Skip to content

OLG Zweibrücken: Keine Haftung des GmbH-Geschäftsführers gem. § 43 Abs. 2 GmbHG bei Schaden durch Phishing-Mail wenn Überweisung mit Einverständnis des Alleingesellschafters erfolgte

OLG Zweibrücken
Urteil vom 18.08.2022
4 U 198/21

Das OLG Zweibrücken hat entschieden, dass keine Haftung des GmbH-Geschäftsführers gem. § 43 Abs. 2 GmbHG bei Schaden durch eine Phishing-Mail vorliegt, wenn die Überweisung auf das in der Phishing-Mail genannte Konto mit Einverständnis des Alleingesellschafters erfolgte.

Aus den Entscheidungsgründen:
Das verfahrensrechtlich bedenkenfreie und somit zulässige Rechtsmittel der Klägerin hat in der Sache keinen Erfolg. Die Entscheidung des Erstgerichts ist im Ergebnis richtig. Es fehlt bereits an der Verletzung einer Pflicht, die eine Organwalterhaftung der Beklagten nach § 43 Abs. 2 GmbHG zu begründen vermöchte.

Zutreffend ist das Erstgericht im Ausgangspunkt von der Doppelfunktion des § 43 Abs. 1 GmbHG als Verschuldensmaßstab und Pflichtenquelle ausgegangen (ganz h.M.: vgl. nur MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43 Rn. 10).

Die Beklagte hat keine sie gerade aus ihrer Stellung als Geschäftsführerin der Klägerin treffende (spezifische) Pflicht als Organwalterin der Gesellschaft verletzt. Zwar hat die Beklagte bei den Überweisungen (leicht) fahrlässig gehandelt, da ihr bei Wahrung der im geschäftlichen Zahlungsverkehr bei der Überweisung höherer Geldbeträge erforderlichen Sorgfalt der „Buchstabendreher“ in den zu den jeweiligen Geldüberweisungen auffordernden Phishing-Mails hätte auffallen können und müssen. Dies führt jedoch nicht zu der Annahme einer Pflichtverletzung im Sinne von § 43 Abs. 2 GmbHG (1.). Die Beklagte haftet der Klägerin auch nicht aus § 280 Abs. 1 BGB oder nach § 823 BGB (2.).

Im Einzelnen gilt dazu Folgendes:

1. Für eine Haftung des Organwalters nach § 43 Abs. 2 GmbHG ist nach Auffassung des Senats eine Verletzung einer - hier nicht zu bejahenden - spezifisch organschaftlichen Pflicht erforderlich.

Was unter den „Pflichten“ im Sinne des § 43 Abs. 2 GmbHG im Einzelnen zu verstehen ist, wird in der Rechtsprechung und im Schrifttum unterschiedlich beurteilt.

a. Eine eindeutige Rechtsprechung des Bundesgerichtshofs zu der konkreten Fragestellung des § 43 Abs. 2 GmbHG besteht nach dem Verständnis des erkennenden Senats nicht. Die Entscheidungen des Bundesgerichtshofs (Urteil vom 28.4.2008 – II ZR 264/06, BGHZ 176, 204 Rn. 38 = NJW 2008, 2437; Urteil vom 27.9.1956 – II ZR 144/55, BGHZ 21, 354 (357) (AG) = NJW 1956, 1753; so beispielhaft: MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43) verhalten sich jeweils nicht zu § 43 GmbHG, sondern betreffen eine Haftung nach § 826 BGB oder Spezialregelungen aus dem AktG.

b. Auch die obergerichtliche Rechtsprechung dazu ist nicht eindeutig.

aa. So hat sich der 8. Zivilsenat des Pfälzischen Oberlandesgerichts Zweibrücken zu einer Fallgestaltung wie der hier vorliegenden letztlich nicht äußern müssen. Er konnte es insoweit dabei belassen, dass „bei der Bestimmung und Abgrenzung der einem Geschäftsführer obliegenden Pflichten … sich insoweit Schwierigkeiten (ergeben), als das Gesetz einerseits den Umfang dieser Pflichten nicht abschließend regelt, andererseits diese Pflichten grundsätzlich durch den Gesellschaftsvertrag, den Anstellungsvertrag oder durch einzelne Gesellschafterbeschlüsse erweitert bzw. eingeschränkt werden“ (PfOLG Zweibrücken, Urteil vom 22.12.1998, 8 U 98/98, NZG 1999, 506). Für die dortige Fallgestaltung (sog. Risikogeschäft) ist die Meinung in der Rechsprechung und Literatur auch einhellig (vgl. BGHZ 135, 244, 253; ThürOLG DStR 2001, 863, beck-online).

Um ein solches Risikogeschäft handelte es sich bei den Geldüberweisungen der Beklagten zum Zwecke der Bezahlung von Lieferantenrechnungen indes nicht.

bb. Das OLG Koblenz hat – ohne nähere Ausführungen zu der Problematik der Verletzung einer organschaftlichen Pflicht – eine Haftung gemäß § 43 Abs. 2 GmbHG für einen Fall eines durch einen Geschäftsführer grob fahrlässig verursachten Verkehrsunfalls bejaht. Der Geschäftsführer habe in Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden (OLG Koblenz, Urteil vom 14. Mai 1998 – 5 U 1639/97 –, Rn. 14, juris).

Ein Fall grob fahrlässigen Handelns der Beklagten ist vorliegend jedoch zu verneinen.

c. Im Schrifttum zu § 43 GmbHG wird die Frage unterschiedlich beantwortet.

aa. Teilweise wird vertreten, der Geschäftsführer hafte dafür, dass er „die allgemeinen Verhaltensanforderungen aus Abs. 1 verletzt hat, also seine Sorgfaltspflicht i.e.S. oder seine Legalitätspflicht - jeweils einschließlich der damit verbundenen Pflichten zur Überwachung der Geschäftsführerkollegen und nachgeordneten Mitarbeiter - oder auch seine organschaftliche Treuepflicht. Sie kann sich ferner aus der Verletzung spezieller Pflichten des Geschäftsführers ergeben, die das Gesetz dem Geschäftsführer in gesonderten Vorschriften zuweist“ (Verse in: Scholz, GmbHG, 12. Aufl. 2018 ff., § 43 GmbHG, Rn. 257). Für den Fall einer sich nicht aus der organschaftlichen Stellung ergebenden Pflichtverletzung schließe dies „aber nicht aus, dass sie auch bei Schädigungen eingreift, die in gleicher Weise von einer Person verursacht werden könnten, die nicht Geschäftsführer ist (z.B. Verkehrsunfall mit dem Dienstwagen). Im Schrifttum wird jedoch meist betont, dass in diesem Fall nicht der organspezifische Sorgfaltsmaßstab des § 43 Abs. 1, sondern der allgemeine Sorgfaltsmaßstab des § 276 BGB gelte. Zu demselben Ergebnis gelangt man indes auch, wenn man Abs. 1 anwendet und in diesem Rahmen anerkennt, dass von einem ordentlichen Geschäftsleiter bei der Teilnahme am Straßenverkehr oder vergleichbaren nicht organspezifischen Tätigkeiten keine Anforderungen erwartet werden, die über den allgemeinen Maßstab des § 276 Abs. 1 BGB hinausgehen. Für eine Haftungsprivilegierung entsprechend den arbeitsrechtlichen Grundsätzen zum innerbetrieblichen Schadensausgleich ist auch bei solchen nicht organspezifischen Handlungen kein Raum.“ (Verse in: Scholz, GmbHG, 12. Aufl. 2018 ff., § 43 GmbHG, Rn. 259).

Nach dieser Auffassung wäre hier eine Pflichtverletzung unter Anwendung der allgemeinen Sorgfaltspflichten (§ 276 BGB) zu bejahen.

bb. Nach anderer, wohl überwiegender Auffassung, der sich der erkennende Senat anschließt, sind „vier größere Pflichtenkreise zu unterscheiden: Erstens ist jeder Geschäftsführer gehalten, die im GmbH-Gesetz, der Satzung und der Geschäftsordnung niedergelegten Organpflichten zu erfüllen und die das Unternehmen betreffenden Rechtsvorschriften des allgemeinen Zivilrechts, des Straf- und Ordnungswidrigkeitenrechts und des öffentlichen Rechts zu beachten (sog. Legalitätspflicht). Zweitens muss ein Geschäftsführer die ihm übertragene Unternehmensleitung innerhalb des gesetzlich vorgegebenen Pflichtenrahmens umfänglich wahrnehmen und sein Amt mit der erforderlichen Sorgfalt führen (sog. Sorgfaltspflicht im engeren Sinne). Drittens obliegt es dem Geschäftsführer, sich in geeigneter Weise von dem recht- und zweckmäßigen Verhalten nachgeordneter Unternehmensangehöriger und seiner Geschäftsführerkollegen zu überzeugen (sog. Überwachungspflicht). Viertens hat sich in jüngerer Zeit aus der allgemeinen Überwachungspflicht eine besondere Pflicht herausgebildet, Gesetzesverstöße von Unternehmensangehörigen schon im Vorfeld durch geeignete und zumutbare Schutzvorkehrungen zu verhindern (sog. Compliance-Pflicht ; MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43 Rn. 12).

In diese Richtung argumentiert auch Kleindiek, nach welchem § 43 Abs. 1 GmbHG „einen Verschuldensmaßstab (umschreibt), aber zugleich den Maßstab für die Konkretisierung der dem Geschäftsführer obliegenden Organpflichten (liefert), soweit sie nicht schon gesetzlich ausformuliert sind. Denn die Verhaltenspflichten gegenüber der Gesellschaft (§ 43 Abs. 2 spricht von „Obliegenheiten“) lassen sich nur vor dem Hintergrund des in § 43 Abs. 1 umschriebenen Sorgfaltsmaßstabs eingrenzen. Auch wenn man § 43 Abs. 1 nicht schon unmittelbar die Funktion einer Pflichtenquelle zubilligen mag, wird in der Systematik des Gesetzes die Pflicht des Geschäftsführers zur ordnungsgemäßen (dem Standard der „Sorgfalt eines ordentlichen Geschäftsmannes“ entsprechenden) Unternehmensleitung doch vorausgesetzt.“ (Kleindiek in: Lutter/Hommelhoff, GmbH-Gesetz Kommentar, 20. Aufl. 2020, § 43 GmbHG, Rn. 10).

Danach gelten für Tätigkeiten, die lediglich bei Gelegenheit der Geschäftsführung vorgenommen werden (zB das Fahren eines Geschäfts-Pkw) der Pflichten-, Sorgfalts- und Haftungsmaßstab aus den allgemeinen Regeln. Das Verhalten des Geschäftsführers ist in solchen Fällen „an §§ 280 ff., 823 BGB und am Sorgfaltsmaßstab des § 276 II BGB zu messen“ (Noack/Servatius/Haas/Beurskens, 23. Aufl. 2022, GmbHG § 43 Rn. 6; ebenso: MHLS/Ziemons, 3. Aufl. 2017, GmbHG § 43 Rn. 57; Henssler/Strohn GesR/Oetker, 5. Aufl. 2021, GmbHG § 43 Rn. 3).

Ähnlich sieht es wohl Wicke, wenn er ausführt, der Anstellungsvertrag könne besondere Bedeutung „erlangen, wenn Vertragspflichten verletzt werden, die in keinem Zusammenhang zur Organstellung stehen, oder wenn der Anstellungsvertrag mit einem Dritten geschlossen wurde oder drittschützende Wirkung entfaltet (MüKoGmbHG/Fleischer Rn. 8; Henssler/Strohn/Oetker Rn. 3).“ (Wicke, 4. Aufl. 2020, GmbHG § 43 Rn. 2), wenn er auch - inkonsequent - Haftungsmilderungen erwägt bei einer Tätigkeit, die nicht die Erfüllung typischer Geschäftsführerpflichten zum Gegenstand hat wie, zB bei einer Fahrt mit dem Dienst-PKW (Wicke, 4. Aufl. 2020, GmbHG § 43 Rn. 4).

Der erkennende Senat entscheidet dahin, dass der Sorgfaltspflichtverstoß der Beklagten, der in der Beauftragung von Geldüberweisungen aufgrund einer (gefälschten) Mitteilung einer geänderten Kontoverbindung des Empfängers W. bestand, nicht als Verletzung einer spezifisch organschaftlichen Pflicht anzusehen ist. Denn diese Tätigkeit wäre üblicherweise eine solche der Buchhaltung gewesen. Die der Beklagten als Geschäftsführerin übertragene Unternehmensleitung als solche ist hiervon nicht berührt, auch nicht in Form einer Verletzung von Überwachungspflichten.

Dieses Ergebnis findet nach Auffassung des Senats Bestätigung in § 93 AktG, dem § 43 Abs.2 GmbHG nachgebildet ist. Denn bei der Beurteilung der Verantwortlichkeit von Vorstandsmitgliedern nach § 93 AktG wird die vom Senat für zutreffend erachtete Auffassung übereinstimmend geteilt:

„Als Pflichtverletzungen iSd § 93 Abs. 2 kommen nur organbezogene Tätigkeiten in Betracht. Wo das Verhalten eines Vorstandsmitglieds in keinem Sachzusammenhang mit seinen dienstlichen Pflichten steht, scheidet eine Organhaftung aus. Dies gilt insbesondere für Tätigkeiten „bei Gelegenheit“ der Geschäftsführung, die ebenso gut von einem Dritten hätten vorgenommen werden können. Paradigmatisches Beispiel ist die Fahrt mit dem Dienstwagen. In solchen Fällen greift statt § 93 Abs. 1 der allgemeine Sorgfaltsmaßstab des § 276 BGB ein.“ (BeckOGK/Fleischer, 1.9.2021, AktG § 93 Rn. 240 mit weiteren Nachweisen).

Sonach scheidet eine Haftung der Beklagten auf Schadensersatz aus § 43 Abs. 2 GmbHG aus.

2. Auch eine Haftung der Beklagten aus § 280 Abs. 1 BGB wegen Verletzung der sie aus dem Anstellungsvertrag als Geschäftsführerin treffenden Dienstpflichten oder aus § 823 BGB besteht nicht.

Dabei kann dahinstehen, ob von der Beklagten nach dem Anstellungsvertrag die Sorgfalt verlangt werden kann, die ein ordentlicher Geschäftsmann in verantwortlich leitender Position bei selbstständiger Wahrnehmung fremder Vermögensinteressen zu beachten hat (Altmeppen, 10. Aufl. 2021, GmbHG § 43 Rn. 3 mit weiteren Nachweisen), was über den von jedermann zu beachtenden Sorgfaltsmaßstab in § 276 BGB hinaus geht (BeckOK GmbHG/Pöschke, 49. Ed. 1.8.2021, GmbHG § 43 Rn. 287 unter Verweis auf OLG Koblenz aaO).

Denn die (wenn auch geringfügige) Abweichung der Absenderadresse bei den Phishing-Mails („film.com“ zu „flim.com“) hätte von der Beklagten bei einem höheren Maß an Aufmerksamkeit durchaus bemerkt werden können.

Unabhängig von der Verneinung einer spezifisch organschaftlichen Pflichtverletzung der Beklagten greift aber - die Klageabweisung selbständig tragend - im vorliegenden Fall zu Gunsten der Beklagten eine Haftungsmilderung in Anlehnung an die Grundsätze der Haftung von Arbeitnehmern im Rahmen des innerbetrieblichen Schadensausgleichs nach den arbeitsrechtlichen Grundsätzen der betrieblich veranlassten Tätigkeit (dazu Wilhelmi, NZG 2017, 681, 686f; Fritz, NZA 2017, 673, 678f). Danach ist hier - unter weiterer Berücksichtigung gerade auch der von dem Senat als glaubhaft erachteten Angaben der Beklagten in ihrer formlosen Parteianhörung zu ihren faktisch beschränkten Entscheidungskompetenzen in dem Unternehmen der Klägerin - sowohl eine Haftung der Beklagten aus § 280 Abs. 1 BGB i.V.m. dem Anstellungsvertrag als auch nach § 823 BGB und auch eine solche nach § 43 Abs. 2 GmbHG ausgeschlossen.

Eine Haftungsmilderung kommt nach herrschender Meinung im Bereich der Organfunktion zwar nicht in Betracht (Altmeppen, 10. Aufl. 2021, GmbHG § 43 Rn. 5 mit Darstellung des Streitstandes). Eine Ausnahme wird teilweise als möglich erachtet, wenn der Geschäftsführer wie jeder beliebige Dritte am Rechtsverkehr teilnimmt. In diesen Fällen sei eine analoge Anwendung der arbeitsrechtlichen Grundsätze zur innerbetrieblichen Schadensteilung je nach Umständen des Einzelfalls möglich, die umso eher ausscheidet, je autonomer der Geschäftsführer handeln kann, und umso mehr in Betracht kommt, je mehr er in seinem Handeln – etwa als Geschäftsführer einer konzernabhängigen GmbH – gebunden ist (vgl. Lutter, GmbHR 2000, 301, 312, juris). Klassischer Beispielsfall ist die Beschädigung eines gesellschaftseigenen Dienstwagens durch den Geschäftsführer (Lutter, GmbHR 2000, 301, 312; aA OLG Koblenz, aaO).

Legt man - wie nach Auffassung des Senats geboten - diesen Maßstab an das Handeln der Beklagten an, scheidet ihre Haftung auf Schadensersatz aus, weil sie bei den Fehlüberweisungen bloß leicht fahrlässig gehandelt hat (vgl. auch BAG NZA 1999, 263):

So wurden bei den Phishing-Mails, mit welchen die Beklagte getäuscht wurde, lediglich eine geringfügige Änderung der korrekten E-Mail-Adresse des langjährigen Geschäftspartners der Klägerin W. vorgenommen. Es wurden von dem oder den Tätern keine Änderung von Namen bei den (angeblich) für W. handelnden Personen vorgenommen und zudem war zeitlich vor den Überweisungen in Betrugsabsicht eine Änderung von Kontoverbindungen angekündigt worden. Die übersandten Rechnungen in den E-Mails waren plausibel sowohl nach der Art der Darstellung als auch in ihrer Höhe. Hinzu kommt die Art des Phishing-Angriffs, der nicht einmalig, sondern durch fortgesetzten E-Mail-Kontakt erfolgte, wobei jeweils Bezug auf die bestehende Kommunikation genommen wurde (auch auf solche vor Beginn der Phishing-Attacke). Insgesamt ergibt sich daraus das Bild eines sehr professionellen Handelns durch den oder die Phishing-Täter, auf welches die Beklagte als Betrugsopfer „hereingefallen“ ist.

Hiergegen ließe sich letztlich nur einwenden, dass Summen ab einer bestimmten Größenordnung nur nach intensiver Überprüfung und unter Wahrung des Vier-Augen-Prinzips überwiesen werden sollten. Angesichts der von der Beklagten glaubhaft geschilderten Ausgestaltung der (von dem Alleingesellschafter vorgegebenen) tatsächlichen Abläufe im Unternehmen der Klägerin war eine solche Gegenkontrolle für die Beklagte allerdings nicht leistbar. Die im Einzelnen überwiesenen Summen waren zudem nach im Prozess vorgelegten Kontoauszügen nicht außergewöhnlich, sondern alltäglich.

Damit scheidet in Übertragung der Grundsätze der Haftungsprivilegierung für Arbeitnehmer auf die Haftung des GmbH-Geschäftsführers eine Haftung der Beklagten hier insgesamt aus.

3. Damit kann dahinstehen, ob einer Haftung der Beklagten weiter auch die Berücksichtigung des relativen Verschuldensmaßstabes des § 43 GmbHG entgegen steht.

Die Ausgestaltung des anzulegenden Verschuldensmaßstabes ist durch die besondere Lage des Einzelfalles geprägt (so BGHZ 129, 30 = NJW 1995, 1290 – offenlassend, ob die arbeitsrechtlichen Grundsätze gelten; BeckOK GmbHG/Pöschke, 49. Ed. 1.8.2021, GmbHG § 43 Rn. 290). Bei der gebotenen Berücksichtigung des Einzelfalls müssten die oben genannten Argumente Berücksichtigung finden. Danach wäre eine Haftung der Beklagten zu verneinen.

4. Letztlich scheidet eine Haftung der Beklagten auch wegen Kenntnis der Klägerin in der Person ihres Alleingesellschafters und Mitgeschäftsführers R. von den tatsächlichen Geschehnissen im Zusammenhang mit den durch Betrugshandlungen Dritter veranlassten Geldüberweisungen aus.

Aus den im Prozess vorgelegten E-Mails wird deutlich, dass der Alleingesellschafter R. von der Beklagten in deren Email-Kommunikation mit (vermeintlich) W. jeweils in CC gesetzt bzw. ausdrücklich über die (angeblich) geänderten Kontoverbindungen informiert wurde. Dennoch unterblieb – entgegen dem Vorbringen der Klägerin – eine ausdrückliche Anweisung, keine Gelder zu überweisen oder die Geschäftsbeziehungen mit W. zu beenden. Anderes ergibt sich auch nicht aus der von der Klägerin vorgelegten Whatsapp-Nachricht (Blatt 233 der eAkte erster Instanz). Damit liegt ein sog. informelles Einverständnis der Klägerin mit der Handlungsweise der Beklagten vor, das die Haftung der Beklagten entfallen lässt. Denn der Befolgung eines Gesellschafterbeschlusses steht es gleich, wenn Geschäftsführer ohne förmliche Beschlussfassung im - auch stillschweigenden - Einverständnis aller Gesellschafter handeln (Verse in: Scholz, GmbHG, 12. Aufl. 2018 ff., § 43 GmbHG, Rn. 265).

Auch danach ist eine Haftung der Beklagten zu verneinen, da die Überweisungen auf eine geänderte Kontoverbindung (insoweit nicht wegen Übersehen der veränderten E-Mail-Adresse) mit dem zumindest informellen Einverständnis des Allein-Gesellschafters erfolgten.


Den Volltext der Entscheidung finden Sie hier:


EU-Kommission: Entwurf für EU Cyber Resilience Act vorgelegt - Vorschriften zur Cybersicherheit von Produkten mit digitalen Elementen

Die EU-Kommission hat ihren Entwurf für den EU Cyber Resilience Act vorgelegt. Dieser soll die Cybersicherheit von Produkten mit digitalen Elementen erhöhen.

1. Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei

2. Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei


Die Meldung der EU-Kommission:

The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.

EU Cyber Resilience Act - For safer and more secure digital products

Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021.

Such products suffer from two major problems adding costs for users and the society:

a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.

While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs.

Two main objectives were identified aiming to ensure the proper functioning of the internal market:

1.create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and

2. create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements.

Four specific objectives were set out:

1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle;

2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers;

3. enhance the transparency of security properties of products with digital elements, and

4. enable businesses and consumers to use products with digital elements securely.



Bundeskabinet beschließt Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit - NIS-Richtlinie

Das Bundeskabinett hat das Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) beschlossen.

Die Pressemitteilung des BMI:

"Bundesregierung stärkt Cy­ber­si­cher­heit

Kabinett beschließt Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit
Digitale binäre Daten geschützt durch das Sicherheitssystem (Quelle: Netzwerk- und Informationssystemsicherheit)
Das Kabinett hat heute den vom Bundesminister des Innern vorgelegten Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 (NIS-Richtlinie) beschlossen.

Hierzu erklärt der Bundesinnenminister Dr. Thomas de Maizière: "Die NIS-Richtlinie ist ein wichtiger Schritt für mehr Cyber-Sicherheit auch in Europa. Die Bundesregierung hat nun die Voraussetzungen dafür geschaffen, die europäischen Vorgaben rechtzeitig und zeitnah auch in nationales Recht umzusetzen. Dabei war die Ausgangsposition hierfür denkbar gut: In Deutschland haben wir mit dem IT-Sicherheitsgesetz, das bereits im Juli 2015 in Kraft getreten ist, schon einen einheitlichen Rechtsrahmen, bei dem Staat und betroffene Wirtschaft für mehr Cyber-Sicherheit der Kritischen Infrastrukturen in Deutschland zusammenarbeiten. Wir setzen uns dafür ein, dass der im IT-Sicherheitsgesetz verankerte kooperative Ansatz EU-weit als Vorbild für die Umsetzung der NIS-Richtlinie genutzt werden kann. Damit werden wir unserer Vorreiterrolle in Europa auf dem Gebiet der Cyber-Sicherheit gerecht."

Mit dem Gesetzentwurf wird zudem die Umsetzung der Cybersicherheitsstrategie vorangebracht: "Wir schaffen mit dem Gesetz eine Rechtsgrundlage für den Einsatz so genannter Mobiler Incident Response Teams („MIRTs“). Das Bundesamt für Sicherheit in der Informationstechnik wird zukünftig die Verwaltung und Betreiber kritischer Infrastrukturen auf deren Ersuchen hin bei herausgehobenen Sicherheitsvorfällen unterstützen können. Der Schutz von Staat, Wirtschaft und der Bevölkerung vor erheblichen Cyber-Sicherheits-Vorfällen wird damit weiter verbessert."

Die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union sieht den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit (nationale Strategien, Behörden und CERTs), eine stärkere Zusammenarbeit der Mitgliedstaaten und Mindestanforderungen sowie Meldepflichten vergleichbar zum nationalen IT-Sicherheitsgesetz vor. Viele Maßnahmen aus der NIS-Richtlinie sind in Deutschland in dem bereits im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz enthalten. Insofern besteht in Deutschland relativ geringer zusätzlicher Umsetzungsbedarf. Sie ist bis spätestens zum 9. Mai 2018 in nationales Recht umzusetzen."