Exkulpation im Cybervorfall: Governance-, Haftungs- und Führungsrealität im Jahr 2026

Die neue Ausgangslage: Cybersecurity nach Inkrafttreten des NIS2UmsuCG

Mit dem Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 ist Cybersecurity in eine neue rechtliche Phase eingetreten. Die bisherige Trennung zwischen technischer Sicherheitsverantwortung und unternehmerischer Leitung ist aufgehoben. Cybersicherheit ist seitdem kein delegierbares Spezialthema mehr, sondern eine originäre Pflicht der Geschäftsleitung.

Der Gesetzgeber hat diese Verschiebung bewusst herbeigeführt. Ziel des NIS2UmsuCG ist es nicht, Cyberangriffe zu verhindern – deren Unvermeidbarkeit wird implizit anerkannt –, sondern sicherzustellen, dass Unternehmen und ihre Leitungsebene steuerungs-, entscheidungs- und reaktionsfähig sind. Cybervorfälle werden damit rechtlich nicht mehr als reine IT-Ereignisse, sondern als Governance-Sachverhalte bewertet.

Diese Neubewertung wirkt unmittelbar haftungsrelevant. Insbesondere § 38 BSIG (neu) verankert die persönliche Verantwortung der Geschäftsführung für schuldhafte Pflichtverletzungen im Bereich der Cybersicherheit und begrenzt zugleich die Möglichkeit, Haftung gesellschaftsintern zu neutralisieren. Cybersecurity ist damit endgültig im Kernbereich unternehmerischer Sorgfaltspflichten angekommen.

Exkulpation als zentrales Haftungskonzept

Vor diesem Hintergrund gewinnt der Begriff der Exkulpation eine neue, operative Bedeutung. Exkulpation beschreibt die Möglichkeit, sich trotz eingetretenen Schadens rechtlich zu entlasten, indem nachgewiesen wird, dass keine Pflichtverletzung vorliegt. Dieses Konzept ist dem Zivil- und Deliktsrecht seit Langem bekannt, erfährt im Cyberkontext jedoch eine neue Tragweite.

Im Jahr 2026 ist Exkulpation nicht mehr eine defensive Reaktion auf ein Ereignis, sondern ein vorbereiteter Zustand. Sie setzt voraus, dass Unternehmen bereits vor einem Vorfall Strukturen geschaffen haben, die eine spätere Beweisführung ermöglichen. Exkulpation ist damit kein juristischer Kunstgriff, sondern das Ergebnis kontinuierlicher Governance-Arbeit.

Entscheidend ist: Exkulpation bedeutet nicht, den Angriff zu erklären oder dessen technische Raffinesse hervorzuheben. Maßgeblich ist allein die Frage, ob der Schaden auf einer pflichtwidrigen Organisation, auf unzureichender Steuerung oder auf fehlender Überwachung beruht – oder ob er trotz angemessener, risikobasierter und am Stand der Technik orientierter Maßnahmen eingetreten ist.

Beweislastumkehr und vermutetes Organisationsverschulden

Diese Logik wird durch die aktuelle Rechtsprechung zur DSGVO erheblich verschärft. Der Europäische Gerichtshof legt Art. 82 Abs. 3 DSGVO seit 2024 äußerst restriktiv aus. Die Haftungsbefreiung setzt den Nachweis voraus, dass das Unternehmen in keinerlei Hinsicht für den schadensauslösenden Umstand verantwortlich war.

Diese Formulierung führt faktisch zu einem vermuteten Organisationsverschulden. Nach einem Cybervorfall wird nicht mehr neutral geprüft, ob eine Pflichtverletzung vorliegt, sondern zunächst unterstellt, dass organisatorische Mängel bestanden haben. Die Beweislast für das Gegenteil liegt vollständig beim Unternehmen.

Bereits geringfügige Defizite – etwa unvollständige Dokumentation, nicht getestete Maßnahmen oder veraltete Patch-Stände in randständigen Systemen – können genügen, um die Exkulpation insgesamt zu gefährden. Die Bewertung erfolgt ganzheitlich. Einzelne technische Stärken kompensieren keine strukturellen Schwächen in Governance und Steuerung.

Neue Bewertungslogik: Unvermeidbarer Einbruch, vorwerfbare Ausbreitung

Vor diesem Hintergrund hat sich auch die juristische Bewertung technischer Angriffsszenarien verschoben. Zero-Day-Exploits werden zunehmend als unvermeidbare Ereignisse anerkannt, sofern Detektions- und Reaktionsmechanismen dem Stand der Technik entsprachen.

Haftungsentscheidend ist jedoch nicht der initiale Einbruch, sondern das Verhalten der Organisation danach. Kann ein Unternehmen keine wirksame Segmentierung, keine Zero-Trust-Architektur oder keine Kontrolle der lateralen Bewegung nachweisen, wird die Ausbreitung des Schadens als pflichtwidrig bewertet. Die Exkulpation scheitert dann nicht am Angriff selbst, sondern an der fehlenden zweiten Verteidigungslinie.

Diese Differenzierung markiert den Kern der neuen Exkulpationslogik: Technik allein genügt nicht. Entscheidend ist, ob technische Maßnahmen in eine steuerungsfähige Gesamtarchitektur eingebettet waren und ob deren Wirksamkeit fortlaufend überwacht wurde.

Cybersecurity als Führungs- und Entscheidungsdisziplin

Cybersecurity ist damit zu einer Führungsdisziplin geworden. Die Business Judgment Rule schützt unternehmerische Entscheidungen weiterhin, jedoch nur innerhalb klarer Grenzen. Sie greift ausschließlich dort, wo das Gesetz echte Entscheidungsspielräume lässt und Entscheidungen auf einer angemessenen Informationsgrundlage getroffen wurden.

Die Missachtung gesetzlich definierter Mindestmaßnahmen – insbesondere solcher, die sich aus NIS2, BSI-Vorgaben oder anerkannten Standards ergeben – ist nicht durch unternehmerisches Ermessen gedeckt. Exkulpationsfähig sind ausschließlich solche Entscheidungen, die dokumentiert, begründet und bewusst getroffen wurden.

Die Leitungsebene wird damit nicht zum technischen Experten, wohl aber zum verantwortlichen Steuerer. Sie muss Risiken verstehen, priorisieren, Entscheidungen treffen und deren Umsetzung überwachen. Cybersecurity wird so Teil der originären Unternehmensführung.

Dokumentation als rechtliche Existenzgrundlage

Über alle relevanten Regime hinweg gilt ein einheitlicher Grundsatz: Was nicht dokumentiert ist, existiert rechtlich nicht. Die Rechenschaftspflicht der DSGVO, die Überwachungspflichten der NIS2 und die Logik der Organhaftung führen zu einer eindeutigen Erwartungshaltung.

Exkulpation setzt eine lückenlose Evidenzkette voraus. Diese reicht von der Risikoidentifikation über Maßnahmenentscheidungen, deren Implementierung und Betrieb bis hin zur Reaktion auf den Vorfall. Einmalige Freigaben, implizite Annahmen oder informelle Abstimmungen sind rechtlich wertlos.

In der Praxis entscheidet sich die Haftungsfrage daher regelmäßig nicht im SOC, sondern im Protokoll. Dokumentation wird zur zentralen Haftungswährung moderner Cybersecurity.

Vertiefung: Exkulpation unter Gegenbeschuss

Die vorstehenden Ausführungen beschreiben, wie Exkulpation als Governance- und Führungsdisziplin aufgebaut wird. In der Praxis entscheidet sich ihre Tragfähigkeit jedoch erst im Streitfall.

Ein ergänzender Fachartikel beleuchtet daher die Perspektive der Gegenseite: typische Angriffsstrategien von Klägeranwälten, Versicherern und Aufsichtsbehörden sowie die Punkte, an denen Exkulpationsketten regelmäßig angegriffen werden. Die Zerstörung der Exkulpation: Angriffsvektoren der Klägerhaftung 2026

Organisatorische Vorbereitung und Krisenfähigkeit

Ein weiterer, zunehmend relevanter Aspekt ist die organisatorische Vorbereitung. Gerichte und Aufsichtsbehörden erwarten im Jahr 2026 nicht nur technische Vorsorge, sondern auch personelle und strukturelle Krisenfähigkeit.

Dokumentierte Table-Top-Exercises, Management-Simulationen und Krisenübungen gelten faktisch als Voraussetzung exkulpationsfähiger Organisationen. Wer den Ernstfall nicht geübt hat, handelt aus heutiger Sicht organisatorisch fahrlässig. Exkulpation setzt voraus, dass die Organisation zeigen kann, dass sie auf den Vorfall vorbereitet war – technisch wie führungsseitig.

Exkulpation als operativer Dauerzustand

Die zentrale Erkenntnis lautet daher: Exkulpation ist im Jahr 2026 kein juristischer Rettungsanker, sondern ein operativer Dauerzustand. Sie entsteht nicht im Moment des Vorfalls, sondern im Alltag der Unternehmensführung.

Cybervorfälle sind betriebliche Realität. Der entscheidende Unterschied liegt darin, ob sie zu einer existenziellen Haftungsfrage werden – oder rechtlich beherrschbar bleiben. Moderne Cybersecurity schützt Systeme. Exkulpation schützt Verantwortungsträger.