Business Continuity Management (BCM): Ein Schlüssel zum erfolgreichen Krisenmanagement

Unternehmen sind mit zunehmender Unsicherheit konfrontiert, wobei Cyberkrisen wie Hackerangriffe, -Attacken und IT-Ausfälle durch technische oder externe Umstände einen erheblichen Anteil ausmachen. Hierbei wird das Business Continuity Management (BCM) zu einer unverzichtbaren Aufgabe für Unternehmensleitungen. BCM ist ein strategischer Ansatz, der darauf abzielt, die Geschäftskontinuität in Ausnahmesituationen sicherzustellen und schwerwiegende Folgen zu minimieren – und geht mit rechtlichen Implikationen einher.

Was ist Business Continuity Management?

BCM umfasst alle Prozesse und Maßnahmen, die darauf abzielen, betriebliche Kernprozesse auch während und nach Krisenereignissen aufrechtzuerhalten oder schnell wiederherzustellen. Es ist eng mit dem Risikomanagement verwandt, geht jedoch über dieses hinaus, da es nicht nur potenzielle Risiken identifiziert, sondern auch konkrete Handlungspläne zur Krisenbewältigung implementiert.

Die Nicht-Implementierung eines BCM kann für Geschäftsleiter weitreichende rechtliche Folgen haben

Rechtsanwalt Jens Ferner

Die Verbindung von BCM und Krisenmanagement

Das dient der Reaktion auf unerwartete Ereignisse, während BCM präventiv darauf abzielt, eine Betriebsunterbrechung von vornherein zu vermeiden oder deren Auswirkungen zu minimieren. Die Verbindung beider Ansätze ist entscheidend, insbesondere im Kontext von Cyberkrisen:

  1. Prävention durch BCM: Mit einem BCM-System können Unternehmen IT-Infrastrukturen gegen potenzielle Bedrohungen wie Ransomware schützen. Dazu gehören Maßnahmen wie regelmäßige Datensicherungen, die Implementierung von IT-Sicherheitsstandards und die Simulation von IT-Ausfällen.
  2. Reaktion durch Krisenmanagement: Kommt es dennoch zu einer Krise, ermöglicht ein gut vorbereitetes BCM eine schnelle, strukturierte Reaktion, die Schäden begrenzt und den Geschäftsbetrieb schnell wiederherstellt.

Cyberkrisen: Eine wachsende Bedrohung

Cyberangriffe sind eine der größten Herausforderungen moderner Unternehmen. Die Zunahme sogenannter „Crime-as-a-Service“-Angebote hat dazu geführt, dass auch weniger technisch versierte Akteure hochentwickelte Angriffswerkzeuge einsetzen können. Solche Angriffe, kombiniert mit der Abhängigkeit von IT-Systemen, machen BCM besonders relevant:

  • Hackerangriffe und Ransomware: Unternehmen müssen sicherstellen, dass sie auf Szenarien vorbereitet sind, in denen kritische Daten verschlüsselt werden oder IT-Systeme komplett ausfallen. BCM-Strategien wie redundante Systeme und Cybersecurity-Trainings können hier Abhilfe schaffen.
  • Technische Störungen: Auch ohne böswilligen Angriff können IT-Ausfälle durch Hardware-Fehler oder Naturereignisse entstehen. Ein robustes BCM stellt sicher, dass solche Störungen nicht zu langfristigen Betriebsausfällen führen.

Rechtlicher Rahmen und Pflichten der Geschäftsführung

Die rechtlichen Anforderungen an BCM sind vielfältig und durch nationale sowie europäische Regelungen geprägt:

  1. § 91 Abs. 2 AktG: Für Aktiengesellschaften besteht eine Pflicht, ein Überwachungssystem einzurichten, um bestandsgefährdende Entwicklungen frühzeitig zu erkennen. Dies impliziert auch die Implementierung eines BCM-Systems, das speziell für plötzliche Ereignisse wie IT-Ausfälle oder Cyberangriffe konzipiert ist.
  2. StaRUG (§ 1 StaRUG): Dieses Gesetz fordert von Geschäftsleitern die Einrichtung eines Krisenfrüherkennungssystems. Die kontinuierliche Überwachung von potenziellen Gefahren, einschließlich IT-Risiken, gehört zu den Mindestanforderungen.
  3. IT-Sicherheitsrecht: Betreiber kritischer Infrastrukturen und zukünftig auch nach NIS2 betroffener Unternehmen müssen ein BCM implementieren, um die Verfügbarkeit, Integrität und Sicherheit ihrer Systeme zu gewährleisten. Hierzu gehört die regelmäßige Überprüfung der IT-Sicherheitsstandards und die Integration von BCM-Prozessen.

Haftung des Managements bei fehlendem BCM?

Die Haftung des Managements im Zusammenhang mit der Nicht-Implementierung eines Business-Continuity-Managements (BCM) muss bekannt sein:

  1. Schadensersatzpflicht: Die kaufmännische erfordert präventive Maßnahmen zur Vermeidung von Betriebsunterbrechungen. Wird diese Pflicht verletzt, etwa durch das Unterlassen der Einrichtung eines BCM, können Schadenersatzansprüche entstehen. Dies betrifft insbesondere bestandsgefährdende Ereignisse, bei denen nachweislich keine ausreichenden Vorsorgemaßnahmen getroffen wurden.
  2. Strafrechtliche Haftung:
    • (§ 266 StGB): Ein vermeidbarer Betriebsausfall, der durch das Fehlen eines BCM verursacht wurde, kann unter Umständen eine schadensgleiche Vermögensgefährdung darstellen, was strafrechtlich relevant ist.
    • Garantenpflicht: Das Unterlassen notwendiger Maßnahmen, wie die Einrichtung eines BCM, kann als Verletzung einer Überwachungsgarantenstellung ausgelegt werden. Dies ist besonders relevant, wenn daraus Schäden an Dritten, wie Mitarbeitern oder Anwohnern, resultieren.
  3. Organisationsverschulden (§ 130 OWiG): Das Fehlen eines BCM kann als Verstoß gegen die Organisationspflicht gewertet werden, besonders wenn dadurch Verstöße gegen rechtliche Vorgaben oder bestandsgefährdende Entwicklungen nicht verhindert werden konnten.
  4. Reputations- und Vermögensverluste: Fehlendes BCM kann zu Vertrauensverlust bei Kunden und Geschäftspartnern führen und den Unternehmenswert erheblich beeinträchtigen. Ein prominentes Beispiel ist der Fall Yahoo, dessen Unternehmenswert nach einem Cyberangriff um 350 Millionen USD sank.
Rechtsanwalt Ferner zum Business Continuity Management (BCM): Ein Schlüssel zum erfolgreichen Krisenmanagement

Die Nicht-Implementierung eines BCM kann für Geschäftsleiter weitreichende rechtliche Folgen haben, von zivilrechtlicher Haftung über strafrechtliche Konsequenzen bis hin zu Reputationsverlusten. Die gesetzliche Verpflichtung zur Einrichtung eines BCM ergibt sich aus der allgemeinen Sorgfaltspflicht (§§ 76, 93 AktG, § 43 GmbHG) sowie spezifischen Regelungen wie dem § 130 OWiG.

Fazit: BCM als Managementaufgabe

Die Implementierung eines Business Continuity Managements ist keine optionale Maßnahme, sondern eine essenzielle Aufgabe der Geschäftsleitung. Sie dient nicht nur der Einhaltung rechtlicher Anforderungen, sondern schützt auch den Fortbestand des Unternehmens. Gerade in Zeiten steigender Cyberrisiken ist ein integriertes BCM der Schlüssel, um die Resilienz eines Unternehmens zu stärken und sich gegen die schwerwiegenden Folgen von Krisenereignissen abzusichern.

Unternehmen, die BCM ernst nehmen, investieren nicht nur in ihre eigene Stabilität, sondern auch in das Vertrauen ihrer Kunden und Partner. Denn im Krisenfall zählt jede Sekunde – und nur wer vorbereitet ist, bleibt handlungsfähig.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.