Ist der Geschäftsführer für die IT-Sicherheit und daraus drohende Schäden haftungsverantwortlich?

von Rechtsanwalt Stephan Michaelis LL.M.

1. Gegenwärtige Situation

(Hamburg, den 09.02.2020) Nahezu jedes Unternehmen operiert mittlerweile unter Zuhilfenahme von Computern, Notebooks und anderen mobilen Endgeräten wie Tablets und Handys; welche zum Teil nicht nur rein beruflich, sondern auch privat und außerhalb des ggf. besonders geschützten Unternehmensnetzwerks genutzt werden können. In der Regel besitzen diese Geräte auch einen Internetzugang, um Cloud-Computing und E-Mail-Verkehr zu ermöglichen.

Umso verheerender kann es sich daher auswirken, wenn eins dieser Endgeräte über einen unzureichenden Schutz vor Schadsoftware verfügt, verloren geht oder falsch installiert ist. Durch den Datenaustausch mit einem infizierten Gerät kann sich die Schadsoftware unbemerkt Zugang zum gesamten digitalen Unternehmensnetzwerk verschaffen. Insbesondere in der Cloud und auf ggf. vorhandenen unternehmensinternen Servern sind mit hoher Wahrscheinlichkeit nicht nur höchst sensible Informationen über das Unternehmen und den zugehörigen Geschäftsbetrieb, sondern auch personenbezogene Daten Dritter, wie von Kundinnen und Kunden sowie Geschäftspartnerinnen und -partnern, abgelegt.

Der Branchenverband Bitkom schätzt die durch Cyberangriffe entstandenen Schäden nur in den Jahren 2017 und 2018 auf insgesamt 43,3 Mrd. Euro[1]! Der durchschnittliche Schaden in einem kleinen oder mittelständischen Unternehmen beträgt etwa 70.000,- Euro[2]. Umso wichtiger ist die Gewährleistung hoher IT-Sicherheit daher nicht nur aus dem begründeten Eigeninteresse, eine peinliche Datenpanne zu verhindern, sondern auch zur Vermeidung rechtlicher Konsequenzen für Geschäftsführerinnen und Geschäftsführer. Zudem bietet eine moderne und sichere IT auch betriebswirtschaftliche Vorteile: Verfügbarkeit, Effektivität und Effizienz.

Denn Fakt ist das rechtliche Ergebnis: Als Geschäftsführerin oder Geschäftsführer bleiben Sie für die IT-Sicherheit Ihres Unternehmens verantwortlich – unabhängig davon, ob sich Ihre persönliche Expertise auf diesen Bereich erstreckt oder nicht. Damit haften Sie auch eventuell persönlich gegenüber geschädigten Dritten. Da Sie nach den gesetzlichen Regelungen in unbegrenzter Höhe haften, sehe ich hier ein sehr hohes mögliches Schadenpotenzial, welches die Geschäftsführung treffen könnte. Natürlich kommt es bei der Schädigung Dritter darauf an, wie viele Kunden, Lieferanten oder Geschäftspartner geschädigt wurden, und in welchem wirtschaftlichen Umfang. Das mögliche Schadenpotenzial durch Schadsoftware, Erpressungen oder Datenverlust auch bei „Dritten“ ist aber immens und nicht nur auf die eigene Firma begrenzt!

2. Rechtsfolgen eines Cyberangriffs

a. Umfang des zu leistenden Schadensersatzes und betroffene Personen

Der durch einen Cyberangriff entstandene Schaden ist nicht begrenzt auf die Kosten, die für das ggf. notwendige Wiederherstellen von Betriebssystemen anfallen können. Vielmehr erstrecken sich die negativen wirtschaftlichen Folgen auf Umsatzeinbußen, Kosten, welche zur Feststellung der Ursache für den Cyberangriff aufgewendet werden müssen, Ausgaben für technisches Personal und juristische Beratung sowie ein eventuelles Bußgeld[3]. Nicht zuletzt kann auch der Wert des Unternehmens selbst nachteilig beeinflusst werden[4].

Die Gesellschafter eines Unternehmens werden also wenig erfreut sein, wenn derartige außerplanmäßige Kosten entstehen, die durch eine sichere IT hätten vermieden werden können. Daher stellt sich natürlich auch die Frage, ob die Gesellschafter dann Schadensersatzansprüche an die Geschäftsführung haben?

Zu diesen „eigenen“ Kosten des Unternehmens können noch sehr beträchtliche Ausgaben für Schadensersatzzahlungen (also existenzbedrohende!) an Dritte hinzukommen.

Gem. §§ 280 Abs. 1, 2; 286 BGB können Kundinnen und Kunden sowie Lieferantinnen und Lieferanten z.B. bei eintretenden Lieferausfällen, Verzug oder erlittenem Datenverlust das von einem Cyberangriff betroffene Unternehmen in Anspruch nehmen.

Verliert das angegriffene Unternehmen Daten oder werden diese gestohlen, besteht zudem die Möglichkeit der Inanspruchnahme nach § 280 BGB aufgrund der Verletzung von Vertraulichkeitspflichten[5].

Aufgrund der Verschuldensvermutung aus § 280 Abs. 1 S. 2 BGB ist es Aufgabe des Unternehmens, nachzuweisen, dass den IT-bezogenen Sicherheitspflichten in einem hinreichenden Maße zuvor nachgekommen wurde. Es ist also eine wichtige Aufgabe der Geschäftsführung, eine ordnungsgemäße Dokumentation der IT nachzuweisen, als dass diese dem Stand der Technik entspricht.

Daneben tritt Art. 82 DSGVO. Hieraus resultiert für das personenbezogene Daten verarbeitende Unternehmen die Haftung hinsichtlich materieller und immaterieller Schäden, die auf eine nicht DSGVO-konforme Verarbeitung personenbezogener Daten zurückgehen[6]. Insbesondere bei der Entwendung personenbezogener Daten kann der zu ersetzende immaterielle Schaden den materiellen Schaden durchaus übersteigen[7]. Eine Exkulpationsmöglichkeit besteht nur, wenn den Verantwortlichen der Nachweis gelingt, dass sie „in keinerlei Hinsicht“ für den Schaden auslösenden Faktor Verantwortung tragen.

Zu der Haftung aus Art.82 DSGVO tritt die Möglichkeit, dass eine Geldbuße nach Art. 83 DSGVO verhängt wird. Die Geldbußen sollen „im Einzelfall wirksam, verhältnismäßig und abschreckend “ sein. Eine Geldbuße kann daher bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr betragen[8], im Falle von Google z.B. über 50 Mio. Euro[9]. In Deutschland wurde wohl im Jahre 2019 das höchste Bußgeld gegenüber dem Unternehmen Deutsche Wohnen verhängt. Das Bußgeld betrug 14,5 Mill. EURO, weil eine ordnungsgemäße Datenlöschung nicht gewährleistet wurde.

Sie können aber auch das Bußgeld für Ihr Unternehmen schnell ermitteln, indem Sie ihren Jahresumsatz nehmen und diesen durch 360 Tage teilen. Etwa das Zehnfache des daraus resultierenden Tagessatzes wird als angemessen angesehen. Dieses ist die voraussichtlich künftige Handhabung, wie die individuelle Höhe eines Bußgeldes als „Ausgangswert“ bestimmt wird. Natürlich gibt es auch noch verschärfende oder mildernde zu berücksichtigende Faktoren. Es ist aber eine gute „Daumenregel“ um die voraussichtliche Höhe des Bußgeldes für einen Datenschutzverstoß zu ermitteln. Leider ist es nur so, dass „Schadenzahlungen“ für Bußgelder nicht versicherbar sind. Daher muss die Geschäftsführung insbesondere die Einhaltung dieser gesetzlichen Vorschriften sicherstellen.

b. Kein Ausschluss durch AGB

Die Verantwortlichkeit von Geschäftsführerinnen und Geschäftsführern kann auch nicht durch Verwendungen von AGB begegnet werden, welche Haftungsbeschränkungen zum Inhalt haben. Werden AGB verwendet, so haben die Verwendenden dennoch für vorhersehbare Schadensfolgen im Bereich der wesentlichen Vertragspflichten einzustehen. Lieferpflichten nachzukommen und Kundendaten vertraulich zu behandeln, stellen wesentliche Vertragspflichten dar, sodass ein Haftungsausschluss für den Fall fahrlässiger Verstöße höchstens durch individualvertragliche Vereinbarung in Betracht kommt[10].

c. Rückgriff auf Mitarbeiterinnen und Mitarbeiter kaum realisierbar

Obwohl eine Vielzahl von Cyberangriffen erst durch Anwenderfehler möglich wird, ist die Inanspruchnahme von Mitarbeiterinnen und Mitarbeitern des eigenen Unternehmens bei betrieblich veranlasster Tätigkeit oft nicht erfolgsversprechend, da eine Haftung dieser bei fahrlässigem Handeln beschränkt ist[11]. Auch bei grob fahrlässigen Pflichtverletzungen hat das BAG Arbeitnehmerinnen und Arbeitnehmern bisher keine Haftungsquote auferlegt, die deren Jahresgehalt übersteigt[12]. Durch Cyberangriffe eintretende Schäden können diese Summen jedoch leicht um ein Vielfaches überschreiten. Zu bedenken ist auch, dass nach den im Arbeitsrecht geltenden Grundsätzen der Mitarbeiterin oder dem Mitarbeiter Verschulden nachgewiesen werden muss und nicht umgekehrt.

Mit anderen Worten hat die Geschäftsführung und die Unternehmung für etwaiges Fehlverhalten ihrer Mitarbeiter einzustehen. Selbst wenn ein Rückgriff gegenüber einem Mitarbeiter theoretisch möglich wäre, so greift eine strikte Haftungsbegrenzung, als dass in der Regel kaum mehr als drei Monatsgehälter geltend gemacht werden können. Ein wirtschaftlich nachhaltiger Rückgriff auf den Verursacher, der als Mitarbeiter grob fahrlässig gehandelt hatte, ist also unter wirtschaftlichen Gesichtspunkten nicht gegeben.

d. Kein Rückgriff auf IT-Dienstleisterinnen und –Dienstleister

Auch die Inanspruchnahme der das Unternehmen unterstützenden IT-Dienstleisterinnen und -Dienstleister wird häufig erfolglos verlaufen, da diese in der Regel „nur“ die vertraglich vereinbarten Aufgaben als Hauptleistungen zu erbringen haben. Die vertraglich vereinbarten Aufgaben können auch häufig deutlich unter dem „Stand der Technik“ liegen. Daher kommt es vermutlich häufig vor, dass aus Unkenntnis der Geschäftsführung oder mangelnden finanziellen Rahmen der Firma nur technisch notwendige Dienstleistungen vorgenommen werden, die nicht dem sich wandelnden „Stand der Technik“ entsprechen.

Das Erfordernis aber zum Betrieb einer IT nach „Stand der Technik“ ergibt sich aus Art. 24 Abs. 1 u. 2 DSGVO und der daraus resultierenden Verpflichtung, auch den Nachweis hierfür erbringen zu können (s. auch ErwGrd 74). Daher bedarf es auch einer nachvollziehbaren Dokumentation.

Sofern es an einer solchen vertraglichen Verpflichtung des IT-Dienstleisters fehlt, hat er also allenfalls die Nebenpflicht zu erfüllen, die Geschäftsführung auf die nach Art. 24 DSGVO erforderlichen technischen Maßnahmen (TOM’s) hinzuweisen, die dem jeweiligen „Stand der Technik“ entsprechen. Wird diese Beratungsverpflichtung nicht erfüllt, so ist es natürlich vorstellbar, dass der IT-Dienstleister wegen der Verletzung von Beratung und Aufklärungspflichten schadenersatzpflichtig gemacht werden könnte (§ 280 BGB). Dennoch besteht natürlich das Problem, einen möglicherweise sehr hohen Forderungsanspruch auch tatsächlich erfolgreich gegenüber dem IT-Dienstleister durchzusetzen und zu vollstrecken.

Des Weiteren werden im Rahmen größerer Verträge regelmäßig prozentuale oder betragsmäßige Haftungsgrenzen vereinbart.

Auch die Inanspruchnahme von Softwareherstellern oder deren Vertrieb für die dem Grunde nach virusanfällige Software ist nur schwierig realisierbar, da Sicherheitslücken in vielen Fällen erst nach Kauf erkennbar werden und die Verkäuferinnen und Verkäufer sich entlasten können, wenn das Produkt zum Herstellungszeitpunkt dem „Stand der Technik“ entsprach. Oder diese, wie bspw. Microsoft oder Google gar nicht so einfach juristisch greifbar sind. Handelt es sich bei der Verkäuferin oder dem Verkäufer um eine Zwischenhändlerin oder einen Zwischenhändler, was regelmäßig der Fall sein wird, so sind diese hinsichtlich des Bestehens von Sicherheitslücken im Grundsatz auch nicht zur Produktbeobachtung verpflichtet[13].

3. Verbleibend: Haftung der Geschäftsführerinnen und Geschäftsführer

Letztlich verbleibt somit lediglich ein Rückgriff auf Geschäftsführerinnen und Geschäftsführer, um zumindest den finanziellen Schaden wieder auszugleichen. Zu diesem Rückgriff sind die Unternehmen auch verpflichtet, sodass Geschäftsführerinnen und Geschäftsführer nicht darauf hoffen können, nicht in Anspruch genommen zu werden.

Unabhängig davon, dass die Geschäftsführerinnen und Geschäftsführer bei einem Haftungsfall einer Inanspruchnahme durch das Unternehmen oder deren Gesellschafter ausgesetzt sind, kann auch eine Haftung gegenüber Dritten in Betracht kommen[14].

Der generelle Pflichtenmaßstab für Geschäftsführerinnen und Geschäftsführer, „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden“, ergibt sich bereits aus § 93 Abs. 1 S. 1 AktG bzw. § 43 Abs. 1 GmbHG. Aus § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG ergibt sich, dass bereits leichte Fahrlässigkeit haftungsbegründende Wirkung hat. Hierbei ist nicht nur die Pflicht der im Einzelfall geschäftsführenden Person gemeint, sich persönlich rechtstreu zu verhalten, sondern auch die Pflicht, sicherzustellen, dass das Unternehmen gegen keine rechtlichen Bestimmungen verstößt. Darüber hinausgehende Pflichten können auch aus internem Unternehmensrecht oder der Satzung resultieren[15]. Ebenso zu beachten ist Art. 32 DSGVO, welcher für personenbezogene Daten verarbeitende Unternehmen die Verpflichtung statuiert, „angemessene technische und organisatorische Maßnahmen“ (TOM‘s) zu deren Schutz zu ergreifen.

Die Aufzählung dieser Normen ist nicht abschließend, so gelten weitere Sonderregelungen wie § 109 TKG für Telekommunikationsanbieter, § 13 Abs. 7 TMG für im Telemedienbereich tätige Dienstanbieter und § 8a BSIG für Betreiber Kritischer Infrastrukturen, wozu gem. § 2 Abs. 10 BSIG auch die Versicherungswirtschaft zählt, oder § 25a Abs. 1 Nr. 5 KWG. Eine Verletzung solcher Spezialvorschriften begründet eine Pflichtverletzung, sofern die Verletzung auf einem zurechenbaren Organisations- oder Delegationsverschulden beruht[16]. Es ist und bleibt daher die Aufgabe der Geschäftsführung, dafür Sorge zu tragen, dass das Unternehmen nach sämtlichen Rechtsvorgaben gesetzeskonform arbeitet. Dazu zählt auch die Verantwortlichkeit der Geschäftsführung dafür Sorge zu tragen, dass die IT-Sicherheit nach dem Stand der Technik gewährleistet ist. Auch dies hat die Geschäftsführung fortlaufend zu überwachen. Eine etwaige Verletzung der sehr hohen Anforderungen führt zur Eigenhaftung der Geschäftsführung.

Darüber hinaus ist über die Ausstrahlungswirkung von § 91 Abs. 2 AktG, eine allgemeine Leitungspflicht der Geschäftsleitung zur Vermeidung der Bestandsgefährdung eines Unternehmens einen Organisationsstandard zu schaffen, vollkommen anerkannt[17]. Da Cyberrisiken mit massiven finanziellen Verlusten[18] sowie einem Rückgang des Kundenbestandes aufgrund eines enttäuschten Vertrauens in die Datensicherheit[19] einhergehen können, kann ein Cyberangriff eine Gefahr für den Bestand eines Unternehmens darstellen.

4. Handlungsempfehlungen zur Minimierung des Risikos eines Cyberangriffs und dessen Folgen

Um Haftungsrisiken zu minimieren bzw. im Rahmen der Möglichkeiten auszuschließen, empfiehlt es sich daher, durch ein Gespräch mit der für Sie als IT-Beraterin oder –Berater tätigen Person eine konkrete Risikoprüfung und deren umfassende Dokumentation durchzuführen. Hierzu empfehlen wir Ihnen auch als ersten Schritt die Verwendung unserer Feststellungsvereinbarung zur IT-Sicherheit. Ausgehend von den Ergebnissen Ihres Gesprächs und der von Ihnen mit Ihrer IT-Beraterin oder Ihrem IT-Berater getroffenen Feststellungsvereinbarung, können Sie sodann besser einschätzen, ob und in welchem Umfang eventuell auch der Abschluss einer Cyber-Versicherung für Sie sinnvoll ist? Nicht zuletzt wird eine Auseinandersetzung mit der Frage, ob eine Cyber-Versicherung abgeschlossen werden sollte, deshalb sinnvoll sein, weil aktuell verstärkt thematisiert wird, ob hinsichtlich der Geschäftsleitung unter Umständen eine Pflicht zum Abschluss einer Cyber-Versicherung besteht[20]. Denn es ist eine der zentralen Aufgaben der Geschäftsführung dafür Sorge zu tragen, dass existenzielle Risiken der Unternehmung ausgeschlossen werden. Wenn die Cyber-Gefahren als existenzgefährdendes Risiko eingeschätzt werden, dann ist die Geschäftsführung verpflichtet, dieses Risiko zu beseitigen. Im Wesentlichen ist dies dann eigentlich nur mit dem Abschluss einer Cyber-Versicherung möglich. Zur Existenzsicherung der Unternehmung gehört es also zu den Pflichten der Geschäftsführung, für angemessenen Versicherungsschutz zu sorgen. Da auch die Übernahme der Cyber-Risiken durch die Versicherer sehr unterschiedlich und auch in einem laufenden Veränderungsprozess ist, bedarf es zudem einer regelmäßigen Überprüfung des bestmöglichen Umfanges an möglichen Versicherungsschutz gegen Cyber-Gefahren.

Es gibt also nur einen Weg, wie sich die (Fremd-) Geschäftsführung ansonsten freizeichnen könnte. Die Gesellschafter sollen einen Beschluss fassen, dass der anempfohlene Cyber-Versicherungsschutz nicht abgeschlossen werden soll. Auch so könnte die Geschäftsführung der ansonsten dem Grunde nach bestehenden Haftung gegenüber Gesellschaftern entkommen.

Daneben ist es unter anderem ratsam einen Notfallplan für den Fall eines Cyberangriffs unternehmensintern bekannt zu machen und einen Datensicherungsplan zu erstellen. So besteht die Möglichkeit, Schäden durch einen Cyberangriff zumindest zu minimieren. Auch sollten monetäre Mittel für die Anschaffung von erforderlichen IT-Sicherheitstools eingeplant werden. Auch Penetrationstests von externen spezialisierten Dienstleistern können zur Risikoeinschätzung und zur Enthaftung der Verantwortlichen beitragen.

Das Landgericht München I hat die fehlende Dokumentation des Risikomanagements als wesentlichen Gesetzesverstoß bewertet[21]. Eine hinreichende Dokumentation des Risikomanagements ist essentiell für das Vorliegen eines den gesetzlichen Anforderungen entsprechenden Risikomanagements. Sogar die Vorlage von Zertifizierungen ist aller Voraussicht nach nicht ausreichend, um zu einer Enthaftung zu führen[22]. Die von Ihnen getroffenen, hier nicht abschließend aufgelisteten Maßnahmen hinsichtlich des IT-Risikomanagements sollten Sie daher zumindest zu Ihrer eigenen Beweissicherung für den potentiellen Haftungsfall umfassend und nachweisbar dokumentieren[23].

5. Fazit:

Sie können die gesetzlichen Anforderungen als überspannt ansehen und Sie können auch die Gerichte kritisieren, die unter haftungsrechtlichen Gesichtspunkten strenge Maßstäbe anwenden. Leider ändert diese Kritik nichts an den Grundlagen unseres deutschen Rechtssystems. Der Geschäftsführer unterliegt einer weitreichenden Berufshaftung. Auch hier bietet sich natürlich seine Absicherung über eine D&O-Versicherung an.

Überdies muss der Geschäftsführer auch existenzbedrohende Risiken für das Unternehmen analysieren, eingrenzen, vermeiden oder gegebenenfalls auch versichern. Der passende und umfassende Versicherungsschutz gehört zum Pflichtenkreis der Geschäftsführung. Insofern ist es nicht nur die Aufgabe der Geschäftsführung, auch den umfassenden Versicherungsschutz laufend zu begutachten, sondern auch die IT-Sicherheit und die Beherrschung der Cybergefahren nach dem „Stand der Technik“ sind laufend zu gewährleisten. Deshalb treffen den Geschäftsführer weitestgehende Organisations- und Dokumentationspflichten, sowie laufende Überwachungspflichten und um die eigene Haftungsverantwortlichkeit auszuschließen.

Sollte trotzdem zuletzt ein geringer Zweifel verbleiben, gehört zum Risikomanagement eben auch geeigneter Versicherungsschutz bestehender vorhandener Gefahren. Da der Einsatz der EDV-Systeme immer größere Bedeutung gewonnen hat, ist auch dieser gewachsenen Bedeutung angemessen Rechnung zu tragen. Denn ohne eine EDV wird heute vermutlich keine Firma mehr funktionieren! Daher ist es zu erwarten, dass die Cyberversicherung ein sehr stark wachsender Versicherungsmarkt werden wird. Aus meiner Sicht ist eine Cyberdeckung für jedes Unternehmen sinnvoll. Egal, ob die Geschäftsführung ansonsten eigentlich haftet oder nicht.
[1] Schmidt-Versteyl in NJW 2019, 1637, (1637), Cyber Risks – neuer Brennpunkt Managerhaftung.
[2] Achenbach in VersR 2017, 1493, (1494), Die Cyber-Versicherung – Überblick und Analyse.
[3] Löschhorn/Fuhrmann in NZG 2019, 161, (170), „Neubürger“ und die Datenschutz-Grundverordnung: Welche Organisations- und Handlungspflichten treffen die Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit?
[4] Schmidt-Versteyl in NJW 2019, 1637, (1638), Cyber Risks – neuer Brennpunkt Managerhaftung.
[5] Schmidt-Versteyl in NJW 2019, 1637, (1638), Cyber Risks – neuer Brennpunkt Managerhaftung.
[6] Löschhorn/Fuhrmann in NZG 2019, 161, (169), „Neubürger“ und die Datenschutz-Grundverordnung: Welche Organisations- und Handlungspflichten treffen die Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit?
[7] Schmidt-Versteyl in NJW 2019, 1637, (1638), Cyber Risks – neuer Brennpunkt Managerhaftung
[8] Rubin in r+s 2018, 337, (341), Inhalt und versicherungsrechtliche Auswirkungen der Datenschutz-Grundverordnung.
[9] Schmidt-Versteyl in NJW 2019, 1637, (1638), Cyber Risks – neuer Brennpunkt Managerhaftung
[10] Schmidt-Versteyl in NJW 2019, 1637, (1638), Cyber Risks – neuer Brennpunkt Managerhaftung.
[11] Vgl. Fortmann in r+s, 2019, 688, (693), Cyber-Datenrisiken: Erhebliche Gefahr für Geschäftsleiter und D&O-Versicherer?
[12] Schmidt-Versteyl in NJW 2019, 1637, (1639), Cyber Risks – neuer Brennpunkt Managerhaftung
[13] Schmidt-Versteyl in NJW 2019, 1637, (1639), Cyber Risks – neuer Brennpunkt Managerhaftung.
[14] Löschhorn/Fuhrmann in NZG 2019, 161, (169), „Neubürger“ und die Datenschutz-Grundverordnung: Welche Organisations- und Handlungspflichten treffen die Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit?
[15] Schmidt-Versteyl in NJW 2019, 1637, (1639), Cyber Risks – neuer Brennpunkt Managerhaftung
[16] Schmidt-Versteyl in NJW 2019, 1637, (1639), Cyber Risks – neuer Brennpunkt Managerhaftung
[17] Schmidt-Versteyl in NJW 2019, 1637, (1638f.), Cyber Risks – neuer Brennpunkt Managerhaftung
[18] Achenbach in VersR 2017, 1493, (1494), Die Cyber-Versicherung – Überblick und Analyse.
[19] Löschhorn/Fuhrmann in NZG 2019, 161, (170), „Neubürger“ und die Datenschutz-Grundverordnung: Welche Organisations- und Handlungspflichten treffen die Geschäftsleitung in Bezug auf Datenschutz und Datensicherheit?
[20] Fortmann in r+s, 2019, 688, (691), Cyber-Datenrisiken: Erhebliche Gefahr für Geschäftsleiter und D&O-Versicherer?
[21] Schmidt-Versteyl in NJW 2019, 1637, (1641), Cyber Risks – neuer Brennpunkt Managerhaftung
[22] Vgl. Schmidt-Versteyl in NJW 2019, 1637, (1641), Cyber Risks – neuer Brennpunkt Managerhaftung
[23] Fortmann in r+s, 2019, 688, (695), Cyber-Datenrisiken: Erhebliche Gefahr für Geschäftsleiter und D&O-Versicherer?

Wir beraten Sie gerne

Telefonische
Beratungsflatrate

Ihr heißer Draht
zu Ihrem Recht
Dauerberatungs-
Mandat

für VEMA-Partner
20% Rabatt
appRIORI –
zuerst der Vertrag

Mit drei Klicks
zum Vertrag
Die rechtssichere
Internetseite

Die Wohlfühl-Homepage
von den Profis
Lexikon
des Versicherungsrechts

Juristische Fachbegriffe
auf einen Blick

Bei Fragen senden Sie uns gerne eine E-Mail