Durch die Corona-Pandemie hat sich der Arbeitsalltag von Rechtsanwälten und Steuerberatern erheblich gewandelt. Arbeit im Home-Office hat (zwangsweise) Einzug in fast alle Kanzleien gehalten und diese Gelegenheit wurde vielfach genutzt, um die Arbeitsprozesse digitaler zu gestalten. Es dürfte nicht zu verleugnen sein, dass der digitale Transformationsprozess für die anwaltliche und steuerberatende Tätigkeit nicht nur mehr Flexibilität, sondern auch eine Verbreiterung der digitalen Angriffsfläche mit sich gebracht hat. Daher verwundert es nicht, dass Cyber-Vorfälle laut Allianz Risk Barometer weltweit zu den wichtigsten Geschäftsrisiken des Jahres 2021 zählen, neben der Corona-Pandemie und Betriebsunterbrechungen etwa aufgrund gestörter Lieferketten.
Zusätzlich zu einer technischen Risikovorsorge bietet sich für Unternehmen seit einigen Jahren der Abschluss einer Cyberversicherung an, die vor den Auswirkungen eines Cyberangriffes Schutz bietet. Diese können vielfältig sein und reichen von Kosten für die Datenwiederherstellung und IT-Forensik bis hin zu Reputationsschäden und Ertragsausfällen durch Betriebsunterbrechungen.
Weitere Konsequenzen können neben Schadenersatzansprüchen Dritter seit dem 05.05.2018 auch Bußgelder gem. EU-DSGVO bis zu 20 Mio. je Verstoß sein.
Aufgrund des enormen Schadenpotentials von Cyber-Angriffen stellt sich die Frage, ob geschäftsführende Organe oder Partner von Rechtsanwalts- und Steuerberaterkanzleien persönlich sowohl für mangelhafte technische Risikovorsorge als auch für nicht eingekauften Versicherungsschutz gegenüber der Kanzlei einzutreten haben.
Die Haftung der Organe einer Kapitalgesellschaft ergibt sich aus § 43 Abs. 2 GmbHG oder § 93 Abs. 1 AktG, wonach die Organmitglieder bei Ausübung der Geschäftsleitungstätigkeit die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden haben. Dies führt dazu, dass auch leichteste Fahrlässigkeit haftungsbegründend wirkt. Die Organe haften stets gesamtschuldnerisch und haben aufgrund der gesetzlich angeordneten Beweislastumkehr mangelndes Verschulden zu beweisen.
Bei Personengesellschaften haben die geschäftsführenden Partner eine Geschäftsführungs– und/oder Vertretungsbefugnis in der Regel aufgrund Gesellschafts- oder Dienstvertrags inne. Auch die geschäftsführenden Partner haben mangelndes Verschulden zu beweisen, haften aber nicht automatisch gesamtschuldnerisch, sondern für individuelles Verschulden unter Beachtung der dispositiven Maßstäbe der §§ 708, 277 BGB.
Sowohl bei der Geschäftsleitung von Kapital- als auch von Personengesellschaften greift die in § 93 Abs. 1 S. 2 AktG kodifizierte „Business Judgement Rule“, wonach eine Pflichtverletzung nicht vorliegt, wenn ein Organ oder geschäftsführender Partner bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.
Da es eine gesetzliche Verpflichtung zum Abschluss einer Cyber-Versicherung nicht gibt, handelt es bei der Beantwortung der Frage, ob Cyber-Versicherungsschutz einzukaufen ist, um eine unternehmerische Entscheidung des Kanzlei-Managements, bei der grundsätzlich ein Ermessensspielraum besteht.
Der Ermessensspielraum dürfte aber gerade bei Rechtsanwalts- und Steuerberatungskanzleien verengt sein. Denn die rechts- und wirtschaftsberatenden Berufe verarbeiten in der Regel in großem Umfang sensible personenbezogene Daten, die sie anfällig für Datenschutzverletzungen machen. Ferner besteht ein erhebliches Ertragsausfallrisiko durch Betriebsunterbrechungen.
Sofern sich ein Managing Partner nicht mit dem Abschluss einer Cyber-Versicherung beschäftigt hat oder trotz ausreichender Informationen entgegen der Business Judgement Rule zu keiner vertretbaren Entscheidung gekommen ist, dürfte jedenfalls eine Haftung anzunehmen sein. Geschäftsführende Partner sollten stets auf eine ausführliche Dokumentation ihrer Entscheidungsfindung achten, um sich von einer möglichen Haftung exkulpieren zu können.
Die Geschäftsleitung kann ihre Verantwortung, Cyber-Risiken zu beschränken, nicht vollständig an einen IT-Fachmann weitergeben. Das Leitungsorgan muss vielmehr die unternehmensspezifischen Risiken durch geeignete Maßnahmen selbst bewerten und beschränken. Hierbei kann auch die Beauftragung eines qualifizierten Dritten, z.B. eines Versicherungsmaklers hilfreich und haftungsminimierend sein.
Schließlich sollten geschäftsführende Organe oder Partner von Rechtsanwalts- und Steuerberaterkanzleien den Abschluss einer D&O-Versicherung erwägen, die insbesondere Versicherungsschutz hinsichtlich der Geltendmachung von Innenansprüchen aufgrund von Management-Fehlern bietet. Auch die Folgen fehlerhafter Entscheidungen im Zusammenhang mit dem Abschluss von Versicherungen lassen sich hiermit absichern.
Letztlich kann nur empfohlen werden, im Hinblick auf die Entscheidungsfindung bezüglich einer Cyber-Versicherung den Rat und die Unterstützung von IT-Experten und fachkundigen Versicherungsmaklern frühzeitig einzuholen und das nicht nur zum Haftungsschutz der Geschäftsleitung. Wir unterstützen Sie hierbei gerne.
