IT-Sicherheit: Die Haftung von Geschäftsführern im Sportverein von RA Stephan Michaelis LL.M.
26.11.2020
IT-Sicherheit im Sportverein: Die aktuelle Situation
Die Mitarbeiter in Sportvereinen arbeiten mittlerweile natürlich unter Zuhilfenahme von Computern, Notebooks und anderen mobilen Endgeräten wie Tablets und Handys, welche zum Teil nicht nur rein zu den Vereinszwecken, sondern auch privat und außerhalb des gegebenenfalls besonders geschützten Vereinsnetzwerks genutzt werden können. In der Regel besitzen diese Geräte auch einen Internetzugang, um Cloud-Computing und E-Mail-Verkehr zu ermöglichen.
Umso verheerender kann es sich daher auswirken, wenn eines dieser Endgeräte über einen unzureichenden Schutz vor Schadsoftware verfügt, verloren geht oder falsch installiert ist. Durch den Datenaustausch mit einem infizierten Gerät kann sich die Schadsoftware unbemerkt Zugang zum gesamten digitalen Vereinsnetzwerk verschaffen. Insbesondere in der Cloud und auf gegebenenfalls vorhandenen vereinsinternen Servern sind mit hoher Wahrscheinlichkeit nicht nur höchst sensible Informationen über den Verein und den zugehörigen Vereinsbetrieb – insbesondere den vielen Mitgliederdaten – sondern auch personenbezogene Daten Dritter, wie von Geschäftspartnerinnen und -partnern oder Sponsoren abgelegt.
Die hierdurch verursachten Schäden können für Sportvereine beträchtlich sein. Ein Blick auf Wirtschaftsunternehmen gibt Hinweise auf die Summen, die auf dem Spiel stehen. Der Branchenverband Bitkom schätzt die durch Cyberangriffe entstandenen Schäden in Deutschland auf jährlich 102,9 Milliarden Euro! Der durchschnittliche Schaden in einem kleinen oder mittelständischen Unternehmen beträgt etwa 70.000 Euro. Sportvereine können sich nicht darauf verlassen, dass sie vor derart hohen Schäden und Schadensersatzforderungen durch Datenpannen geschützt sind, nur weil sie nicht „profitorientiert“ tätig sind. Auch ohne einen auf Gewinn ausgerichteten Geschäftsbetrieb können Datenpannen nämlich beträchtliche Schäden anrichten. Umso wichtiger ist die Gewährleistung hoher IT-Sicherheit daher nicht nur aus dem begründeten Eigeninteresse, eine peinliche Datenpanne zu verhindern, sondern auch zur Vermeidung rechtlicher Konsequenzen für Geschäftsführerinnen und Geschäftsführer des Vereins. Zudem bietet eine moderne und sichere IT auch betriebswirtschaftliche Vorteile: Verfügbarkeit, Effektivität und Effizienz.
Denn Fakt ist das rechtliche Ergebnis: Als Vorstand, Geschäftsführerin oder Geschäftsführer bleiben Sie für die IT-Sicherheit Ihres Vereins verantwortlich – unabhängig davon, ob sich Ihre persönliche Expertise auf diesen Bereich erstreckt oder nicht. Damit haften Sie auch eventuell persönlich gegenüber dem Verein, Vereinsmitgliedern oder geschädigten Dritten. Da Sie nach den gesetzlichen Regelungen in unbegrenzter Höhe haften, sehe ich hier ein sehr hohes mögliches Schadenpotenzial, welches die Geschäftsführung treffen könnte. Natürlich kommt es bei der Schädigung Dritter darauf an, wie viele Kunden, Lieferanten, Sponsoren oder sonstige Geschäftspartner geschädigt wurden, und in welchem wirtschaftlichen Umfang. Das mögliche Schadenpotenzial durch Schadsoftware, Erpressungen oder Datenverlust auch bei „Dritten“ ist aber immens und nicht nur auf den eigenen Verein begrenzt! Schauen wir uns das mal genauer an.
Die Rechtsfolgen eines Cyberangriffs
Bei der Haftung nach einem Cyberangriff stellen sich zunächst folgende grundsätzliche Fragen: Wer haftet gegenüber wem, wofür und in welcher Höhe?
Wenn durch einen Cyberangriff gegen einen Verein oder durch eine sonstige Datenpanne ein Schaden entsteht, dann haftet zunächst grundsätzlich der Verein selbst dafür. Der Verein muss also für die Kosten aufkommen, die etwa durch Beschädigung seiner eigenen Vereinsinfrastruktur entstehen. Auch muss der Verein Dritten oder Vereinsmitgliedern entstandene Schäden ersetzen.
In einem zweiten Schritt stellt sich dann die Frage, ob der Verein sich die entstandenen Kosten von verantwortlichen Mitarbeitern, IT-Dienstleistern oder Geschäftsführern ersetzt verlangen kann. Vorweg: In aller Regel wird es die Geschäftsführung bzw. der Vorstand sein, bei dem ein Prozess am meisten Erfolg verspricht.
Neben diesem Fall der Haftung der Geschäftsführerinnen und Geschäftsführer gegenüber dem Verein ist es aber auch denkbar, dass sie direkt gegenüber Geschädigten Dritten haften und es nicht zu einer Haftung „übers Eck“ kommt.
Obwohl eine Vielzahl von Cyberangriffen erst durch Anwenderfehler möglich wird, ist die Inanspruchnahme von Mitarbeiterinnen und Mitarbeitern des eigenen Vereins bei betrieblich veranlasster Tätigkeit oft nicht erfolgsversprechend, da eine Haftung dieser bei fahrlässigem Handeln beschränkt ist. Auch bei grob fahrlässigen Pflichtverletzungen hat das BAG Arbeitnehmerinnen und Arbeitnehmern bisher keine Haftungsquote auferlegt, die deren Jahresgehalt übersteigt. Durch Cyberangriffe eintretende Schäden können diese Summen jedoch leicht um ein Vielfaches überschreiten. Zu bedenken ist auch, dass nach den im Arbeitsrecht geltenden Grundsätzen der Mitarbeiterin oder dem Mitarbeiter Verschulden nachgewiesen werden muss und nicht umgekehrt.
Mit anderen Worten haben die Geschäftsführung und der Verein für etwaiges Fehlverhalten ihrer Mitarbeiter einzustehen. Selbst wenn ein Rückgriff gegenüber einem Mitarbeiter theoretisch möglich wäre, so greift eine strikte Haftungsbegrenzung, als dass in der Regel kaum mehr als drei Monatsgehälter geltend gemacht werden können. Ein wirtschaftlich nachhaltiger Rückgriff auf den Verursacher, der als Mitarbeiter grob fahrlässig gehandelt hatte, ist also unter wirtschaftlichen Gesichtspunkten nicht gegeben.
Auch die Inanspruchnahme der den Verein unterstützenden IT-Dienstleisterinnen und -Dienstleister wird häufig erfolglos verlaufen, da diese in der Regel „nur“ die vertraglich vereinbarten Aufgaben als Hauptleistungen zu erbringen haben. Die vertraglich vereinbarten Aufgaben können auch häufig deutlich unter dem „Stand der Technik“ liegen. Daher kommt es vermutlich häufig vor, dass aus Unkenntnis der Geschäftsführung oder mangelnden finanziellen Rahmen des Vereins nur technisch notwendige Dienstleistungen vorgenommen werden, die nicht dem sich wandelnden „Stand der Technik“ entsprechen.
Das Erfordernis aber zum Betrieb einer IT nach „Stand der Technik“ ergibt sich aus Art. 24 Abs. 1 u. 2 DSGVO und der daraus resultierenden Verpflichtung, auch den Nachweis hierfür erbringen zu können. Daher bedarf es auch einer nachvollziehbaren Dokumentation.
Sofern es an einer solchen vertraglichen Verpflichtung des IT-Dienstleisters fehlt, hat er also allenfalls die Nebenpflicht zu erfüllen, die Geschäftsführung auf die nach Art. 24 DSGVO erforderlichen technischen Maßnahmen (TOMs) hinzuweisen, die dem jeweiligen „Stand der Technik“ entsprechen. Wird diese Beratungsverpflichtung nicht erfüllt, so ist es natürlich vorstellbar, dass der IT-Dienstleister wegen der Verletzung von Beratung und Aufklärungspflichten schadensersatzpflichtig gemacht werden könnte (§ 280 BGB). Dennoch besteht natürlich das Problem, einen möglicherweise sehr hohen Forderungsanspruch auch tatsächlich erfolgreich gegenüber dem IT-Dienstleister durchzusetzen und zu vollstrecken.
Des Weiteren werden im Rahmen größerer Verträge regelmäßig prozentuale oder betragsmäßige Haftungsgrenzen vereinbart.
Auch die Inanspruchnahme von Softwareherstellern oder deren Vertrieb für die dem Grunde nach virusanfällige Software ist nur schwierig realisierbar, da Sicherheitslücken in vielen Fällen erst nach Kauf erkennbar werden und die Verkäuferinnen und Verkäufer sich entlasten können, wenn das Produkt zum Herstellungszeitpunkt dem „Stand der Technik“ entsprach. Oder diese, wie beispielsweise Microsoft oder Google gar nicht so einfach juristisch greifbar sind.
Handelt es sich bei der Verkäuferin oder dem Verkäufer um eine Zwischenhändlerin oder einen Zwischenhändler, was regelmäßig der Fall sein wird, so sind diese hinsichtlich des Bestehens von Sicherheitslücken im Grundsatz auch nicht zur Produktbeobachtung verpflichtet.
Letztlich verbleibt somit lediglich ein Rückgriff auf Vorstände und Geschäftsführerinnen und Geschäftsführer, um zumindest den finanziellen Schaden wieder auszugleichen. Zu diesem Rückgriff sind die Vereine und Verbände auch verpflichtet, sodass Geschäftsführerinnen und Geschäftsführer nicht darauf hoffen können, nicht in Anspruch genommen zu werden.
Unabhängig davon, dass die Geschäftsführerinnen und Geschäftsführer bei einem Haftungsfall einer Inanspruchnahme durch den Verein oder deren Gesellschafter ausgesetzt sind, kann auch eine Haftung gegenüber Dritten in Betracht kommen.
Die Haftung des Vorstands oder der Geschäftsführung hängt jeweils maßgeblich von der Frage ab, ob sie schuldhaft eine Pflicht verletzt haben und ob daraus ein ersatzfähiger Schaden entstanden ist.
Geschäftsführerinnen und Geschäftsführer müssen generell „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters “ beachten. Dies ergibt sich aus § 93 Abs. 1 S. 1 AktG bzw. § 43 Abs. 1 GmbHG.
Aus § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG folgt wiederum, dass bereits leichte Fahrlässigkeit haftungsbegründende Wirkung hat. Hierbei ist nicht nur die Pflicht der im Einzelfall geschäftsführenden Person gemeint, sich persönlich rechtstreu zu verhalten, sondern auch die Pflicht, sicherzustellen, dass der Verein gegen keine rechtlichen Bestimmungen verstößt. Darüber hinausgehende Pflichten können auch aus internem Vereinsrecht oder der Satzung resultieren. Ebenso zu beachten ist Art. 32 DSGVO, welcher für personenbezogene Daten verarbeitende Vereine die Verpflichtung statuiert, „angemessene technische und organisatorische Maßnahmen“ (TOMs) zu deren Schutz zu ergreifen. Es ist und bleibt daher die Aufgabe der Geschäftsführung, dafür Sorge zu tragen, dass der Verein nach sämtlichen Rechtsvorgaben gesetzeskonform arbeitet. Dazu zählt auch die Verantwortlichkeit der Geschäftsführung dafür Sorge zu tragen, dass die IT-Sicherheit nach dem Stand der Technik gewährleistet ist. Auch dies hat die Geschäftsführung fortlaufend zu überwachen. Eine etwaige Verletzung der sehr hohen Anforderungen führt zur Eigenhaftung der Geschäftsführung.
Darüber hinaus ist über die Ausstrahlungswirkung von § 91 Abs. 2 AktG, eine allgemeine Leitungspflicht der Geschäftsleitung zur Vermeidung der Bestandsgefährdung eines Vereins einen Organisationsstandard zu schaffen, vollkommen anerkannt. Da Cyberrisiken mit massiven finanziellen Verlusten sowie einem Rückgang des Mitgliederbestandes aufgrund eines enttäuschten Vertrauens in die Datensicherheit einhergehen können, kann ein Cyberangriff eine Gefahr für den Bestand eines Vereins darstellen.
Der Verantwortlichkeit von Geschäftsführerinnen und Geschäftsführern kann auch nicht durch Verwendungen von AGB gegenüber Dritten begegnet werden, welche Haftungsbeschränkungen zum Inhalt haben. Werden AGB verwendet, so haben die Verwendenden dennoch für vorhersehbare Schadensfolgen im Bereich der wesentlichen Vertragspflichten einzustehen. Lieferpflichten nachzukommen und Kundendaten vertraulich zu behandeln, stellen wesentliche Vertragspflichten dar, sodass ein Haftungsausschluss für den Fall fahrlässiger Verstöße höchstens durch individualvertragliche Vereinbarung in Betracht kommt.
Beispielsfall:
Der Vorstand des Sportvereins X gGmbH hat es versäumt, für eine sichere zeitgemäße IT-Infrastruktur zum Schutz der Vereinsdaten auf dem Vereinsserver zu sorgen. Durch einen Cyberangriff werden personenbezogene Daten von Zulieferern des Vereins eingesehen und öffentlich verbreitet.
In der Folge muss der Vorstand damit rechnen, dass die Zulieferer den Verein auf Schadensersatz in Anspruch nehmen und dass der Verein diesen vom Vorstand ersetzt verlangt. Hieran ändert sich auch nichts, wenn der Verein gegenüber dem Zulieferer AGB verwendet hat, welche die Haftung für Verstöße gegen den Datenschutz ausschließen. Möglich wäre höchstens, dass der Verein mit dem Zulieferer einen individuell ausgehandelten Vertrag über den Ausschluss von Schadensersatz für nicht vorsätzliche Verletzungen des Datenschutzes abschließt.
Wofür und in welcher Höhe muss gehaftet werden?
Der durch einen Cyberangriff entstandene Schaden ist nicht begrenzt auf die Kosten, die für das gegebenenfalls notwendige Wiederherstellen von Betriebssystemen anfallen können. Vielmehr erstrecken sich die negativen wirtschaftlichen Folgen auf Kosten, welche zur Feststellung der Ursache für den Cyberangriff aufgewendet werden müssen, Ausgaben für technisches Personal und juristische Beratung sowie ein eventuelles Bußgeld.
Daneben tritt Art. 82 DSGVO. Aus dieser Regelung folgt, dass Sportvereine, die personenbezogene Daten verarbeiten, materielle und immaterielle Schäden ersetzen müssen, die auf eine nicht DSGVO-konforme Verarbeitung der Daten zurückgehen. Insbesondere bei der Entwendung personenbezogener Daten kann der zu ersetzende immaterielle Schaden den materiellen Schaden durchaus übersteigen. Eine Möglichkeit, die Haftung abzuwenden besteht nur, wenn den Verantwortlichen der Nachweis gelingt, dass sie „in keinerlei Hinsicht“ für den Schaden auslösenden Faktor Verantwortung tragen. Verantwortlicher ist grundsätzlich der Sportverein selbst. Allerdings kann dieser wie dargestellt beim Vorstand Regress nehmen.
Zu der Haftung aus Art. 82 DSGVO tritt die Möglichkeit, dass eine Geldbuße nach Art. 83 DSGVO verhängt wird. Die Geldbußen sollen „im Einzelfall wirksam, verhältnismäßig und abschreckend“ sein. Eine Geldbuße kann daher bis zu 20 Millionen. Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr betragen, im Falle von Google z. B. über 50 Millionen. Euro. In Deutschland wurde wohl im Jahre 2019 das höchste Bußgeld gegenüber dem Unternehmen Deutsche Wohnen verhängt. Das Bußgeld betrug 14,5 Millionen Euro, weil eine ordnungsgemäße Datenlöschung nicht gewährleistet wurde.
Die Gesellschafter bzw. Mitglieder eines Vereins werden also wenig erfreut sein, wenn derartige außerplanmäßige Kosten entstehen, die durch eine sichere IT hätten vermieden werden können. Zu diesen „eigenen“ Kosten des Vereins können noch sehr beträchtliche Ausgaben für Schadensersatzzahlungen (also existenzbedrohende!) an Dritte hinzukommen. Daher stellt sich natürlich auch die Frage, ob der Verein dann Schadensersatzansprüche gegen die Geschäftsführung hat.
Sie können das Bußgeld für Ihren Verein schnell ermitteln, indem Sie Ihren Jahresumsatz nehmen und diesen durch 360 Tage teilen. Etwa das Fünf- bis Zehnfache des daraus resultierenden Tagessatzes wird als angemessen angesehen. Dieses ist die voraussichtlich künftige Handhabung, wie die individuelle Höhe eines Bußgeldes als „Ausgangswert“ bestimmt wird. Natürlich gibt es auch noch verschärfende oder mildernde zu berücksichtigende Faktoren. Es ist aber eine gute „Daumenregel“, um die voraussichtliche Höhe des Bußgeldes für einen Datenschutzverstoß zu ermitteln. Leider ist es nur so, dass „Schadenzahlungen“ für Bußgelder nicht versicherbar sind. Daher muss die Geschäftsführung insbesondere die Einhaltung dieser gesetzlichen Vorschriften sicherstellen.
Beispielsfall:
Der Vorstand des Sportvereins X e. V. hat es versäumt, für eine sichere, zeitgemäße IT-Infrastruktur zum Schutz der Vereinsdaten auf dem Vereinsserver zu sorgen. Durch einen Cyberangriff werden personenbezogene Daten von Vereinsmitgliedern und einem Zulieferer eingesehen und öffentlich verbreitet. Der Vorstand ist ehrenamtlich tätig.
In dieser Konstellation haftet der Vorstand gegenüber den Mitgliedern und dem Verein nur, soweit er vorsätzlich oder grob fahrlässig gehandelt hat. Gegenüber dem Zulieferer haftet der Vorstand jedoch schon wegen leichter Fahrlässigkeit.
Handlungsempfehlungen zur Minimierung des Risikos eines Cyberangriffs und dessen Folgen
Um Haftungsrisiken der Vereinsführung zu minimieren bzw. im Rahmen der Möglichkeiten auszuschließen, empfiehlt es sich, durch ein Gespräch mit der für Sie als IT-Beraterin oder -Berater tätigen Person eine konkrete Risikoprüfung und deren umfassende Dokumentation durchzuführen. Ausgehend von den Ergebnissen Ihres Gesprächs und der von Ihnen mit Ihrer IT-Beraterin oder Ihrem IT-Berater getroffenen Feststellungsvereinbarung, können Sie sodann besser einschätzen, ob und in welchem Umfang eventuell auch der Abschluss einer Cyber-Versicherung für Sie sinnvoll ist. Nicht zuletzt wird eine Auseinandersetzung mit der Frage, ob eine Cyber-Versicherung abgeschlossen werden sollte, deshalb sinnvoll sein, weil aktuell verstärkt thematisiert wird, ob hinsichtlich der Geschäftsleitung unter Umständen eine Pflicht zum Abschluss einer Cyber-Versicherung besteht. Denn es ist eine der zentralen Aufgaben der Geschäftsführung dafür Sorge zu tragen, dass existenzielle Risiken des Vereins ausgeschlossen werden. Wenn die Cyber-Gefahren als existenzgefährdendes Risiko eingeschätzt werden, dann ist die Geschäftsführung rechtlich verpflichtet, dieses Risiko zu beseitigen. Im Wesentlichen ist dies dann eigentlich nur mit dem Abschluss einer Cyber-Versicherung möglich. Zur Existenzsicherung des Vereins gehört es also zu den Pflichten der Geschäftsführung, für angemessenen Versicherungsschutz zu sorgen. Da auch die Übernahme der Cyber-Risiken durch die Versicherer sehr unterschiedlich und auch in einem laufenden Veränderungsprozess ist, bedarf es zudem einer regelmäßigen Überprüfung des bestmöglichen Umfanges an möglichen Versicherungsschutz gegen Cyber-Gefahren. Einen grundsätzlich umfassenden Schutz bietet etwa der Cyber-Schutz der ARAG, welcher gezielte und ungezielte Online-Attacken abdeckt.
Soll keine Cyber-Versicherung abgeschlossen werden, obwohl sie notwendig wäre, gibt es also nur einen Weg, wie sich die (Fremd-) Geschäftsführung freizeichnen könnte. Die Gesellschafter bzw. Mitglieder sollen einen Beschluss fassen, dass der anempfohlene Cyber-Versicherungsschutz nicht abgeschlossen werden soll. Auch so könnte die Geschäftsführung der ansonsten dem Grunde nach bestehenden Haftung gegenüber Gesellschaftern entkommen.
Daneben ist es unter anderem ratsam, einen Notfallplan für den Fall eines Cyberangriffs vereinsintern bekannt zu machen und einen Datensicherungsplan zu erstellen. So besteht die Möglichkeit, den Eigenschaden durch einen Cyberangriff zumindest zu minimieren. Auch sollten monetäre Mittel für die Anschaffung von erforderlichen IT-Sicherheitstools eingeplant werden. Auch Penetrationstests von externen spezialisierten Dienstleistern können zur Risikoeinschätzung und zur Enthaftung der Verantwortlichen beitragen.
Das LG München I hat die fehlende Dokumentation des Risikomanagements als wesentlichen Gesetzesverstoß bewertet. Eine hinreichende Dokumentation des Risikomanagements ist essentiell für das Vorliegen eines den gesetzlichen Anforderungen entsprechenden Risikomanagements. Sogar die Vorlage von Zertifizierungen ist aller Voraussicht nach nicht ausreichend, um zu einer Enthaftung zu führen. Die von Ihnen getroffenen, hier nicht abschließend aufgelisteten Maßnahmen hinsichtlich des IT-Risikomanagements sollten Sie daher zumindest zu Ihrer eigenen Beweissicherung für den potentiellen Haftungsfall umfassend und nachweisbar dokumentieren.
Fazit
Sie können die gesetzlichen Anforderungen als überspannt ansehen und Sie können auch die Gerichte kritisieren, die unter haftungsrechtlichen Gesichtspunkten strenge Maßstäbe anwenden. Leider ändert diese Kritik nichts an den Grundlagen unseres deutschen Rechtssystems. Der Geschäftsführer bzw. Vereinsvorstand unterliegt einer weitreichenden Berufshaftung nach innen und außen. Auch hier bietet sich natürlich seine Absicherung über eine ergänzende D&O-Versicherung für die Geschäftsführung an, etwa von der ARAG.
Überdies müssen der Geschäftsführer bzw. der Vorstand auch existenzbedrohende Risiken für den Verein analysieren, eingrenzen, vermeiden oder gegebenenfalls auch versichern. Der passende und umfassende Versicherungsschutz gehört zum Pflichtenkreis der Geschäftsführung. Insofern ist es nicht nur die Aufgabe der Geschäftsführung, auch den umfassenden Versicherungsschutz laufend zu begutachten, sondern auch die IT-Sicherheit und die Beherrschung der Cybergefahren nach dem „Stand der Technik“ laufend zu gewährleisten. Deshalb treffen den Geschäftsführer weitestgehende Organisations- und Dokumentationspflichten, sowie laufende Überwachungspflichten und um die eigene Haftungsverantwortlichkeit auszuschließen.
Sollte trotzdem zuletzt ein geringer Zweifel verbleiben, gehört zum Vereins- Risikomanagement eben auch geeigneter Versicherungsschutz bestehender vorhandener Gefahren. Da der Einsatz der EDV-Systeme immer größere Bedeutung gewonnen hat, ist auch dieser gewachsenen Bedeutung angemessen Rechnung zu tragen. Denn ohne eine EDV wird heute vermutlich keine Firma und auch kein Sportverein mehr funktionieren! Daher ist es zu erwarten, dass die Cyber-Versicherung ein sehr stark wachsender Versicherungsmarkt werden wird. Aus meiner Sicht ist eine Cyberdeckung für jeden Sportverein sinnvoll. Egal, ob die Geschäftsführung ansonsten eigentlich haftet oder nicht.