Wie kann ich mich als Geschäftsführer vor persönlicher Haftung schützen?
·
Mai 2026
·
7 Min. Lesezeit
Kurz beantwortet
Durch dokumentierte, informierte Entscheidungen. Die Business Judgment Rule schützt unternehmerische Entscheidungen — auch falsche — solange sie auf angemessener Informationsgrundlage getroffen wurden. Wer seine Risiken kennt, sie aufschreibt und eine begründete Abwägung trifft, hat im Haftungsfall eine grundlegend andere Ausgangslage als jemand, der sagt: „Das wusste ich alles nicht.“ Es geht dabei ausdrücklich darum, bewusst zu entscheiden — es geht nicht darum, jedes Risiko zu beseitigen.
Viele Geschäftsführer kleiner GmbHs wissen zwar, dass sie als Geschäftsführer eine besondere Verantwortung tragen. Was die wenigsten wirklich verinnerlicht haben: Die Haftung ist persönlich. Mit dem eigenen Vermögen. Und es gibt eine Beweislastumkehr — im Streitfall müssen Sie nachweisen, dass Sie pflichtgemäß gehandelt haben. Können Sie das belegen, stehen Sie gut da. Können Sie es mangels Dokumentation eben nicht belegen, wird es schwierig.
Dieser Artikel erklärt sachlich, welche Pflichten tatsächlich bestehen, was Sie schützt — und warum eine dokumentierte Risikoabwägung kein bürokratischer Aufwand ist, sondern Ihr bester Schutz.
§43 GmbHG: Sorgfaltspflicht und Beweislastumkehr
§43 GmbHG verpflichtet Geschäftsführer, die Angelegenheiten der Gesellschaft „mit der Sorgfalt eines ordentlichen Geschäftsmannes“ wahrzunehmen. Bei einem Verstoß haften sie der Gesellschaft für den entstandenen Schaden — persönlich, mit ihrem Privatvermögen.
Der Punkt, den viele unterschätzen: Es gilt eine Beweislastumkehr. Wenn ein Schaden entsteht und die Frage aufkommt, ob der Geschäftsführer pflichtgemäß gehandelt hat, muss er das belegen — der Kläger muss es ihm zunächst einmal gar nicht widerlegen. Die Computerwoche stellt diesen Mechanismus im Kontext der persönlichen Haftung bei IT-Vorfällen dar.
Wer keine belastbare Dokumentation hat — keine Übersicht über die relevanten Risiken, keine Nachweise über getroffene Entscheidungen — hat es in diesem Szenario schwer. Und solche Szenarien treten häufiger ein als man denkt: Insolvenzverwalter, die systematisch Haftungsansprüche prüfen. Gesellschafter, die nach einem Streit auf Schadensersatz klagen. D&O-Versicherer, die im Schadenfall nach der Dokumentation fragen.
Die Business Judgment Rule: Ihr Schutz — wenn die Grundlage stimmt
Die Business Judgment Rule ist im Aktienrecht in §93 Abs. 1 Satz 2 AktG verankert und wird im GmbH-Recht analog angewandt. Sie besagt: Ein Geschäftsführer haftet dann ausdrücklich nicht, wenn er bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.
Das ist ein starker Schutz. Er bedeutet: Auch wenn sich eine Entscheidung im Nachhinein als falsch herausstellt, haften Sie dafür persönlich dann eben gerade nicht — solange Sie zum Zeitpunkt der Entscheidung Ihre Hausaufgaben gemacht hatten. Solange Sie sich informiert hatten. Solange Sie die Risiken kannten und eine begründete Abwägung getroffen hatten.
Die Voraussetzungen sind klar:
Angemessene Informationsgrundlage. Sie müssen die relevanten Informationen eingeholt haben. Wer keine hat, kann sich nicht darauf berufen.
Kein Interessenkonflikt. Die Entscheidung wurde im Interesse der Gesellschaft getroffen, nicht im eigenen.
Zum Wohl der Gesellschaft. Die Entscheidung war darauf ausgerichtet, dem Unternehmen zu dienen.
Das Schlüsselwort ist „angemessene Informationsgrundlage“. Und genau hier liegt der praktische Hebel: Wer seine Risiken kennt — auch die digitalen —, wer dokumentiert hat, was er weiß und was er auf dieser Basis entschieden hat, der hat diese Grundlage. Wer sagt „Das wusste ich alles nicht“, hat sie eben gerade nicht.
§1 StaRUG: Die Pflicht zur Krisenfrüherkennung
Seit 2021 gibt es §1 StaRUG, der die Pflicht zur Krisenfrüherkennung für jeden Geschäftsführer einer haftungsbeschränkten Gesellschaft festschreibt — fortlaufend, unabhängig von der Unternehmensgröße. Seit November 2025 konkretisiert der IDW S 16, wie das Frühwarnsystem aussehen soll.
Es gibt kein Bußgeld für das Fehlen eines Krisenfrüherkennungssystems. Niemand prüft das aktiv. Aber: Im Haftungsfall — bei einer Insolvenz, einer Restrukturierung, einem Gesellschafterstreit — orientieren sich Gerichte, Insolvenzverwalter und D&O-Versicherer zunehmend am IDW S 16 als Maßstab dafür, was ein „ordentlicher Geschäftsführer“ hätte tun sollen. Und dann wird gefragt: Gab es ein System? Waren die Risiken dokumentiert? Wurde gehandelt?
Wer dann eine dokumentierte Risikoübersicht vorweisen kann — auch eine pragmatische, auch eine auf wenigen Seiten — hat die „angemessene Informationsgrundlage“, die die Business Judgment Rule verlangt. Wer nichts hat, hat sie eben gerade nicht. So einfach ist der Zusammenhang.
NIS-2: Persönliche Geschäftsführerhaftung — aber wohl kaum für Ihren Betrieb direkt
In der NIS-2-Diskussion taucht oft der Hinweis auf, dass Geschäftsführer jetzt „persönlich haftbar“ seien. Das stimmt — aber mit einer wichtigen Einschränkung: Diese persönliche Haftung nach §38 Abs. 3 BSIG betrifft ausschließlich Geschäftsführer von Unternehmen, die als „besonders wichtige“ oder „wichtige“ Einrichtungen unter NIS-2 fallen. Also ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz in definierten Sektoren.
Wenn Ihr Betrieb kleiner ist, greift diese NIS-2-Geschäftsführerhaftung formal nicht. Was allerdings über die Lieferkette an Sie herangetragen werden kann, sind vertragliche Anforderungen: Wenn Ihr Auftraggeber unter NIS-2 fällt, muss er nach §30 Abs. 2 Nr. 4 BSIG die Sicherheit seiner Lieferkette gewährleisten — und kann von Ihnen Nachweise verlangen. Mehr dazu im Artikel über NIS-2 und die Lieferkette.
Unabhängig von NIS-2 gilt aber: §43 GmbHG und die Sorgfaltspflicht eines ordentlichen Geschäftsführers gelten immer. Und die Frage, ob Sie Ihre betrieblichen Risiken — auch die digitalen — kennen und dokumentiert haben, stellt sich im Haftungsfall unabhängig davon, ob Sie unter NIS-2 fallen oder ob Ihnen ein Bußgeld droht. Es geht um die Grundlage Ihrer Entscheidungen. Und die sollte belastbar sein.
Was das praktisch bedeutet
Sie müssen kein Risikomanagementsystem aufbauen, das den Anforderungen eines DAX-Konzerns entspricht. Der IDW S 16 erlaubt ausdrücklich, die Ausgestaltung an die Größe und Komplexität des Unternehmens anzupassen.
Was Sie brauchen, ist das, was jeder ordentliche Geschäftsführer braucht: eine Grundlage für Ihre Entscheidungen. Und im Kontext digitaler Risiken heißt das: Wissen, welche Software welchen Ablauf stützt. Wo die Daten liegen. Wer sich mit den Systemen auskennt. Was passiert, wenn etwas ausfällt. Und eine dokumentierte Abwägung, welche Risiken Sie bewusst eingehen — und warum.
Das schützt Sie. Weil es genau die Informationsgrundlage ist, die die Business Judgment Rule verlangt. Und weil es gleichzeitig ein Steuerungsinstrument für Ihren Betrieb ist — unabhängig davon, ob jemals ein Haftungsfall eintritt. Die gleiche Übersicht, die Sie im Ernstfall schützt, hilft Ihnen im Alltag, bessere Entscheidungen zu treffen. Das ist weniger Aufwand als die meisten denken — und mehr wert, als die meisten ahnen.
Häufige Fragen
Kann ich die Haftung durch eine Ressortaufteilung mit dem Mitgeschäftsführer vermeiden?
Nur begrenzt. Der BGH hat im Urteil vom 06.11.2018 (II ZR 11/17) klargestellt: Eine Ressortaufteilung entbindet grundsätzlich nicht von der Gesamtverantwortung. Auch wenn ein Geschäftsführer laut interner Absprache nur für einen bestimmten Bereich zuständig ist, trifft ihn eine fortlaufende Überwachungs- und Kontrollpflicht bezüglich der Aktivitäten der Mitgeschäftsführer. Insbesondere im Bereich Finanzen und Krisenfrüherkennung haften Geschäftsführer im Zweifel gemeinschaftlich.
Schützt eine D&O-Versicherung vor allem?
Eine D&O-Versicherung deckt finanzielle Schäden ab, die aus der Verletzung von Sorgfaltspflichten entstehen — aber nur unter den Bedingungen der Police. Vorsätzliche Pflichtverletzungen sind in der Regel ausgeschlossen. Und: D&O-Versicherer fragen im Schadenfall zunehmend nach der Dokumentation. Wer keine dokumentierte Risikoüberwachung vorweisen kann, riskiert, dass der Versicherer die Leistung kürzt oder verweigert.
Kann mich ein Insolvenzverwalter noch Jahre nach meinem Ausscheiden als Geschäftsführer haftbar machen?
Ja. Die Verjährungsfristen im GmbH-Recht sind lang. Ein Versäumnis aus 2023 kann 2028 noch einklagbar sein. Der BGH hat 2024 zudem klargestellt, dass auch ein ausgeschiedener Geschäftsführer für Schäden haften kann, die erst nach seinem Ausscheiden eingetreten sind — wenn die durch seine Pflichtverletzung geschaffene Gefahrenlage fortbesteht.
Dieser Artikel dient der allgemeinen Orientierung und stellt keine rechtliche Beratung dar. Für die rechtliche Einordnung Ihrer konkreten Situation wenden Sie sich an eine Rechtsanwältin oder einen Rechtsanwalt.
Die Informationsgrundlage erarbeiten — pragmatisch und dokumentiert
Wir helfen Ihnen, die digitale Grundlage Ihres Betriebs sichtbar zu machen: Welche Abläufe sind kritisch, welche Software stützt sie, wo liegen Abhängigkeiten und Risiken. Das Ergebnis ist ein lesbares Dokument — Ihr Steuerungsinstrument für den Alltag und Ihr Sorgfaltspflicht-Nachweis für den Fall, den Sie hoffentlich nie brauchen. Unabhängig, herstellerneutral, ausschließlich in Ihrem Interesse.