Haftung des CISO

Ciso1

Kann ein Chief Information Security Officer (CISO) haften? Diese Frage bewegt nicht nur die IT-Branche, sondern auch die Unternehmensführung und Versicherer. Die klare Antwort lautet: Ja, ein CISO kann haften, denn „keine Haftung“ gibt es nicht. Doch die Details entscheiden: Welche Aufgaben hat der CISO, wie ist seine Position im Unternehmen eingebunden, und welche Risiken trägt er tatsächlich?

Zentraler Anknüpfungspunkt ist die organisatorische Eingliederung des CISO. Wird der CISO als interner Angestellter beschäftigt, liegt die Haftung in der Regel im Rahmen seiner arbeitsvertraglichen Pflichten. Er ist angehalten, im Sinne eines „sorgfältigen Geschäftsmannes“ zu handeln, ähnlich wie es für CIOs und andere IT-Leitungspositionen gilt. Für externe CISOs, die als Berater tätig sind, gelten hingegen klare vertragliche Vereinbarungen, die ihre Verantwortlichkeiten und Haftungsgrenzen definieren. Ihre Haftung kann strenger sein, da sie oft als „Experten“ für spezifische Sicherheitsbereiche auftreten. Fehler oder Unterlassungen könnten hier direkt zu Schadensersatzansprüchen führen. Hinweis: Den Beitrag habe ich im Januar 2026 aktualisiert.

NIS-2: Der CISO als „Haftungs-Schutzschild“

Seit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes Ende 2025 hat sich die Haftungsmechanik verschoben. Das Gesetz adressiert in § 30 BSIG n.F. (bzw. der entsprechenden Umsetzung) primär die Geschäftsleitung („Billigungspflicht“). Geschäftsführer können sich der Verantwortung für Cybersecurity nicht mehr durch Delegation entziehen; sie haften persönlich für die Unterlassung von Maßnahmen.

Für den CISO bedeutet das eine gefährliche Zuspitzung im Innenverhältnis: Er wird faktisch zum Garanten für die Exkulpation der Geschäftsführung.

Dokumentiert der CISO Risiken nicht so glasklar, dass ein juristischer Laie im Vorstand die Tragweite begreift, dreht sich der Spieß um. Wird das Unternehmen bußgeldpflichtig (bis zu 10 Mio. EUR oder 2% des Umsatzes), nimmt die Gesellschaft den CISO in Regress (§§ 280 Abs. 1, 611a BGB). Das Argument: „Sie haben uns nicht gewarnt, dass Budgetkürzung X zum Rechtsverstoß Y führt.“ Der CISO schuldet hier nicht nur „IT-Sicherheit“, sondern „Compliance-Sicherheit“ für das Organ.

Vorstandshaftung im Blog

Vorstandshaftung: Rechtsanwalt Ferner berät zu Vorstandshaftung und Managerhaftung

In unserem Blog bieten wir eine Vielzahl von Beiträgen rund um Cybersicherheit und Vorstandshaftung und wir sind als Strafverteidiger sowie Beratend tätig im Bereich der Managerhaftung:

Strafrecht: Wann wird der CISO zum Garanten?

Die meisten CISOs agieren als Spezialisten für Cybersicherheit, ohne dabei strategische Gesamtverantwortung zu tragen. Jenseits zivilrechtlicher Schadenersatzforderungen schwebt aber das Damoklesschwert des Strafrechts (§ 13 StGB). Die bloße Anstellung als CISO begründet noch keine Garantenstellung. Entscheidend ist die faktische Machtposition.

Hier gilt die Linie der „Compliance-Officer“-Entscheidung des BGH (Urt. v. 17.07.2009 – 5 StR 394/08): Erhält der CISO vom Vorstand nicht nur beratende Funktion, sondern eigene Interventionsbefugnisse (z.B. das Recht, Systeme bei Gefahr im Verzug abzuschalten oder Budgets eigenständig freizugeben), wächst er in die Rolle des Überwachungsgaranten. Unterlässt er es dann, einen Cyberangriff oder einen internen Datenabfluss zu unterbinden, steht er wegen Beihilfe oder Täterschaft durch Unterlassen im Fokus der Staatsanwaltschaft. Wer als „Grüßaugust“ ohne Budget und Durchgriffsrechte eingestellt wird, lebt strafrechtlich sicherer – beruflich aber frustrierter.

Die SolarWinds-Lektion: Haftung für „Security Theater“

Der Fall der US-Börsenaufsicht SEC gegen SolarWinds und dessen CISO Tim Brown (2023/2024) hat auch für deutsche CISOs Relevanz, wenngleich die Klage in weiten Teilen abgewiesen wurde. Der Kernvorwurf lautete nicht „Ihr wurdet gehackt“, sondern „Ihr habt gelogen“.

Wer im Sicherheitsbericht oder in Kundenpräsentationen von „Militärstandard-Verschlüsselung“ und „Lückenlosem Access-Management“ spricht, während intern die Mängellisten überquellen, bewegt sich in Richtung Betrug (§ 263 StGB) oder – bei kapitalmarktorientierten Unternehmen – Kapitalanlagebetrug (§ 264a StGB). Die Diskrepanz zwischen internem Risikobericht und externem Marketing („Security Whitepaper“) ist heute eines der größten persönlichen Haftungsrisiken für CISOs. Transparenz ist die neue Haftungsvermeidung.

Haftungsrisiken: Cybersecurity als Kernaufgabe

Die zunehmende Relevanz von Cybersecurity hat die Rolle des CISO in den Mittelpunkt gerückt. Besonders Sicherheitsvorfälle – wie Datenlecks oder IT-Ausfälle – stellen erhebliche Haftungsrisiken dar. Von einem CISO wird erwartet, dass er ein funktionierendes Sicherheitsmanagement etabliert und kontinuierlich überwacht.

Fehler in der Risikobewertung oder das Versäumnis, geeignete Präventionsmaßnahmen zu implementieren, können als grobe Fahrlässigkeit bewertet werden. Die rechtlichen Konsequenzen reichen von Abmahnungen bis hin zu Schadenersatzklagen, insbesondere wenn der CISO seine Pflichten als Treuhänder des Unternehmensvermögens verletzt.

D&O-Versicherungen (Directors and Officers) spielen dann auch eine wesentliche Rolle, um leitende Angestellte, einschließlich CISOs, vor den finanziellen Folgen von Haftungsfällen zu schützen. Allerdings greift die D&O-Versicherung nicht bei vorsätzlichem Fehlverhalten. Das Risikomanagement ist daher ein Schlüsselaspekt der Tätigkeit eines CISO.

Haftung des CISO – Angestellt vs. Extern

Auch wenn es viel Raum einnimmt, im Folgenden einmal eine kurze Darstellung bzw. Gegenüberstellung der speziellen Eigenschaften eines angestellten vs. eines externen CISO. Am besten wird das auf einem Breitbildschirm zu lesen sein:

Angestellter CISO

  • Arbeitsrechtliche Pflichten:
    Der angestellte CISO haftet im Rahmen seiner arbeitsvertraglichen Verpflichtungen. Hierbei gelten die Grundsätze des innerbetrieblichen Schadensausgleichs. Dies bedeutet:
    • Einfache Fahrlässigkeit: Keine Haftung.
    • Mittlere Fahrlässigkeit: Teilhaftung, abhängig von den Umständen des Falls.
    • Grobe Fahrlässigkeit oder Vorsatz: Volle Haftung des CISO.
  • Pflichten im Unternehmen:
    Der angestellte CISO ist verpflichtet, die ihm zugewiesenen Aufgaben sorgfältig und nach bestem Wissen zu erfüllen, insbesondere:
    • Aufbau und Überwachung eines funktionierenden IT-Sicherheitsmanagements.
    • Erfüllung von Compliance-Anforderungen im Bereich Datenschutz und IT-Sicherheit.
  • Innenhaftung:
    Ansprüche des Unternehmens gegen den CISO werden in der Regel nur bei schwerwiegenden Pflichtverletzungen geltend gemacht.

Externer CISO (Berater)

  • Vertragliche Haftung:
    Die Haftung wird durch den Dienst- oder Werkvertrag geregelt. Es gelten hier strengere Anforderungen:
    • Kein Schutz durch das Arbeitsrecht: Externe CISOs können auch für einfache Fahrlässigkeit haftbar gemacht werden, wenn dies vertraglich nicht ausgeschlossen ist.
    • Haftungsgrenzen: Oftmals werden Haftungsgrenzen oder -ausschlüsse vertraglich vereinbart, jedoch nicht für grobe Fahrlässigkeit oder Vorsatz.
  • Pflichten des externen CISO:
    Externe CISOs werden häufig als Experten für spezifische Themen beauftragt. Sie haften für:
    • Unzureichende Beratung oder fehlerhafte Analysen.
    • Nichtumsetzung von vereinbarten Maßnahmen oder Standards.
  • Relevanz der Berufshaftpflichtversicherung:
    Eine Absicherung über eine Berufshaftpflichtversicherung ist essenziell, da externe CISOs für Schäden in größerem Umfang haften können.

CISO-Verantwortung erfordert klare Strukturen

Ein CISO trägt eine hohe Verantwortung, die jedoch durch klare Eingliederung und vertragliche Regelungen gesteuert werden kann. Entscheidend ist, dass Unternehmen die Rolle des CISO nicht nur als technologische Funktion begreifen, sondern auch organisatorisch und rechtlich absichern.

Die Haftung von nur „quasi“ dem Vorstand angesiedelten Personen ist am Ende eine Frage des Einzelfalls. Aber: „Keine Haftung“ gibt es in unserem Rechtssystem nicht, daher sollte man sich immer informieren und absichern – die Versicherungswirtschaft bietet für jedes Szenario zumindest grundsätzliche Absicherungen.

Wer also CISO tätig ist sollte sich zumindest um eine ordentliche Versicherung kümmern. Rein mündliche Zusicherungen im Betrieb dürfen dabei auf keinen Fall ausreichen, man sollte sich eine Kopie des Versicherungsscheins überreichen lassen – damit man sich im Streitfall im Zweifelsfall unmittelbar mit der Versicherung auseinandersetzen kann.

KriteriumAngestellter CISOExterner CISO
HaftungsgrundlageArbeitsrechtVertragsrecht
HaftungsumfangEingeschränkt durch SchadensausgleichUmfassend, je nach Vertrag
Grobe FahrlässigkeitVolle HaftungVolle Haftung
VersicherungsschutzD&O-Versicherung möglichBerufshaftpflicht empfohlen

Dabei sollte man sich nicht „abspeisen“ lassen: Risiko und Einkommen müssen in Relation stehen, um das einzuschätzen muss man natürlich ein Empfinden haben für die regelmäßig nicht greifbaren, aber erheblichen Schadenssummen. Wer als externer CISO tätig ist, muss zwingend in seine Kalkulation die Kosten für Fortbildungen und Betriebshaftpflicht einstellen sowie die Geschäftsleitung im Blick behalten.

Um im Haftungsfall (Zivil- oder Strafrecht) bestehen zu können, muss der CISO den „Beweis des ersten Anscheins“ erschüttern, er habe seine Sorgfaltspflicht verletzt. Meine ganz kurzen „Golden Records“ der eigenen Absicherung könnten dabei so aussehen:

  • Abgrenzung zur IT-Leitung: Der CISO kontrolliert, der CIO baut. Wer beides in Personalunion macht („Der Administrator, der sich selbst kontrolliert“), handelt im Sinne der Gewaltenteilung fahrlässig und hebelt interne Kontrollsysteme (IKS) aus.
  • Risiko-Akzeptanz-Dokumente: Jedes vom Vorstand abgelehnte Budget oder vertagte Patch-Management muss schriftlich mit dem Vermerk „Risiko vom Vorstand akzeptiert am [Datum]“ abgelegt werden.
  • D&O-Check: Prüfen, ob die Firmen-D&O den CISO namentlich oder funktional einschließt (viele Policen decken nur Organe!). Falls nein: Eigene Vermögensschadenhaftpflicht fordern.
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.