Vorstandshaftung bei Cyberangriffen?
Wie jeder technische Fortschritt hat auch die Digitalisierung eine Kehrseite der Medaille: Cyberkriminalität. Dabei nehmen Cyberangriffe nicht nur hinsichtlich ihrer Quantität, sondern auch im Hinblick auf die Qualität deutlich zu. Für das Jahr 2021 weist das Statistik-Portal statista rund 18 Mio. Opfer von Internetkriminalität in Deutschland aus. Im Jahr 2022 lag die Gesamtschadensumme, die aufgrund von Datendiebstahl, Industriespionage oder Sabotage anfiel, deutschlandweit bei geschätzten 202,7 Milliarden Euro.
Eine neue Qualität für Unternehmen mit Gesundheitsdaten dürfte allerdings der jetzt in Australien bekannt gewordene Fall mit sich bringen. Nach einem Hackerangriff auf den größten australischen Krankenversicherer, drohen die Erpresser bis zur Zahlung von umgerechnet 6,2 Millionen Euro mit täglich neuen Veröffentlichungen hoch sensibler Patientendaten. Bereits jetzt finden sich im Darknet Namen von Versicherten, die wegen Drogen- und Alkoholmissbrauchs, ansteckender Geschlechtskrankheiten oder Abtreibungen in Behandlung waren. Wie die Zeitung The Sydney Morning Herald am 30.12.2022 berichtet, haben die australischen Aufsichtsbehörden deutlich gemacht, dass die Leitungsorgane des Krankenversicherers Konsequenzen zu tragen haben werden, sollte sich herausstellen, dass die Cybersicherheit des Krankenversicherers unzureichend war.
Das Beispiel aus Australien – auch wenn es geografisch kaum weiter entfernt sein könnte – gibt Anlass, die Haftungsfrage im Zusammenhang mit der Cybersicherheit für Vorstände in der GKV zu diskutieren.
Eine explizite gesetzliche Regelung hinsichtlich des vom Vorstand einer GKV anzuwendenden Sorgfaltsmaßstabs wie im Aktien- oder GmbH-Recht gibt es für Kassenvorstände nicht. Von Vorständen von Aktiengesellschaften (§ 93 Abs. 1, S. 1 AktG) sowie von Geschäftsführern einer GmbH (§ 43 Abs. 1 GmbHG) wird für ihre Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters gefordert. Diese Sorgfaltspflicht wird von der Pflicht begleitet, ein Überwachungssystem einzurichten, damit für den Fortbestand des Unternehmens gefährdende Entwicklungen früh erkannt werden (§ 91 Abs. 2 AktG). Anerkannte Standards für eine sorgfaltsgerechte Unternehmensführung enthält der deutsche Corporate Governance Kodex (DCGK). Unter den Punkten A. I. Grundsätze 4 und 5 wird konkretisiert, dass der Vorstand für ein angemessenes Risikomanagement und Risikocontrolling Sorge zu tragen hat. Für die Cybersicherheit bedeutet dies, dass die Sorgfalt bei der Unternehmensführung im Rahmen des Risikomanagements auch das Ausfindigmachen und Bekämpfen von IT-Risiken umfasst. Dafür ist es unerlässlich, dass sich die Geschäftsleitung mit unternehmensspezifischen Cyberrisiken auseinandersetzt und zweckmäßige Schritte hinsichtlich der Cybersicherheit ergreift.
Für Vorstände in GKVn fehlt es an einer dem AktG oder GmbHG vergleichbaren gesetzlichen Regelung. Die vorstehend genannten Regelungen sind auch nicht direkt auf sie anwendbar. Ebenso weist der DCGK in seiner Präambel darauf hin, dass dieser sich in erster Linie an börsennotierte Gesellschaften und solche mit Kapitalmarktzugang richtet. Weiter heißt es dort allerdings auch, dass anderen Gesellschaften die Empfehlungen und Anregungen des Kodex zur Orientierung dienen mögen.
Die Pflichten zur Geschäftsleitung bei GKVn werden in der Regel durch die Dienstverträge der Vorstände geregelt. In einer vom BAS herausgegebenen Orientierungshilfe für Vorstandsdienstverträge (Stand 14.11.2018) wird die Formulierung vorgeschlagen, dass das Vorstandsmitglied „bei der Ausübung des Vorstandsamtes unter seiner persönlichen Verantwortung und Haftung nach Gesetz, Satzung, den Leitentscheidungen des Verwaltungsrates, den Richtlinien des Vorstandes, […] und sonstigem für den Versicherungsträger maßgebenden Rechts“ alle Obliegenheiten zu erledigen hat. So oder ähnlich dürften die Pflichten der Vorstände von GKVn in ihren einzelnen Dienstverträgen vereinbart sein.
Dies beinhaltet zunächst eine generelle Legalitätspflicht. Wie weitgehend eine Pflicht für Vorstände von gesetzlichen Krankenkassen zur Implementierung entsprechender Risikomanagement- und Risikocontrolling-Systeme analog den Regelungen aus dem AktG und GmbHG hergeleitet werden kann, ist im Streitfall durch die Rechtsprechung zu entscheiden. Dass die im Aktien- und GmbH-Recht kodifizierten Rechtsgedanken durchaus auf die Vorstände von GKVn ausstrahlen können, zeigt sich beispielsweise daran, dass vom früheren Bundesversicherungsamt (Rundschreiben vom 15.06.2010) die Versicherbarkeit von D&O-Risiken davon abhängig gemacht wurde, dass die im § 93 Abs. 2 AktG normierten Selbstbehalte Berücksichtigung finden.
Krankenkassen sind auch Datenverarbeiter nach Art. 32 DSGVO. Sie müssen daher unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Im Rahmen seiner Legalitätspflicht hat der Vorstand einer GKV hierfür Sorge zu tragen.
Nicht ausreichend dürfte im Hinblick auf die pflichtgemäße Geschäftsführung jedenfalls sein, sich als Vorstand einer Krankenkasse der Cybersicherheit gänzlich zu verschließen oder sich auf die Auslagerung der IT-Systeme in externe Rechenzentren zu verlassen. Ebenso wenig dürfte einen Vorstand der Einwand entlasten, dass einer detaillierten Systemsicherheitsprüfung aus Kosten- und Kapazitätsgründen oder aufgrund der Komplexität nicht nachgekommen werden könne.
Wird die Krankenkasse durch einen Cyber-Angriff geschädigt und ist dem Vorstand eine Pflichtverletzung wegen unzureichender IT-Infrastruktur vorzuwerfen, so kann dies Haftpflichtansprüche gegen ihn im Wege des Innenregresses zur Folge haben. Inwieweit zugunsten des handelnden Organs bestehende Vermögensschadenhaftpflicht- und D&O-Policen hier hinsichtlich des Wissentlichkeitsausschlusses an ihre Grenzen stoßen, ist vom Einzelfall abhängig.
Es ist daher im eigenen (Haftungs-)Interesse ratsam, sich des Themas „IT-Sicherheit“ aktiv anzunehmen, eine Risikobewertung durchzuführen und diese entsprechend zu dokumentieren. Hierzu zählt auch die Abwägung über das Für und Wider des Abschlusses einer Cyberversicherung. Die Versicherer aktualisieren fortwährend ihre Fragebögen im Hinblick auf Schadenerfahrungen und Präventionsmaßnahmen. Es ist daher ratsam, den Stand der vorhandenen technischen und organisatorischen Maßnahmen mittels eines Cyber-Fragebogens prüfen und auswerten zu lassen. Auf dieser dokumentierten Faktenbasis kann dann eine Entscheidung über den Abschluss einer Cyberversicherung, beispielsweise im Modell des GKV-Spitzenverband Bund, getroffen werden.
Der Abschluss einer Cyberversicherung führt zur weiteren Reduzierung des Haftungsrisikos des Vorstandes. Soweit die GKV einen Cyberschaden vom Versicherer ersetzt bekommt, reduziert sich hierdurch ein möglicher Regressanspruch gegen den Vorstand. Ein weiterer Vorteil ist, dass die Kasse durch einen Krisenmanagementplan sowie den Zugriff auf Assistance-Leistungen für einen möglichen Schadenfall vorbereitet ist.
Bei Fragen rund um das Thema Cyberversicherung kontaktieren Sie uns gern.
Autoren:
Stephan Zaiß, Geschäftsführer der Protektas GmbH. Schwerpunkt seiner beratenden Tätigkeit ist das Thema der Vermögensschadenhaftpflicht-, D&O- und Cyber-Versicherung insbesondere für Körperschaften des öffentlichen Rechts.
Tilmann Hoppe, LL.M (Master of Liability, Risk and Insurance - PI/D&O/Cyber), ist Rechtsanwalt und seit 2020 Justiziar bei der Protektas GmbH. Beratungsschwerpunkte liegen im Bereich des Haftungs- und Versicherungsrechts.
Stephan Zaiß & Tilmann Hoppe
