Cyberangriffe sind ein zentrales Geschäftsrisiko. Im Handel treffen sie auf knappe Margen, vernetzte Lieferketten und wertvolle Datenbestände. Ohne belastbare Organisation drohen Ausfälle – und dem Management eine persönliche Haftung.
Minuten können entscheiden
Haftungen entstehen selten wegen des „perfekten“ Angriffs, sondern wegen fehlender Vorsorge. Geschäftsführer haften, wenn Risiken nicht gesteuert werden: Zuständigkeiten sind unklar, Budgets fehlen, Dienstleister werden nicht geprüft, Meldewege sind schwach. Dieses Organisationsverschulden ist vermeidbar – und gerade dann belegbar, wenn die gebotene Dokumentation fehlt.
Zur Entlastung braucht es Governance: Die Unternehmensleitung muss sich um Cybersicherheit kümmern, intern und extern. So müssen Verträge mit Dienstleistern Sicherheitsstandards, Audit- und Informationsrechte sowie Unterstützung im Notfall vorsehen. Wer Anbieter sorgfältig auswählt und überwacht, mindert das Haftungspotenzial. Rechtlich zählen DSGVO und NIS2. Beide verlangen angemessene technische und organisatorische Maßnahmen. Im Ernstfall entscheiden Minuten: Systeme isolieren, Spuren sichern, intern eskalieren und gesetzliche Meldungen fristgerecht erstatten. Wer Fristen versäumt oder unkoordiniert bzw. intransparent kommuniziert, erhöht das Risiko für Bußgelder und Schadensersatz.
Krisenplan ist wichtig
Technik dient der Haftungsvermeidung. Oft genügen Standards: Mehrfaktor-Authentifizierung, regelmäßige Updates, Segmentierung, verlässliche Backups mit Wiederherstellungstests und Überwachung. Ebenso wichtig ist die menschliche Komponente. Schulungen, klare Richtlinien und ein Verbot von „Shadow IT“ verhindern viele Vorfälle. Ein geübter Krisenplan ist unverzichtbar. Er benennt ein Einsatzteam und regelt Vertretungen. Übungen schaffen Routine und Nachweise – beides zählt, wenn Verantwortlichkeiten geprüft werden. Versicherungen (Cyber und D&O) können finanzielle Spitzen abfedern; wer Obliegenheiten und Meldewege vorab klärt, wahrt die Deckung.
Fazit: Haftung in der Cyberkrise entsteht oft dort, wo Organisation, Auswahl und Überwachung versagen. Wer Governance, Menschen und Technik zusammenführt, reduziert das Risiko für Ausfälle und Bußgelder – und stärkt das Vertrauen seiner Kundschaft.
Die Autoren
Dr. Philipp Zumbo ist Partner bei Taylor Wessing in Wien und leitet das Konfliktlösungsteam für die CEE-Region. Seine Tätigkeitsschwerpunkte sind, neben Cyber Litigation, vor allem gesellschaftsrechtliche Streitigkeiten.
Mag. Andreas Schütz, LL.M. ist CEE Head of Data Protection und CEE Co-Head des IP/IT-
Teams. Er verfügt über ausgewiesene Expertise in den Bereichen Cybersecurity, Datenschutz und Datensicherheit sowie Künstliche Intelligenz.
