Die Pressemitteilung der EU-Kommission: Simpler EU digital rules and new digital wallets to save billions for businesses and boost innovation
Europe's businesses, from factories to start-ups, will spend less time on administrative work and compliance and more time innovating and scaling-up, thanks to the European Commission's new digital package. This initiative opens opportunities for European companies to grow and to stay at the forefront of technology while at the same time promoting Europe's highest standards of fundamental rights, data protection, safety and fairness.
At its core, the package includes a digital omnibus that streamlines rules on artificial intelligence (AI), cybersecurity and data, complemented by a Data Union Strategy to unlock high-quality data for AI and European Business Wallets that will offer companies a single digital identity to simplify paperwork and make it much easier to do business across EU Member States.
The package aims to ease compliance with simplification efforts estimated to save up to €5 billion in administrative costs by 2029. Additionally, the European Business Wallets could unlock another €150 billion in savings for businesses each year.
1. Digital Omnibus
With today's digital omnibus, the Commission is proposing to simplify existing rules on Artificial Intelligence, cybersecurity, and data.
Innovation-friendly AI rules: Efficient implementation of the AI Act will have a positive impact on society, safety and fundamental rights. Guidance and support are essential for the roll-out of any new law, and this is no different for the AI Act.
The Commission proposes linking the entry into application of the rules governing high-risk AI systems to the availability of support tools, including the necessary standards.
The timeline for applying high-risk rules is adjusted to a maximum of 16 months, so the rules start applying once the Commission confirms the needed standards and support tools are available, giving companies support tools they need.
The Commission is also proposing targeted amendments to the AI Act that will:
Extend certain simplifications that are granted to small and medium-sized enterprises (SMEs) and small mid cap companies (SMCs), including simplified technical documentation requirements, saving at least €225 million per year;
Broaden compliance measures so more innovators can use regulatory sandboxes, including an EU-level sandbox from 2028 and more real-world testing, especially in core industries like the automotive;
Reinforce the AI Office's powers and centralise oversight of AI systems built on general-purpose AI models, reducing governance fragmentation.
Simplifying cybersecurity reporting: The omnibus also introduces a single-entry point where companies can meet all incident-reporting obligations. Currently, companies must report cybersecurity incidents under several laws, including among others the NIS2 Directive, the General Data Protection Regulation (GDPR), and the Digital Operational Resilience Act (DORA). The interface will be developed with robust security safeguards and will undergo comprehensive testing to ensure its reliability and effectiveness.
An innovation-friendly privacy framework: Targeted amendments to the GDPR will harmonise, clarify and simplify certain rules to boost innovation and support compliance by organisations, while keeping intact the core of the GDPR, maintaining the highest level of personal data protection.
Modernising cookie rules to improve users' experience online: The amendments will reduce the number of times cookie banners pop up and allow users to indicate their consent with one-click and save their cookie preferences through central settings of preferences in browsers and operating system.
Improving access to data: Today's digital package aims to improve access to data as a key driver of innovation. It simplifies data rules and makes them practical for consumers and businesses by:
Consolidating EU data rules through the Data Act, merging four pieces of legislation into one for enhanced legal clarity;
Introducing targeted exemptions to some of the Data Act's cloud-switching rules for SMEs and SMCs resulting in around €1.5 billion in one-off savings;
Offering new guidance on compliance with the Data Act through model contractual terms for data access and use, and standard contractual clauses for cloud computing contracts;
Boosting European AI companies by unlocking access to high-quality and fresh datasets for AI, strengthening the overall innovation potential of businesses across the EU.
2. Data Union Strategy
The new Data Union Strategy outlines additional measures to unlock more high-quality data for AI by expanding access, such as data labs. It puts in place a Data Act Legal Helpdesk, complementing further measures to support implementation of the Data Act. It also strengthens Europe's data sovereignty through a strategic approach to international data policy: anti-leakage toolbox, measures to protect sensitive non-personal data and guidelines to assess fair treatment of EU data abroad.
3. European Business Wallet
This proposal will provide European companies and public sector bodies with a unified digital tool, enabling them to digitalise operations and interactions that in many cases currently still need to be done in person. Businesses will be able to digitally sign, timestamp and seal documents; securely create, store and exchange verified documents; and communicate securely with other businesses or public administrations in their own and the other 26 Member States.
Scaling up a business in other Member States, paying taxes and communicating with public authorities will be easier than ever before in the EU. Assuming broad uptake, the European Business Wallets will allow European companies to reduce administrative processes and costs, thereby unlock up to €150 billion in savings for businesses each year.
Next Steps
The digital omnibus legislative proposals will now be submitted to the European Parliament and the Council for adoption. Today's proposals are a first step in the Commission's strategy to simplify and make more effective the EU's digital rulebook.
The Commission has today also launched the second step of the simplification agenda, with a wide consultation on the Digital Fitness Check open until 11 March 2026. The Fitness Check will ‘stress test' how the rulebook delivers on its competitiveness objective, and examine the coherence and cumulative impact of the EU's digital rules.
Background
The Digital package marks the seventh omnibus proposal. The Commission set a course to simplify EU rules to make the EU economy more competitive and more prosperous by making business in the EU simpler, less costly and more efficient. The Commission has a clear target to deliver an unprecedented simplification effort by achieving at least 25% reduction in administrative burdens, and at least 35% for SMEs until the end of 2029.
Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastruktur, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor eine Vielzahl von Herausforderungen gestellt. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit gegenüber externen, vielfach nicht steuerbaren Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zur Entsorgung von Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung gerade der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund gestiegenen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen. 2024 bestätigte sich die Erfahrung der Vorjahre, dass geopolitische und zwischenstaatliche Konflikte oftmals mit einer ganzen Bandbreite an Phänomenen im Cyberraum einhergehen: Desinformation, Hacktivismus, Spionage und Sabotage waren sowohl im russischen Angriffskrieg gegen die Ukraine als auch in der Folge des Terrorangriffs der Hamas auf Israel zu beobachten. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-SabotageAngriffen im Rahmen des Krieges. Zudem haben Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch in Folge der Zeitenwende zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind Teil des unternehmerischen Alltags geworden. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland und den Binnenmarkt der Europäischen Union insgesamt robust und leistungs- und funktionsfähig zu halten.
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Dieser Entwurf steht im Kontext der Bestrebungen der Europäischen Union und ihrer Mitgliedstaaten zur Erhöhung der Wirtschaftssicherheit und Verbesserung der Resilienz als Antwort auf neue geopolitische Rahmenbedingungen. Mit der am 20. Juni 2023 veröffentlichten Europäischen Strategie für wirtschaftliche Sicherheit identifiziert die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft.
Dieser Entwurf steht außerdem im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.
B. Lösung, Nutzen
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz auf den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:
– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro, im Jahr 2023 bei 205,9 Milliarden Euro und im Jahr 2024 bei 266,6 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigte. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.
Das Bundeskabinett hat das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) verabschiedet.
Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastrukturen, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen.
In Folge des völkerrechtswidrigen russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicherheit in Deutschland 2022 die IT-Sicherheitslage insgesamt zugespitzt. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rahmen des Krieges. Zudem haben auch Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren der digitalen Welt ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Dieser Entwurf steht im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.
B. Lösung, Nutzen
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:
– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro und im Jahr 2023 voraussichtlich bei 205,9 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigten. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.
Das OLG Zweibrücken hat entschieden, dass keine Haftung des GmbH-Geschäftsführers gem. § 43 Abs. 2 GmbHG bei Schaden durch eine Phishing-Mail vorliegt, wenn die Überweisung auf das in der Phishing-Mail genannte Konto mit Einverständnis des Alleingesellschafters erfolgte.
Aus den Entscheidungsgründen: Das verfahrensrechtlich bedenkenfreie und somit zulässige Rechtsmittel der Klägerin hat in der Sache keinen Erfolg. Die Entscheidung des Erstgerichts ist im Ergebnis richtig. Es fehlt bereits an der Verletzung einer Pflicht, die eine Organwalterhaftung der Beklagten nach § 43 Abs. 2 GmbHG zu begründen vermöchte.
Zutreffend ist das Erstgericht im Ausgangspunkt von der Doppelfunktion des § 43 Abs. 1 GmbHG als Verschuldensmaßstab und Pflichtenquelle ausgegangen (ganz h.M.: vgl. nur MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43 Rn. 10).
Die Beklagte hat keine sie gerade aus ihrer Stellung als Geschäftsführerin der Klägerin treffende (spezifische) Pflicht als Organwalterin der Gesellschaft verletzt. Zwar hat die Beklagte bei den Überweisungen (leicht) fahrlässig gehandelt, da ihr bei Wahrung der im geschäftlichen Zahlungsverkehr bei der Überweisung höherer Geldbeträge erforderlichen Sorgfalt der „Buchstabendreher“ in den zu den jeweiligen Geldüberweisungen auffordernden Phishing-Mails hätte auffallen können und müssen. Dies führt jedoch nicht zu der Annahme einer Pflichtverletzung im Sinne von § 43 Abs. 2 GmbHG (1.). Die Beklagte haftet der Klägerin auch nicht aus § 280 Abs. 1 BGB oder nach § 823 BGB (2.).
Im Einzelnen gilt dazu Folgendes:
1. Für eine Haftung des Organwalters nach § 43 Abs. 2 GmbHG ist nach Auffassung des Senats eine Verletzung einer - hier nicht zu bejahenden - spezifisch organschaftlichen Pflicht erforderlich.
Was unter den „Pflichten“ im Sinne des § 43 Abs. 2 GmbHG im Einzelnen zu verstehen ist, wird in der Rechtsprechung und im Schrifttum unterschiedlich beurteilt.
a. Eine eindeutige Rechtsprechung des Bundesgerichtshofs zu der konkreten Fragestellung des § 43 Abs. 2 GmbHG besteht nach dem Verständnis des erkennenden Senats nicht. Die Entscheidungen des Bundesgerichtshofs (Urteil vom 28.4.2008 – II ZR 264/06, BGHZ 176, 204 Rn. 38 = NJW 2008, 2437; Urteil vom 27.9.1956 – II ZR 144/55, BGHZ 21, 354 (357) (AG) = NJW 1956, 1753; so beispielhaft: MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43) verhalten sich jeweils nicht zu § 43 GmbHG, sondern betreffen eine Haftung nach § 826 BGB oder Spezialregelungen aus dem AktG.
b. Auch die obergerichtliche Rechtsprechung dazu ist nicht eindeutig.
aa. So hat sich der 8. Zivilsenat des Pfälzischen Oberlandesgerichts Zweibrücken zu einer Fallgestaltung wie der hier vorliegenden letztlich nicht äußern müssen. Er konnte es insoweit dabei belassen, dass „bei der Bestimmung und Abgrenzung der einem Geschäftsführer obliegenden Pflichten … sich insoweit Schwierigkeiten (ergeben), als das Gesetz einerseits den Umfang dieser Pflichten nicht abschließend regelt, andererseits diese Pflichten grundsätzlich durch den Gesellschaftsvertrag, den Anstellungsvertrag oder durch einzelne Gesellschafterbeschlüsse erweitert bzw. eingeschränkt werden“ (PfOLG Zweibrücken, Urteil vom 22.12.1998, 8 U 98/98, NZG 1999, 506). Für die dortige Fallgestaltung (sog. Risikogeschäft) ist die Meinung in der Rechsprechung und Literatur auch einhellig (vgl. BGHZ 135, 244, 253; ThürOLG DStR 2001, 863, beck-online).
Um ein solches Risikogeschäft handelte es sich bei den Geldüberweisungen der Beklagten zum Zwecke der Bezahlung von Lieferantenrechnungen indes nicht.
bb. Das OLG Koblenz hat – ohne nähere Ausführungen zu der Problematik der Verletzung einer organschaftlichen Pflicht – eine Haftung gemäß § 43 Abs. 2 GmbHG für einen Fall eines durch einen Geschäftsführer grob fahrlässig verursachten Verkehrsunfalls bejaht. Der Geschäftsführer habe in Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden (OLG Koblenz, Urteil vom 14. Mai 1998 – 5 U 1639/97 –, Rn. 14, juris).
Ein Fall grob fahrlässigen Handelns der Beklagten ist vorliegend jedoch zu verneinen.
c. Im Schrifttum zu § 43 GmbHG wird die Frage unterschiedlich beantwortet.
aa. Teilweise wird vertreten, der Geschäftsführer hafte dafür, dass er „die allgemeinen Verhaltensanforderungen aus Abs. 1 verletzt hat, also seine Sorgfaltspflicht i.e.S. oder seine Legalitätspflicht - jeweils einschließlich der damit verbundenen Pflichten zur Überwachung der Geschäftsführerkollegen und nachgeordneten Mitarbeiter - oder auch seine organschaftliche Treuepflicht. Sie kann sich ferner aus der Verletzung spezieller Pflichten des Geschäftsführers ergeben, die das Gesetz dem Geschäftsführer in gesonderten Vorschriften zuweist“ (Verse in: Scholz, GmbHG, 12. Aufl. 2018 ff., § 43 GmbHG, Rn. 257). Für den Fall einer sich nicht aus der organschaftlichen Stellung ergebenden Pflichtverletzung schließe dies „aber nicht aus, dass sie auch bei Schädigungen eingreift, die in gleicher Weise von einer Person verursacht werden könnten, die nicht Geschäftsführer ist (z.B. Verkehrsunfall mit dem Dienstwagen). Im Schrifttum wird jedoch meist betont, dass in diesem Fall nicht der organspezifische Sorgfaltsmaßstab des § 43 Abs. 1, sondern der allgemeine Sorgfaltsmaßstab des § 276 BGB gelte. Zu demselben Ergebnis gelangt man indes auch, wenn man Abs. 1 anwendet und in diesem Rahmen anerkennt, dass von einem ordentlichen Geschäftsleiter bei der Teilnahme am Straßenverkehr oder vergleichbaren nicht organspezifischen Tätigkeiten keine Anforderungen erwartet werden, die über den allgemeinen Maßstab des § 276 Abs. 1 BGB hinausgehen. Für eine Haftungsprivilegierung entsprechend den arbeitsrechtlichen Grundsätzen zum innerbetrieblichen Schadensausgleich ist auch bei solchen nicht organspezifischen Handlungen kein Raum.“ (Verse in: Scholz, GmbHG, 12. Aufl. 2018 ff., § 43 GmbHG, Rn. 259).
Nach dieser Auffassung wäre hier eine Pflichtverletzung unter Anwendung der allgemeinen Sorgfaltspflichten (§ 276 BGB) zu bejahen.
bb. Nach anderer, wohl überwiegender Auffassung, der sich der erkennende Senat anschließt, sind „vier größere Pflichtenkreise zu unterscheiden: Erstens ist jeder Geschäftsführer gehalten, die im GmbH-Gesetz, der Satzung und der Geschäftsordnung niedergelegten Organpflichten zu erfüllen und die das Unternehmen betreffenden Rechtsvorschriften des allgemeinen Zivilrechts, des Straf- und Ordnungswidrigkeitenrechts und des öffentlichen Rechts zu beachten (sog. Legalitätspflicht). Zweitens muss ein Geschäftsführer die ihm übertragene Unternehmensleitung innerhalb des gesetzlich vorgegebenen Pflichtenrahmens umfänglich wahrnehmen und sein Amt mit der erforderlichen Sorgfalt führen (sog. Sorgfaltspflicht im engeren Sinne). Drittens obliegt es dem Geschäftsführer, sich in geeigneter Weise von dem recht- und zweckmäßigen Verhalten nachgeordneter Unternehmensangehöriger und seiner Geschäftsführerkollegen zu überzeugen (sog. Überwachungspflicht). Viertens hat sich in jüngerer Zeit aus der allgemeinen Überwachungspflicht eine besondere Pflicht herausgebildet, Gesetzesverstöße von Unternehmensangehörigen schon im Vorfeld durch geeignete und zumutbare Schutzvorkehrungen zu verhindern (sog. Compliance-Pflicht ; MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43 Rn. 12).
In diese Richtung argumentiert auch Kleindiek, nach welchem § 43 Abs. 1 GmbHG „einen Verschuldensmaßstab (umschreibt), aber zugleich den Maßstab für die Konkretisierung der dem Geschäftsführer obliegenden Organpflichten (liefert), soweit sie nicht schon gesetzlich ausformuliert sind. Denn die Verhaltenspflichten gegenüber der Gesellschaft (§ 43 Abs. 2 spricht von „Obliegenheiten“) lassen sich nur vor dem Hintergrund des in § 43 Abs. 1 umschriebenen Sorgfaltsmaßstabs eingrenzen. Auch wenn man § 43 Abs. 1 nicht schon unmittelbar die Funktion einer Pflichtenquelle zubilligen mag, wird in der Systematik des Gesetzes die Pflicht des Geschäftsführers zur ordnungsgemäßen (dem Standard der „Sorgfalt eines ordentlichen Geschäftsmannes“ entsprechenden) Unternehmensleitung doch vorausgesetzt.“ (Kleindiek in: Lutter/Hommelhoff, GmbH-Gesetz Kommentar, 20. Aufl. 2020, § 43 GmbHG, Rn. 10).
Danach gelten für Tätigkeiten, die lediglich bei Gelegenheit der Geschäftsführung vorgenommen werden (zB das Fahren eines Geschäfts-Pkw) der Pflichten-, Sorgfalts- und Haftungsmaßstab aus den allgemeinen Regeln. Das Verhalten des Geschäftsführers ist in solchen Fällen „an §§ 280 ff., 823 BGB und am Sorgfaltsmaßstab des § 276 II BGB zu messen“ (Noack/Servatius/Haas/Beurskens, 23. Aufl. 2022, GmbHG § 43 Rn. 6; ebenso: MHLS/Ziemons, 3. Aufl. 2017, GmbHG § 43 Rn. 57; Henssler/Strohn GesR/Oetker, 5. Aufl. 2021, GmbHG § 43 Rn. 3).
Ähnlich sieht es wohl Wicke, wenn er ausführt, der Anstellungsvertrag könne besondere Bedeutung „erlangen, wenn Vertragspflichten verletzt werden, die in keinem Zusammenhang zur Organstellung stehen, oder wenn der Anstellungsvertrag mit einem Dritten geschlossen wurde oder drittschützende Wirkung entfaltet (MüKoGmbHG/Fleischer Rn. 8; Henssler/Strohn/Oetker Rn. 3).“ (Wicke, 4. Aufl. 2020, GmbHG § 43 Rn. 2), wenn er auch - inkonsequent - Haftungsmilderungen erwägt bei einer Tätigkeit, die nicht die Erfüllung typischer Geschäftsführerpflichten zum Gegenstand hat wie, zB bei einer Fahrt mit dem Dienst-PKW (Wicke, 4. Aufl. 2020, GmbHG § 43 Rn. 4).
Der erkennende Senat entscheidet dahin, dass der Sorgfaltspflichtverstoß der Beklagten, der in der Beauftragung von Geldüberweisungen aufgrund einer (gefälschten) Mitteilung einer geänderten Kontoverbindung des Empfängers W. bestand, nicht als Verletzung einer spezifisch organschaftlichen Pflicht anzusehen ist. Denn diese Tätigkeit wäre üblicherweise eine solche der Buchhaltung gewesen. Die der Beklagten als Geschäftsführerin übertragene Unternehmensleitung als solche ist hiervon nicht berührt, auch nicht in Form einer Verletzung von Überwachungspflichten.
Dieses Ergebnis findet nach Auffassung des Senats Bestätigung in § 93 AktG, dem § 43 Abs.2 GmbHG nachgebildet ist. Denn bei der Beurteilung der Verantwortlichkeit von Vorstandsmitgliedern nach § 93 AktG wird die vom Senat für zutreffend erachtete Auffassung übereinstimmend geteilt:
„Als Pflichtverletzungen iSd § 93 Abs. 2 kommen nur organbezogene Tätigkeiten in Betracht. Wo das Verhalten eines Vorstandsmitglieds in keinem Sachzusammenhang mit seinen dienstlichen Pflichten steht, scheidet eine Organhaftung aus. Dies gilt insbesondere für Tätigkeiten „bei Gelegenheit“ der Geschäftsführung, die ebenso gut von einem Dritten hätten vorgenommen werden können. Paradigmatisches Beispiel ist die Fahrt mit dem Dienstwagen. In solchen Fällen greift statt § 93 Abs. 1 der allgemeine Sorgfaltsmaßstab des § 276 BGB ein.“ (BeckOGK/Fleischer, 1.9.2021, AktG § 93 Rn. 240 mit weiteren Nachweisen).
Sonach scheidet eine Haftung der Beklagten auf Schadensersatz aus § 43 Abs. 2 GmbHG aus.
2. Auch eine Haftung der Beklagten aus § 280 Abs. 1 BGB wegen Verletzung der sie aus dem Anstellungsvertrag als Geschäftsführerin treffenden Dienstpflichten oder aus § 823 BGB besteht nicht.
Dabei kann dahinstehen, ob von der Beklagten nach dem Anstellungsvertrag die Sorgfalt verlangt werden kann, die ein ordentlicher Geschäftsmann in verantwortlich leitender Position bei selbstständiger Wahrnehmung fremder Vermögensinteressen zu beachten hat (Altmeppen, 10. Aufl. 2021, GmbHG § 43 Rn. 3 mit weiteren Nachweisen), was über den von jedermann zu beachtenden Sorgfaltsmaßstab in § 276 BGB hinaus geht (BeckOK GmbHG/Pöschke, 49. Ed. 1.8.2021, GmbHG § 43 Rn. 287 unter Verweis auf OLG Koblenz aaO).
Denn die (wenn auch geringfügige) Abweichung der Absenderadresse bei den Phishing-Mails („film.com“ zu „flim.com“) hätte von der Beklagten bei einem höheren Maß an Aufmerksamkeit durchaus bemerkt werden können.
Unabhängig von der Verneinung einer spezifisch organschaftlichen Pflichtverletzung der Beklagten greift aber - die Klageabweisung selbständig tragend - im vorliegenden Fall zu Gunsten der Beklagten eine Haftungsmilderung in Anlehnung an die Grundsätze der Haftung von Arbeitnehmern im Rahmen des innerbetrieblichen Schadensausgleichs nach den arbeitsrechtlichen Grundsätzen der betrieblich veranlassten Tätigkeit (dazu Wilhelmi, NZG 2017, 681, 686f; Fritz, NZA 2017, 673, 678f). Danach ist hier - unter weiterer Berücksichtigung gerade auch der von dem Senat als glaubhaft erachteten Angaben der Beklagten in ihrer formlosen Parteianhörung zu ihren faktisch beschränkten Entscheidungskompetenzen in dem Unternehmen der Klägerin - sowohl eine Haftung der Beklagten aus § 280 Abs. 1 BGB i.V.m. dem Anstellungsvertrag als auch nach § 823 BGB und auch eine solche nach § 43 Abs. 2 GmbHG ausgeschlossen.
Eine Haftungsmilderung kommt nach herrschender Meinung im Bereich der Organfunktion zwar nicht in Betracht (Altmeppen, 10. Aufl. 2021, GmbHG § 43 Rn. 5 mit Darstellung des Streitstandes). Eine Ausnahme wird teilweise als möglich erachtet, wenn der Geschäftsführer wie jeder beliebige Dritte am Rechtsverkehr teilnimmt. In diesen Fällen sei eine analoge Anwendung der arbeitsrechtlichen Grundsätze zur innerbetrieblichen Schadensteilung je nach Umständen des Einzelfalls möglich, die umso eher ausscheidet, je autonomer der Geschäftsführer handeln kann, und umso mehr in Betracht kommt, je mehr er in seinem Handeln – etwa als Geschäftsführer einer konzernabhängigen GmbH – gebunden ist (vgl. Lutter, GmbHR 2000, 301, 312, juris). Klassischer Beispielsfall ist die Beschädigung eines gesellschaftseigenen Dienstwagens durch den Geschäftsführer (Lutter, GmbHR 2000, 301, 312; aA OLG Koblenz, aaO).
Legt man - wie nach Auffassung des Senats geboten - diesen Maßstab an das Handeln der Beklagten an, scheidet ihre Haftung auf Schadensersatz aus, weil sie bei den Fehlüberweisungen bloß leicht fahrlässig gehandelt hat (vgl. auch BAG NZA 1999, 263):
So wurden bei den Phishing-Mails, mit welchen die Beklagte getäuscht wurde, lediglich eine geringfügige Änderung der korrekten E-Mail-Adresse des langjährigen Geschäftspartners der Klägerin W. vorgenommen. Es wurden von dem oder den Tätern keine Änderung von Namen bei den (angeblich) für W. handelnden Personen vorgenommen und zudem war zeitlich vor den Überweisungen in Betrugsabsicht eine Änderung von Kontoverbindungen angekündigt worden. Die übersandten Rechnungen in den E-Mails waren plausibel sowohl nach der Art der Darstellung als auch in ihrer Höhe. Hinzu kommt die Art des Phishing-Angriffs, der nicht einmalig, sondern durch fortgesetzten E-Mail-Kontakt erfolgte, wobei jeweils Bezug auf die bestehende Kommunikation genommen wurde (auch auf solche vor Beginn der Phishing-Attacke). Insgesamt ergibt sich daraus das Bild eines sehr professionellen Handelns durch den oder die Phishing-Täter, auf welches die Beklagte als Betrugsopfer „hereingefallen“ ist.
Hiergegen ließe sich letztlich nur einwenden, dass Summen ab einer bestimmten Größenordnung nur nach intensiver Überprüfung und unter Wahrung des Vier-Augen-Prinzips überwiesen werden sollten. Angesichts der von der Beklagten glaubhaft geschilderten Ausgestaltung der (von dem Alleingesellschafter vorgegebenen) tatsächlichen Abläufe im Unternehmen der Klägerin war eine solche Gegenkontrolle für die Beklagte allerdings nicht leistbar. Die im Einzelnen überwiesenen Summen waren zudem nach im Prozess vorgelegten Kontoauszügen nicht außergewöhnlich, sondern alltäglich.
Damit scheidet in Übertragung der Grundsätze der Haftungsprivilegierung für Arbeitnehmer auf die Haftung des GmbH-Geschäftsführers eine Haftung der Beklagten hier insgesamt aus.
3. Damit kann dahinstehen, ob einer Haftung der Beklagten weiter auch die Berücksichtigung des relativen Verschuldensmaßstabes des § 43 GmbHG entgegen steht.
Die Ausgestaltung des anzulegenden Verschuldensmaßstabes ist durch die besondere Lage des Einzelfalles geprägt (so BGHZ 129, 30 = NJW 1995, 1290 – offenlassend, ob die arbeitsrechtlichen Grundsätze gelten; BeckOK GmbHG/Pöschke, 49. Ed. 1.8.2021, GmbHG § 43 Rn. 290). Bei der gebotenen Berücksichtigung des Einzelfalls müssten die oben genannten Argumente Berücksichtigung finden. Danach wäre eine Haftung der Beklagten zu verneinen.
4. Letztlich scheidet eine Haftung der Beklagten auch wegen Kenntnis der Klägerin in der Person ihres Alleingesellschafters und Mitgeschäftsführers R. von den tatsächlichen Geschehnissen im Zusammenhang mit den durch Betrugshandlungen Dritter veranlassten Geldüberweisungen aus.
Aus den im Prozess vorgelegten E-Mails wird deutlich, dass der Alleingesellschafter R. von der Beklagten in deren Email-Kommunikation mit (vermeintlich) W. jeweils in CC gesetzt bzw. ausdrücklich über die (angeblich) geänderten Kontoverbindungen informiert wurde. Dennoch unterblieb – entgegen dem Vorbringen der Klägerin – eine ausdrückliche Anweisung, keine Gelder zu überweisen oder die Geschäftsbeziehungen mit W. zu beenden. Anderes ergibt sich auch nicht aus der von der Klägerin vorgelegten Whatsapp-Nachricht (Blatt 233 der eAkte erster Instanz). Damit liegt ein sog. informelles Einverständnis der Klägerin mit der Handlungsweise der Beklagten vor, das die Haftung der Beklagten entfallen lässt. Denn der Befolgung eines Gesellschafterbeschlusses steht es gleich, wenn Geschäftsführer ohne förmliche Beschlussfassung im - auch stillschweigenden - Einverständnis aller Gesellschafter handeln (Verse in: Scholz, GmbHG, 12. Aufl. 2018 ff., § 43 GmbHG, Rn. 265).
Auch danach ist eine Haftung der Beklagten zu verneinen, da die Überweisungen auf eine geänderte Kontoverbindung (insoweit nicht wegen Übersehen der veränderten E-Mail-Adresse) mit dem zumindest informellen Einverständnis des Allein-Gesellschafters erfolgten.
Die EU-Kommission hat ihren Entwurf für den EU Cyber Resilience Act vorgelegt. Dieser soll die Cybersicherheit von Produkten mit digitalen Elementen erhöhen.
The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.
EU Cyber Resilience Act - For safer and more secure digital products
Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021.
Such products suffer from two major problems adding costs for users and the society:
a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.
While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs.
Two main objectives were identified aiming to ensure the proper functioning of the internal market:
1.create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and
2. create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements.
Four specific objectives were set out:
1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle;
2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers;
3. enhance the transparency of security properties of products with digital elements, and
4. enable businesses and consumers to use products with digital elements securely.
Das Bundeskabinett hat das Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) beschlossen.
Die Pressemitteilung des BMI:
"Bundesregierung stärkt Cybersicherheit
Kabinett beschließt Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit
Digitale binäre Daten geschützt durch das Sicherheitssystem (Quelle: Netzwerk- und Informationssystemsicherheit)
Das Kabinett hat heute den vom Bundesminister des Innern vorgelegten Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 (NIS-Richtlinie) beschlossen.
Hierzu erklärt der Bundesinnenminister Dr. Thomas de Maizière: "Die NIS-Richtlinie ist ein wichtiger Schritt für mehr Cyber-Sicherheit auch in Europa. Die Bundesregierung hat nun die Voraussetzungen dafür geschaffen, die europäischen Vorgaben rechtzeitig und zeitnah auch in nationales Recht umzusetzen. Dabei war die Ausgangsposition hierfür denkbar gut: In Deutschland haben wir mit dem IT-Sicherheitsgesetz, das bereits im Juli 2015 in Kraft getreten ist, schon einen einheitlichen Rechtsrahmen, bei dem Staat und betroffene Wirtschaft für mehr Cyber-Sicherheit der Kritischen Infrastrukturen in Deutschland zusammenarbeiten. Wir setzen uns dafür ein, dass der im IT-Sicherheitsgesetz verankerte kooperative Ansatz EU-weit als Vorbild für die Umsetzung der NIS-Richtlinie genutzt werden kann. Damit werden wir unserer Vorreiterrolle in Europa auf dem Gebiet der Cyber-Sicherheit gerecht."
Mit dem Gesetzentwurf wird zudem die Umsetzung der Cybersicherheitsstrategie vorangebracht: "Wir schaffen mit dem Gesetz eine Rechtsgrundlage für den Einsatz so genannter Mobiler Incident Response Teams („MIRTs“). Das Bundesamt für Sicherheit in der Informationstechnik wird zukünftig die Verwaltung und Betreiber kritischer Infrastrukturen auf deren Ersuchen hin bei herausgehobenen Sicherheitsvorfällen unterstützen können. Der Schutz von Staat, Wirtschaft und der Bevölkerung vor erheblichen Cyber-Sicherheits-Vorfällen wird damit weiter verbessert."
Die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union sieht den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit (nationale Strategien, Behörden und CERTs), eine stärkere Zusammenarbeit der Mitgliedstaaten und Mindestanforderungen sowie Meldepflichten vergleichbar zum nationalen IT-Sicherheitsgesetz vor. Viele Maßnahmen aus der NIS-Richtlinie sind in Deutschland in dem bereits im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz enthalten. Insofern besteht in Deutschland relativ geringer zusätzlicher Umsetzungsbedarf. Sie ist bis spätestens zum 9. Mai 2018 in nationales Recht umzusetzen."
