Kann ein Chief Information Security Officer (CISO) haften? Diese Frage bewegt nicht nur die IT-Branche, sondern auch die Unternehmensführung und Versicherer. Die klare Antwort lautet: Ja, ein CISO kann haften, denn „keine Haftung“ gibt es nicht. Doch die Details entscheiden: Welche Aufgaben hat der CISO, wie ist seine Position im Unternehmen eingebunden, und welche Risiken trägt er tatsächlich?
Haftung im Kontext der Eingliederung
Ein zentraler Aspekt ist die organisatorische Eingliederung des CISO. Wird der CISO als interner Angestellter beschäftigt, liegt die Haftung in der Regel im Rahmen seiner arbeitsvertraglichen Pflichten. Er ist angehalten, im Sinne eines „sorgfältigen Geschäftsmannes“ zu handeln, ähnlich wie es für CIOs und andere IT-Leitungspositionen gilt.
Für externe CISOs, die als Berater tätig sind, gelten hingegen klare vertragliche Vereinbarungen, die ihre Verantwortlichkeiten und Haftungsgrenzen definieren. Ihre Haftung kann strenger sein, da sie oft als „Experten“ für spezifische Sicherheitsbereiche auftreten. Fehler oder Unterlassungen könnten hier direkt zu Schadensersatzansprüchen führen.
Warum die Vorstandshaftung selten greift
Eine Vorstandshaftung im klassischen Sinne ist für CISOs nur dann relevant, wenn sie tatsächlich als vollwertiges Vorstandsmitglied benannt sind. Dies setzt voraus, dass sie vollumfänglich an Vorstandsbeschlüssen teilnehmen und Verantwortung für alle Unternehmensbereiche übernehmen. In der Praxis ist dies (derzeit) wohl selten bis gar nicht der Fall. Die meisten CISOs agieren als Spezialisten für Cybersicherheit, ohne dabei strategische Gesamtverantwortung zu tragen.
Die Rolle der D&O-Versicherung
D&O-Versicherungen (Directors and Officers) spielen eine wesentliche Rolle, um leitende Angestellte, einschließlich CISOs, vor den finanziellen Folgen von Haftungsfällen zu schützen. Allerdings greift die D&O-Versicherung nicht bei vorsätzlichem Fehlverhalten. Das Risikomanagement ist daher ein Schlüsselaspekt der Tätigkeit eines CISO.
Haftungsrisiken: Cybersecurity als Kernaufgabe
Die zunehmende Relevanz von Cybersecurity hat die Rolle des CISO in den Mittelpunkt gerückt. Besonders Sicherheitsvorfälle – wie Datenlecks oder IT-Ausfälle – stellen erhebliche Haftungsrisiken dar. Von einem CISO wird erwartet, dass er ein funktionierendes Sicherheitsmanagement etabliert und kontinuierlich überwacht.
Fehler in der Risikobewertung oder das Versäumnis, geeignete Präventionsmaßnahmen zu implementieren, können als grobe Fahrlässigkeit bewertet werden. Die rechtlichen Konsequenzen reichen von Abmahnungen bis hin zu Schadenersatzklagen, insbesondere wenn der CISO seine Pflichten als Treuhänder des Unternehmensvermögens verletzt.
Haftung des CISO – Angestellt vs. Extern
Angestellter CISO
- Arbeitsrechtliche Pflichten:
Der angestellte CISO haftet im Rahmen seiner arbeitsvertraglichen Verpflichtungen. Hierbei gelten die Grundsätze des innerbetrieblichen Schadensausgleichs. Dies bedeutet:- Einfache Fahrlässigkeit: Keine Haftung.
- Mittlere Fahrlässigkeit: Teilhaftung, abhängig von den Umständen des Falls.
- Grobe Fahrlässigkeit oder Vorsatz: Volle Haftung des CISO.
- Pflichten im Unternehmen:
Der angestellte CISO ist verpflichtet, die ihm zugewiesenen Aufgaben sorgfältig und nach bestem Wissen zu erfüllen, insbesondere:- Aufbau und Überwachung eines funktionierenden IT-Sicherheitsmanagements.
- Erfüllung von Compliance-Anforderungen im Bereich Datenschutz und IT-Sicherheit.
- Innenhaftung:
Ansprüche des Unternehmens gegen den CISO werden in der Regel nur bei schwerwiegenden Pflichtverletzungen geltend gemacht.
Externer CISO (Berater)
- Vertragliche Haftung:
Die Haftung wird durch den Dienst- oder Werkvertrag geregelt. Es gelten hier strengere Anforderungen:- Kein Schutz durch das Arbeitsrecht: Externe CISOs können auch für einfache Fahrlässigkeit haftbar gemacht werden, wenn dies vertraglich nicht ausgeschlossen ist.
- Haftungsgrenzen: Oftmals werden Haftungsgrenzen oder -ausschlüsse vertraglich vereinbart, jedoch nicht für grobe Fahrlässigkeit oder Vorsatz.
- Pflichten des externen CISO:
Externe CISOs werden häufig als Experten für spezifische Themen beauftragt. Sie haften für:- Unzureichende Beratung oder fehlerhafte Analysen.
- Nichtumsetzung von vereinbarten Maßnahmen oder Standards.
- Relevanz der Berufshaftpflichtversicherung:
Eine Absicherung über eine Berufshaftpflichtversicherung ist essenziell, da externe CISOs für Schäden in größerem Umfang haften können.
Die Haftung von nur „quasi“ dem Vorstand angesiedelten Personen ist am Ende eine Frage des Einzelfalls. Aber: „Keine Haftung“ gibt es in unserem Rechtssystem nicht, daher sollte man sich immer informieren und absichern – die Versicherungswirtschaft bietet für jedes Szenario zumindest grundsätzliche Absicherungen.
Fazit: CISO-Verantwortung erfordert klare Strukturen
Ein CISO trägt eine hohe Verantwortung, die jedoch durch klare Eingliederung und vertragliche Regelungen gesteuert werden kann. Entscheidend ist, dass Unternehmen die Rolle des CISO nicht nur als technologische Funktion begreifen, sondern auch organisatorisch und rechtlich absichern.
Kriterium | Angestellter CISO | Externer CISO |
---|---|---|
Haftungsgrundlage | Arbeitsrecht | Vertragsrecht |
Haftungsumfang | Eingeschränkt durch Schadensausgleich | Umfassend, je nach Vertrag |
Grobe Fahrlässigkeit | Volle Haftung | Volle Haftung |
Versicherungsschutz | D&O-Versicherung möglich | Berufshaftpflicht empfohlen |
Wer also CISO tätig ist sollte sich zumindest um eine ordentliche Versicherung kümmern. Rein mündliche Zusicherungen im Betrieb dürfen dabei auf keinen Fall ausreichen, man sollte sich eine Kopie des Versicherungsscheins überreichen lassen – damit man sich im Streitfall im Zweifelsfall unmittelbar mit der Versicherung auseinandersetzen kann. Dabei sollte man sich nicht „abspeisen“ lassen: Risiko und Einkommen müssen in Relation stehen, um das einzuschätzen muss man natürlich ein Empfinden haben für die regelmäßig nicht greifbaren, aber erheblichen Schadenssummen. Wer als externer CISO tätig ist, muss zwingend in seine Kalkulation die Kosten für Fortbildungen und Betriebshaftpflicht einstellen.
- Die globalen Risiken 2025 im Bericht des Weltwirtschaftsforums - 23. Januar 2025
- D&O-Versicherung und das automatische Vertragsende bei Insolvenz - 23. Januar 2025
- Sozialversicherungsbeiträge im Wirtschaftsstrafrecht - 23. Januar 2025