Cyberrisiken gehören heute zu den «normalen» Geschäftsrisiken von Unternehmen. Die stetig steigende Zahl von Angriffen und erfolgreichen Erpressungen zeigt, dass digitale Bedrohungen längst vorhersehbar sind – und damit auch haftungsrechtlich relevant. Wer ein Unternehmen führt, kann sich nicht mehr darauf berufen, dass ein Cyberangriff ein völlig atypisches Ereignis sei. Der rechtliche Massstab ergibt sich aus dem Obligationenrecht. Dort heisst es: «Die Mitglieder des Verwaltungsrates sowie alle mit der Geschäftsführung oder mit der Liquidation befassten Personen sind […] für den Schaden verantwortlich, den sie durch absichtliche oder fahrlässige Verletzung ihrer Pflichten verursachen.» Entscheidend ist somit, ob eine Pflicht verletzt wurde und ob zwischen Pflichtverletzung und Schaden ein Zusammenhang besteht.
Im Cyberkontext richtet sich der Blick insbesondere auf Organisation und Aufsicht. Das Obligationenrecht verlangt, dass der Verwaltungsrat die Oberleitung der Gesellschaft ausübt und für eine angemessene Organisation sorgt. «Das persönliche Haftungsrisiko von Verwaltungsräten im Zusammenhang mit Cybervorfällen hat sich mit der rasant steigenden Anzahl der Fälle heute sicher erhöht», bestätigt Klaus Krohmann, Rechtsanwalt und Partner bei der Prüfungs- und Beratungsgesellschaft BDO. Es besteht insbesondere dort, wo trotz offensichtlichen Risiken weder mögliche Auswirkungen analysiert noch Massnahmen zur Abwehr getroffen werden und darüber hinaus auch keine Konzepte bestehen, die Auswirkungen im Falle eines Vorfalls zu lindern. «Die Verantwortung dafür, dass dies geschieht, liegt letztendlich beim Verwaltungsrat», so Krohmann.