12 Feb Cyber-/Datenrisiken: Erhebliche Gefahr für Geschäftsleiter und D&O-Versicherer?
A. Einleitung
Cyberrisiken sind aus unserem heutigen Berufsleben nicht mehr wegzudenken. Laut dem Allianz Risk Barometer 2019 befinden sich in Deutschland Cyberrisiken bei den Unternehmen auf Platz zwei der gefürchtetsten Risiken gleich hinter Betriebsunterbrechung1. Unter Cyberrisiken werden dort u. a. Cyberkriminalität, IT-Ausfälle, Datenpannen, Strafen und Bußgelder verstanden2. Diese Befürchtungen der Unternehmen sind leider nicht unbegründet, wie die Vorfälle in der jüngsten Vergangenheit zeigen3. Zudem sind die Unternehmen heute vielfältigen Risiken in Bezug auf deren Daten ausgesetzt, die nicht immer einen Bezug zu Cybervorfällen im engeren Sinne aufweisen4. Des Weiteren fehlt es (noch) an einer einheitlichen Definition, was unter dem Begriff „Cyberrisiken“ fällt. Im Folgenden wird daher nur noch von Datenrisiken gesprochen. Darunter werden sämtliche Risiken verstanden, die Daten – gleichgültig, ob sie in elektronischer, schriftlicher oder sonstiger Form vorliegen – betreffen. Unter diesen Begriff fallen daher insbesondere die folgenden Vorfälle, auch wenn sie sich nicht auf elektronische Daten beziehen: Datenbeeinträchtigungen (vor allem Nichtverfügbarkeit, Beschädigung, Zerstörung oder Abhandenkommen von Daten), Beeinträchtigung der IT-Infrastruktur, Datenschutzverletzungen, fehlerhafte Veränderung oder unabsichtliche Löschung von Daten, Versendung von Daten an den falschen Empfänger und Forderung eines Lösegeldes zur Wiedererlangung des Zugriffs auf Daten.
Bisher haben in Deutschland derzeit nur wenige Unternehmen eine Cyberversicherung abgeschlossen, die solche Schäden in Deckung nimmt. Bei den Unternehmen, für die eine solche Absicherung bisher noch nicht besteht, stellt sich die Frage, ob eingetretene Datenrisiken von anderen Versicherungsprodukten abgedeckt sind5. Sollte dies nicht der Fall sein, wird sich – ähnlich wie bei Compliance-Fällen – die Frage stellen, ob die Geschäftsleitung6 des Unternehmens für eingetretene Datenrisiken verantwortlich ist. Insoweit würde dann auch eine Regulierung des eingetretenen Schadens über die D&O-Versicherung angestrebt werden.
Im Folgenden wird daher zunächst dargestellt, unter welchen Bedingungen die Geschäftsleitung eines Unternehmens bei eingetretenen Datenrisiken haften könnte. Im zweiten Teil wird dann dargestellt, wie entsprechende Pflichtverletzungen unter einer D&O-Versicherung versichert sind.
B. Haftung der Geschäftsleitung
Für die Haftung der Geschäftsleitung gelten auch bei dem Eintritt von Datenrisiken zunächst keine Besonderheiten bei der Haftung. Insoweit wird der häufigste Fall in der Praxis sein, dass die Geschäftsleitung für Schäden, die durch die Verwirklichung von Datenrisiken eingetreten sind, vom Unternehmen selbst und nicht von Dritten in Anspruch genommen wird (sog. Innenregress)7. In folgenden Situationen könnte eine Haftung der Geschäftsleitung bestehen:
I. Bestehen eines Versicherungsschutzes zugunsten der Gesellschaft
Verwirklichen sich Datenrisiken bei Unternehmen und besteht hierfür zugunsten der Gesellschaft Versicherungsschutz, wird eine Haftung der Geschäftsleitung nur in Ausnahmefällen zum Tragen kommen. Bei einem Ausgleich des Schadens durch einen VR des Unternehmens fehlt es in der Regel an einem Vermögensschaden des Unternehmens, sodass bereits aus diesem Grund der Schadenersatzanspruch entfällt. In den folgenden Situationen ist trotzdem eine Haftung der Geschäftsleitung denkbar:
1. Bestehen eines Selbstbehalts oder eines Überlimitschadens
Beim Bestehen eines Selbstbehaltes oder im Falle eines Schadenfalls, der die zur Verfügung stehende Versicherungssumme überschreitet (sog. Überlimitschaden), wird ein (Rest-) Vermögensschaden beim Unternehmen verbleiben. Dieser könnte dann gegebenenfalls als Schadenersatz unter den nachfolgend unter Ziffer B.II. beschriebenen Voraussetzungen gegen die Geschäftsleitung geltend gemacht werden. Es wird aber insbesondere beim Vorliegen von geringfügigen Selbstbehalten davon auszugehen sein, dass trotz der theoretischen Möglichkeit der Geltendmachung von Schadenersatzansprüchen – und gegebenenfalls trotz der ARAG/Garmenbeck8 – und Easy-Software9 – Rspr. des BGH – in der Praxis diese nur in seltenen Ausnahmefällen verfolgt und durchgesetzt werden (müssen).
2. Inanspruchnahme trotz Versicherungsschutzes zugunsten des Unternehmens
Selbst in der Situation, in der der Schaden theoretisch vollständig von einer Versicherung zugunsten des Unternehmens gedeckt ist, kann es zu einer Inanspruchnahme der Geschäftsleitung kommen. Dies kann dann der Fall sein, wenn ein Anspruch des Unternehmens gegen die Geschäftsleiter auf den VR übergeht oder das Unternehmen beschließt, einen bestehenden Versicherungsschutz – aus welchen Gründen auch immer – nicht in Anspruch zu nehmen.
a) Anspruchsübergang auf VR
Zunächst ist die Situation zu betrachten, in der es durch die Leistung des VR zu einem Übergang gemäß § 86 Abs. 1 VVG der Ansprüche des Unternehmens gegen seine Geschäftsleitung kommt. Da in diesem Fall die Versicherungsleistung nicht schadenmindernd berücksichtigt wird10, bleibt der Anspruch gegen die Geschäftsleitung bestehen und kann dann gegen diese vom VR verfolgt werden.
In dieser Situation könnte man allenfalls daran denken, die Grundsätze entsprechend anzuwenden, die für den Mieterregress des Gebäudeversicherers gelten11. Allerdings wird dies in der vorgenannten Situation ausscheiden, da der Regressverzicht des Gebäudeversicherers durch eine ergänzende Vertragsauslegung begründet wird und ein wesentliches Argument hierbei ist, dass der Mieter über die Nebenkosten einen Teil der Prämie des Wohngebäudeversicherungsvertrages trägt12. Diese Situation ist aber nicht vergleichbar mit derjenigen zwischen Unternehmen und Geschäftsleitung, da es insbesondere auch an einer Mitfinanzierung der Versicherungsprämie durch die Letztgenannte fehlt. Insoweit schützt der zugunsten des Unternehmens bestehende Versicherungsschutz nicht die betroffenen Geschäftsleiter vor einer haftungsrechtlichen Inanspruchnahme.
b) Nichtinanspruchnahme des Versicherungsschutzes durch das Unternehmen
Zudem besteht die Möglichkeit, dass ein Unternehmen auf die Inanspruchnahme des Versicherungsschutzes zu seinen Gunsten – insbesondere einer Cyberversicherung – verzichtet und anstelle dessen direkt eine Inanspruchnahme der verantwortlichen Geschäftsleiter vornimmt. Mögliche Szenarien könnten sein, dass
das Unternehmen ansonsten eine Schadenfallkündigung durch den VR für einen wichtigen Versicherungsvertrag befürchten müsste;
• es aufgrund des Schadenfalls zu einer erheblichen Prämienerhöhung kommen könnte; oder
der Schaden sowieso lediglich teilweise von den zugunsten der Gesellschaft bestehenden Versicherungen gedeckt ist, sodass auch bei Inanspruchnahme der Unternehmensversicherung ein Restschaden verbleiben würde.
• In diesem Zusammenhang stellt sich die Frage, ob sich die Geschäftsleiter darauf berufen können, dass das Unternehmen vorrangig die Unternehmensversicherung in Anspruch nehmen muss und daher der geltend gemachte Schadenersatzanspruch in der Höhe nicht besteht bzw. nicht durchsetzbar ist, in dem der Gesellschaft aus diesem Versicherungsvertrag ein Anspruch zustände.
Sollte aufgrund der Erbringung einer Versicherungsleistung ein Übergang der möglichen Schadenersatzansprüche des Unternehmens gegen seine Geschäftsleiter nach § 86 Abs. 1 VVG erfolgen, ist eine solche Pflicht des Unternehmens zu verneinen. In dieser Situation würde es in jedem Fall zu einer Inanspruchnahme der verantwortlichen Geschäftsleiter kommen, spätestens durch den VR aus übergegangenem Recht. Insoweit kann der Geschäftsleiter seine Inanspruchnahme nicht dadurch vermeiden, dass die Gesellschaft Ansprüche gegen einen Unternehmensversicherer geltend macht. Es ist somit davon auszugehen, dass das Unternehmen in dieser Situation die freie Wahl hat, ob es einen bestehenden Unternehmensversicherungsvertrag in Anspruch nimmt oder direkt gegenüber der eigenen Geschäftsleitung Schadenersatzansprüche verfolgt.
Fraglich ist allerdings, ob in Situationen, in denen ein Anspruchsübergang nach § 86 Abs. 1 VVG bei Inanspruchnahme der Unternehmensversicherung ausschiede, eine Pflicht des Unternehmens angenommen werden kann, den bestehenden Versicherungsschutz vorrangig geltend zu machen, bevor Schadenersatzansprüche gegen die Geschäftsleiter verfolgt werden können.
Eine solche Pflicht kann nicht schon aufgrund des Grundsatzes des Vorteilsausgleichs nach § 249 BGB bejaht werden. Hier könnte argumentiert werden, dass eine Inanspruchnahme der Geschäftsleiter zu unterbleiben hätte, wenn im Wege des Vorteilsausgleichs ein Anspruch des Unternehmens gegen den VR berücksichtigt werden müsste und somit kein Schaden mehr verbleibt. Ein Abschluss einer Versicherung soll aber nicht den Schädiger, sondern den Geschädigten begünstigen, sodass eine Versicherungsleistung grundsätzlich nicht anspruchsmindernd im Wege des Vorteilsausgleichs berücksichtigt wird13. Etwas anderes könnte nur dann gelten, wenn die Versicherungen zugunsten des Unternehmens auch gleichzeitig dessen Geschäftsleitung zugutekommen sollen14. Betriebliche Versicherungen dienen – jedenfalls soweit die Gesellschaft hieraus eine Leistung erhalten kann – aber in erster Linie dem Interesse des Unternehmens, sein Vermögen und seine Gegenstände zu schützen. Im Zweifel wird man hier somit eine Vorteilsanrechnung der Leistungen aus diesen Versicherungen zugunsten der Geschäftsleiter verneinen müssen. Wenn aber schon keine Vorteilsanrechnung im Rahmen des Schadenersatzes vorgenommen und damit die Geschäftsleitung durch diese Versicherungen somit nicht entlastet wird, kann jedenfalls aus diesem Aspekt keine Pflicht des Unternehmens zur vorrangigen Inanspruchnahme der Unternehmensversicherungen gefolgert werden15.
Insoweit wird man allenfalls aus dem Anstellungsvertrag zwischen Geschäftsleiter und Unternehmen eine Nebenpflicht entnehmen können, die Unternehmensversicherungen vorrangig in Anspruch zu nehmen16. Ob eine solche Pflicht besteht, wird nur aufgrund einer Interessenabwägung beurteilt werden können. Lediglich, wenn die Interessen der Geschäftsleitung an einer haftungsrechtlichen Nichtinanspruchnahme den Interessen der Gesellschaft, die Unternehmensversicherungen nicht in Anspruch zu nehmen, überwiegen, kann eine solche Pflicht angenommen werden. Aufgrund des Anstellungsverhältnisses und der daraus resultierenden Pflichten zur gegenseitigen Rücksichtnahme17 wird anzunehmen sein, dass die Gesellschaft jedenfalls nicht ohne triftigen Grund die Geschäftsleiter einem für alle Beteiligten belastenden haftungsrechtlichen Prozess aussetzen darf, wenn der Ausgleich entstandener Schäden auch auf einfacherem Weg – vom Unternehmensversicherer – erlangt werden kann. Auf der anderen Seite wird ein triftiger Grund des Unternehmens allerdings auch ausreichend sein, eine Pflicht der Gesellschaft, Unternehmensversicherungen vorrangig in Anspruch zu nehmen, zu verneinen. Grundsätzlich ist keine Pflicht des Geschädigten anzunehmen, bestimmte Ansprüche vorrangig zu verfolgen, sondern er darf hierüber frei entscheiden. Sollte eine solche Nebenpflicht allerdings im Ausnahmefall bejaht werden und das Unternehmen trotzdem eine Versicherungsleistung nicht geltend machen, besteht diesbezüglich ein Schadenersatzanspruch des betroffenen Geschäftsleiters, der hiermit gegen einen Schadenersatzanspruch der Gesellschaft – in Höhe der nicht in Anspruch genommenen Versicherungsleistung – aufrechnen kann.
c) Zwischenfazit
Zusammenfassend lässt sich somit festhalten, dass nur in speziellen Ausnahmesituationen die Geschäftsleitung gegenüber einem Schadenersatzanspruch des Unternehmens einwenden kann, dass Letztgenanntes vorrangig einen Anspruch gegen seinen VR hätte verfolgen müssen.
II. Haftung des Geschäftsleiters bei unzureichendem Versicherungsschutz des Unternehmens
Anders muss hingegen die Situation bewertet werden, wenn keine Versicherung des Unternehmens den durch die Verwirklichung von Datenrisiken entstandenen Schaden deckt. Hier kann auf der Suche nach einem „Schuldigen“ auch die Geschäftsleitung schnell in den Fokus der für die Anspruchsverfolgung Zuständigen geraten. In diesen Fällen wird sich dann im Wesentlichen die Frage stellen, ob der Geschäftsleitung eine Pflichtverletzung hinsichtlich der Verwirklichung der Datenrisiken zur Last fällt. Im Folgenden sollen daher einige möglichen Anknüpfungspunkte für den Vorwurf einer solchen Pflichtverletzung untersucht werden:
1. Nichtabschluss einer Cyberversicherung
Eine Pflichtverletzung könnte darin gesehen werden, dass die Geschäftsleiter es unterlassen haben, eine Cyberversicherung abzuschließen. Derzeit existieren nur wenige höchstrichterliche Entscheidungen und eine überschaubare Anzahl von Literaturstimmen zur Frage, ob eine Pflicht von Geschäftsleitern zum Abschluss bestimmter Versicherungen, z. B. einer D&O-Versicherung oder – was in letzter Zeit verstärkt diskutiert wird – einer Cyberversicherung, besteht18. Soweit derzeit in der Literatur die Frage aufgeworfen wird, ob eine generelle Pflicht zum Abschluss einer Cyberversicherung besteht, wird diese – jedenfalls bisher – durchgehend verneint19.
Es ist anerkannt, dass der Abschluss von Versicherungen – soweit keine Pflichtversicherungen betroffen sind – eine unternehmerische Ermessensentscheidung im Rahmen des Risikomanagements der Gesellschaft darstellt, für die die Grundsätze der Business Judgment Rule (im Folgenden „BJR“) gelten20. Insoweit ist die Geschäftsleitung eines Unternehmens lediglich verpflichtet, bei Vorhandensein von – nicht nur geringfügigen Datenrisiken – eine informierte Entscheidung unter Einhaltung der Voraussetzungen der BJR hinsichtlich des Abschlusses einer Cyberversicherung zu treffen. Hier stellt sich aber dann – wie bei jeder unternehmerischen Ermessensentscheidung – die nicht einfach zu beantwortende Frage, welche Informationen vor dem Treffen einer solchen Entscheidung vorliegen müssen21. Auch wenn hier nur eine Entscheidung im Kontext der jeweiligen Datenrisiken der konkreten Gesellschaft möglich ist, dürften folgende Informationen für eine Entscheidung hinsichtlich des Abschlusses einer Cyberversicherung unverzichtbar sein:
konkrete und mögliche Datenrisiken der Gesellschaft;
• Auswirkung auf die Gesellschaft, wenn sich die erfassten Datenrisiken verwirklichen (u. a. Länge des Ausfalls der Computersysteme, Höhe eines möglichen Betriebsunterbrechungsschadens, Kosten für die Beseitigung der eingetretenen Risiken, Höhe eines Reputationsschadens);
mögliche Maßnahmen zur präventiven Risikominimierung;
• Kosten für Maßnahmen zur Minimierung von Datenrisiken im Vergleich zur Höhe der Versicherungsprämie;
vom VR übernommene Risiken (mit anderen Worten: der Deckungsumfang der Cyberversicherung); und
• verbleibende Restrisiken bei Abschluss einer Cyberversicherung.
Wurde von der Geschäftsleitung eine ausreichend informierte Entscheidung getroffen, wird in der Regel – soweit auch die sonstigen Voraussetzungen der BJR vorliegen – eine Pflichtverletzung aufgrund des zuzubilligenden weiten Ermessensspielraums22 ausscheiden. Etwas anderes könnte aber dann gelten, wenn als einzig vertretbare Entscheidung nur der Abschluss einer Cyberversicherung in Betracht kommt, also sozusagen eine „Ermessensreduktion auf null“ im Rahmen der unternehmerischen Entscheidung vorliegt23. Beim Abschluss einer Cyberversicherung dürfte eine solche „gebundene“ Entscheidung die absolute Ausnahme sein. In erster Linie wird sich die Geschäftsleitung einer Gesellschaft bei Datenrisiken die Frage zu stellen haben, welche (insbesondere technischen und organisatorischen) Maßnahmen getroffen werden können, um den Eintritt dieser Risiken zu verhindern oder deren Auswirkungen auf die Gesellschaft zu minimieren. Erst wenn keine weiteren Handlungen hierzu mehr für nötig erachtet werden, stellt sich dann die Frage, wie mit dem verbleibenden Restrisiko der Gesellschaft umgegangen werden soll. Hier wird aber dann in der Regel ein Abwägungsprozess stattzufinden haben. Lediglich bei einer äußerst geringen Versicherungsprämie und einem hohen – geradezu die Gesellschaft in ihrer Existenz gefährdenden – (Rest-) Datenrisiko wird eine „Ermessensreduktion auf null“ angenommen werden können. Dies kann insbesondere bei Unternehmen mit einem sehr hohen Digitalisierungsgrad der Fall sein. Die Annahme einer „Ermessensreduktion auf null“ wird daher in der Praxis die Ausnahme sein.
Aus den vorstehenden Ausführungen lässt sich somit folgern, dass allenfalls, soweit die Geschäftsleitung sich mit dem Abschluss einer Cyberversicherung nicht oder nicht ausreichend beschäftigt – z. B. beim Treffen einer Entscheidung ohne die wesentlichen Informationen, die zur Beurteilung des Abschlusses einer solchen Versicherung benötigt werden –, eine Pflichtverletzung durch den Nichtabschluss angenommen werden kann.
2. Fehler beim Risikomanagement
Der Geschäftsleitung können aber nicht nur Fehler im Rahmen des Risikomanagements hinsichtlich der Frage, ob eine (Cyber-) Versicherung abzuschließen ist, unterlaufen. Vielmehr können solche Fehler auch in Bezug auf den Umgang mit den Datenrisiken selbst entstehen24. Zu beachten ist dabei, dass das Risikomanagement „Chefsache“ ist25. Die Pflicht zur Einrichtung eines geeigneten Risikomanagements kann zudem auch nicht delegiert werden26. Das bedeutet aber nicht, dass sämtliche Tätigkeiten in diesem Zusammenhang von der Geschäftsleitung selbst wahrgenommen werden müssen. Zumindest gegen eine Unterstützung der Geschäftsleitung bei vorbereitenden oder ausschließlich ausführenden Tätigkeiten im Zusammenhang mit dem Risikomanagement bestehen keine Bedenken, soweit die Geschäftsleitung eine eigene Entscheidung zur Ausgestaltung des Risikomanagements trifft27. Beispielhaft müssen somit die Geschäftsleiter nicht die Erfassung der bestehenden und zukünftig möglichen Datenrisiken selbst wahrnehmen, sondern können dies von Mitarbeitenden übernehmen lassen.
Für die Haftung der Geschäftsleitung bedeutet dies Folgendes:
a) Pflichtverletzung: Nichtbeschäftigung mit Datenrisiken
Eine Pflichtverletzung von Geschäftsleitern wird dann anzunehmen sein, wenn sie Datenrisiken nicht im Rahmen des Risikomanagements berücksichtigen28. Das kann insbesondere in den Situationen angenommen werden, in denen die Geschäftsleitung der Gesellschaft Datenrisiken überhaupt nicht erfassen lässt oder sich mit den erfassten Datenrisiken nicht im Rahmen des Risikomanagements auseinandersetzt29. Soweit Aufgaben aus einem nicht delegierbaren Bereich nur vom Mitarbeitenden und nicht von der Geschäftsleitung selbst vorgenommen werden, stellt auch dies eine Nichtbeschäftigung mit Datenrisiken und somit eine Pflichtverletzung dar.
b) Pflichtverletzung: fehlerhafte Entscheidung im Rahmen der Business Judgment Rule (BJR)
Eine weitere Pflichtverletzung kann die Geschäftsleiter dann treffen, wenn im Rahmen des Risikomanagements Entscheidungen getroffen werden, die von der BJR nicht mehr gedeckt sind. Insbesondere wenn nur unzureichende Informationen über die Auswirkungen von Datenrisiken auf die Geschäftstätigkeit des Unternehmens eingeholt werden, wird eine Pflichtverletzung der Geschäftsleitung anzunehmen sein30. Erneut ist dann aber die Frage aufzuwerfen, welche Informationen vor der Entscheidung über den Umgang mit Datenrisiken vorliegen müssen. Auch hier ist erneut eine pauschale Antwort nicht möglich31. Allerdings dürfte als Mindestanforderungen die folgenden Informationen unerlässlich sein, um eine informierte Entscheidung im Rahmen der BJR zu treffen:
konkret vorhandene und mögliche Datenrisiken des Unternehmens;
• Auswirkung auf die Gesellschaft, wenn sich die erfassten Datenrisiken verwirklichen (u. a. Länge des Ausfalls der Computersysteme, Höhe eines möglichen Betriebsunterbrechungsschadens, Kosten für die Beseitigung der eingetretenen Risiken, Höhe eines Reputationsschadens);
welche Maßnahmen sind möglich, Datenrisiken zu minimieren;
• Kosten für die Maßnahmen zur Reduzierung von Datenrisiken; und
Bestehen von gesetzlichen Vorgaben, die beim Umgang mit Datenrisiken berücksichtigt werden müssen (z. B. aus der EU-DSGVO, dem BDSG, dem IT-Sicherheitsgesetz oder dem Telekommunikationsgesetz).
• Aufgrund der unternehmensspezifischen Situation wird es in der Regel noch weitere Informationen geben, die bei den konkreten Entscheidungen zum Umgang mit Datenrisiken zu berücksichtigen sind.
c) Pflichtverletzung: keine ausreichende fortlaufende Überwachung
Das Risikomanagement ist eine Daueraufgabe der Geschäftsleitung, da die Risikoentwicklung in regelmäßigen Abständen erneut überprüft werden muss32. Insoweit ist eine Pflichtverletzung der Geschäftsleitung auch dann anzunehmen, wenn keine regelmäßige Überprüfung der Datenrisiken stattfindet. Eine Überprüfung, die nicht jährlich stattfindet, wird bei den sich schnell ändernden Datenrisiken nicht mehr als ausreichend angesehen werden können33. Aufgrund dieser schnellen Veränderung von Datenrisiken wird eher ein kürzerer Überprüfungszeitraum erforderlich sein. Sollten die anderen Unternehmensrisiken in kürzeren zeitlichen Abständen überwacht werden, sollte dieser Zeitraum auch für die Überprüfung der Datenrisiken nicht überschritten werden. Zudem ist die Geschäftsleitung immer dann zur Überprüfung und ggf. Anpassung des bestehenden Konzeptes in Hinblick auf Datenrisiken verpflichtet, wenn sich diese beim Unternehmen verwirklicht haben und die Geschäftsleitung hiervon Kenntnis erlangt34. Unterlässt sie eine solche Tätigkeit, stellt auch dies eine Pflichtverletzung dar.
3. Andere möglichen Pflichtverletzungen
Zudem besteht bereits heute eine immer größer werdende Anzahl von Gesetzen, die Vorgaben hinsichtlich des Umgangs mit Datenrisiken enthalten (z. B. EU-DSGVO, BDSG, IT-Sicherheitsgesetz, Telekommunikationsgesetz, Telemediengesetz, Kreditwesengesetz). Bei der Nichteinhaltung dieser Gesetze sehen sich die Unternehmen teilweise hohen Schadenersatzansprüchen ausgesetzt. Beispielsweise können Personen, deren sensible persönliche Daten im Internet unter Verstoß gegen die EU-DSGVO veröffentlicht werden, nunmehr eine immaterielle Entschädigung von dem Verantwortlichen verlangen35. Auch wenn die Höhe dieser immateriellen Ansprüche bei einzelnen Personen überschaubar sein dürfte, kann insbesondere in der Situation, in der ganze Datenbanken mit sensiblen persönlichen Daten (z. B. eine Patientendatenbank eines Krankenhauses oder die Kontodatenbank eines Geldinstituts36) abhandenkommen, die Gesamtheit der Kundenansprüche auf immaterielle Entschädigungen eine erhebliche Größenordnung für das Unternehmen erlangen und im schlimmsten Fall sogar dessen Existenz gefährden. Bei anderen Unternehmen kann hingegen im Vordergrund die Gefahr stehen, dass wegen Datenschutzverstößen erhebliche Geldbußen verhängt werden37.
Soweit Dritte Ansprüche gegen das Unternehmen wegen der Verwirklichung von Datenrisiken geltend machen, stellt sich im Anschluss unweigerlich die Frage, ob die Geschäftsleitung vom Unternehmen hierfür schadenersatzpflichtig gemacht werden kann (Innenregress). Auch hier wird es zunächst in erster Linie darauf ankommen, ob der Geschäftsleitung eine Pflichtverletzung zur Last fällt. Es sind die folgenden Situationen zu unterscheiden:
a) Direkte Verstöße der Geschäftsleitung gegen gesetzliche Vorschriften
Verstoßen die Geschäftsleiter selbst gegen eines der vorgenannten Gesetze, stellt dies einen Verstoß gegen ihre Legalitätspflicht und somit eine Pflichtverletzung dar38. In dieser Situation wird es schwierig werden, das Bestehen von Schadenersatzansprüchen vollständig in Abrede zu stellen.
b) Verstöße von Mitarbeitenden gegen gesetzliche Vorschriften
In der Praxis wird aber häufig der Geschäftsleitung nicht selbst der Verstoß gegen die vorgenannten Gesetze zur Last fallen bzw. nicht nachzuweisen sein. Vielmehr wird häufig ein Verstoß von Mitarbeitenden des Unternehmens gegen diese Gesetze behauptet werden. Eine Kompensation von Mitarbeitenden durch deren Fehler verursachte Schäden zu erlangen, wird der Gesellschaft aufgrund der Grundsätze zur Haftungsprivilegierung von Arbeitnehmern39 gar nicht oder nur zu einem geringen Teil möglich sein. Insoweit rücken auch in dieser Situation die Geschäftsleiter in den Fokus der Verfolgung möglicher Schadenersatzansprüche. Es wird dann versucht werden, der Geschäftsleitung den Vorwurf zu machen, keine ausreichenden Maßnahmen zur Verhinderung dieser Gesetzesverstöße vorgenommen zu haben (Unterlassung der Einrichtung eines wirksamen Compliance-Systems)40. Hier ist zu erwarten, dass bei der Verwirklichung von Datenrisiken auch über diesen Weg versucht wird, den entstandenen Schaden von der Geschäftsleitung des Unternehmens ersetzt zu erhalten. Insoweit besteht in dieser Situation keine Besonderheit gegenüber anderen Sachverhalten, bei denen Compliance-Verstöße durch Mitarbeitende im Raum stehen.
C. Deckungsschutz durch eine D&O-Versicherung
Soweit im Zusammenhang mit der Verwirklichung von Datenrisiken Schadenersatzansprüche gegen die Geschäftsleitung bestehen, stellt sich die Anschlussfrage, ob diese durch eine eventuell bestehende D&O-Versicherung des Unternehmens gedeckt sind. Derzeit existiert allenfalls in einzelnen speziell gelagerten Ausnahmefällen ein Ausschlusstatbestand, wonach Inanspruchnahmen im Zusammenhang mit der Verwirklichung von Datenrisiken nicht im Rahmen der D&O-Versicherung gedeckt sind41. Im Regelfall wird der D&O-Versicherer seine Leistung somit nicht unter Berufung auf einen Ausschlusstatbestand – es sei denn, es liegen auch andere Umstände, wie z. B. eine wissentliche Pflichtverletzung oder eine vorsätzliche Schadenherbeiführung, vor – verweigern können.
I. Vorhandensein von echten Vermögensschäden
Im Rahmen der D&O-Versicherung sind in erster Linie echte Vermögensschäden versichert. Dies sind sämtliche Schäden, die nicht Personen- oder Sachschäden – also die Beschädigung, das Verderben, die Vernichtung oder das Abhandenkommen von Sachen – darstellen noch sich aus solchen Schäden herleiten42. Für das Bestehen des Deckungsschutzes unter einer D&O-Versicherung kommt es somit im Wesentlichen darauf an, ob ein solcher echter Vermögensschaden durch die Verwirklichung von Datenrisiken entsteht.
Kommt es bei der Verwirklichung von Datenrisiken nicht zu einer Beschädigung, einer Vernichtung oder einem Abhandenkommen von körperlichen Sachen (z. B. Papierakten, Datenträgern, wie einem USB-Stick), liegt in Bezug auf diese körperlichen Sachen – jedenfalls zunächst – kein Sachschaden vor, sodass aufgrund der vorgenannten Definition ein unter der D&O-Versicherung versicherter echter Vermögensschaden gegeben ist. Wird die Geschäftsleitung hingegen für einen Schaden in Anspruch genommen, der dem Unternehmen dadurch entsteht, dass solche körperlichen Gegenstände beschädigt, vernichtet oder abhandengekommen sind, stellt dies einen unechten Vermögensschaden dar, für den der D&O-Versicherer nicht zur Leistung verpflichtet ist43. Dies wäre z. B. der Fall, wenn ein USB-Stick oder die ausgedruckte Gehaltsliste von einem Geschäftsleiter in einem Café versehentlich liegen gelassen und von einem Dritten mitgenommen wird, soweit daraus Schäden für die Gesellschaft entstehen.
Bei elektronischen Daten ist die Deckungssituation im Rahmen der D&O-Versicherung hingegen schwieriger zu beurteilen. Hier kommt es entscheidend darauf an, ob elektronische Daten als Sachen anzusehen sind oder nicht. Zu der Frage, ob elektronische Daten versicherungsrechtlich als Sachen einzuordnen sind, existiert kaum Literatur oder Rspr.44. Der BGH hat in einem Verfahren, in dem es um die Löschung von elektronischen Fotos einer anderen Person ging, ausgeführt, dass diese Dateien an sich keine körperlichen Gegenstände seien, aber gleichzeitig festgestellt, dass verkörperte Daten als Sachen anzusehen seien45. Dies stimmt mit der Entscheidung eines anderen Senats des Gerichts überein, dass Computerprogramme Sachen darstellen, weil sie auf einem Speichermedium verkörpert und nur bei dieser Verkörperung nutzbar sind46. Legt man dies zugrunde, sind elektronische Daten immer dann als Sachen anzusehen, wenn sie in irgendeiner Form (z. B. auf der Festplatte, auf einer CD oder einem USB-Stick) verkörpert sind. Die Gegenansicht in der Literatur unterscheidet entgegen dieser Rspr. zwischen der Sachqualität des Datenträgers und den Daten als unkörperlichen Gegenstand, die nur als geistiges Eigentum aber nicht als Sache im Sinne von § 90 BGB geschützt sind47.
Aus Sicht des Verfassers sind Schäden an elektronischen Daten auch dann als Sachschäden anzusehen, wenn nur sie und nicht auch der sie enthaltene Datenträger physisch beschädigt worden ist. Entscheidend ist, wie der Begriff Sachschaden im Sinne der D&O-Bedingungen auszulegen ist. Im versicherungsrechtlichen Kontext ist nach st. Rspr. des BGH bei dieser Auslegung entscheidend, wie ein durchschnittlicher VN den in den AVB enthaltenen Begriff Sachschaden
„bei verständiger Würdigung, aufmerksamer Durchsicht und Berücksichtigung des erkennbaren Sinnzusammenhangs verstehen kann. Dabei kommt es auf die Verständnismöglichkeiten eines Versicherungsnehmers ohne versicherungsrechtliche Spezialkenntnisse und damit auch auf seine Interessen an. In erster Linie ist vom Wortlaut der jeweiligen Klausel auszugehen. Der mit dem Bedingungswerk verfolgte Zweck und der Sinnzusammenhang der Klauseln sind zusätzlich zu berücksichtigen, soweit sie für den VN erkennbar sind.48“
Der durchschnittliche VN wird – ohne nähere Definition des Begriffs „Sachschaden“ – schon dann eine Beschädigung einer Sache annehmen, wenn deren Zustand beeinträchtigt und somit die Gebrauchsfähigkeit mindestens gemindert wird, ohne dass die Sachsubstanz selbst verletzt sein muss49. Bei diesem Verständnis wird ein durchschnittlicher VN annehmen, dass bei Beschädigung oder Zerstörung von verkörperten elektronischen Dateien zumindest die vor dem Ereignis vorhandene Brauchbarkeit des Datenträgers beeinträchtigt ist. Es ist für ihn ein Unterschied, ob er einen leeren USB-Stick ohne jegliche Daten oder einen, auf dem seine wichtigen betrieblichen Dateien gespeichert sind, besitzt. Einen leeren USB-Stick wird er nicht im gleichen Umfang gebrauchen können, wie er ihn mit vorhandenen Daten hätte nutzen können. Eine Gebrauchsminderung des USB-Sticks in der vorgenannten Situation ist daher zu bejahen.
In diesem Zusammenhang ist der Vergleich mit einem Buch, den der BGH in der Entscheidung vom 15. 11. 2006 vornimmt50, überzeugend. Sowohl der Datenträger, auf dem elektronische Dateien verkörpert sind, als auch das Buch sind beides Sachen, die Informationen enthalten. Beim Buch sind diese Informationen als Buchstaben vorhanden, bei Datenträger als elektronische Dateien. Sollten die Buchstaben bei einem Buch z. B. durch Übermalen unleserlich werden, wäre dies selbstverständlich ein Sachschaden am Buch, da dieses vom VN nicht mehr wie vorgesehen gebraucht werden kann, und nicht nur ein Schaden an den Informationen selbst. So ist die Situation aber auch bei elektronischen Daten und einem Datenträger. Werden Daten beschädigt oder zerstört, ist auch dies als Sachschaden am Datenträger anzusehen, da er nicht mehr dieselben Informationen beinhaltet, wie vor der Beschädigung oder der Zerstörung der Daten, und daher auch er nicht mehr im gleichen Umfang vom VN genutzt werden kann51.
Der teilweise vorgenommene Vergleich von elektronischen Daten mit elektrischem Strom ist zudem nicht passend. Anders als elektrischer Strom beinhalten elektronische Daten Informationen, die sie speichern und wiedergeben. Des Weiteren ist der Strom überwiegend auch nicht in irgendeinem Gegenstand gespeichert. Hier ist somit der entscheidende Unterschied zum Strom, der lediglich elektrische Geräte betreibt, ohne selbst ein Informationsträger – jedenfalls nicht in seiner ursprünglichen Verwendung – zu sein. Insoweit ist ein Sachschaden im Rahmen der D&O-Versicherung anzunehmen, wenn elektronische Daten beschädigt oder zerstört werden oder abhandengekommen sind und sie zuvor in irgendeiner Form – insbesondere auf einem Datenträger – verkörpert waren. Diese Schäden an den Daten führen dann zu einer Gebrauchsminderung des Datenträgers, der als Sachschaden einzuordnen ist52.
II. Umfang des Deckungsschutzes
Legt man die vorstehende Auffassung zugrunde, ist der Deckungsschutz unter einer D&O-Versicherung für die unter Ziffer B.II. dargestellten Situationen wie folgt zu bewerten:
1. Nichtabschluss einer Cyberversicherung
Wird den versicherten Personen eines D&O-Versicherungsvertrages (also insbesondere den Geschäftsleitern) vorgeworfen, dass Datenrisiken nur deshalb zu einem Schaden des Unternehmens geführt haben, weil eine Cyber- oder sonstigen Versicherung nicht abgeschlossen wurde, wird in dieser Situation von einem gedeckten Vermögensschaden auszugehen sein. Zwar könnte man auch hier argumentieren, dass der Nichterhalt einer Versicherungsleistung im Endeffekt kausal mit einem eingetreten Datenschaden zusammenhängt, weil ohne diesen Schaden eine Versicherungsleistung nicht benötigt würde. Es kann aber oftmals dahinstehen, ob ein solches weites Kausalitätsverständnis überhaupt gerechtfertigt ist53. In den überwiegenden D&O-Versicherungsbedingungen sind ausdrücklich auch solche Situationen gedeckt, in denen die dem Versicherungsfall zugrunde liegende Pflichtverletzung nicht für den Personen- oder Sachschaden, sondern ausschließlich für den Folgeschaden ursächlich ist (sog. erweiterter Vermögensschaden). Bei dem Nichtabschluss einer Versicherung wird der versicherten Person aber gerade nicht vorgeworfen, einen Sach- oder Personenschaden herbeigeführt, sondern lediglich keine Sorge dafür getragen zu haben, dass die finanziellen Auswirkungen eines solchen Schadenereignisses von einem VR übernommen werden. Insoweit bezieht sich der Vorwurf gegen die versicherte Person allein auf den Folgevermögensschaden und fällt somit unter den Anwendungsbereich des erweiterten Vermögensschadenbegriffs. Die durch den Nichtabschluss einer Versicherung entstehenden Schäden sind somit – jedenfalls wenn Deckungsschutz auch für erweiterte Vermögensschäden besteht – als im Rahmen der D&O-Versicherungsbedingungen versicherter Vermögensschaden anzusehen.
2. Fehler beim Risikomanagement
Soweit den versicherten Personen hingegen Fehler im Rahmen des Risikomanagements in Bezug auf Datenrisiken vorgeworfen wird, kommt es entscheidend darauf an, ob durch diese fehlerhafte Entscheidung eine Beschädigung, Vernichtung oder ein Abhandenkommen von verkörperten elektronischen Daten oder sonstigen körperlichen Sachen (Datenträger, Papierakten, usw.) verursacht wurde. Dies ist z. B. der Fall, wenn ein ersichtlich nicht ausreichendes Konzept für die Sicherheit der elektronischen Daten vorliegt und ein Hacker aufgrund dieses Umstands die Daten der Gesellschaft von einem Unternehmensserver löschen konnte. Solche Fälle fallen aus dem Deckungsbereich der D&O-Versicherung heraus.
3. Andere mögliche Pflichtverletzungen
Auch bei anderweitig den versicherten Personen vorgeworfenen Pflichtverletzungen im Zusammenhang mit Datenrisiken54 kommt es für das Bestehen des Deckungsschutzes entscheidend darauf an, ob aus dieser Pflichtverletzung eine Beschädigung, Vernichtung oder ein Abhandenkommen von verkörperten elektronischen Daten oder sonstigen körperlichen Sachen (Datenträger, Papierakten, usw.) resultiert. Insoweit kann auf die Ausführungen unter Ziffer C.II.2. verwiesen werden.
D. Fazit
Im Zusammenhang mit der Verwirklichung von Datenrisiken sind Geschäftsleiter vielfältigen Haftungsgefahren ausgesetzt, was auch bei den D&O-Versicherern zukünftig zur Erhöhung der Versicherungsleistungen führen kann. Geschäftsleiter sollten diese Risiken somit nicht bei ihrer täglichen Arbeit vernachlässigen und sich insbesondere mit diesen – und auch deren Absicherung durch Versicherungen – im Rahmen des Risikomanagements intensiv und regelmäßig beschäftigen, um nicht dem Vorwurf einer Pflichtverletzung ausgesetzt zu sein. Hierbei ist wichtig, dass die entsprechenden Prozesse ausreichend dokumentiert werden, um im Falle einer möglichen haftungsrechtlichen Inanspruchnahme diese auch noch ggf. Jahre später – und insbesondere nach dem Ausscheiden aus dem Unternehmen – noch nachvollziehen zu können.
Sollten Geschäftsleiter im Zusammenhang mit Datenrisiken haftungsrechtlich in Anspruch genommen werden, können sie sich – zumindest derzeit – nicht in allen Situationen auf den Deckungsschutz einer bestehenden D&O-Versicherung verlassen. Insbesondere bei einer Beschädigung, Vernichtung oder Abhandenkommen von verkörperten elektronischen Daten oder sonstigen körperlichen Sachen (z. B. eines USB-Sticks oder Papierakten) besteht die Gefahr, dass die Geschäftsleiter als versicherte Personen hierfür keinen Versicherungsschutz aus dieser Versicherung erhalten. Um dies zu verhindern, können Geschäftsleiter entweder mit dem VR in der D&O-Versicherung eine „Klarstellung“ verhandeln, dass Schäden an verkörperten elektronischen Daten keine Sachschäden im Sinne der Versicherungsbedingungen darstellen. Sollte dies nicht gewünscht oder möglich sein, sollten sie dringend den Abschluss einer Cyberversicherung prüfen, damit bei der Verwirklichung von Datenrisiken – zumindest in einer Vielzahl von Situationen – kein Vermögensschaden bei der Gesellschaft verbleibt. Hierbei ist auch darauf zu achten, dass dem VR im Falle der Erbringung einer Versicherungsleistung keine Regressmöglichkeit gegen die Geschäftsleiter zusteht.
1 Allianz Global Corporate & Specialty (AGCS), Allianz Risk Barometer 2019 – Appendix, S. 6. Natürlich können Betriebsunterbrechungsschäden auch durch die Verwirklichung von Cyberrisken verursacht werden, z. B. durch Ausfall der Produktionsanlagen durch einen Hackerangriff.
2 Dies., Allianz Risk Barometer 2019, S. 4.
3 Beispielhaft seien folgende Vorfälle genannt: die Angriffe auf das Netzwerk des Deutschen Bundestages in den Jahren 2015 und 2016 und die Cyberattacke beim norwegischen Aluminiumproduzenten Norsk Hydro im März 2019. Zudem sei auf die Cybererpressung gegen den deutschen IT-Dienstleister CITYCOMP im April 2019 hingewiesen, bei der Kundendaten des Unternehmens von den Angreifern veröffentlicht wurden. Ferner wurde im Juli 2019 bekannt, dass weltweit Gesellschaften, darunter auch deutsche DAX-Unternehmen, Cyberangriffen einer mutmaßlich chinesischen Hackergruppe ausgesetzt gewesen seien.
4 Zu nennen sind hier z. B. Datenschutzverletzungen durch Veröffentlichung von schriftlichen Dokumenten oder Industriespionage durch Mitarbeitende.
5 Vgl. Bertsch, ZfV 2019, 277 ff.; Achenbach, VersR 2017, 1493 (1494 ff.).
6 Hierunter sind in erster Linie die geschäftsführenden Organe, wie Vorstände und GmbH-Geschäftsführer, zu verstehen.
7 Theoretisch ist auch denkbar, dass externe Dritte (z. B. Kunden oder Lieferanten des Unternehmens) die Geschäftsleiter direkt wegen Datenrisiken, die bei ihnen durch Handlungen dieser Organmitglieder eingetreten sind, in Anspruch nehmen (z. B. aus unerlaubter Handlung, der EU-DSGVO oder dem BDSG). Diese Ansprüche (sog. Außenhaftung) sind aber nicht Gegenstand der folgenden Ausführungen.
8 BGH, Urt. v. 21. 4. 1997 – II ZR 175/95, NJW 1997, 1926 ff.
9 BGH, Urt. v. 18. 9. 2018 – II ZR 152/17, DB 2018, 2685 ff.
10 Vgl. Möller/Segger, in: Langheid/Wandt, MünchKomm-VVG, Bd. 1, 2. Aufl. 2016, § 86 Rn. 22; Oetker, in: Krüger, MüKoBGB, 8. Aufl. 2019, § 249 Rn. 254 ff.
11 Ein Überblick zu dieser Thematik ist zu finden bei Möller/Segger, in: Langheid/Wandt, MünchKomm-VVG, Bd. 1, 2. Aufl. 2016, § 86 Rn. 206 ff.
12 BGH, Urt. v. 13. 9. 2016 – IV ZR 273/05, r+s 2006, 500 (503).
13 Möller/Segger, in: Langheid/Wandt, MünchKomm-VVG, Bd. 1, 2. Aufl. 2016, § 86 Rn. 20 f.; Oetker, in: Krüger, MüKoBGB, 8. Aufl. 2019, § 249 Rn. 258 mwN.
14 Siehe hierzu Oetker, in: Krüger, MüKoBGB, 8. Aufl. 2019, § 249 Rn. 254.
15 So auch für eine Insassenunfallversicherung: BGH, Urt. v. 7. 5. 1975 – IV ZR 209/73, NJW 1975, 1273 ff.
16 Bzgl. aufsichtsführender Organe scheidet hingegen auch eine solche Herleitung einer Pflicht des Unternehmens aus, da diese kein mit dem Anstellungsvertrag vergleichbares Vertragsverhältnis mit der Gesellschaft haben. Hier könnte allenfalls aus der Organstellung und der daraus resultierenden Rechtsbeziehung versucht werden, eine entsprechende Pflicht des Unternehmens herzuleiten.
17 Siehe § 241 Abs. 2 BGB.
18 Siehe zu dieser Thematik insbesondere BGH, Urt. v. 26. 11. 1985 – VI ZR 9/85, r+s 1986, 66; BGH, Urt. v. 23. 3. 1987 – II ZR 190/86, NJW 1987, 1887 (1889); Lange, DStR 2002, 1626 (1630 f.); Schaal, VW 19/2002, 1468; Hauschka, AG 2004, 461 (468); Koch, ZGR 2006, 184; Seibt/Saame, AG 2006, 901 (902 f.); Erichsen, CCZ 2015, 247 (250); Wirth, BB 2018, 200.
19 Erichsen, CCZ 2015, 247 (250); Wirth, BB 2018, 200.
20 Koch, ZGR 2006, 184 (198) mwN.
21 Siehe zu den Problematiken, die mit der Frage, welche Informationen notwendig sind, verbunden sind, beispielhaft Fleischer, in: Fleischer/Goette, Münchener Kommentar zum GmbHG, Bd. 2, 3. Aufl. 2019, § 43 Rn. 84 ff. mwN; Spindler, in: Goette/Habersack, MünchKomm-AktG, Bd. 2, 5. Aufl. 2019, § 93 Rn. 55 f.
22 Vgl. hierzu BGH, Urt. v. 21. 4. 1997 – II ZR 175/95, NJW 1997, 1926 (1927).
23 Vgl. Koch, ZGR 2006, 184 (198).
24 Dass Datenrisiken heute als wesentliche Risiken im Rahmen des Risikomanagements zu berücksichtigen sind, dürfte – auch vor dem Hintergrund der EU-DSGVO, des IT-Sicherheitsgesetzes und anderweitiger gesetzlicher Vorschriften, die Regelungen zur Cyber-/Datenrisiken enthalten – nicht abzustreiten sein, vgl. z. B. Schmidt-Versteyl, NJW 2019, 1637 (1640). In Bezug auf die IT-Sicherheit eines Unternehmens: v. Holleben/Menz, CR 2010, 63 (65); Schmidl, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, Rn. 46 ff.; v. Baum/Appt/Schenk, DB 2017, 1888. Für Verantwortlichkeit des Vorstands für den Datenschutz: vgl. Korch/Chatard, AG 2019, 551 (554 ff.).
25 Schulze, NJW 2014, 3484 (3485).
26 Urban, GWR 2013, 106 (107).
27 Froesch, DB 2009, 722 (724) mwN; Schulze, NJW 2014, 3484 (3485); Schmidt-Husson, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 6 Rn. 24 mwN. Zur Frage, welche konkrete Tätigkeiten von der Geschäftsleitung selbst vorgenommen werden müssen, vgl. Pietzke, CCZ 2010, 45 (49).
28 Ein Schadenersatzanspruch der Gesellschaft wird aber dann nicht vorliegen, wenn die Berücksichtigung der für die Gesellschaft bestehenden Datenrisiken nicht zu einer anderen Entscheidung im Rahmen des Risikomanagements geführt hätte, z. B. weil die Auswirkungen der nicht berücksichtigten Datenrisiken auf den Geschäftsbetrieb der Gesellschaft keine signifikanten Auswirkungen gehabt hätten.
29 Vgl. hierzu beispielhaft Preußner/Becker, NZG 2002, 846 (848 ff.); Glage/Grötzner, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 14 Rn. 56 ff.
30 Vgl. zum Erfordernis einer Entscheidung auf angemessener Informationsgrundlage: Fleischer, in: Fleischer/Goette, MünchKomm-GmbHG, Bd. 2, 3. Aufl. 2019, § 43 Rn. 84 ff.
31 Siehe Ziffer B. II.1.
32 Glage/Grötzner, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 14 Rn. 68 ff.; Schmidt-Versteyl, NJW 2019, 1637 (1641).
33 Vgl. Erichsen, CCZ 2015, 247 (249).
34 So ausdrücklich im Hinblick auf Compliance-Verstöße: Fleischer, in: Fleischer/Goette, MünchKomm-GmbHG, Bd. 2, 3. Aufl. 2019, § 43 Rn. 149 mwN.
35 Art. 82 Abs. 1 EU-DSGVO.
36 Vgl. z. B. den Cyberangriff auf die US-Großbank Capital One, der im Juli 2019 bekannt geworden ist.
37 Zu nennen ist hier insbesondere die Geldbuße in Höhe von 50 Mio. EUR, die die französische Behörde CNIL gegen Facebook im Januar 2019 verhängt hat.
38 Eine Übersicht zum Inhalt der Legalitätspflicht ist zu finden bei: Lücke/Simon, in: Saenger/Inhester, GmbHG – Handkommentar, 3. Aufl. 2016, § 43 Rn. 19 f.; Ziemons, in: Michalski/Heidinger/Leibl u. a., GmbHG, Bd. 2, 3. Aufl. 2017, § 43 Rn. 59 ff.
39 Siehe hierzu BAG GS, Beschl. v. 27. 9. 1994 – GS 1/89 (A), NZA 1994, 1083 ff.; BAG, Urt. v. 28. 10. 2010 – 8 AZR 418/09, NZA 2011, 345 ff.
40 Vgl. hierzu die Neubürger-Entscheidung des LG München I, Urt. v. 10. 12. 2013 – 5 HK O 1387/10, NZG 2014, 345 ff. Zum Schrifttum zu dieser Problematik vgl. Spindler, in: Goette/Habersack, Münchener Kommentar zum Aktiengesetz, Bd. 2, 5. Aufl. 2019, § 91 Rn. 52 ff. mwN.
41 Schmidt-Versteyl, NJW 2019, 1637 (1638).
42 Vgl. z. B. Ziffer A1 der GDV-Musterbedingungen AVB D&O, Stand: Mai 2019.
43 Vgl. hierzu auch Günther, VersR 2018, 205.
44 Ders., VersR 2018, 205.
45 BGH, Urt. v. 13. 10. 2015 – VI ZR 271/14, BGHZ 207, 163 = MDR 2016, 84.
46 BGH, Urt. v. 15. 11. 2006 – XII ZR 120/04, NJW 2007, 2394 mwN.
47 Herrler, in: v. Staudinger, Kommentar zum BGB, Bd. 11, Neubearbeitung. 2017, § 90 BGB Rn. 12 ff.; Redeker, NJOZ 2008, 2917 (2919); Günther, VersR 2018, 205 ff.
48 BGH, Urt. v. 6. 7. 2016 – IV ZR 44/15, r+s 2016, 466 (467) mwN.
49 BGH, Urt. v. 24. 10. 1960 – II ZR 142/58, NJW 1961, 269; BGH, Urt. v. 27. 6. 1979 – IV ZR 174/77, r+s 1980, 22. So auch für die AHB Lücke, in: Prölss/Martin, Versicherungsvertragsgesetz, 30. Aufl. 2018, Ziff. 1 AHB Rn. 22 mwN.
50 BGH, Urt. v. 15. 11. 2006 – XII ZR 120/04, NJW 2007, 2394 (2395).
51 So auch Wagner, in: Habersack, MünchKomm-BGB, Bd. 6., 7. Aufl. 2017, § 823 Rn. 220.
52 So auch für die AHB: Lücke, in: Prölss/Martin, Versicherungsvertragsgesetz, 30. Aufl. 2018, Ziff. 1 AHB Rn. 40; v. Rintelen, in: Späte/Schimikowski, Haftpflichtversicherung, 2. Aufl. 2015, Ziff. 1 AHB Rn. 242.
53 Siehe zur Reichweite der Kausalität: Ihlas, in: Langheid/Wandt, MünchKomm-VVG, Bd. 3, 2. Aufl. 2017, 320. Directors & Officers-Versicherung Rn. 204 f.; Voit, in: Prölss/Martin, Versicherungsvertragsgesetz, 30. Aufl. 2018, AVB-AVG (D&O-Versicherung) Rn. 21.
54 Siehe Ziffer B.II.3.
Prof. Dr. Michael Fortmann, LL. M.: Der Autor ist Professor für Versicherungsrecht und Haftpflichtversicherung am Institut für Versicherungswesen (ivwKöln) der TH Köln. Seine Forschungsschwerpunkte sind u. a. die D&O- und die Cyberversicherung. Der Aufsatz basiert auf einem Teil seines Vortrags bei der Fachkreissitzung Vereinigung der Fachkreise HUK und Versicherungsjuristen des VVB – Vereinigung der Versicherungs-Betriebswirte e. V. am 24. 5. 2019 in Münster.