/ Blog / Wie minimieren Schweizer Verwaltungsräte ihre persönliche Haftung bei Cybervorfällen (Art. 717 OR)?
Veröffentlicht am Mai 17, 2024

Die persönliche Haftung eines Verwaltungsrats wird nicht durch technische IT-Kenntnisse abgewendet, sondern durch einen lückenlos dokumentierten und gelebten Risikomanagement-Prozess.

  • Die Ausrede „Ich verstehe nichts von IT“ ist vor Gericht wirkungslos; entscheidend ist das Stellen der richtigen strategischen Fragen.
  • Verträge mit IT-Dienstleistern und Cyber-Versicherungen enthalten oft entscheidende Lücken, die die persönliche Haftung ungedeckt lassen.

Empfehlung: Implementieren Sie ein System zur gerichtsfesten Dokumentation Ihrer Cybersicherheits-Entscheidungen, um im Schadenfall einwandfreies Handeln nach „Business Judgement Rule“ nachweisen zu können.

Die Sorge, nach einem verheerenden Cyberangriff mit dem Privatvermögen für den Unternehmensschaden haften zu müssen, ist für viele Schweizer Verwaltungsräte zur realen Bedrohung geworden. Angesichts explodierender Cyberkriminalität reicht es längst nicht mehr aus, das Thema an die IT-Abteilung zu delegieren und auf eine gute Versicherung zu hoffen. Das Schweizer Obligationenrecht, insbesondere Artikel 717, nimmt den Verwaltungsrat unmissverständlich in die Pflicht. Er trägt die oberste Verantwortung für das Risikomanagement – und dazu gehören Cyberrisiken heute an vorderster Stelle.

Viele Führungskräfte glauben fälschlicherweise, dass sie mangels technischer Expertise von dieser Verantwortung entbunden seien. Dies ist ein gefährlicher Irrtum. Die Gerichte erwarten von einem Verwaltungsrat keine IT-Spezialisten, aber sie fordern einen tadellosen, nachvollziehbaren Prozess im Umgang mit den Risiken. Es geht nicht darum, Firewalls zu konfigurieren, sondern die richtigen Fragen zu stellen, die Risikobereitschaft des Unternehmens zu definieren und die Umsetzung von Schutzmassnahmen systematisch zu überwachen und zu dokumentieren. Das Versäumnis, diesen Prozess zu etablieren, wird als Organisationsverschulden gewertet und öffnet die Tür zur persönlichen Haftung.

Doch was bedeutet das konkret? Die wahre Schutzmauer für Ihr Privatvermögen ist nicht die neueste Software, sondern eine gerichtsfest dokumentierte Sorgfalt. Dieser Artikel verlässt bewusst die technische Ebene und bietet Ihnen einen juristischen Kompass. Er zeigt Ihnen, wie Sie Ihre Aufsichts- und Sorgfaltspflicht so wahrnehmen, dass Sie im Ernstfall nachweisen können, alle zumutbaren Vorkehrungen getroffen zu haben. Wir werden die Fallstricke in Verträgen und Versicherungspolicen aufdecken und Ihnen eine klare Methodik an die Hand geben, um Cybersicherheit als strategische Daueraufgabe im Verwaltungsrat zu verankern.

Dieser Leitfaden ist Ihre strategische Vorbereitung auf den Ernstfall. Er übersetzt die abstrakten Anforderungen des Gesetzes in konkrete, umsetzbare Handlungsschritte für den Verwaltungsrat und zeigt auf, wie Sie die Weichen richtig stellen, um Ihr Unternehmen zu schützen und Ihre persönliche Haftung wirksam zu minimieren.

Inhaltsverzeichnis: Persönliche Haftung des VR bei Cybervorfällen – der juristische Fahrplan

Warum „Ich verstehe nichts von IT“ vor Gericht nicht mehr als Ausrede gilt?

Die Vorstellung, dass ein Verwaltungsrat sich mit dem Verweis auf mangelnde technische Kenntnisse aus der Verantwortung für einen Cyber-Schaden ziehen kann, ist eine Illusion. Die Schweizer Rechtsprechung hat klargestellt, dass die Sorgfaltspflicht gemäss Art. 717 OR eine aktive Auseinandersetzung mit allen wesentlichen Geschäftsrisiken erfordert – und Cyberrisiken stehen dabei an oberster Stelle. Ein Gericht prüft nicht, ob Sie persönlich einen Hackerangriff hätten abwehren können, sondern ob Sie als Gremium ein angemessenes System zur Identifikation, Bewertung und Minderung dieser Risiken etabliert haben. Das Versäumnis, dies zu tun, stellt ein Organisationsverschulden dar.

Die Bedrohungslage lässt keine andere Interpretation mehr zu. Allein im Jahr 2024 wurden dem Bundesamt für Cybersicherheit (BACS) fast 63.000 Cybervorfälle gemeldet, was beinahe eine Verdoppelung gegenüber dem Vorjahr darstellt. Angesichts dieser Zahlen gilt die Ignoranz gegenüber IT-Themen als grob fahrlässig. Ihre Aufgabe ist nicht die technische Umsetzung, sondern die strategische Steuerung. Diesem Anspruch werden Sie gerecht, indem Sie der Geschäftsleitung und den IT-Verantwortlichen die richtigen, kritischen Fragen stellen. Die Antworten darauf bilden die Grundlage für Ihre Entscheidungen und deren notwendige Dokumentation. Das Prinzip lautet: Delegation ist nicht Abdankung. Sie dürfen die operative Arbeit delegieren, aber niemals die oberste Aufsicht und Kontrolle.

Die sogenannte Business Judgement Rule nach Schweizer Auslegung schützt Sie vor Haftung für unternehmerische Fehlentscheide, aber nur unter einer Bedingung: Der Entscheidungsprozess muss einwandfrei, informiert und frei von Interessenkonflikten gewesen sein. Wenn Sie nicht nachweisen können, dass Sie sich aktiv und kritisch mit den Cyberrisiken auseinandergesetzt haben, greift dieser Schutz nicht. Die folgenden Fragen sind daher nicht nur ein Werkzeug zur Risikobewertung, sondern der erste Schritt zu Ihrer persönlichen juristischen Absicherung.

Die 5 kritischen Fragen des Verwaltungsrats an die IT-Leitung

  1. Quantifizierung der Risikotoleranz: Wie quantifizieren wir unsere aktuelle Risikotoleranz im Cyber-Bereich und welches maximale Schadensausmass sind wir bereit zu tragen?
  2. Bewusste Risikoakzeptanz: Welches sind die Top 3 Cyber-Risiken, die wir als Unternehmen bewusst akzeptieren, und aus welchen geschäftlichen Gründen tun wir dies?
  3. ROI der Sicherheitsmassnahmen: Wie genau messen wir den Return on Investment unserer Cybersicherheits-Investitionen, um deren Wirksamkeit zu belegen?
  4. Unabhängige Überprüfung: Welche unabhängigen Audits oder Penetration-Tests unserer Cyber-Resilienz finden regelmässig statt und wer prüft die Ergebnisse?
  5. Vergütung und Sicherheitsziele: Wie ist die variable Vergütung der Geschäftsleitung direkt an das Erreichen von messbaren Cybersicherheitszielen gekoppelt?

Welche Haftungsklauseln müssen in den Vertrag mit Ihrem Managed Service Provider?

Die Auslagerung von IT-Dienstleistungen an einen Managed Service Provider (MSP) ist eine gängige und oft sinnvolle Praxis. Für den Verwaltungsrat birgt sie jedoch eine erhebliche Haftungsfalle: die Annahme, mit der Delegation der Aufgaben auch die Verantwortung abgegeben zu haben. Das Gegenteil ist der Fall. Der VR bleibt vollumfänglich in der sogenannten Geschäftsherrenhaftung. Er muss nicht nur den Dienstleister sorgfältig auswählen, sondern ihn auch laufend anleiten und überwachen. Ein schlecht formulierter Vertrag kann im Schadenfall dazu führen, dass Ihr Unternehmen auf dem Schaden sitzen bleibt und Sie persönlich in Regress genommen werden.

Viele Standardverträge von MSPs enthalten Haftungsbeschränkungen, die den Schadenersatz auf wenige Monatsgebühren begrenzen. Dies steht in keinem Verhältnis zum potenziellen Millionenschaden, den ein Vorfall verursachen kann. Ein juristisch wasserdichter Vertrag muss die Haftungssummen am potenziellen Schaden ausrichten und klare Verantwortlichkeiten definieren. Wer meldet einen Vorfall an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)? Wer trägt die Kosten für die Forensik und die Wiederherstellung? Ohne präzise vertragliche Regelungen entstehen im Ernstfall gefährliche Grauzonen.

Besonders kritisch sind Klauseln zur Datenspeicherung und zum Prüfrecht. Garantiert der MSP, dass alle Ihre Daten ausschliesslich in der Schweiz (oder in von Ihnen genehmigten Ländern) gespeichert werden? Haben Sie das Recht, die Sicherheitsmassnahmen des MSP und sogar dessen Subunternehmer durch einen unabhängigen Dritten prüfen zu lassen (Right-to-Audit)? Eine solche Prüfung, idealerweise nach einem anerkannten Standard wie PS 890, ist ein entscheidender Nachweis Ihrer Sorgfaltspflicht.

Detailaufnahme eines Vertragsabschlusses mit Fokus auf Unterschrift, die die Wichtigkeit juristischer Klauseln symbolisiert

Der Vertrag mit Ihrem MSP ist somit ein zentrales Instrument Ihres Risikomanagements. Er muss so gestaltet sein, dass er Ihre Überwachungs- und Kontrollpflichten wirksam unterstützt. Die folgenden Klauseln sind keine Verhandlungsmasse, sondern eine unabdingbare Voraussetzung, um Ihre persönliche Haftung zu begrenzen.

  • Right-to-Audit-Klausel: Bestehen Sie auf einem Prüfrecht, das auch die Subunternehmer des MSP umfasst, idealerweise nach dem Prüfstandard PS 890.
  • Garantie zum Datenstandort: Lassen Sie sich die ausschliessliche Datenspeicherung in der Schweiz oder in explizit genehmigten Ländern vertraglich zusichern.
  • nDSG-Konformität: Der Vertrag muss den MSP zur vollen Konformität mit dem neuen Datenschutzgesetz verpflichten, inklusive der Übernahme von Meldepflichten an den EDÖB im Auftrag Ihres Unternehmens.
  • Angemessene Haftungssummen: Die Haftung des Dienstleisters muss sich am potenziellen Schaden orientieren und darf nicht pauschal auf die Höhe der Monatsgebühren beschränkt sein.
  • Klare Incident-Response-Verantwortlichkeiten: Definieren Sie exakt, wer im Falle eines Sicherheitsvorfalls welche Schritte (Analyse, Meldung, Wiederherstellung) in welcher Zeit durchführen muss.

Wie dokumentieren Sie Sicherheitsmassnahmen so, dass sie vor Gericht Bestand haben?

Im Falle einer Klage gegen den Verwaltungsrat nach einem Cyberangriff zählt nur eine Währung: der lückenlose, schriftliche Beweis der ausgeübten Sorgfalt. Mündliche Abmachungen, informelle Updates oder ein vages „Wir haben darüber gesprochen“ sind vor Gericht wertlos. Jede Entscheidung, jede Risikoabwägung und jede Weisung muss so protokolliert sein, dass ein externer Dritter – zum Beispiel ein Richter – Ihren Denkprozess und Ihre Handlungen zweifelsfrei nachvollziehen kann. Dies ist der Kern der gerichtsfesten Dokumentation.

Die Realität in vielen Schweizer Unternehmen sieht jedoch anders aus. Eine Studie der FHNW zeigt ein alarmierendes Bild: 40% der Schweizer KMU haben keinen Notfallplan für den Fall eines schwerwiegenden Cyberangriffs. Ein fehlender Notfallplan ist bereits ein starkes Indiz für ein Organisationsverschulden. Die Dokumentation geht aber weit über einen Notfallplan hinaus. Sie muss den gesamten Risikomanagement-Zyklus abbilden.

Ein entscheidendes Element sind die Protokolle der Verwaltungsratssitzungen. Standardprotokolle, die lediglich Beschlüsse festhalten, genügen nicht. Ein gerichtsfestes Protokoll dokumentiert den Weg zur Entscheidung: Welche Risikoanalysen wurden präsentiert? Welche konkreten Angriffsszenarien wurden diskutiert? Welche Handlungsalternativen (z. B. Investition in Technologie A vs. B) wurden abgewogen? Und ganz entscheidend: Aus welchen nachvollziehbaren geschäftlichen Gründen wurde ein bestimmtes Restrisiko bewusst in Kauf genommen? Jede Entscheidung, nichts zu tun, ist ebenfalls eine Entscheidung, die begründet und dokumentiert werden muss. Die Verwendung einer qualifizierten elektronischen Signatur (QES) nach dem Schweizer ZertES-Gesetz verleiht diesen Dokumenten zusätzliche Beweiskraft.

Checkliste: Ihr Plan für gerichtsfeste VR-Protokolle

  1. Risikoanalysen festhalten: Dokumentieren Sie die präsentierten Risikoanalysen mit konkreten Szenarien und potenziellen Schadenshöhen.
  2. Diskutierte Alternativen protokollieren: Halten Sie die diskutierten Handlungsalternativen und die Gründe für die getroffene Wahl fest (Abwägung von Kosten, Nutzen und Risiken).
  3. Restrisiken explizit begründen: Dokumentieren Sie explizit, welche Restrisiken bewusst akzeptiert werden und warum dies aus geschäftlicher Sicht vertretbar ist.
  4. Messwerte verankern: Halten Sie die wichtigsten Key Risk Indicators (KRIs) mit den aktuellen Messwerten im Protokoll fest, um die Überwachung zu belegen.
  5. Rechtssicher unterzeichnen: Sichern Sie die Integrität des Protokolls durch eine qualifizierte elektronische Signatur (QES) aller anwesenden VR-Mitglieder.

Der Fehler im Kleingedruckten der Cyber-Versicherung, der die Deckungssumme nullt

Der Abschluss einer Cyber-Versicherung gehört mittlerweile zum Standardrepertoire des Risikomanagements. Viele Verwaltungsräte wiegen sich dadurch in falscher Sicherheit. Eine Versicherung ist kein Ersatz für die eigene Sorgfaltspflicht, sondern lediglich ein Instrument zur Minderung finanzieller Folgen. Zudem enthalten die Policen oft kritische Ausschlüsse, die im Ernstfall dazu führen können, dass die Versicherung nicht zahlt und die persönliche Haftung des Verwaltungsrats ungedeckt bleibt.

Wurde die IT-Umgebung nicht genügend unterhalten, stellt sich die Frage bezüglich der Sorgfaltspflicht. Der Verwaltungsrat muss ein angemessenes Risikomanagement implementieren, das vor Ransomware-Schäden schützt.

– PwC Schweiz, Rechtliche Aspekte von Lösegeldzahlungen

Diese Aussage von PwC Schweiz bringt den zentralen Punkt auf den Tisch: Der häufigste und gefährlichste Ausschlussgrund in Cyber-Versicherungen ist grobe Fahrlässigkeit. Wenn die Versicherung nachweisen kann, dass grundlegende Sicherheitsstandards missachtet wurden (z.B. keine Backups, veraltete Software, fehlendes Patch-Management), kann sie die Leistung verweigern. Genau in diesem Szenario wird jedoch auch ein Kläger argumentieren, dass der Verwaltungsrat seine Sorgfaltspflicht verletzt hat. Die Versicherung ist also genau dann nutzlos, wenn das Haftungsrisiko für den VR am grössten ist.

Ein weiterer kritischer Punkt ist die Abgrenzung zur D&O-Versicherung (Directors and Officers Liability). Während die Cyber-Versicherung primär den Schaden des Unternehmens abdeckt (Betriebsunterbruch, Wiederherstellungskosten), soll die D&O-Versicherung das Privatvermögen der Organe bei Pflichtverletzungen schützen. Doch auch hier lauern Fallstricke: Viele D&O-Policen schliessen Schäden aus wissentlichen Pflichtverletzungen oder Verstössen gegen IT-Compliance-Vorgaben explizit aus. Es entsteht eine gefährliche Lücke: Die Cyber-Versicherung deckt die persönliche Haftung nicht, und die D&O-Versicherung verweigert die Deckung wegen der als Pflichtverletzung eingestuften Versäumnisse im Cyber-Bereich.

Der Verwaltungsrat muss daher die Versicherungspolicen als Teil des Risikomanagements aktiv prüfen und verstehen. Es ist unerlässlich, die genauen Deckungen und vor allem die Ausschlüsse zu kennen und die eigenen Schutzmassnahmen so zu gestalten und zu dokumentieren, dass der Vorwurf der groben Fahrlässigkeit entkräftet werden kann.

Typische Haftungslücken in Versicherungen
Versicherungstyp Typische Ausschlüsse Resultierende Haftungslücke für den VR
Cyber-Versicherung Schäden durch Kriegshandlungen, staatliche Akteure, grobe Fahrlässigkeit (z.B. mangelnde Wartung) Deckt primär den Unternehmensschaden, nicht die persönliche Organhaftung. Kann bei grober Fahrlässigkeit die Leistung verweigern.
D&O-Versicherung Vorsatz, wissentliche Pflichtverletzung, Bussen, oft auch spezifische IT-Compliance-Verstösse Greift möglicherweise nicht, wenn das Versäumnis im Cyber-Bereich als wissentliche Pflichtverletzung ausgelegt wird.

Darf man Logfiles auswerten, um den „schuldigen“ Mitarbeiter zu finden?

Nach einem Sicherheitsvorfall entsteht oft der dringende Wunsch, die Ursache schnell zu finden. Häufig richtet sich der Verdacht auf menschliches Versagen oder gar böswilliges Handeln eines Mitarbeiters. Die Auswertung von Computer-Logfiles, E-Mails oder Browser-Verläufen scheint der naheliegendste Weg zu sein. Hier ist jedoch höchste Vorsicht geboten. Eine unüberlegte oder rechtswidrige Mitarbeiterüberwachung kann nicht nur zu arbeitsrechtlichen Konsequenzen führen, sondern stellt selbst eine Pflichtverletzung des Verwaltungsrats dar und kann mit Bussen nach dem neuen Datenschutzgesetz (nDSG) geahndet werden.

Das nDSG und das Arbeitsgesetz setzen der Mitarbeiterüberwachung in der Schweiz sehr enge Grenzen. Eine permanente, anlasslose Überwachung des Mitarbeiterverhaltens ist grundsätzlich verboten. Die Auswertung von Logfiles ist nur unter strengen Voraussetzungen zulässig. Sie muss anlassbezogen sein (d.h. es muss ein konkreter Verdacht auf eine Straftat oder eine schwere Pflichtverletzung vorliegen) und dem Grundsatz der Verhältnismässigkeit genügen. Das bedeutet, es dürfen nur die für die Aufklärung des Vorfalls absolut notwendigen Daten für einen begrenzten Zeitraum ausgewertet werden. Eine „Fischzug“-Mentalität ist strikt untersagt.

Minimalistisches Büro, das Datenschutz und Compliance in einem Schweizer Unternehmen symbolisiert

Die rechtlich sicherste Grundlage für eine solche interne Untersuchung ist ein vorab erstelltes und allen Mitarbeitern zur Kenntnis gebrachtes IT-Nutzungsreglement. Dieses Reglement sollte klar festhalten, dass die private Nutzung der IT-Infrastruktur nur eingeschränkt oder gar nicht gestattet ist und dass sich das Unternehmen im Falle eines Sicherheitsvorfalls oder eines konkreten Missbrauchsverdachts die Auswertung von Logdaten vorbehält. Ohne eine solche vorgängige, transparente Regelung bewegt man sich juristisch auf sehr dünnem Eis.

Bevor eine technische Analyse beginnt, muss der Verwaltungsrat oder die Geschäftsleitung die Rechtsgrundlage dokumentieren und eine saubere Trennung zwischen der technischen Forensik (Was ist passiert?) und möglichen personalrechtlichen Massnahmen (Wer ist verantwortlich?) sicherstellen. Bei Unsicherheit ist es dringend ratsam, vor Beginn der Auswertung den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu konsultieren oder externen Rechtsrat einzuholen.

  • IT-Nutzungsreglement: Erstellen Sie vorab ein klares Reglement, das die Mitarbeiter über mögliche Logfile-Auswertungen bei Missbrauchsverdacht informiert.
  • Verhältnismässigkeitsprüfung: Führen Sie nur anlassbezogene, zeitlich und sachlich eng begrenzte Auswertungen durch. Verzichten Sie auf permanente Überwachung.
  • Dokumentation der Rechtsgrundlage: Halten Sie vor Beginn der Untersuchung schriftlich fest, auf welcher rechtlichen Grundlage (z.B. Verdacht auf eine Straftat) und zu welchem Zweck die Auswertung erfolgt.
  • Konsultation bei Unsicherheit: Ziehen Sie bei komplexen Fällen den EDÖB oder einen spezialisierten Anwalt bei, bevor Sie mit der Auswertung beginnen.
  • Trennung von Analyse und Massnahmen: Stellen Sie sicher, dass die technische Analyse zur Ursachenfindung klar von der Prüfung personalrechtlicher Schritte getrennt wird.

Warum die Einhaltung von EU-Normen allein Sie vor Schweizer Gerichten nicht schützt?

In einer globalisierten Wirtschaft orientieren sich viele Schweizer Unternehmen an internationalen und insbesondere an EU-Normen wie der Datenschutz-Grundverordnung (DSGVO) oder der NIS-2-Richtlinie für Netz- und Informationssicherheit. Diese Orientierung ist sinnvoll, aber sie ist kein Freibrief. Verwaltungsräte, die glauben, mit der Einhaltung von EU-Standards ihre Pflichten in der Schweiz automatisch erfüllt zu haben, unterliegen einem gefährlichen Irrtum. Die Schweizer Rechtsordnung kennt das Prinzip des „Swiss Finish“: hiesige Gesetze sind oft spezifischer, strenger oder einfach anders als ihre europäischen Pendants.

Das beste Beispiel ist das neue Datenschutzgesetz (nDSG). Obwohl es sich in vielen Bereichen an die DSGVO anlehnt, gibt es entscheidende Unterschiede, etwa bei den Sanktionen. Während die DSGVO primär das Unternehmen mit Bussen belegt, sieht das nDSG explizit die Möglichkeit von Bussen von bis zu 250’000 Franken gegen die verantwortliche natürliche Person vor – also potenziell den Geschäftsführer oder den Verwaltungsrat. Diese persönliche Sanktionierung bei vorsätzlicher Pflichtverletzung ist ein scharfes Schwert. Der Bund verstärkt zudem seine Bemühungen im Bereich der nationalen Sicherheit, was die Erwartungshaltung an die Unternehmen weiter erhöht. So hat beispielsweise der Ständerat eine massive Budget-Verdoppelung für das Bundesamt für Cybersicherheit beschlossen.

Die Haftung des Verwaltungsrats nach Art. 717 OR bemisst sich ausschliesslich nach Schweizer Recht und der Auslegung durch Schweizer Gerichte. Ein Richter wird prüfen, ob die spezifischen Anforderungen des schweizerischen Aktienrechts, des Datenschutzrechts und allfälliger branchenspezifischer Regulierungen (z.B. von der FINMA) erfüllt wurden. Der blosse Verweis auf die Compliance mit einem ausländischen Standard ist keine ausreichende Verteidigung.

Fallbeispiel: Der „Swiss Finish“ in der Haftungspraxis

Ein Schweizer Unternehmen wird von einer EU-Behörde wegen eines DSGVO-Verstosses zu einer hohen Busse verurteilt. Die interne Untersuchung zeigt, dass der Verstoss auf die pflichtwidrige Untätigkeit des Verwaltungsrats zurückzuführen ist, der wiederholte Warnungen der Compliance-Abteilung ignoriert hatte. Obwohl sich das Unternehmen grundsätzlich an EU-Standards orientierte, hatte der VR es versäumt, die spezifischen Kontrollmechanismen nach Schweizer Aktienrecht zu implementieren. In einem solchen Fall kann der Verwaltungsrat nach Schweizer Recht persönlich für den Betrag der EU-Busse haftbar gemacht werden, da sein Unterlassen den Schaden für die Gesellschaft verursacht hat. Die Compliance mit EU-Recht schützte ihn nicht vor der Haftung nach Schweizer Recht.

Wann müssen Sie Mandantendaten endgültig vernichten und wie weisen Sie das nach?

Das Management von Daten birgt für den Verwaltungsrat einen fundamentalen Zielkonflikt: Einerseits verlangen diverse Gesetze (z.B. im Handels- oder Steuerrecht) die Aufbewahrung von Geschäftsunterlagen über viele Jahre. Andererseits fordert das neue Datenschutzgesetz (nDSG) die Löschung von Personendaten, sobald der Zweck für ihre Bearbeitung entfallen ist (Grundsatz der Datenminimierung). Die Missachtung einer dieser Pflichten kann empfindliche Sanktionen nach sich ziehen. Für den Verwaltungsrat ist es daher entscheidend, eine klare Datenstrategie (Data-Lifecycle-Management) zu definieren und deren Umsetzung zu überwachen.

Die gesetzlichen Aufbewahrungsfristen haben in der Regel Vorrang vor der Löschpflicht des nDSG. Geschäftsbücher müssen beispielsweise 10 Jahre aufbewahrt werden, die Krankenakten eines Patienten sogar 20 Jahre. Nach Ablauf dieser Fristen wandelt sich die Pflicht zur Aufbewahrung jedoch in eine Pflicht zur Löschung um. Viele Unternehmen versäumen es, diesen zweiten Schritt konsequent umzusetzen. Sie horten Daten unbegrenzt weiter und erhöhen damit unnötig ihr Risiko: Je mehr Daten vorhanden sind, desto grösser ist der potenzielle Schaden bei einem Cyberangriff. Das folgende Beispiel illustriert diesen Konflikt, der laut einer Analyse auf Watson.ch oft zu Fehlern führt.

Konflikt: Aufbewahrungsfristen vs. Löschpflichten in der Schweiz
Branche Gesetzliche Aufbewahrungsfrist Löschpflicht nach nDSG Welche Pflicht hat Vorrang?
Anwälte 10 Jahre (Akten) Nach Zweckerfüllung (Mandatsende) Aufbewahrungspflicht für die Dauer der Frist
Treuhänder 10 Jahre (Geschäftsbücher) Nach Mandatsende + Ablauf der Frist Aufbewahrungspflicht für die Dauer der Frist
Ärzte 20 Jahre (Krankenakten) Nach Behandlungsende + Ablauf der Frist Aufbewahrungspflicht für die Dauer der Frist
Allgemeine Kundendaten (z.B. Newsletter) Keine spezifische Unverzüglich nach Widerruf der Einwilligung Löschpflicht

Die blosse Löschung der Daten genügt jedoch nicht. Im Rahmen seiner Sorgfaltspflicht muss der Verwaltungsrat sicherstellen, dass das Unternehmen die erfolgte Löschung auch nachweisen kann. Ein Kläger oder eine Behörde könnte behaupten, dass heikle Daten pflichtwidrig nicht gelöscht wurden. Ohne einen Beweis ist das Unternehmen in einer schlechten Position. Die Lösung ist die Erstellung eines gerichtsverwertbaren Löschprotokolls. Dieses Dokument hält fest, welche Daten wann, von wem und mit welcher Methode unwiederbringlich vernichtet wurden. Dies gilt nicht nur für die aktiven Systeme, sondern muss zwingend auch alle Backup- und Archivsysteme umfassen.

  • Methode dokumentieren: Halten Sie die verwendete Löschmethode fest (z.B. mehrfaches Überschreiben, kryptografisches Shredding).
  • Zeitstempel und Verantwortung: Protokollieren Sie den exakten Zeitpunkt der Löschung und die verantwortliche Person oder das ausführende System.
  • Bestätigung für Backups: Stellen Sie sicher und dokumentieren Sie, dass die Daten auch aus sämtlichen Backup-Zyklen und Archivsystemen entfernt wurden.
  • Archivdaten markieren: Falls eine sofortige Löschung aus technischen Gründen nicht möglich ist (z.B. bei WORM-Archiven), müssen die Daten als „zu löschen“ markiert und von der Wiederherstellung ausgeschlossen werden.
  • Protokoll aufbewahren: Das Löschprotokoll selbst unterliegt wiederum einer Aufbewahrungspflicht, da es als Nachweis für die Einhaltung des nDSG dient.

Das Wichtigste in Kürze

  • Delegation ist nicht Abdankung: Die Auslagerung von IT-Aufgaben entbindet den Verwaltungsrat nicht von seiner obersten Aufsichts- und Kontrollpflicht.
  • Dokumentation ist der beste Schutz: Eine gerichtsfeste, lückenlose Dokumentation von Risikoanalysen, Abwägungen und Entscheidungen ist der entscheidende Beweis für sorgfältiges Handeln.
  • Versicherungen sind kein Freibrief: Cyber- und D&O-Policen enthalten kritische Ausschlüsse (z.B. grobe Fahrlässigkeit), die den Schutz im Ernstfall aushebeln können.

Wie verankern Sie Informationssicherheit als strategisches Ziel im Verwaltungsrat?

Informationssicherheit kann nicht länger als reines IT-Thema behandelt werden, das nur bei Problemen auf die Agenda des Verwaltungsrats kommt. Um der Sorgfaltspflicht nachzukommen und die persönliche Haftung zu minimieren, muss Cybersicherheit als integraler Bestandteil der Unternehmensstrategie und des permanenten Risikomanagements verankert werden. Dies wird mittlerweile auch von den Führungskräften selbst erkannt: 65% der Schweizer Führungskräfte sehen Cyber-Risiken als Top-Priorität, wie die PwC Global Digital Trust Insights 2024 zeigen. Jetzt geht es darum, dieser Priorität eine Struktur zu geben.

Der Verwaltungsrat muss die Cyber-Resilienz in die Geschäftsstrategie und das Risikomanagement integrieren. Er definiert jährlich die Risikotoleranz und stellt sicher, dass diese mit der Unternehmensstrategie übereinstimmt.

– Universität St.Gallen, Board Cyber Risk Framework

Diese Aussage der Universität St.Gallen definiert die Kernaufgabe: Der VR muss die strategischen Leitplanken setzen. Dies beginnt mit der jährlichen, bewussten Definition der Risikotoleranz. Welche Risiken ist das Unternehmen bereit, für welche Geschäftsziele einzugehen? Welche sind inakzeptabel? Diese Definition muss dokumentiert und der Geschäftsleitung als klare Vorgabe kommuniziert werden. Anschliessend ist es die Aufgabe des VR, die Einhaltung dieser Vorgaben regelmässig zu kontrollieren. Dies geschieht nicht durch technische Detailprüfungen, sondern durch die Überwachung von aussagekräftigen Kennzahlen (Key Performance Indicators, KPIs).

Ein spezialisiertes Cybersecurity-Dashboard für VR-Sitzungen ist das ideale Instrument hierfür. Es übersetzt komplexe technische Sachverhalte in verständliche, geschäftsrelevante Metriken. Anstatt über einzelne Virenscanner zu diskutieren, überwacht der VR beispielsweise die „Mean Time to Patch“ (durchschnittliche Zeit, um kritische Sicherheitslücken zu schliessen) oder die Erfolgsrate bei internen Phishing-Simulationen. Diese Zahlen ermöglichen eine strategische Diskussion auf Augenhöhe und belegen die kontinuierliche Überwachungspflicht. Die regelmässige Traktandierung dieses Themas in den VR-Sitzungen ist an sich schon ein wichtiger Akt der gerichtsfesten Dokumentation.

Das folgende Dashboard-Template zeigt, welche Kennzahlen eine strategische Steuerung ermöglichen:

  • Anzahl kritischer Schwachstellen: Aktuelle Anzahl offener Schwachstellen mit einem CVE-Score von über 7.0 in den kritischen Systemen.
  • Mean Time to Patch (MTTP): Die durchschnittliche Zeit in Tagen, die benötigt wird, um kritische Sicherheitsupdates nach deren Veröffentlichung zu installieren.
  • Erfolgsrate bei Phishing-Simulationen: Der prozentuale Anteil der Mitarbeiter, der auf simulierte Phishing-Mails klickt (monatlicher Trend).
  • Incident Response Time: Die durchschnittliche Zeit von der Detektion eines schwerwiegenden Sicherheitsvorfalls bis zur Einleitung der Gegenmassnahmen.
  • Compliance-Status: Der Erfüllungsgrad (in %) der für das Unternehmen relevanten regulatorischen Anforderungen (z.B. nDSG, FINMA-Rundschreiben).

Die Verankerung der Cybersicherheit als strategisches Ziel ist ein kontinuierlicher Prozess. Um die Nachhaltigkeit dieses Ansatzes zu gewährleisten, ist es entscheidend, die Grundlagen der strategischen Steuerung fest im Gremium zu etablieren.

Die Minimierung Ihrer persönlichen Haftung als Verwaltungsrat ist kein einmaliges Projekt, sondern das Resultat eines disziplinierten und kontinuierlichen Prozesses. Beginnen Sie noch heute damit, Ihre bestehenden Strukturen, Verträge und Dokumentationsprozesse kritisch zu hinterfragen und sie anhand dieses Leitfadens auf ihre juristische Belastbarkeit zu prüfen.