Frist bis zur NIS-2 Umsetzung:
00Tage
00Std
00Min
00Sek
Management Briefing: § 38 BSIG

Persönliche Haftung: Was Geschäftsführer jetzt wissen müssen.

„Die Geschäftsleitung ist verpflichtet, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen.“

— § 38 Abs. 1 BSIG

Die drei Kernpflichten

Delegationsverbot

Sie können die Verantwortung nicht an den IT-Leiter abschieben. Die Geschäftsleitung muss die Maßnahmen selbst billigen und deren Umsetzung überwachen.

Privatvermögen

Bei Pflichtverletzung haften Sie der Gesellschaft gegenüber persönlich. Ein Verzicht des Unternehmens auf diesen Schadensersatzanspruch ist gesetzlich ausgeschlossen.

Schulungspflicht

Sie müssen sich regelmäßig zu Cybersicherheit fortbilden, um Risiken und deren Auswirkungen bewerten zu können.

Rechtlicher Hintergrund: § 38 BSIG im Detail

Abs. 1 — Billigungspflicht: Die Geschäftsleitung muss die nach § 30 BSIG erforderlichen Risikomanagementmaßnahmen billigen und deren Umsetzung überwachen. Dies geht über die allgemeine Sorgfaltspflicht nach GmbHG § 43 bzw. AktG § 93 hinaus.

Abs. 2 — Schadensersatz + Verzichtsverbot: Bei Pflichtverletzung haftet die Geschäftsleitung der Einrichtung gegenüber auf Schadensersatz. Ein Verzicht auf diesen Anspruch ist unwirksam — auch wenn die Gesellschafterversammlung dies beschließt.

Abs. 3 — Schulungspflicht: Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken zu erwerben.

Was bedeutet das konkret?

  • IT-Sicherheit als festen Tagesordnungspunkt in Geschäftsleitungssitzungen aufnehmen
  • Schulungsnachweise dokumentieren und archivieren
  • Budgetfreigaben für Sicherheitsmaßnahmen schriftlich festhalten
  • D&O-Versicherung auf NIS-2 Abdeckung prüfen lassen
  • Regelmäßige Berichte des IT-Sicherheitsbeauftragten einfordern und protokollieren
Lars Averstegge

Der §38-Check für Geschäftsführer

Sind Sie persönlich abgesichert?

Unser Compliance-Experte Lars Averstegge (Diplom-Jurist) prüft nicht Ihren Code, sondern Ihre Governance. Haben Sie die Schulungspflicht erfüllt? Sind die Meldewege dokumentiert? Erhalten Sie als CEO die richtigen Reports?

Durchführung der gesetzlich geforderten Geschäftsführer-Schulung (4 Stunden) mit Teilnahmenachweis
Erstellung der Dokumentations-Mappe zur Haftungsvermeidung
Pauschalpreis

890 €

§38-Check anfragen

Das 5-Minuten Briefing für den Vorstand

Kompakt als PDF für Ihre nächste Vorstandssitzung.

Enthält:

  • Rechtliche Grundlagen (§ 38 BSIG kompakt)
  • Checkliste für die Aufsichtsratssitzung
  • Budget-Argumentation mit konkreten Zahlen

Häufige Fragen zur Geschäftsführer-Haftung

Kann die Verantwortung an den IT-Leiter delegiert werden?
Nein. § 38 Abs. 1 BSIG schreibt vor, dass die Geschäftsleitung die Risikomanagementmaßnahmen selbst billigen und deren Umsetzung überwachen muss. Die operative Durchführung kann delegiert werden, die Billigungs- und Überwachungspflicht jedoch nicht.
Haftet die Geschäftsführung mit dem Privatvermögen?
Ja. Bei Pflichtverletzung haftet die Geschäftsleitung der Gesellschaft gegenüber persönlich auf Schadensersatz. § 38 Abs. 2 BSIG verbietet ausdrücklich einen Verzicht auf diesen Anspruch.
Was genau umfasst die Schulungspflicht?
Die Geschäftsleitung muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken zu erwerben. Dies umfasst technische Grundlagen, aktuelle Bedrohungslagen und Risikomanagement-Methoden.
Deckt eine D&O-Versicherung NIS-2 Risiken ab?
Grundsätzlich ja. Allerdings sollten Sie den Versicherungsschutz prüfen: Viele Policen schließen vorsätzliche Pflichtverletzungen aus, und Bußgelder sind häufig nicht versichert. Eine Überprüfung durch einen Fachanwalt ist empfehlenswert.