Neue Haftungsrisiken im Blick behalten

Das Umfeld für Unternehmen hat sich radikal verändert: Mit dem Beginn des russischen Angriffskriegs ist die Zahl der Cyberangriffe auf deutsche Unternehmen stark gestiegen. Eines der bekanntesten Beispiele dafür ist die Attacke auf Continental. Hacker drangen in die IT-Systeme des Autozulieferers ein und konnten wichtige Daten entwenden. Dies ist kein Einzelfall. Die Zahl der Cyberangriffe nimmt dramatisch zu. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte in seinem Jahresbericht 2022: „Die Bedrohung im Cyber-Raum ist so hoch wie nie.“ Marc Böhlhoff, Partner Consulting bei Mazars in Deutschland, sagt: „Viele Unternehmen haben das Risiko von Cyberangriffen bislang unterschätzt. Oft sind sie nicht adäquat aufgestellt, haben keine Notfallpläne entwickelt und keine standardisierten Reaktionsketten.“

Solche Risiken im Blick zu haben und Schäden zu verhindern oder zu minimieren, gehört zu den Aufgaben des Vorstands und des Aufsichtsrats. Beide sind gesetzlich verpflichtet, Maßnahmen zum Schutz und zur Abwehr von Cyberangriffen in Form eines Risikomanagements zu treffen. Das lässt sich aus den Sorgfaltspflichten der Führungsgremien ableiten.

Die Anforderungen sind gestiegen

Cybersicherheit ist nur ein Beispiel für neue Risiken, mit denen sich Aufsichtsrät*innen auseinandersetzen sollten. Die Anforderungen an das Kontrollgremium hat der Gesetzgeber in den vergangenen Jahren erhöht. „Auf der einen Seite bedeutet das mehr Verantwortung, auf der anderen Seite bringt es aber auch höhere Haftungsrisiken mit sich, wenn Sorgfaltspflichten verletzt werden“, sagt Böhlhoff.

An erster Stelle stehen für den Mazars Experten hier die nichtfinanziellen Informationen. Denn mit der Corporate Sustainability Reporting Directive (CSRD) sind in Zukunft viel mehr Unternehmen verpflichtet, eben diese offenzulegen, um über die Nachhaltigkeit ihres Handelns zu informieren. „Unternehmen müssen in Zukunft weiterdenken und Chancen sowie Risiken bei den Themengebieten Umwelt, Soziales und Unternehmensführung definieren“, ergänzt Daniele Fonte, Senior Manager Financial Services bei Mazars in Deutschland.

Die EU entwickelt die Standards zur Umsetzung für die einzelnen Branchen. Damit verbunden ist eine Revolution im Reporting von Unternehmen: Nichtfinanzielle Informationen werden auf eine Ebene mit klassischen Finanzdaten gestellt. „Der Aufsichtsrat muss sich deshalb zukünftig um die fristgemäße Umsetzung kümmern und somit Nachhaltigkeitsaktivitäten, Strategien, Chancen und Risiken überwachen“, sagt Böhlhoff. Zudem müssen Unternehmen, die der Pflicht zum Nachhaltigkeits-Reporting unterliegen, ihre Klimaziele für die kommenden Jahre konkretisieren. Dabei muss klar werden, wo sie aktuell bei ihren Emissionen stehen und welche Reduzierung sie bis wann erreichen wollen.

Risiken frühzeitig erkennen

Mit den gestiegenen Haftungsrisiken gilt es, Vorsorge zu treffen: Ein wichtiger Schritt sind regelmäßige Fortbildungen, um Aufsichtsrät*innen zu sensibilisieren – beispielsweise für die regulatorischen Auflagen beim Thema Nachhaltigkeit. Ein entsprechendes Fortbildungskonzept sollte dafür sorgen, dass die Vertreter*innen des Kontrollgremiums auf dem neuesten Stand bleiben. „Aufsichtsrät*innen sollten sich vom Vorstand oder der Geschäftsführung über potenzielle Risiken berichten lassen und die internen Kontrollen überwachen“, rät Böhlhoff.

Spezielle Versicherungen reduzieren diesbezüglich die finanziellen Risiken aus eventuellen Haftungsfällen. Diese Policen heißen Directors-and-Officers-Versicherung, kurz: D&O. In der Regel schließen Unternehmen diese Policen für ihre Organe, deren Mitglieder und ihre leitenden Angestellten ab. Im Haftungsfall sind diese dann geschützt. Die D&O-Police kommt für die finanziellen Schäden auf, die sich durch die Verletzung von Sorgfaltspflichten ergeben. Dieser Haftungsschutz hat allerdings seinen Preis. Hinzu kommt: Die Prämien sind im Zuge des Wirecard-Skandals zuletzt deutlich gestiegen.