IT-Sicherheit wird Chefsache: Gerichte und Behörden verschärfen Druck

Die Schonfrist für lasche IT-Sicherheit in deutschen Unternehmen ist vorbei. Eine neue Rechtsprechung und verschärfte Gesetze machen Cybersecurity zum zentralen Haftungsrisiko für Vorstände und Geschäftsführer.

BGH-Urteil weitet Haftung aus

Ein Grundsatzurteil des Bundesgerichtshofs (BGH) vom November 2025 sorgt für eine Zäsur. Der BGH entschied, dass die Pflicht zur Datensicherung nicht automatisch mit dem Ende eines Dienstleistervertrags erlischt. Geprüft wurde ein Fall, bei dem ein Streaming-Dienst und ein externer Datenverarbeiter nach Vertragsende 2019 einen Datenschutzvorfall hatten. Liegen die Daten weiterhin beim Anbieter, bleibt die Haftung bestehen.

„Das verändert das Risikomanagement grundlegend“, analysieren Rechtsexperten. Unternehmen können sich nicht mehr auf die Vertragsunterzeichnung verlassen. Sie müssen die tatsächliche Löschung von Daten nachweisen. Andernfalls drohen Schadensersatzklagen nach der DSGVO und Unternehmenssanktionen wegen Aufsichtspflichtverletzungen. Rechtsabteilungen müssen ihre Prozesse für die Abwicklung von IT-Dienstleistern sofort überprüfen.

Viele Unternehmen unterschätzen die praktischen Folgen der neuen Rechtsprechung und der verschärften Regelungen wie NIS2 und DORA – die ersten hohen Bußgelder und Haftungsfälle stehen bereits in Aussicht. Dieser kostenlose Leitfaden erklärt praxisnah, welche technisch-organisatorischen Maßnahmen jetzt verpflichtend sind, wie Sie Nachweispflichten erfüllen und Haftungsrisiken für Vorstände reduzieren. Mit Checklisten für Vertragspassagen, Löschnachweise und Notfallpläne. Jetzt kostenlosen Cyber-Security-Guide sichern

NIS2-Umsetzung: Die Übergangsfrist ist abgelaufen

Parallel zur justiziellen Verschärfung tritt die Aufsicht in eine neue Phase. Das NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft und wird nun aktiv überprüft. Das Gesetz betrifft schätzungsweise 30.000 Unternehmen in Deutschland.

Die anfängliche Übergangsphase zur Einrichtung von CISO-Strukturen und Risikomanagement ist beendet. Geschäftsführer und Vorstände haften nun persönlich für die Umsetzung der Cybersicherheitsmaßnahmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Befugnisse ausgebaut. Erste Compliance-Prüfungen laufen bereits.

Anders als früher sind bei Verstößen sofortige Bußgelder möglich. Besonders kritisch sind die Meldepflichten: Signifikante Cyber-Vorfälle müssen innerhalb von 24 Stunden gemeldet werden.

Finanzbranche im Fokus: BaFin setzt DORA um

Für Banken und Versicherungen ist der Druck noch höher. Die seit Januar 2025 geltende Digital Operational Resilience Act (DORA)-Verordnung steht im Mittelpunkt der BaFin-Aufsicht 2026. Schwerpunkt ist das Risikomanagement für externe IT-Dienstleister.

Die BaFin hat von beratender auf kontrollierende Aufsicht umgestellt. Finanzinstitute müssen nun konkrete „Exit-Strategien“ für kritische IT-Anbieter nachweisen – eine Forderung, die perfekt zum BGH-Urteil passt. Die Aufseher prüfen zudem „Konzentrationsrisiken“, wenn viele Institute denselben Cloud-Anbieter nutzen.

Kann eine Bank keinen robusten Notfallplan unabhängig vom Haupt-IT-Anbieter vorlegen, drohen Kapitalzuschläge oder Geldstrafen. IT-Sicherheitsmängel können so direkt die Bonitätsbewertung und Eigenkapitalanforderungen verschlechtern.

Was bedeutet das für die Wirtschaft?

Die gleichzeitige Verschärfung durch Gerichte (BGH) und Aufseher (NIS2/DORA) übt eine Zangenbewegung auf das Unternehmensmanagement aus. Die zivilrechtliche Haftung wurde ausgeweitet, während das öffentliche Recht strikte Strafen für Verfahrensfehler vorsieht – unabhängig davon, ob ein Vorfall eintritt.

Die Folge: Die Nachfrage nach spezialisierten „Cyber-Compliance“-Officern steigt rasant. Die traditionelle Trennung zwischen IT-Abteilung und Rechtsabteilung löst sich auf. IT-Sicherheitsvorfälle werden 2026 primär als Compliance-Verstöße gewertet, nicht als technische Pannen.

Experten rechnen in der ersten Jahreshälfte 2026 mit den ersten hohen Bußgeldern nach NIS2. Diese werden den Maßstab für „angemessene“ technisch-organisatorische Maßnahmen setzen. Mit dem bevorstehenden Cyber Resilience Act, der die Produktsicherheit reguliert, wird sich der Haftungsbereich bald auch auf Hardware und Software erweitern.

Die Botschaft an die deutsche Wirtschaft ist eindeutig: IT-Sicherheit ist keine operative Kostenstelle mehr, sondern eine zentrale Säule der rechtlichen Unternehmensführung. Unwissenheit schützt vor den harten Sanktionen von Aufsichtsbehörden und Gerichten nicht mehr.

Übrigens: IT‑Sicherheit lässt sich oft effizienter verbessern, als viele Vorstände denken. Der Gratis‑Leitfaden zeigt, wie Sie ohne großen Etat eine belastbare Cyber‑Resilienz aufbauen, Meldeprozesse für Vorfälle implementieren und Mitarbeiter praxisnah schulen – genau die Maßnahmen, die Aufsichtsbehörden und Gerichte künftig erwarten. Ein Must‑Read für Geschäftsführer, Compliance‑ und IT‑Verantwortliche. Gratis‑Cybersecurity‑Guide für Entscheider herunterladen