Führungskräfte sehen sich im Zusammenhang mit ihrer beruflichen Tätigkeit häufig erheblichen Haftungsrisiken ausgesetzt. Abhängig von den Umständen des Einzelfalls können neben den Mitgliedern von Vorstands-, Geschäftsführungs- oder Aufsichtsgremien und vielen anderen Funktionsträgern auch leitende Angestellte für Fehlentscheidungen oder Pflichtverletzungen persönlich in Haftung genommen werden. Dies kann mit ganz erheblichen, unter Umständen auch existenzbedrohenden finanziellen Einbußen einhergehen. Zur Abmilderung der finanziellen Folgen solcher Szenarien stehen verschiedene Versicherungslösungen zur Verfügung.
Neben unterschiedlich ausgeprägten Rechtsschutzprodukten und Vertrauensschadendeckungen gehört dazu vor allem die D&O-Versicherung (Directors and Officers Insurance). Dabei handelt es sich um eine Haftpflichtversicherung für Vermögensschäden, die typischerweise durch ein Unternehmen für dessen Organträger abgeschlossen wird.
Hinweis: Die folgenden Darstellungen sind bewusst allgemein und teilweise stark vereinfachend gehalten – wie in jedem anderen juristischen Kontext auch, hängt die rechtliche Bewertung letztlich von den Umständen des konkreten Einzelfalls ab.
- Persönliche Haftung im Fokus: Die Grundlagen der Organhaftung
Begriffe wie „Managerhaftung“ oder „Organhaftung“ beschreiben Szenarien, in denen einzelne oder mehrere Entscheidungsträger eines Unternehmens im Zusammenhang mit tatsächlichen oder behaupteten Pflichtverletzungen persönlich zum Ersatz des entstandenen Schadens herangezogen werden. So haben beispielsweise Geschäftsführer einer GmbH stets die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden und haften der Gesellschaft bei schuldhafter Verletzung der sie treffenden Pflichten (§ 25 GmbHG). Eine derartige Organhaftung, wie sie in ähnlicher Weise zum Beispiel auch für Aktiengesellschaften und Privatstiftungen vorgesehen ist, ist der Höhe nach nicht begrenzt – es ist mithin das Privatvermögen der jeweiligen Organträger in Höhe des jeweiligen Anspruchs samt den damit verbundenen Nebenkosten (etwa anwaltliche Vertretung, Zinsen, Gegenkostenrisiko) tangiert.
Mit Blick auf solche Haftungsszenarien lassen sich verallgemeinernd zwei Kategorien bilden. Am häufigsten treten Fälle der sogenannten „Innenhaftung“ auf, bei denen eine Gesellschaft von ihren eigenen Führungskräften bzw. Mitgliedern der Aufsichtsorgane Ersatz für den ihr entstandenen Vermögensschaden verlangt. Hierunter können z. B. Ansprüche fallen, die Dritte in einem ersten Schritt erfolgreich gegen die Gesellschaft durchsetzen und die von der Gesellschaft sodann nachgelagert im Innenverhältnis zurückverlangt werden. Eine statistisch untergeordnete, allerdings in der Praxis keinesfalls zu vernachlässigende Rolle spielt die zweite Kategorie: Im Falle der sogenannten „Außenhaftung“ wird beispielsweise der Vorstand einer Aktiengesellschaft unmittelbar – also nicht über den Umweg der Anspruchsdurchsetzung zunächst gegenüber der Gesellschaft – durch Dritte in Anspruch genommen. Letzteres kann etwa bei deliktischem Handeln bzw. bei der Verletzung von Schutzgesetzen der Fall sein.
- Was D&O-Versicherungen leisten – und was nicht
Eine typische D&O-Polizze deckt, als spezielle Form der Haftpflichtversicherung, ausschließlich (reine) Vermögensschäden ab, umfasst also typischerweise nicht auch den Ersatz von Personen- oder Sachschäden. Wie jede andere Haftpflichtversicherung auch, kommt der D&O-Versicherung dabei eine Doppelrolle zu. Sie ersetzt regelmäßig nicht nur die Kosten für die Abwehr eines an den einzelnen Organträger herangetragenen Anspruchs (sog. „Abwehrdeckung“), vielmehr deckt der D&O-Versicherer im Rahmen des bedingungsgemäß übernommenen Risikos auch die Erfüllung zu Recht erhobener Schadenersatzansprüche (sog. „Freistellungsdeckung“).
Typischerweise ist eine D&O-Versicherung als sogenannte „Versicherung auf fremde Rechnung“ (§§ 74 ff VersVG) ausgestaltet. Dies bedeutet, dass nicht die individuellen Organträger selbst jeweils Versicherungsnehmer sind, sondern der Versicherer einen einzigen Vertrag mit dem Unternehmen abschließt, die daraus jeweils entspringenden Deckungsansprüche jedoch (ausschließlich) dessen Management (etwa Mitgliedern des Vorstands, der Geschäftsführung oder des Aufsichtsrats) bzw. leitenden Angestellten zustehen. Neben den Mitgliedern der Geschäftsleitung und allfälliger Aufsichtsorgane sind häufig auch Prokuristinnen und Prokuristen sowie leitende Angestellte bzw. bestimmte Funktionsträger wie Compliance-, Datenschutz- oder Arbeitsschutz-Beauftragte mitversichert. Im Regelfall greift dieser Versicherungsschutz nicht nur für Personen, welche die vorgenannten Positionen bei der Versicherungsnehmerin selbst bekleiden; vielmehr sind typischerweise auch sämtliche andere Gesellschaften, an denen die Versicherungsnehmerin direkt oder indirekt (mehrheitlich) beteiligt ist, vom Versicherungsschutz umfasst.
Ein wesentlicher Unterschied zu anderen Haftpflichtprodukten ist die Versicherungsfalldefinition der D&O-Versicherung. Ein Versicherungsfall wird insofern z. B. nicht durch Eintritt eines konkreten Schadenereignisses ausgelöst, sondern erst durch eine Inanspruchnahme einer versicherten Person. Es kommt also nicht darauf an, wann ein Schaden eingetreten ist, sondern wann eine Haftpflichtanspruch – etwa in Form einer Klage oder eines Aufforderungsschreibens – geltend gemacht wird. Maßgeblich ist insofern regelmäßig der Versicherungsschutz, wie er zum Zeitpunkt dieser Inanspruchnahme (und eben nicht zum Zeitpunkt des Verstoßes oder des Schadenseintritts) ausgestaltet ist. In diesem Zusammenhang sieht die Mehrzahl der auf dem österreichischen Markt angebotenen D&O-Produkte allerdings unter gewissen Voraussetzungen auch eine Rückwärts- und/oder Nachdeckung vor – in diesem Fall können unter Umständen auch Szenarien gedeckt sein, die vor Abschluss der Polizze verwirklichte Pflichtverletzungen oder nach Ablauf der Polizze erfolgte Inanspruchnahmen betreffen.
In Konstellationen, in denen die zuvor dargestellten Voraussetzungen erfüllt sind – also beispielsweise bei schriftlicher Inanspruchnahme eines Geschäftsführers wegen einer (vermeintlichen) schuldhaften und rechtswidrigen Verletzung der diesen als Organ der versicherten Gesellschaft treffenden Pflichten – wird durch den Versicherer in der Regel eine (vorläufige) Deckungszusage zu erteilen sein. Man spricht dann davon, dass die sogenannte „primäre Risikobeschreibung“ erfüllt ist. In der Folge ist dann – im Rahmen der „sekundären Risikobeschreibung“ – zu prüfen, ob ein Deckungsausschluss verwirklicht wurde. In diesem Fall wäre der Deckungsanspruch zu widersagen und bereits geleistete Zahlungen gegebenenfalls wieder zurückzufordern.
Der mit Abstand wichtigste Deckungsausschluss aus einer D&O-Deckung ist jener der „bewussten Pflichtverletzung“. Zusammengefasst besteht danach keine Deckung für Szenarien, in denen die versicherten Person weiß, dass eine bestimmte Pflicht besteht (Pflichtbewusstsein), und sie dennoch gegen ebendiese verstößt (Pflichtverletzungsbewusstsein).
Abgesehen von der dargestellten Abwehr zivilrechtlicher Ansprüche sehen viele D&O-Bedingungswerke weitere Deckungsbausteine vor, die auch ohne (bereits erfolgte) Inanspruchnahme Leistungsansprüche auslösen können. Hierzu zählt häufig eine Strafrechtsschutz-Deckung für den Fall, dass z. B. ein behördliches Ermittlungsverfahren einen Pflichtverletzungsvorwurf zum Gegenstand hat, welcher einen versicherten Haftpflichtanspruch zur Folge haben kann – dann wird die Deckung regelmäßig durch die erste diesbezügliche Ermittlungshandlung gegen die betroffene versicherte Person ausgelöst.
Darüber hinaus kommen Deckungsbausteine für die Erstellung einer sogenannten „Firmenstellungnahme“ vor, mit welcher eine versicherte Gesellschaft beispielsweise gegenüber einer Behörde zu einem ermittlungsgegenständlichen Sachverhalt Stellung nimmt, bevor von dieser Vorwürfe gegen individuelle Personen erhoben werden. Oftmals finden sich auch Deckungsbausteine für Public-Relation-Kosten oder „vorbeugende Rechtskosten“ (letztgenannter Deckungsbaustein setzt in der Regel voraus, dass eine Inanspruchnahme zwar noch nicht erfolgt, allerdings hinreichend wahrscheinlich ist).
- Gesteigerte Haftungsrisiken durch Regulierung: Die NIS 2-Richtlinie als Beispiel
Angesichts der nach wie vor angespannten Wirtschaftslage, zunehmenden geopolitischen Spannungen, Belastungsproben für Lieferketten sowie steigender regulatorischer Anforderungen sehen sich Geschäftsleitende mir erhöhten Haftungsrisiken konfrontiert. Im Folgenden soll überblicksartig auf ein Themenfeld eingegangen werden, welches – unabhängig davon, ob hierfür im Einzelfall Versicherungsdeckung aus einem D&O- oder einem allenfalls bestehenden Cyberversicherungsvertrag bestehen sollte – zur weiteren Steigerung des Inanspruchnahme-Risikos beitragen könnte.
Beispielhaft zu nennen ist in diesem Zusammenhang die „NIS 2-Richtlinie“ (Network and Information Systems Directive, Richtlinie (EU) 2022/2555). Diese wäre durch die Mitgliedsstaaten bereits im Oktober 2024 umzusetzen gewesen; ein Entwurf für die Umsetzung im österreichischen Netz- und Informationssystemsicherheitsgesetz (NISG) liegt noch nicht vor bzw. wurde ein derartiger Entwurf bislang aufgrund der Nationalratswahlen 2024 und anschließenden Regierungsbildung bislang jedenfalls nicht verabschiedet. Vor dem Hintergrund der noch ausstehenden Umsetzung werden an dieser Stelle nur die Kerninhalte und Zielsetzungen der Richtlinie dargestellt.
Die Richtlinie zielt, unter anderem vor dem Hintergrund gestiegener Angriffsaktivitäten diverser Hackergruppierungen, darauf ab, die Cybersicherheit in der Europäischen Union zu stärken. Im Unterschied zu ihrem Vorgänger, der NIS 1-Richtlinie, enthält sie in diesem Zusammenhang nicht nur bestimmte Vorgaben, sondern sieht namentlich auch eine Haftung der Geschäftsleitung vor.
Sie findet im Vergleich zur Vorgängerrichtlinie Anwendung auf einen weiteren Kreis an Sektoren und Unternehmen, darunter auch mittelgroße und große Unternehmen in kritischen und wichtigen Sektoren wie Energie, Verkehr, Transport, Gesundheit, Trinkwasserversorgung sowie digitale Infrastruktur. Ungeachtet dessen, dass IT-Sicherheitsmaßnahmen ganz allgemein und unabhängig von einer allfälligen gesetzlichen Verpflichtung für die meisten Unternehmen in Österreich essentiell sind und deshalb auch umgesetzt werden sollten, unterfallen der Richtlinie aufgrund dieses erweiterten Anwendungsbereichs nun mehr Unternehmen als bisher. Die betroffenen Unternehmen sind insofern verpflichtet, die Cybersicherheitsanforderungen der Richtlinie umzusetzen. Diese Sicherheitsanforderungen umfassen nunmehr unter anderem Maßnahmen zur Risikobewertung, die Implementierung von Sicherheits-, Krisenmanagement-, Backup- und ähnlichen Richtlinien, die Schulung von Mitarbeiterinnen und Mitarbeitern, Verwendung von Multifaktorauthentifizierung (MFA) oder anderen qualifizierten Authentifizierungsmethoden, sowie die Meldung von Sicherheitsvorfällen. Vor allem wird das Management ausdrücklich in die Pflicht genommen, die Einhaltung dieser Anforderungen sicherzustellen, um Haftungsrisiken zu minimieren.
Unternehmen, die gegen diese Pflichten verstoßen, können mit erheblichen Geldstrafen belegt werden. Darüber hinaus können Führungskräfte persönlich haftbar gemacht werden, wenn sie ihre Pflichten zur Sicherstellung der Cybersicherheit vernachlässigen (vgl. Art 20 der Richtlinie).
Fazit: Verantwortung braucht Risikomanagement
Schon diese überblicksartige Darstellung zeigt, wie die bevorstehende Umsetzung der NIS 2-Richtlinie Auswirkungen auf die Wahrscheinlichkeit der Erhebung von (Organ-)Haftpflichtansprüchen haben kann. Dies übrigens nicht nur für solche Unternehmen, die der Richtlinie bzw. dem künftigen Umsetzungsgesetz ausdrücklich unterfallen. Vielmehr hat sich in den letzten Jahren die Anzahl an Inanspruchnahmen des Managements im Zusammenhang mit Cyberrisiken deutlich erhöht – dies beispielsweise in Konstellationen, in denen eine Geschäftsführerin bzw. ein Geschäftsführer unzureichende Sicherheitsvorkehrungen getroffen oder sich nicht (dokumentiert) damit auseinandergesetzt hat, ob der Abschluss einer Cyberversicherung risikoadäquat (gewesen) wäre.
Autor: Dr. Jan Philipp Meyer, Partner und Rechtsanwalt (Österreich, Deutschland) | Strasser Haindl Meyer Rechtsanwälte GmbH
