Zahlen oder nicht zahlen? In der dritten Folge der Reihe “Compliance kompakt” von Dr. Erika Stark-Rittenauer geht es um die rechtliche Beurteilung einer Lösegeldzahlung nach Ransomeware-Angriffen. Darf die Geschäftsführung eine solche Zahlung tätigen oder birgt dies strafrechtliche Risiken? Worauf kommt es an und welche Rolle spielt die Business Judgment Rule? Dies und mehr in der neuen Folge.
Ransomware-Angriffe stellen eine rasant zunehmende Bedrohung für Unternehmen jeglicher Größe dar und gehören zu den häufigsten Formen der Cyberkriminalität. Laut der KPMG-Studie “Cybersecurity in Österreich” 2024 hat jedes dritte Unternehmen schon einmal die Lösegeldforderung im Zusammenhang mit einem Ransomeware-Angriff bezahlt. Täter:innen nutzen dabei Schad-Software, um IT-Systeme eines Unternehmens zu verschlüsseln und geben die Daten nur gegen Bezahlung eines Lösegelds, in der Regel in Form von Bitcoins, frei. Zusätzlich drohen Angreifer:innen auch oftmals damit, die Daten bei Nichtzahlung anderen zugänglich zu machen oder sonst (im Darknet) zu veröffentlichen. Nicht nur die Täter:innen selbst machen sich bei einem solchen Ransomeware-Angriff strafbar (hierbei kommt zB der Tatbestand der Erpressung und der qualifizierten Datenbeschädigung in Frage), auch die Opfer können im Falle einer Lösegeldzahlung rechtliche Risiken eingehen. Unternehmen stehen dann vor einer zeitlich drängenden wirtschaftlichen, strategischen, aber vor allem auch rechtlichen Entscheidung: Zahlen oder nicht zahlen?
1. Strafrechtliche Risiken
Sofern nach einem Ransomeware-Angriff zur Wiedererlangung der Daten die Zahlung einer Lösegeldforderung der Täter:innen als einzig sinnvolle Möglichkeit angesehen wird, stellt sich die Frage, ob die Geschäftsführung eine solche Zahlung tätigen darf, ohne sich damit (trotz abgenötigter Zahlung!) selbst strafbar zu machen. Folgende Straftatbestände kommen insbesondere in Betracht; für die Einordnung und Absicherung im Einzelfall bedarf es einer umfassenden rechtlichen Beurteilung durch Expert:innen:
+ Untreue
Eine Untreue gemäß §153 StGB liegt vor, wenn eine machthabende Person (zB ein:e Geschäftsführer:in) seine:ihre Befugnis, über fremdes Vermögen zu verfügen oder eine:n andere:n zu verpflichten, wissentlich (mit Schädigungsvorsatz) missbraucht und dadurch eine:n andere:n am Vermögen schädigt. Ein Missbrauch kann nur dann vorliegen, wenn in unvertretbarer Weise gegen Regeln verstoßen wird. Kein Missbrauch liegt bei der redlichen und verantwortungsbewussten Ausübung eines unternehmerischen Ermessensspielraums iSd Business Judgment Rule vor.
Untreue liegt mangels Befugnismissbrauchs nicht vor, wenn die Zahlung eines Lösegelds nach Abwägung sämtlicher Vor- und Nachteile in einer Gesamtbetrachtung im Sinne des Unternehmenswohls erfolgt. Auch die Einwilligung sämtlicher Gesellschafter:innen vor der Lösegeldzahlung schließt einen Befugnismissbrauch aus. Ebenfalls wird oftmals auf der subjektiven Tatseite kein Schädigungsvorsatz vorhanden sein. Wird hingegen Lösegeld ohne sorgfältige Prüfung gezahlt, könnte dies als pflichtwidrige Vermögensverfügung mit Schädigungsvorsatz gewertet werden.
+ Kriminelle Vereinigung
Eine kriminelle Vereinigung nach §278 StGB ist ein auf längere Zeit angelegter Zusammenschluss von “mehr als zwei Personen” (dh mindestens drei Personen), der darauf ausgerichtet ist, dass von einem oder mehreren Mitgliedern bestimmte Straftaten ausgeführt werden. Der Tatbestand ist erfüllt, wenn jemand eine kriminelle Vereinigung gründet oder sich an einer kriminellen Vereinigung beteiligt. Von einer kriminellen Vereinigung erfasst ist demnach nicht nur der:die unmittelbare Täter:in als Mitglied der kriminellen Vereinigung, sondern auch, wer Informationen oder Vermögenswerte bereitstellt, wodurch er:sie die Vereinigung oder deren strafbare Handlungen fördert.
Sofern ein Ransomeware-Angriff insofern von einer kriminellen Vereinigung begangen wird und dies dem geschädigten Unternehmen bekannt ist, könnte durch die Lösegeldzahlung eine “Beteiligung” als finanzielle Zuwendung an die kriminelle Organisation bejaht werden, auch wenn das Lösegeld dem geschädigten Unternehmen abgenötigt wird. Selbstverständlich ist die rechtliche Würdigung vom Einzelfall abhängig und bedarf einer detaillierten rechtlichen Beurteilung.
2. Rechtfertigungs- und Entschuldigungsgründe
Für den Fall, in dem bei Zahlung des Lösegelds die Erfüllung eines Delikts im Raum steht, ist in einem zweiten Schritt zu prüfen, ob die Strafbarkeit aufgrund eines Rechtfertigungs- oder Entschuldigungsgrundes ausgeschlossen werden kann.
+ Rechtfertigender Notstand
Beim rechtfertigenden Notstand wird der Eingriff in Rechtsgüter unbeteiligter Dritter erlaubt, sofern das zu rettende Rechtsgut gegenüber dem beeinträchtigten eindeutig höherwertig ist und das gelindeste Mittel zu Abwehr gewählt wurde. Ob eine Lösegeldzahlung wegen rechtfertigenden Notstands straffrei ist, ist aufgrund einer einzelfallbezogenen Güterabwägung zu beurteilen. Zu berücksichtigen sind hierbei zB der Wert der verschlüsselten oder von den Täter:innen erlangten Daten. Außerdem sind andere Möglichkeiten zur Wiedererlangung der Daten und auch das angedrohte Verhalten für den Fall der Nicht-Zahlung zu berücksichtigen.
Eine Lösegeldzahlung könnte somit durch rechtfertigenden Notstand gedeckt sein, wenn so erheblicher Schaden für das Unternehmen oder Dritte verhindert wird. Maßgeblich sind die Verhältnismäßigkeit und das Fehlen milderer Alternativen (zB Wiederherstellung der Daten über Backups, unabhängig von den damit verbundenen Kosten).
+ Entschuldigender Notstand
Beim entschuldigenden Notstand kommt es ebenfalls, trotz Vorliegen eines Straftatbestands, zur Straffreiheit. Die Entschuldigung greift nur, wenn der Schaden aus der Abwehrtat nicht unverhältnismäßig schwerer als der abzuwendende Nachteil wiegt und von einem maßgerechten, mit den rechtlich geschützten Werten verbundenen Menschen (“Maßfigur”) kein anderes Verhalten zu erwarten gewesen wäre. Die Verfügbarkeit eines vorhandenen Backups schließt die Anwendung des entschuldigenden Notstands (im Gegensatz zum rechtfertigenden Notstand) nicht aus. Vielmehr ist entscheidend, wie eine Maßfigur gehandelt hätte. Sollte insofern eine selbständige Wiederherstellung der Daten mit einem enormen Kostenaufwand verbunden oder überhaupt gar nicht möglich sein, wäre Straffreiheit nach den Kriterien des entschuldigenden Notstands nach §10 StGB vertretbar.
3. Haftungsrechtliche Risiken: Business Judgment Rule
Neben der strafrechtlichen Komponente sind auch haftungsrechtliche Fragen, ob durch eine Lösegeldforderung eine Geschäftsführer:innenhaftung in Betracht gezogen werden kann, zu beurteilen. Hierfür ist die Business Judgment Rule von zentraler Bedeutung.
Die Business Judgment Rule regelt einen haftungsfreien Entscheidungsspielraum (sog “safe harbor”) für unternehmerische Entscheidungen für Leitungsorgane eines Unternehmens (§ 25 Abs 1a GmbHG bzw. § 84 Abs 1a AktG). Die grundlegenden Voraussetzungen sind dabei wie folgt: (i) das Vorliegen einer unternehmerischen Ermessensentscheidung, (ii) die Freiheit von einem Interessenkonflikt; (iii) dass die Entscheidung auf Grundlage umfassender Informationen erfolgt, und (iv) dass die Entscheidung im guten Glauben getroffen wurde. Diese Regel dient Gesellschaftsorganen dazu, Entscheidungsfreiheit zu gewährleisten, ohne das Risiko persönlicher Haftung gegenüber der Gesellschaft für jedes unternehmerische Risiko einzugehen.
Die Geschäftsführung hat somit nach einem Ransomeware-Angriff die genaue Prüfung und Abwägung der Vor- und Nachteile einer Lösegeldzahlung in einer Gesamtbetrachtung im Sinne des Unternehmenswohls vorzunehmen und zu dokumentieren. Hierzu gehört ua
+ die Bewertung des Schadensausmaßes,
+ die Prüfung vorhandener Backups,
+ die Wiederherstellungsoptionen samt der damit verbundenen Zeit und Kosten, sowie
+ die Abstimmung mit Rechtsanwält:innen und Cyberversicherungen.
Trifft die Geschäftsleitung nach dieser Abwägung die Entscheidung für die Zahlung von Lösegeldforderungen subjektiv und objektiv im Interesse des Unternehmens (weil zB unabhängig von datenschutzrechtlichen Aspekten ua gar kein Backup der Daten vorhanden ist oder die Wiederherstellung der Daten mit unverhältnismäßig hohen Kosten und einem enormen Zeitaufwand verbunden wäre), handelt sie demnach sorgfaltskonform.
Die ordnungsgemäße Dokumentation dieser Entscheidungsfindung spielt eine zentrale Rolle zur Vermeidung von Haftungsrisiken gegenüber der Gesellschaft. Darüber hinaus dient sie nicht nur der eigenen Absicherung, sondern auch als Nachweis der Sorgfalt gegenüber Versicherern und Ermittlungsbehörden. Cyberversicherungen übernehmen zunehmend auch Lösegeldzahlungen oder deren Erstattung. Die bloße Existenz einer Versicherungspolizze entbindet die Geschäftsführung jedoch nicht von einer eigenen sorgfältigen Prüfungspflicht.
Fazit
Die Zahlung von Lösegeld nach einem Ransomware-Angriff ist aus strafrechtlicher Sicht in Österreich kein Selbstläufer, sondern stellt Unternehmen vor komplexe Herausforderungen. Besonders die Geschäftsführer-Risiken in den Bereichen Untreue und der potenziellen Unterstützung einer kriminellen Vereinigung durch Zahlung einer Lösegeldforderung sollten genau geprüft werden. Darüber hinaus spielen bei Lösegeldzahlungen auch haftungsrechtliche Fragen und die Einhaltung der Sorgfaltspflichten der Geschäftsführung im Sinne der Business Judgment Rule eine zentrale Rolle.
Entscheidungsträger:innen sind gut beraten, sich im Falle eines Cyberangriffs an einem strukturierten rechtlichen und technischen Prüfungsprozess zu orientieren und diesen sorgfältig zu dokumentieren. Frühzeitige Prävention und Notfallpläne einschließlich Krisenkommunikationsstrategien können darüber hinaus helfen, die eigene Handlungsfähigkeit sowie Reputation im Ernstfall zu sichern.
