NIS2-Geschäftsführerhaftung: §38 BSIG erklärt

Drei neue Pflichten, persönliche Haftung — aber auch Delegation. Was GmbH-Geschäftsführer und Vorstände wissen müssen.

NIS2-Betroffenheit prüfen Readiness-Check
§38 BSIG

Die 3 Pflichten der Geschäftsleitung

§38 BSIG kodifiziert erstmals explizit drei Cybersecurity-Pflichten für Geschäftsleiter besonders wichtiger und wichtiger Einrichtungen. Dazu gehört auch die Sicherstellung der 24h-Meldepflicht nach §32 BSIG.

Pflicht 1

Umsetzungspflicht

§38 Abs. 1 i.V.m. §30 BSIG

Die Geschäftsleitung muss die Risikomanagementmaßnahmen nach §30 BSIG ergreifen — darunter Risikoanalyse, Incident-Response, Business Continuity, Lieferkettensicherheit und Kryptografie.

Pflicht 2

Überwachungspflicht

§38 Abs. 1 BSIG

Die Geschäftsleitung muss die Umsetzung der Maßnahmen aktiv kontrollieren. Delegation operativer Aufgaben ist möglich — die Überwachungspflicht selbst bleibt bei der Geschäftsleitung.

Pflicht 3

Schulungspflicht

§38 Abs. 3 BSIG

Geschäftsleiter müssen regelmäßig an Cybersecurity-Schulungen teilnehmen — laut Gesetzesbegründung mindestens alle drei Jahre. Diese Pflicht ist tatsächlich neu durch NIS2.

Haftungsstruktur

Was die Haftung wirklich bedeutet

Die Darstellung der „persönlichen Geschäftsführerhaftung" wird oft vereinfacht. Hier die juristische Realität.

Kernpunkt

Innenhaftung, nicht Außenhaftung

Der Geschäftsführer haftet gegenüber der eigenen Einrichtung für schuldhaft verursachte Schäden — nicht direkt gegenüber Dritten oder dem Staat. Eine persönliche Haftung mit Privatvermögen ist möglich, aber der Anspruchsgegner ist das Unternehmen selbst.

Rechtsgrundlage

§43 Abs. 2 GmbHG / §93 Abs. 2 AktG

§38 Abs. 2 BSIG verweist auf die gesellschaftsrechtlichen Haftungsregeln der jeweiligen Rechtsform. Diese Haftung bestand bereits vor NIS2 für jede Form der Pflichtverletzung — auch für IT-Sicherheit.

Neu durch NIS2

Explizite Kodifizierung + Schulungspflicht

Was NIS2 tatsächlich ändert: Cybersecurity-Pflichten sind nun explizit kodifiziert, was die Beweislast in einem Haftungsprozess erleichtert. Die Schulungspflicht ist tatsächlich neu.

Delegation

Operative Delegation ist möglich

Der Referentenentwurf enthielt ein ausdrückliches Delegationsverbot. Diese Passage wurde im finalen Gesetz gestrichen. Operative Aufgaben können delegiert werden; die Letztverantwortung und Überwachungspflicht verbleiben bei der Geschäftsleitung.

Achtung

Untersagung der Geschäftsleitung

Bei besonders wichtigen Einrichtungen kann das BSI die Geschäftsleitung vorübergehend untersagen lassen (§61 Abs. 6 BSIG) — eine durchaus scharfe Sanktionsmöglichkeit neben der zivilrechtlichen Haftung.

Einordnung

Kein Strafrecht — zivilrechtliche Haftung

§38 BSIG begründet eine zivilrechtliche Haftung, keine strafrechtliche Verantwortung. Die Bußgelder nach §65 BSIG richten sich gegen die Einrichtung, nicht persönlich gegen den Geschäftsführer.

§65 BSIG

Bußgelder nach dem NIS2UmsuCG

Bußgelder richten sich gegen die Einrichtung, nicht persönlich gegen den Geschäftsführer. Die prozentualen Schwellenwerte greifen erst ab 500 Mio. EUR Jahresumsatz.

Besonders wichtige Einrichtungen (bwE)
bis 10 Mio. EUR 2 % (nur bei >500 Mio. EUR Umsatz)
Wichtige Einrichtungen (wE)
bis 7 Mio. EUR 1,4 % (nur bei >500 Mio. EUR Umsatz)
Weitere Verstöße (bwE)
bis 5 Mio. EUR
Meldepflicht-Verstöße
bis 2 Mio. EUR
Registrierungspflicht
bis 500.000 EUR
Sonstige Verstöße
bis 100.000 EUR

Die prozentuale Bußgeldschwelle (2 % bzw. 1,4 %) greift nur „abweichend" vom Festbetrag und ausschließlich für Unternehmen mit einem Gesamtumsatz von über 500 Mio. EUR. Für kleinere Unternehmen gilt ausnahmslos der Festbetrag.

Handlungsanleitung

Was Geschäftsführer jetzt tun müssen

Fünf konkrete Schritte, um die Geschäftsleitungspflichten nach §38 BSIG zu erfüllen und das Haftungsrisiko zu minimieren.

1

Betroffenheit feststellen

Prüfen Sie, ob Ihr Unternehmen als besonders wichtige oder wichtige Einrichtung nach §28 BSIG gilt — inklusive Konzerneffekte bei verbundenen Unternehmen.

2

Risikomanagement nach §30 umsetzen

Implementieren Sie die zehn Risikomanagementmaßnahmen: Risikoanalyse, Incident-Response, Business Continuity, Lieferkettensicherheit, Kryptografie, Zugangskontrolle und mehr.

3

Überwachungsstruktur aufbauen

Definieren Sie Reporting-Linien, KPIs und regelmäßige Reviews. Delegation ist möglich — aber dokumentieren Sie Verantwortlichkeiten und behalten Sie die Überwachung.

4

Schulungen absolvieren

Planen Sie Cybersecurity-Schulungen für alle Geschäftsleitungsmitglieder — mindestens alle drei Jahre. Dokumentieren Sie Teilnahme und Inhalte.

5

Meldeprozesse etablieren

Richten Sie einen 24h-Meldeprozess ein. Die erste Meldung an das BSI muss innerhalb von 24 Stunden erfolgen — nicht erst nach 72 Stunden.

Erfüllen Sie die Geschäftsleitungspflichten nach §38 BSIG?

Prüfen Sie mit dem Readiness-Check, ob Ihr Unternehmen die Anforderungen an Risikomanagement, Überwachung und Schulung erfüllt — und wo Handlungsbedarf besteht.

Readiness prüfen Betroffenheit prüfen NIS2-Checkliste ansehen