Das durch die europäische NIS-2-Richtlinie geänderte Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) bringt eine ganze Reihe an Neuerungen im Bereich der IT-Sicherheit. Im Gegensatz zu sonstigen Rechtsakten der europäischen Digitalgesetzgebung enthalten die Änderungen des BSIG durch die NIS-2-Richtlinie eine neue Vorgabe, die explizit Geschäftsleitungen von BSIG-relevanten Unternehmen und sonstigen Stellen besonders interessieren dürfte.

Herausforderung des § 38 BSIG für Geschäftsleitungen

Denn nach dem Wortlaut von § 38 BSIG sind Geschäftsleitungen (besonders wichtiger Einrichtungen und wichtiger Einrichtungen) verpflichtet,

• Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen (Abs. 1); und
• regelmäßig an Schulungen teilzunehmen, um zusammengefasst Kenntnisse über IT-Sicherheitsrisiken, deren Management und Auswirkungen auf die geleitete Einrichtung zu erlangen (Abs. 3).

Diese Pflichten dürften für Geschäftsleitungen auch deshalb von besonderem Interesse sein, da Geschäftsleitungen, die ihre Pflichten nach Abs. 1 verletzen, gemäß § 38 Abs. 2 S. 1 BSIG ihrer Einrichtung für einen schuldhaft verursachten Schaden haften.

Und nicht nur das: Nach § 61 Abs. 9 S. 2 Nr. 2 BSIG kann die zuständige Aufsichtsbehörde, als letztes Mittel, sogar unzuverlässigen Geschäftsleitungen die Ausübung der Tätigkeit, zu der sie berufen sind, vorübergehend untersagen.

„die Geschäftsleitung“ – um wen geht es?

Allerdings dürfte die Anwendung des § 38 BSIG für die Geschäftsleitung doch noch einige offene Fragen bereithalten.

Nicht eindeutig ist bereits, wer alles unter den Begriff „Geschäftsleitung“ fällt. Nach § 2 Nr. 13 BSIG ist „„Geschäftsleitung“ eine natürliche Person, die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen ist; …“.

Entscheidend dürften nach der Definition also vor allem zwei Kriterien sein:

• Personen, denen
  • Befugnis zur Führung der Geschäfte der Einrichtung; und
  • Vertretungsmacht;
• durch Gesetz, Satzung oder Gesellschaftsvertrag eingeräumt wurde.

Die eindeutigeren Fälle

Klar in den Anwendungsbereich der Norm fallen etwa Geschäftsführer einer Gesellschaft mit beschränkter Haftung (GmbH) oder der Vorstand einer Aktiengesellschaft (AG), da diese regelmäßig zur Führung der Geschäfte berufen sind und ihnen entsprechende gesetzliche Vertretungsmacht eingeräumt worden ist (siehe § 35 GmbHG und § 78 Abs. 1 AktG).

Auseinanderfallen könnten diese Voraussetzungen dagegen bspw. im Fall eines Chief Information Officer (CIO). Denkbar wäre es nämlich, dass diesem zwar die Führung der Geschäfte in seinem Tätigkeitsbereich (= z. B. strategische Ausrichtung, Planung und operative Leitung der Informationstechnologie sowie der digitalen Transformation im Unternehmen) übertragen worden ist, dass ihm aber dennoch keine Vertretungsmacht im Außenverhältnis eingeräumt worden ist. Liegt ein solcher Fall vor, so könnte dies gegen die Erfüllung der Voraussetzungen der Geschäftsleitung i. S. v. §§ 2 Nr. 13 und 38 BSIG sprechen.

Der Prokurist

Doch wie verhält es sich in Bezug auf Prokuristen? Weder die NIS-2-Richtlinie (siehe dort in Art. 20 Abs. 2 NIS-2-Richtlinie) noch das BSIG (§ 2 Nr. 13 BSIG oder aber dessen Gesetzesbegründung) geben näher Aufschluss darüber, wie weit der Begriff der Geschäftsleitung zu verstehen ist.

Aus § 49 Abs. 1 HGB ergibt sich, dass die Prokura zu allen Arten von gerichtlichen und außergerichtlichen Geschäften und Rechtshandlungen ermächtigt, die der Betrieb eines Handelsgewerbes mit sich bringt. Das heißt, grundsätzlich könnte demnach auch ein Prokurist als Teil der Geschäftsleitung i. S. v. § 38 Abs. 3 BSIG einzuordnen sein und das Merkmal „gesetzliche Vertretungsmacht“ als erfüllt angesehen werden.

Problematisch ist allerdings, dass der Prokurist nicht in jedem Fall vollständig allein nach außen vertreten darf. Dies ergibt sich u. a. aus § 49 Abs. 2 HGB, wonach der Prokurist zur Veräußerung und Belastung von Grundstücken nur ermächtigt ist, wenn ihm diese Befugnis besonders erteilt ist. Außerdem darf der Prokurist sog. Grundlagen- (= Geschäfte, die die Existenz des Unternehmens berühren), Inhaber- (höchstpersönliche Handlungen) oder auch Privatgeschäfte (, die nicht betriebsbedingt sind) grundsätzlich nicht führen, was gegen die Anwendung der §§ 2 Nr. 13 und 38 BSIG sprechen könnte. Dies begründet sich insbesondere damit, dass § 49 Abs. 1 HGB den Prokuristen nur zu Geschäften und Rechtshandlungen ermächtigt, „die der Betrieb eines Handelsgewerbes mit sich bringt“. Fraglich ist daher, ob § 2 Nr. 13 BSIG eine volle Vertretungsmacht nach Außen voraussetzt oder auch eine inhaltlich beschränkte Vertretungsmacht genügt.

Im Ergebnis ist festzustellen, dass das Gesetz dem Prokuristen vom Grundsatz her eine Vertretungsmacht einräumt. Wie diese Vertretungsmacht im Einzelnen ausgestaltet ist, dürfte für die Beantwortung der Frage, wer Teil der Geschäftsleitung nach § 38 Abs. 3 BSIG ist, eher nachrangig sein. Denn § 2 Nr. 13 BSIG verlangt „nur“, dass „eine natürliche Person […] nach Gesetz, Satzung oder Gesellschaftsvertrag [...] berufen ist“. Andernfalls würde die Voraussetzung des Merkmals „Vertretungsmacht“ und damit auch die Einordnung als Geschäftsleitung i. S. v. §§ 2 Nr. 13, 38 BSIG bspw. im Fall eines GmbH-Geschäftsführers davon abhängen, ob er alleinige Vertretungsmacht hat oder ob er sich diese mit anderen Geschäftsführern teilt. Eine solche Differenzierung dürfte vom Zweck des § 38 BSIG, der die Entscheider in Bezug auf das Thema IT-Sicherheit sensibilisieren will, gerade nicht beabsichtigt sein.

Wie auch in den anderen Fällen zuvor, muss der Prokurist auch zur „Führung der Geschäfte“ der Einrichtung nach § 2 Nr. 13 BSIG berufen sein, was allerdings wegen der nach § 49 HGB eingeräumten Prokura regelmäßig vorliegen dürfte.

Nach alledem dürfte auch der Prokurist daher als Geschäftsleitung i. S. d. §§ 2 Nr. 13 und 38 BSIG einzuordnen sein.

Wie vorstehend beschrieben, dürfte sich die Situation auch im Fall eines Komplementärs darstellen, da diesem nach den §§ 161, 125 HGB ebenfalls eine gesetzliche Vertretungsmacht eingeräumt ist.

Fazit & Empfehlung

Prokuristen und auch Komplementäre sollten daher genau abwägen, ob sie sich zur Geschäftsleitung nach dem BSIG zählen oder nicht. Denn im Schadensfall dürfte der entsprechende Schulungsnachweis und die Kenntnis über Risiken in Bezug auf die informationstechnischen Systeme von besonderer Bedeutung sein.

Übrigens: Nach den FAQ des Bundesamts für Sicherheit in der Informationstechnik reicht es im Fall von mehreren Geschäftsleitungen nicht aus, wenn sich nur eine Person schulen lässt und der Rest nicht (Geschäftsleitung, 3.).

Sie haben Fragen zum Thema Schulungen der Geschäftsleitung nach den Vorgaben des BSIG? Wir bieten Schulungen für Geschäftsleitungen nach dem BSIG an. Bei Interesse melden Sie sich bitte gern bei uns unter info@piltz.legal.