persönliche Haftung der Leitungsorgane

Ausführliche Erklärung

Geschäftsführer:innen einer GmbH und Vorstände einer AG sind nach § 25 GmbHG bzw. § 84 AktG verpflichtet, die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Verletzen sie diese Pflicht, haften sie der Gesellschaft gegenüber auf Schadenersatz – nicht mit dem Gesellschaftsvermögen, sondern persönlich mit ihrem Privatvermögen. Diese Innenhaftung besteht seit jeher im allgemeinen Gesellschaftsrecht. Daneben können unter bestimmten Voraussetzungen auch Außenhaftungen gegenüber Dritten entstehen, etwa bei Insolvenzrechtsverstößen oder Abgabenhaftung nach § 9 BAO.

Mit dem Netz- und Informationssystemsicherheitsgesetz 2026 erhält die persönliche Haftung eine neue, hochaktuelle Dimension: Das Gesetz verankert erstmals eine ausdrückliche, nicht delegierbare Verantwortung der Leitungsorgane für Cybersicherheit. Geschäftsführung und Vorstände betroffener Einrichtungen müssen Risikomanagementmaßnahmen nicht nur genehmigen, sondern deren Umsetzung aktiv überwachen und sind für Mängel haftbar. Das NISG 2026 selbst sieht zwar keine direkten Verwaltungsstrafen gegen Leitungsorgane vor, jedoch bleibt die zivilrechtliche Innenhaftung gegenüber der Gesellschaft bei schuldhafter Pflichtverletzung bestehen. Fehlen nachweisbare Schulungen, unzureichende Dokumentation oder unzureichende Aufsicht können als Sorgfaltspflichtverletzungen gewertet werden und zu Regressansprüchen führen.

Für KMU-Geschäftsführer:innen bedeutet dies: Cybersicherheit ist kein IT-Thema mehr, sondern eine nicht delegierbare Führungsaufgabe. Wer die Umsetzung nicht nachweislich steuert, dokumentiert und überwacht, setzt sich nicht nur behördlichen Sanktionen gegen das Unternehmen aus, sondern auch persönlichen zivilrechtlichen Haftungsrisiken. Die Rechtsprechung stellt strenge Anforderungen an die Sorgfaltspflichten – bloßes „Nichtwissen" oder „Delegieren an die IT" schützt nicht. Entscheidend ist, dass Leitungsorgane ihre Pflichten strukturiert, dokumentiert und kontrollierbar erfüllen.