § 91 Abs. 2 AktG
3. Delegation von Aufgaben
II. HAFTUNGSMAẞSTAB
1. Tatbestand der Business Judgment Rule
a) Unternehmerische Entscheidung
aa) Durchbruch der Legalitätspflicht bei unklarer Rechtslage
bb) Durchbruch der Legalitätspflicht bei Verwaltungsvorschriften
cc) Durchbruch der Legalitätspflicht bei übermäßigen Haftungsrisiken
dd) Durchbruch der Legalitätspflicht bei nützlichen Rechtsverstößen
ee) Durchbruch der Legalitätspflicht bei nützlichen Vertragsverletzungen
ff) Durchbruch der Legalitätspflicht bei ausländischen Rechtsvorschriften
gg) Durchbruch der Legalitätspflicht bei gesetzlichen Pflichten mit Beurteilungsspielraum
b) Möglichkeit der Reduzierung des Ermessens auf Null
c) Auf der Grundlage angemessener Information
2. Rechtsfolge der Business Judgment Rule
E. AUSBLICK
F. ERGEBNISSE
Zielsetzung & Themen
Die Arbeit untersucht das von Cyberrisiken ausgehende Schadenspotenzial für Unternehmen und analysiert die daraus resultierenden Regressansprüche der betroffenen Gesellschaften. Dabei liegt der Fokus insbesondere auf der Frage, ob eine Haftung der Geschäftsleitung im Innenverhältnis besteht und unter welchen Voraussetzungen ihr ein geschützter Ermessensspielraum durch die Business Judgment Rule eingeräumt wird.
- Grundlagen und Definition von Cyberrisiken
- Wirtschaftliche Auswirkungen und Haftungsrisiken für Unternehmen
- Analyse der Regressmöglichkeiten gegen verschiedene Beteiligte
- Die Legalitätspflicht der Geschäftsleitung im IT-Kontext
- Anwendbarkeit der Business Judgment Rule bei Cyber-Vorfällen
Auszug aus dem Buch
I. Ursprung, Definition und Abgrenzung der Cyberrisiken
Um den Begriff der Cyberrisiken zu verstehen, ist auf die einzelnen Wortbildungselemente einzugehen. Der Begriff „Cyber“ - im Englischen die Kurzform für „cybernetic“ - stammt aus dem Griechischen und meint ursprünglich „Steuermann“. Das heutige Verständnis von Cyber als „eine von Computern erzeugte Scheinwelt“ wird auf den Science-Fiction-Autor William Gibson zurückgeführt, der im Jahre 1982 in der Novelle Burning Chrome erstmalig den Begriff „Cyberspace“ nutzte und als Halluzination eines von Computern erzeugten Raumes beschrieb. Der Begriff „Risiko“ meint eine spezielle Form der Unsicherheit bzw. Unwägbarkeit. Er wird oft als eine Kombination der Häufigkeit, mit der ein Schaden auftritt und dem Ausmaß dieses Schadens definiert, wobei der Schaden i.d.R. als Differenz zwischen einem geplanten und ungeplanten Ergebnis dargestellt wird.
Eine allgemeingültige Definition für Cyberrisiken besteht nicht. Vielmehr gibt es eine Vielzahl an verschiedenen Definitionsansätzen, was daran liegt, dass sich die Risiken dynamisch weiterentwickeln. Im Grundsatz ist man einig, dass Cyberrisiken als eine Gefahr der modernen digitalen Datenverarbeitung zu verstehen sind. Nach engerem Verständnis werden unter Cyberrisiken Bedrohungen gefasst, die sich zielgerichtet gegen digitale Schutzmaßnahmen von Unternehmen richten. Weitere Definitionen charakterisieren Cyberrisiken als globale, hoch korrelierte Risiken, die sowohl einen kurz- als auch langfristigen Zeithorizont aufweisen und aus denen Eigen- und Fremdschäden resultieren können. Zudem werden sie als digital initiierte Vorgänge verstanden, die Verletzungen der Schutzziele Datenverfügbarkeit, Datenintegrität und Datenvertraulichkeit zur Folge haben.
Zusammenfassung der Kapitel
A. EINLEITUNG: Die Einleitung führt in das Thema Cyberrisiken ein, erläutert deren Relevanz durch die fortschreitende Digitalisierung und definiert die Forschungsfrage bezüglich der Haftung der Geschäftsleitung.
B. WIRTSCHAFTLICHER SCHADEN DURCH CYBERRISIKEN: Dieses Kapitel behandelt die finanziellen Auswirkungen durch Cyberangriffe sowie die rechtlichen Haftungsrisiken der Gesellschaft gegenüber Dritten und Aufsichtsbehörden.
C. ANSPRÜCHE DER BETROFFENEN GESELLSCHAFT: Hier werden die zivilrechtlichen Regressmöglichkeiten des Unternehmens gegen Angreifer, Beteiligte, Softwarehersteller, Cloud-Anbieter und eigene Mitarbeiter detailliert geprüft.
D. INNENREGRESS GEGENÜBER GESCHÄFTSLEITERN: Das Hauptkapitel untersucht die Haftungsgrundlagen der Geschäftsleitung, insbesondere die Legalitätspflicht und Bestandssicherungspflicht, sowie die Anwendung der Business Judgment Rule im Kontext der IT-Sicherheit.
E. AUSBLICK: Der Ausblick beleuchtet aktuelle politische Bestrebungen, wie das geplante IT-Sicherheitsgesetz 2.0, und deren Einfluss auf die zukünftige Verschärfung der Haftungslage.
F. ERGEBNISSE: Dieses Kapitel fasst die zentralen Erkenntnisse der Arbeit zusammen und bewertet die Erfolgschancen von Regressansprüchen sowie die Sorgfaltspflichten der Geschäftsleitung bei Cyberrisiken.
Schlüsselwörter
Cyberrisiken, Geschäftsleiterhaftung, Business Judgment Rule, Legalitätspflicht, IT-Sicherheit, Cyberangriffe, Datenschutzgrundverordnung, Innenregress, Bestandssicherungspflicht, Schadensersatz, IT-Sicherheitsmanagement, Unternehmensführung, Haftungsrisiken, Compliance, Digitale Transformation
Häufig gestellte Fragen
Worum geht es in der Arbeit grundlegend?
Die Arbeit befasst sich mit der strafrechtlichen und zivilrechtlichen Verantwortlichkeit von Geschäftsleitern im Falle von Cyberangriffen und den daraus resultierenden rechtlichen Konsequenzen für das Unternehmen.
Welche zentralen Themenfelder deckt die Untersuchung ab?
Zentrale Themenfelder sind die Definition von Cyberrisiken, die ökonomischen Schadenspotenziale, zivilrechtliche Regressansprüche gegenüber Dritten sowie die haftungsrechtliche Einordnung des Verhaltens der Geschäftsleitung.
Was ist das primäre Ziel der Arbeit?
Das Hauptziel besteht darin zu klären, ob und unter welchen Voraussetzungen die Geschäftsleitung für Schäden durch Cyberrisiken haftbar gemacht werden kann und ob ihr dabei Ermessensspielräume zustehen.
Welche wissenschaftliche Methode wird verwendet?
Es handelt sich um eine juristische Analyse, die aktuelle Rechtsprechung, gesetzliche Bestimmungen (wie AktG, DSGVO, BSIG) und relevante Fachliteratur systematisch auswertet.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil analysiert die Ansprüche der Gesellschaft gegen Angreifer und Dienstleister sowie die komplexen Voraussetzungen für den Innenregress gegenüber der Geschäftsleitung, insbesondere unter Anwendung der Business Judgment Rule.
Welche Begriffe charakterisieren die Arbeit am besten?
Die Arbeit ist geprägt durch Begriffe wie IT-Sicherheitsmanagement, Business Judgment Rule, Legalitätspflicht und unternehmerisches Ermessen im Kontext der Cyber-Security.
Gibt es einen speziellen Fokus auf die Business Judgment Rule?
Ja, ein wesentlicher Teil der Arbeit untersucht detailliert, ob und inwieweit die Business Judgment Rule als Schutzschild für Geschäftsleiter bei unklarer Rechtslage oder IT-spezifischen Entscheidungen dienen kann.
Wie bewertet der Autor die Regressmöglichkeiten?
Der Autor kommt zu dem Ergebnis, dass Regressmöglichkeiten gegen externe Angreifer häufig schwierig durchzusetzen sind, da diese meist anonym agieren, weshalb der Innenregress gegen die Geschäftsleitung an Bedeutung gewinnt.
- Arbeit zitieren
- Leonard Schilmöller (Autor:in), 2019, Das Schadenspotenzial von Cyberrisiken und der Ermessensspielraum durch die Business Judgment Rule, München, GRIN Verlag, https://www.grin.com/document/889114
