Ein Cyberangriff zählt heute zu den größten Bedrohungen für Unternehmen – und stellt zugleich eine Herausforderung für die IT-Compliance dar. Sie trifft nicht nur Großkonzerne mit komplexer IT-Struktur, sondern zunehmend auch Mittelständler und spezialisierte Dienstleister. Umso wichtiger ist es, dass Unternehmen nicht nur technisch, sondern auch rechtlich vorbereitet sind. Denn Fehler im Umgang mit einem Erpressungsfall – sei es in der Prävention, sei es im Krisenmanagement – können erhebliche haftungs- und strafrechtliche Folgen nach sich ziehen.
Prävention ist Pflicht
Wer glaubt, ein Cyberangriff sei vor allem ein IT-Problem, übersieht das rechtliche Risiko. Die Datenschutz-Grundverordnung verpflichtet Unternehmen, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Anforderungen an technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO orientieren sich am Stand der Technik und bilden einen zentralen Bestandteil jeder funktionierenden IT-Compliance. Verschlüsselte Datenspeicherung, eine konsequente Rechtevergabe auf Basis von Zugriffsrollen, regelmäßige Sicherheitsupdates sowie mehrstufige Authentifizierungsverfahren gehören typischerweise zu den grundlegenden Erwartungen an ein angemessenes Schutzniveau. Viele Unternehmen erfüllen diese Standards bislang nicht vollständig – mit erheblichen Risiken hinsichtlich der DSGVO.
Die Sanktionen bei Verstößen sind empfindlich. Verstöße gegen Art. 32 DSGVO werden nicht nur bußgeldrechtlich verfolgt, sondern zeigen zugleich auf, wie eng Datenschutz, IT-Sicherheit und IT-Compliance miteinander verzahnt sind. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor. Und der EuGH hat mit Urteil vom 5. Dezember 2023 (Rs. C-807/21, Deutsche Wohnen SE) klargestellt, dass Unternehmen auch ohne konkrete individuelle Verantwortlichkeit belangt werden können.
Neben Geldbußen drohen auch verwaltungsrechtliche Maßnahmen – etwa die Untersagung der Verarbeitung personenbezogener Daten – und Schadenersatzansprüche betroffener Personen. All das trifft das Unternehmen oft mitten in der Krisenbewältigung. Prävention ist daher nicht bloß empfehlenswert, sie ist rechtlich geboten.
NIS-2 und neue Haftungsrisiken
Mit der neuen EU-Richtlinie NIS-2 kommen zusätzliche Verpflichtungen auf eine Vielzahl von Unternehmen zu, insbesondere Betreiber kritischer Dienste, aber auch viele Mittelständler aus Industrie, Handel und Dienstleistungen. Verstöße gegen Meldepflichten oder unzureichende Sicherheitskonzepte können künftig noch breitere Haftungstatbestände eröffnen. Die Umsetzung in nationales Recht steht derzeit zwar noch aus, betroffene Unternehmen sollten sich aber jetzt bereits auf verschärfte Anforderungen vorbereiten.
Untreue wegen unzureichender Prävention?
Wenig bekannt, aber rechtlich brisant ist, dass unterlassene Prävention auch strafrechtlich als Untreue (§ 266 StGB) gewertet werden kann. Das gilt etwa dann, wenn ein Geschäftsführer, ein Chief Information Security Officer oder ein Compliance-Beauftragter seine Vermögensbetreuungspflicht zumindest bedingt vorsätzlich verletzt und dem Unternehmen dadurch ein Schaden entsteht. Ein Verstoß gegen § 32 DSGVO oder gegen die NIS-2-Richtlinie reicht für sich allein wohl nicht aus – meist fehlt es hier an einem unmittelbaren Vermögensbezug. Anknüpfungspunkte können sich jedoch aus dem Arbeitsvertrag und der dort begründeten Verantwortung für IT-Sicherheit ergeben.
Ein unmittelbarer Schaden kann etwa in einem Betriebsausfall, in Schadenersatzforderungen Dritter oder in den Kosten für die Wiederherstellung der Systeme liegen. Noch ist die strafrechtliche Relevanz solcher Fälle umstritten – insbesondere fehlt es oft am Vorsatz – doch die Diskussion gewinnt an Fahrt.
Die Zahlung von Lösegeld – erlaubt oder strafbar?
Meldepflichten nach Art. 33 DSGVO bei Cyberangriffen
Wird ein Unternehmen Opfer eines Cyberangriffs und wird damit erpresst, stellt sich schnell die Frage, ob Lösegeld überhaupt gezahlt werden darf. Strafrechtlich ist dies komplex. Grundsätzlich ist die Zahlung selbst nicht verboten. Doch sie kann in bestimmten Konstellationen strafrechtlich relevant werden.
So ist etwa das Unterlassen einer Meldung gemäß Art. 33 Abs. 1 DSGVO bußgeldbewehrt. Geldbußen nach Art. 83 Abs. 4 lit. a DSGVO können bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes betragen. Eine Pflicht zur Strafanzeige nach § 138 StGB besteht hingegen nicht.
Untreue und interne Entscheidungsprozesse
Auch die Zahlung selbst kann Risiken bergen. Im Rahmen der IT-Compliance sollte vor einer solchen Entscheidung stets geprüft werden, ob alle internen Freigabeprozesse eingehalten und alle relevanten Abwägungsparameter dokumentiert wurden. Eine Löesegeldzahlung kann als Untreue gewertet werden, insbesondere wenn sie voreilig erfolgt oder keine ausreichende Gegenleistung erkennbar ist. Eine nachvollziehbare Abwägung und Dokumentation sind daher essenziell.
Zudem können strafrechtliche Risiken entstehen: etwa nach § 129 StGB (Unterstützung einer kriminellen Vereinigung), § 89c StGB (Terrorismusfinanzierung) oder § 18 AWG (Verstoß gegen Sanktionsrecht). In all diesen Fällen genügt bedingter Vorsatz, ein rechtfertigender Notstand wird meist abgelehnt. Die rechtliche Bewertung hängt hier stark vom Einzelfall ab.
Fazit
Ein Cyberangriff ist kein Nischenthema mehr – er ist reale Bedrohung und juristische Herausforderung zugleich und macht die Einhaltung einer wirksamen IT-Compliance zur zentralen Verteidigungslinie. Unternehmen brauchen mehr als gute Firewalls. Sie brauchen einen klaren Plan für den Ernstfall – und eine präventive Strategie, die nicht nur technisch, sondern auch rechtlich funktioniert.
Dabei ist anwaltliche Beratung von zentraler Bedeutung. Gerade Strafverteidiger mit Erfahrung in Wirtschaftsstrafverfahren sind mit den Denk- und Vorgehensweisen der Ermittlungsbehörden vertraut und können Unternehmen frühzeitig vor Fehlentscheidungen bewahren. Ob es um die Bewertung einer potenziell strafbaren Lösegeldzahlung geht, um die strategische Reaktion gegenüber Aufsichtsbehörden oder um die Vorbereitung auf ein mögliches Bußgeldverfahren – professionelle Begleitung hilft, Risiken richtig einzuordnen und Handlungsspielräume zu sichern.
Dieser Beitrag enstand im Rahmen einer Fachveranstaltung der Regionalgruppe Nord des Berufsverbands der Compliance Manager (BCM) e.V., die am 27. März 2025 in den Räumlichkeiten von Pragal & Prinzenberg stattfand. Unter dem Titel „Straf- und zivilrechtliche Haftungsrisiken bei der Prävention und Abwehr von Cybererpressungen“ diskutierten die Teilnehmer aktuelle Fragestellungen rund um Cybercrime, Unternehmensverantwortung und Risikomanagement. Neben RA Dr. Oliver Pragal, der die strafrechtliche Perspektive beleuchtete, referierten auch RA Wolfgang Prinzenberg zur zivilrechtlichen Haftung und RA Dr. Peter Dickstein zur Rolle der Cyberversicherung. Die wichtigsten strafrechtlichen Inhalte des Abends werden im folgenden Beitrag vertieft.
