§38 BSIG

Geschäftsführerhaftung nach NIS2

§38 BSIG begründet die persönliche Haftung der Geschäftsleitung für Cybersicherheitsversäumnisse – ein Novum im deutschen Recht.

Die deutsche NIS2-Umsetzung durch das NIS2UmsuCG hat eines der strengsten Haftungsregime für Cybersicherheit auf Leitungsebene in der EU geschaffen. §38 BSIG macht Geschäftsleiter gegenüber ihrem eigenen Unternehmen persönlich haftbar, wenn sie ihre Cybersicherheitspflichten verletzen. Die Geschäftsleitung jedes NIS2-pflichtigen Unternehmens – ob GmbH, AG oder KG – trägt die persönliche Verantwortung für die Umsetzung, Überwachung und Aufrechterhaltung der Cybersicherheitsmaßnahmen. Dies ist nicht an die IT-Abteilung delegierbar.

Das ist nicht theoretisch. Unter dem früheren IT-Sicherheitsgesetz haftete das Unternehmen als juristische Person. §38 BSIG ändert die Spielregeln: Einzelne Geschäftsleiter können nun mit ihrem Privatvermögen haften, wenn sie ihre Cybersicherheitspflichten verletzen. Das Gesetz adressiert ausdrücklich Geschäftsleiter – die Personen, die im Namen des Unternehmens zeichnen.

Das Gesetz definiert drei Kernpflichten für die Geschäftsleitung: Billigung der Cybersicherheitsmaßnahmen, Überwachung ihrer Umsetzung und persönliche Schulung in Cybersicherheit. Das Versäumnis auch nur einer dieser Pflichten begründet die persönliche Haftung – selbst wenn das Unternehmen angemessene Maßnahmen umgesetzt hat.

Die drei Kernpflichten
§38 Abs. 1 BSIG begründet drei nicht delegierbare Pflichten für die Geschäftsleitung. Diese können nicht an Mitarbeiter, Berater oder externe Dienstleister delegiert werden.
1

Billigung

Die Geschäftsleitung muss die Risikomanagementmaßnahmen im Bereich Cybersicherheit nach §30 BSIG förmlich billigen. Das bedeutet die Prüfung und Freigabe der Informationssicherheitspolitik, der Risikobewertungen und der Risikobehandlungspläne. Ein mündliches ‚Machen Sie mal' reicht nicht – Sie benötigen dokumentierte, nachvollziehbare Freigaben mit Zeitstempel und Unterschrift.

2

Überwachung

Die Geschäftsleitung muss die Umsetzung der gebilligten Maßnahmen aktiv überwachen. Das bedeutet regelmäßige Statusprüfungen, Fortschrittskontrolle und Eskalationsbehandlung. Sie müssen nachweisen können, dass Sie die tatsächliche Umsetzung der Maßnahmen überwacht haben – nicht nur, dass Sie sie genehmigt und sich abgewandt haben. Quartalsweise Management-Reviews sind die Mindestfrequenz, die verteidigbar ist.

3

Schulung

Die Geschäftsleitung muss persönlich an Cybersicherheitsschulungen teilnehmen, um ausreichende Kenntnisse zur Bewertung von Risiken und Maßnahmen zu entwickeln. Dies ist nicht die allgemeine Mitarbeitersensibilisierung nach §30 Abs. 2 Nr. 9 – es handelt sich um eine separate Pflicht speziell für Geschäftsleiter. Die Schulung muss ausreichen, um das Risikoprofil des Unternehmens, die bestehenden Maßnahmen und die akzeptierten Restrisiken zu verstehen.

Was bei Verstößen passiert
Das BSIG sieht ein gestuftes Durchsetzungsregime vor. Das BSI kann Anordnungen erlassen, Bußgelder verhängen und in schweren Fällen die Ausübung der Leitungstätigkeit untersagen.

Keine Cybersicherheitsmaßnahmen umgesetzt

Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) nach §65 BSIG für besonders wichtige Einrichtungen. Für wichtige Einrichtungen: bis zu 7 Mio. Euro oder 1,4 % des Umsatzes. Die Geschäftsleitung haftet dem Unternehmen persönlich für Schäden, die aus dem Verstoß resultieren.

Vorfall nicht an das BSI gemeldet

§32 BSIG verlangt eine Erstmeldung innerhalb von 24 Stunden, eine Folgemeldung innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats. Das Versäumen dieser Fristen löst Vollzugsmaßnahmen aus. War die Geschäftsleitung von einem Vorfall informiert und hat die Meldung nicht sichergestellt, greift die persönliche Haftung nach §38 wegen Überwachungsversäumnis.

Geschäftsleitung hat keine Schulung absolviert

Direkter Verstoß gegen §38 Abs. 1 BSIG. Dies ist der am einfachsten nachweisbare Verstoß für das BSI – entweder haben Sie Schulungsnachweise oder nicht. Er untergräbt zudem Ihre Verteidigung in allen anderen Punkten: Wie können Sie angemessene Überwachung behaupten, wenn Ihnen die Schulung zur Bewertung des Überwachten fehlt?

Keine aktive Überwachung der Umsetzung

Wenn Maßnahmen gebilligt wurden, die Geschäftsleitung aber keine laufende Überwachung nachweisen kann (Prüfprotokolle, Statusberichte, Eskalationsdokumentation), reicht die Billigung allein nicht aus. Das Gesetz verlangt alle drei Pflichten. Billigen ohne zu überwachen ist wie einen Vertrag zu unterschreiben, ohne ihn zu lesen – Sie haften trotzdem.

Häufige Irrtümer
In Gesprächen mit deutschen Mittelstandsunternehmen begegnen uns immer wieder dieselben Missverständnisse. Alle schaffen eine trügerische Sicherheit.

  • Das kann ich an die IT-Abteilung delegieren

    Sie können die Umsetzung delegieren, aber nicht die Verantwortung. §38 BSIG nennt ausdrücklich Geschäftsleiter – nicht IT-Manager, nicht CISOs, nicht externe Berater. Sie müssen persönlich billigen, überwachen und geschult sein. Ihr IT-Team setzt um; Sie billigen und überwachen. Der Unterschied zählt vor Gericht.

  • Die D&O-Versicherung deckt die NIS2-Haftung ab

    Die meisten D&O-Policen schließen regulatorische Bußgelder und Strafen aus. Selbst wo zivilrechtliche Haftungsansprüche gedeckt sind, können Versicherer Ansprüche ablehnen, wenn die Geschäftsleitung wissentlich gegen gesetzliche Pflichten verstoßen hat. Prüfen Sie die Ausschlussklauseln Ihrer Police – ‚Nichteinhaltung zwingender Vorschriften' ist ein Standardausschluss in deutschen D&O-Policen.

  • Ich bin nicht technisch – ich kann nicht verantwortlich sein

    §38 Abs. 3 BSIG begründet die Schulungspflicht gerade, um diese Verteidigung auszuschließen. Das Gesetz unterstellt, dass die Geschäftsleitung nach Absolvierung einer angemessenen Cybersicherheitsschulung über ausreichende Kenntnisse zur Erfüllung ihrer Pflichten verfügt. ‚Ich verstehe nichts von Technik' ist keine Verteidigung – es ist der Beweis eines Schulungsverstoßes.

  • Die Gesellschafter können auf meine Haftung verzichten

    §38 Abs. 2 BSIG stellt ausdrücklich klar, dass Schadensersatzansprüche aus Verstößen gegen §30 BSIG weder von den Gesellschaftern verzichtet noch in einem unangemessenen Verhältnis zur Vermögenslage des Unternehmens verglichen werden können. Dies überlagert die normalen Regeln des §43 GmbHG. Die Gesellschafterversammlung kann Sie nicht von der NIS2-Haftung entbinden.

  • Wir sind zu klein, als dass sich jemand dafür interessiert

    Die NIS2-Schwelle beginnt bei 50 Mitarbeitern und 10 Mio. Euro Umsatz. Wenn Sie diese Schwellen in einem betroffenen Sektor überschreiten, unterliegen Sie dem vollen Regime – einschließlich der §38-Geschäftsführerhaftung. Das BSI hat bereits begonnen, Unternehmen in dieser Größenordnung zur Registrierung aufzufordern. Größe ist keine Verteidigung; es ist ein Abgrenzungskriterium, und Sie fallen darunter.

Das persönliche Risiko
Die besondere Natur der NIS2-Geschäftsführerhaftung im deutschen Recht.

Was die meisten Geschäftsführer überrascht: Nach §38 BSIG haften Sie gegenüber Ihrem eigenen Unternehmen. Wenn das Unternehmen Schaden erleidet, weil Sie die Cybersicherheitsmaßnahmen nicht umgesetzt, überwacht oder sich nicht haben schulen lassen, kann das Unternehmen (oder sein Insolvenzverwalter oder seine Gesellschafter) Sie persönlich auf Schadensersatz in Anspruch nehmen. Dies ist eine Innenhaftung – Ihre eigene Organisation kann Sie verklagen.

§38 Abs. 2 BSIG enthält eine im deutschen Cybersicherheitsrecht beispiellose Regelung: Gesellschafter können auf diese Haftungsansprüche nicht verzichten und sie nicht vergleichen, wenn dies in einem unangemessenen Verhältnis zur Vermögenslage des Unternehmens steht. Praktisch bedeutet das: Wenn das Unternehmen durch einen Cybervorfall insolvent wird, wird der Insolvenzverwalter auf Ihr Privatvermögen zugreifen – und die Gesellschafter können dieses Recht nicht im Voraus ausgeschlossen haben.

Die Schulungspflicht nach §38 Abs. 3 BSIG ist keine optionale Weiterbildung – sie ist eine gesetzliche Voraussetzung, die Unwissenheit als Verteidigung ausschließt. Sobald das Gesetz eine Schulung verlangt, ist das Versäumnis, diese Schulung zu absolvieren, selbst ein Verstoß. Sie können nicht behaupten, die Risiken nicht verstanden zu haben, wenn das Gesetz verlangt, dass Sie sich darüber informieren.

Drei Schritte zu Ihrem Schutz
Die gute Nachricht: Die Erfüllung Ihrer §38 BSIG-Pflichten ist unkompliziert, wenn Sie systematisch vorgehen. Diese drei Schritte schaffen die dokumentierte Nachweiskette, die Sie schützt.
1

Cybersicherheitsmaßnahmen förmlich billigen

Prüfen Sie die Risikobewertung, Sicherheitsrichtlinien und Risikobehandlungspläne nach §30 BSIG. Zeichnen Sie mit Name, Datum und Funktion. Speichern Sie die Billigung in einem auditierbaren System – nicht im E-Mail-Postfach. Dies schafft den dokumentierten Nachweis, dass Sie Ihre Billigungspflicht erfüllt haben. Wiederholen Sie dies bei wesentlichen Änderungen der Maßnahmen.

2

Überwachungsprozesse etablieren

Planen Sie quartalsweise Management-Reviews zum Cybersicherheitsstatus. Prüfen Sie den Umsetzungsfortschritt, offene Risiken, Vorfallberichte und Wirksamkeitskennzahlen. Dokumentieren Sie Teilnahme, Entscheidungen und Maßnahmen. Dies schafft die fortlaufende Nachweiskette für Ihre Überwachungspflicht – nicht nur eine einmalige Billigung, sondern kontinuierliches Engagement.

3

Cybersicherheitsschulung absolvieren

Absolvieren Sie ein Schulungsprogramm, das die Bedrohungslandschaft Ihres Unternehmens, die §30 BSIG-Maßnahmen, die Vorfallmeldepflichten und Ihre persönlichen Pflichten nach §38 abdeckt. Dokumentieren Sie die Schulung: Anbieter, Datum, behandelte Inhalte, Zertifikat falls vorhanden. Jährlich auffrischen. Dies schließt die Unwissenheitslücke und erfüllt Ihre Schulungspflicht.

Ihre Compliance nachweisen
Die NIS2-Compliance-Plattform erfasst Billigungen der Geschäftsleitung, Überwachungsaktivitäten und Schulungsabschlüsse – und schafft so die prüfungssichere Nachweiskette, die Sie persönlich nach §38 BSIG schützt.
NIS2-Compliance starten