Virenschutz von Kaspersky: Einsatz in Deutschland fahrlässig?
Eine behördliche Warnung vor dem Einsatz einer bestimmten Software und die persönliche Haftung von Geschäftsleitungen bei mangelhafter Cybersicherheit in Unternehmen ist keine gute Kombination.
Das aktuelle US-amerikanische Vertriebsverbot für die Kaspersky-Virenschutzsoftware erinnert mich an eine Warnung des deutschen BSI vor dem Einsatz dieser Software im März 2022. Ob das BSI das sagen durfte, klären die Gerichte gerade. Jedenfalls wird die Umsetzung der NIS-2-Richtlinie in Deutschland einen neuen § 38 BSIG bringen, der Geschäftsleitungen der von der Richtlinie betroffenen Unternehmen zu Cybersicherheit verpflichtet. Das läuft auf eine persönliche Haftung der Geschäftsleitung für die Erfüllung dieser Pflichten hinaus, die wegen der gemäß § 93 Abs. 2 S. 2 AktG (und analog im GmbH-Recht) bestehenden Beweislastumkehr für die Geschäftsleiterhaftung besonders kritisch ist.
Wer will sich schon nachsagen lassen, er habe im Unternehmen fahrlässig den Einsatz einer Software geduldet, vor der die dafür zuständige Behörde gewarnt habe?