Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Cyberrisiken und die Business-Judgement-Rule : Haftung der Unternehmensleitung bei Cyberangriffen

Der vorliegende Beitrag beleuchtet die mit Cyberangriffen einhergehenden Haftungsrisiken und erörtert, wer für wirtschaftliche Folgen eines Cyberangriffs letztendlich einstehen muss. Dabei geht es um die Abwehr von Schäden für das Unternehmen und die Vermeidung einer persönlichen Inanspruchnahme der Unternehmensleitung auf Grundlage der sogenannten „Business-Judgement-Rule“. Unsere Autoren* erklären, unter welchen Voraussetzungen eine persönliche Haftung nach den Grundsätzen dieser Regel weitgehend auszuschließen ist und welche Maßnahmen in diesem Kontext zum Schutz vor Cyberrisiken ergriffen werden müssen.

Jaqueline EmmerichProf. Dr. iur. Dennis-Kenji KipkerCompliancePersönliche HaftungRecht
Lesezeit 13 Min.

Laut Bundeskriminalamt (BKA) wurden 2023 in Deutschland 134 407 Fälle von Cybercrime erfasst [1] – im Vergleich zum initialen Lagebericht aus dem Jahr 2010 mit 59 839 registrierten Fällen [2] stellt dies einen Anstieg um rund 124% dar. Cyberangriffe gehören mittlerweile zu den größten Bedrohungen, mit denen sich Unternehmen konfrontiert sehen. Naturgemäß kann dabei gegen die – meist aus dem Ausland operierenden – Täter nur wenig Erfolg versprechend vorgegangen werden. Dementsprechend stellt sich für Betroffene zwangsläufig die Frage, wer letztendlich für resultierende Schäden haftet. Nicht selten rückt dabei als letzter Ausweg die Unternehmensleitung in den Fokus – sei es als Vorstand einer Aktiengesellschaft (AG) oder Geschäftsführer einer Gesellschaft mit beschränkter Haftung (GmbH).

Allein im vergangenen Jahr verursachten Cyberangriffe in der deutschen Wirtschaft Schäden in Höhe von 178,6 Milliarden Euro [3]. Prognosen lassen darauf schließen, dass sich diese Entwicklung weiter zuspitzen wird: Die weltweiten Kosten der Cyberkriminalität werden 2025 voraussichtlich 10,5 Billionen US-Dollar erreichen [3,4]. Zu den erheblichen Schäden in betroffenen Unternehmen gehören vor allem Umsatzeinbußen, Kosten für die Wiederherstellung von IT-Systemen, die Ursachenaufarbeitung sowie die Beauftragung technischer, forensischer und zwangsläufig auch juristischer Berater. Fast unvermeidlich ist zudem ein nicht bezifferbarer Reputationsverlust.

Cyberangriffe zielen heute zudem primär auf die Informationsbeschaffung ab, sodass gerade auch Geschäftsgeheimnisse in Form von Know-how als Angriffsziel im Fokus stehen. Betroffen sind nicht nur Produkte und Prozesse, sondern auch personenbezogene Daten von Mitarbeitern, Geschäftspartnern und Dritten. Letztlich können Cyberangriffe sogar den Unternehmenswert selbst erheblich beeinträchtigen. Daneben können Cybervorfälle naturgemäß auch negative Folgen für Vertragspartner sowie unbeteiligte Dritte nach sich ziehen – und für diese Schäden können die von Cyberangriffen betroffenen Unternehmen ebenfalls in Anspruch genommen werden.

Allen Cyberangriffen gemein ist somit ein oft sehr hohes Schadensvolumen. Die vielfältigen – und keineswegs abschließend – genannten Folgen bedeuten erhebliche Schadens- und Haftungsrisiken für betroffene Organisationen. Darüber hinaus drohen empfindliche Bußgelder durch Aufsichtsbehörden, die den wirtschaftlichen Schaden zusätzlich verschärfen können.

Wer soll das bezahlen?

Wer haftet für die durch einen Cyberangriff entstandenen Schäden? Zwar haben betroffene Unternehmen theoretisch einen Anspruch auf Schadensersatz gegen die Initiatoren eines Angriffs – diesen durchzusetzen, ist indes in der Praxis meist aussichtslos. Das liegt besonders daran, dass Cyberkriminelle häufig aus dem Ausland operieren, was eine effektive Rechtsverfolgung erheblich erschwert.

Im Gegensatz zu physischen Straftaten gestaltet sich die Rückverfolgung von Systemaktivitäten unter den spezifischen Bedingungen des Cyberraums zudem als weitaus komplizierter: Die schiere Menge der im Internet verfügbaren Daten sowie die stetig wachsende Zahl von Datenübertragungen erschweren die Identifizierung von Angreifern zusätzlich.

Zu diesen technischen Herausforderungen treten niedrige Aufklärungsquoten, mangelnde internationale Kooperationsbereitschaft sowie juristische Hürden im Ausland, die eine Täterermittlung und Strafverfolgung erheblich behindern. Und selbst wenn es gelingt, die Angreifer zu identifizieren, erweisen sich Rechtsdurchsetzung und Vollstreckung in vielen Fällen als nahezu unmöglich.

Angesichts dieser Widrigkeiten lässt sich festhalten, dass Reaktionsmöglichkeiten der von Cyberangriffen betroffenen Organisationen nur bedingt – bis gar nicht – Erfolg versprechend sind. Umgekehrt bedeutet dies gleichwohl: Wenn gegen die eigentlichen Täter einer Cyberattacke realistischerweise keine Ansprüche geltend gemacht werden können, bleibt als letzter Ausweg oft nur der Rückgriff auf die Unternehmensleitung, um zumindest den entstandenen finanziellen Schaden auszugleichen. Vor diesem Hintergrund stellt sich die entscheidende Frage, ob das Unternehmen gegenüber seinen Leitungsorganen Ersatzansprüche geltend machen kann und unter welchen Voraussetzungen diese potenziellen Haftungsrisiken entgehen können.

Cybersicherheit ist Chefsache

Eine allgemein ausdrücklich festgeschriebene Pflicht der Unternehmensleitung zur Einrichtung, Organisation, Überwachung und Weiterentwicklung eines spezifischen Compliance- und Risikomanagementsystems im Bereich der Cybersicherheit existiert zwar nicht. Gleichwohl ergibt sich diese Verantwortung aus verschiedenen Regelungszusammenhängen: Einerseits enthalten einzelne branchenspezifische Rechtsvorschriften konkrete Anforderungen an die Cybersicherheit – etwa das Telekommunikationsgesetz (TKG), das Telekommunikationsdiensteanbieter zur Umsetzung technischer Schutzmaßnahmen verpflichtet, oder das Kreditwesengesetz (§ 25a KWG), das für den Bankensektor besondere Anforderungen an IT-Risiken formuliert. Auch das im Entwurf befindliche BSI-Gesetz (BSIG-E, als Kernstück des NIS2UmsuCG – vgl. S. 24), enthält sektorübergreifende Mindestanforderungen zur Cybersicherheit.

Solche spezialgesetzlichen Vorschriften betreffen jedoch vor allem besonders regulierte Branchen. Für die Vielzahl der übrigen „Durchschnitts-Unternehmen“ ergibt sich – jenseits von branchenspezifischen Vorhaben – die Verantwortung zur Vorsorge gegen Cyberrisiken daher lediglich mittelbar aus den allgemeinen gesellschaftsrechtlichen Vorschriften des Aktien- und GmbH-Gesetzes: Die sogenannte „allgemeine Sorgfaltspflicht“, wie sie in § 93 Abs. 1 Satz 1 AktG [5] und § 43 Abs. 1 GmbHG [6] festgelegt ist, verpflichtet die Unternehmensleitung in ihrer konkreten Auslegung auch zur Vorsorge gegen Cyberrisiken.

Diese Verpflichtung ergibt sich aus der weitreichenden Abhängigkeit nahezu aller Unternehmen von ihren IT-Systemen sowie den potenziell gravierenden Folgen eines Ausfalls durch Cyberangriffe. Angesichts dieser Risiken fällt die Verantwortung für eine funktionierende Cybersicherheit eindeutig in den Aufgabenbereich der Unternehmensleitung. Dies entspricht zudem auch der gesellschaftsrechtlichen Kernaufgabe der Unternehmensleitung, potenzielle Schäden von ihrer Gesellschaft abzuwenden.

Haftungsrisiken der Leitungsebene

Wird diese Pflicht zur Vorsorge gegen Cyberrisiken verletzt und entsteht einem Unternehmen infolgedessen ein Schaden, kann die Unternehmensleitung grundsätzlich gegenüber ihrem Unternehmen zum Schadensersatz verpflichtet sein. Diese Haftung gründet sich gesellschaftsrechtlich auf bestimmte Vorschriften: Nach den allgemeinen Grundsätzen der Organhaftung sind Vorstandsmitglieder, „die schuldhaft ihre Pflichten verletzen […], der Gesellschaft zum Ersatz des daraus entstehenden Schadens […] verpflichtet“ (§ 93 Abs. 2 Satz 1 AktG) – eine vergleichbare Regelung für Aufsichtsräte liefert § 116 AktG. Für Geschäftsführer einer GmbH ist eine analoge Bestimmung in § 43 Abs. 2 GmbHG zu finden, wonach diese der Gesellschaft gegenüber ebenfalls für Schäden haften, die durch Pflichtverletzungen entstanden sind.

Nach diesen Haftungsregelungen haftet ein Organmitglied gegenüber der Gesellschaft grundsätzlich unbeschränkt für jede verschuldete Pflichtwidrigkeit. Genau hier setzt die – eingangs bereits erwähnte – sogenannte Business-Judgement-Rule an, um wiederum Organmitglieder gegenüber der Gesellschaft vor genau dieser Haftung zu schützen. Für die Unternehmensleitung ist danach eine Haftungsbefreiung möglich, wenn sie ihre Entscheidungen im Einklang mit den Voraussetzungen dieser Regeln getroffen hat.

Die Business-Judgement-Rule als gesetzlich verankertes Haftungsprivileg

Der Unternehmensleitung steht bei der Erfüllung ihrer Pflichten grundsätzlich ein weitreichender Ermessensspielraum zu, da unternehmerisches Handeln andernfalls erheblich eingeschränkt oder sogar unmöglich gemacht würde. Dieser Gedanke stammt ursprünglich aus dem angloamerikanischen Recht und wurde 2005 durch das „Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts“ (UMAG) als die sogenannte Business-Judgement-Rule in § 93 Abs. 1 Satz 2 AktG in das deutsche Recht übernommen [7]. Auch wenn diese Regel lediglich im Aktiengesetz explizit kodifiziert wurde, gilt sie dennoch ebenso für eine GmbH-Geschäftsführung.

Bei der Business-Judgement-Rule handelt es sich um eine Rechtsfigur, die dem Vorstand beziehungsweise der Geschäftsführung die Sicherheit gibt, Entscheidungen mit inhärenten Risiken treffen zu können, ohne im Falle negativer Entwicklungen persönlich zur Rechenschaft gezogen zu werden. Nach der Vorschrift des angegebenen Paragrafen liegt eine Pflichtverletzung dann nicht vor, wenn Vorstand/Geschäftsführung „bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte[n], auf der Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln“.

Grundregeln für pflichtgemäßes Handeln

Aus dieser Vorschrift ergeben sich fünf – geschriebene und ungeschriebene – Voraussetzungen, die es zu erfüllen gilt:

  • Es muss eine unternehmerische Entscheidung vorliegen, mithin eine bewusste Handlung oder ein bewusstes Unterlassen.
  • Der Vorstand/Geschäftsführer handelte dabei in „gutem Glauben“.
  • Das Handeln des Vorstands/Geschäftsführers diente ausschließlich dem Wohl der Gesellschaft und somit der langfristigen Stärkung des Ertrags und der Wettbewerbsfähigkeit.
  • Die Entscheidung wurde auf einer angemessenen Informationsgrundlage getroffen und dabei insbesondere eine ausreichende Abwägung von Chancen und Risiken für das Unternehmen vorgenommen.
  • Die Entscheidung/Maßnahme wurde ohne Einfluss sachfremder Interessen und/oder Eigeninteressen getroffen.

Sind diese Voraussetzungen allesamt erfüllt, wird der Unternehmensleitung ein weitreichender Handlungsspielraum gewährt, der nachträglich keiner umfassenden gerichtlichen Kontrolle unterworfen werden soll – dieser Schutzmechanismus wird auch als „Safe Harbour“ bezeichnet.

Insofern ist die Business-Judgement-Rule für Haftungsfragen im Bereich der Cybersicherheit von besonderer Bedeutung, denn Entscheidungen der Unternehmensleitung im Bereich der Cybersicherheit fallen ebenso wie andere „klassische“ unternehmerische Entscheidungen grundsätzlich in den Anwendungsbereich dieser Business-Judgement-Rule. Darüber hinaus nimmt der regulatorische Druck im Kontext der Cybersicherheit stetig zu, wodurch sich für die Unternehmensleitung ein zunehmendes Spannungsfeld zwischen wirtschaftlicher Entscheidungsfreiheit und gesetzlichen Vorgaben ergibt. Im Hinblick auf die Cybersicherheit lohnt sich daher ein detaillierterer Blick auf folgende Voraussetzungen:

Unternehmerische Entscheidung

Eine „unternehmerische Entscheidung“ im Sinne der Business-Judgement-Rule ist dadurch gekennzeichnet, dass das Organmitglied (d.h. Vorstand oder Geschäftsführer) die Möglichkeit hat, zwischen mehreren tatsächlich möglichen und rechtlich zulässigen Verhaltensoptionen zu wählen. Das Merkmal der „unternehmerischen Entscheidung“ verlangt eine Zukunftsbezogenheit, einen Prognosecharakter sowie einen gewissen Unsicherheits- oder Risikofaktor. Auch Entscheidungen im Bereich der Cybersicherheit, wie etwa Investitionen in neue IT-Produkte oder deren Implementierung im Unternehmen, sind hiervon geprägt und fallen daher unproblematisch unter diesen Begriff.

Angemessene Informationen

Das Merkmal „auf der Grundlage angemessener Information“ erfordert, dass die Unternehmensleitung alle ihr verfügbaren tatsächlichen und rechtlichen Erkenntnisquellen bei ihrer Entscheidungsfindung ausschöpft. Dabei ist es ihr jedoch gestattet, eine Abwägung zwischen dem Aufwand der Informationsbeschaffung und dem zu erwartenden Nutzen vorzunehmen. Im Bereich der Cybersicherheit ist die Unternehmensleitung dabei besonders gefordert, detaillierte Informationen über den Einsatz, die Funktionsweise sowie die Qualität der eingesetzten IT-Systeme und deren Sicherheitslücken zu beschaffen.

Der Umfang der erforderlichen Informationsbeschaffung steigt dabei mit der Relevanz der jeweiligen IT-Systeme für das Unternehmen und den spezifischen Unternehmensbereich, in dem sie genutzt werden. Je kritischer die Systeme für den Geschäftsbetrieb sind, desto intensiver muss sich die Unternehmensleitung mit deren Sicherheitsrisiken auseinandersetzen.

Vor dem Hintergrund der aktuellen Bedrohungslage ist es kaum vorstellbar, dass eine Unternehmensleitung, die auf seriöse Informationsquellen zurückgreift, bewusst eine Entscheidung gegen die Umsetzung von Cybersicherheitsmaßnahmen trifft. Hieraus könnten sich berechtigte Zweifel an der für die Anwendung der Business-Judgement-Rule zwingend notwendigen „angemessenen Informationslage“ ergeben.

Handeln zum Wohle der Gesellschaft, in gutem Glauben sowie frei von sachfremden Interessen

Schließlich muss die Unternehmensleitung auch „zum Wohle der Gesellschaft“ gehandelt haben: Das Versäumnis, Maßnahmen zur Abwehr von grundlegenden Risiken durch Cyberangriffe zu ergreifen, stünde beispielsweise im klaren Widerspruch zu dieser Voraussetzung.

Sind die übrigen der zuvor genannten Voraussetzungen der Business-Judgement-Rule – Handeln in gutem Glauben sowie frei von sachfremden Interessen – ebenfalls erfüllt, scheidet eine Haftung der Unternehmensleitung aus. In diesem Fall liegt pflichtgemäßes Verhalten vor, selbst wenn sich die getroffene Entscheidung im Nachhinein als nachteilig erweist.

Sind die Voraussetzungen der Business-Judgement-Rule hingegen nicht gegeben, so indiziert dies an sich noch keine Pflichtverletzung – vielmehr ist eine zusätzliche gerichtliche Feststellung erforderlich. Praktisch gerät die Unternehmensleitung in diesem Fall gleichwohl in großen Argumentationsnotstand, sofern ihre Entscheidung zu einem Schaden für die Gesellschaft geführt hat: Sie müsste nämlich darlegen, dass sie trotz Missachtung der Business-Judgement-Rule sorgfältig gehandelt hat – das wird selten gelingen.

Fällt die Feststellung also zulasten der Unternehmensleitung aus und ist dem Unternehmen durch die Pflichtverletzung ein Schaden eingetreten, hat die Unternehmensleitung diesen Schaden gemäß der oben angegebenen Vorschriften zu ersetzen. Zwingende Voraussetzung dafür ist allerdings, dass die Gesellschaft nachweist, dass die Unternehmensleitung ihre Pflicht zur Sicherstellung einer angemessenen Cybersicherheit nicht erfüllt hat oder die vorhandenen IT-Sicherheitsmaßnahmen nicht dem maßgeblichen Stand der Technik entsprachen. Der zu ersetzende Schaden umfasst dabei grundsätzlich den kompletten Schaden des betroffenen Unternehmens (wie beispielhaft eingangs skizziert), einschließlich eines eventuell entgangenen Gewinns.

Gewährleistung der Cybersicherheit

Vor dem Hintergrund der vorangegangenen Ausführungen stellt sich die Frage, welche konkreten Maßnahmen die Unternehmensleitung im Hinblick auf Cybersicherheit zu ergreifen hat, um den dargestellten Haftungsrisiken wirksam zu begegnen.

Gesellschaftsrechtlich besteht in diesem Bereich nach wie vor erhebliche Unsicherheit, was unter anderem darauf zurückzuführen ist, dass für das Cybersicherheitsrecht als Querschnittsmaterie bislang keine gefestigte Auslegungspraxis existiert. Dennoch entbindet dieser Umstand die Unternehmensleitung nicht von ihrer Verantwortung, angemessene Vorkehrungen zum Schutz vor Cyberangriffen zu treffen – Cybersicherheit ist längst zur Chefsache geworden.

Maßgeblich ist, dass die Unternehmensleitung ihre Entscheidungen im Bereich der Cybersicherheit nachvollziehbar dokumentiert, auf eine belastbaren Risikoanalyse stützt und ein verhältnismäßiges Sicherheitskonzept verfolgt, das technische, organisatorische und personelle Maßnahmen umfasst. Dazu gehören etwa

  • die Einrichtung eines Notfall- und Reaktionsplans (Incident-Response-Plan), der regelmäßigen Tests und Aktualisierungen unterliegt,
  • die Schulung und Sensibilisierung aller Mitarbeiter im Hinblick auf Phishing, Social-Engineering und andere Angriffsformen,
  • die Einführung eines rollenbasierten Zugriffsmanagements (RBAC), um unkontrollierte Zugriffsrechte zu vermeiden,
  • die regelmäßige Aktualisierung und Patch-Verwaltung kritischer Systeme sowie
  • die Etablierung klarer Verantwortlichkeiten, etwa durch die Benennung eines Chief-Information-SecurityOfficers (CISO) oder IT-Sicherheitsbeauftragten.

Die Anwendung von anerkannten Standards wie dem BSI IT-Grundschutz oder der ISO/IEC-27001-Normenreihe kann dabei als Orientierungsrahmen dienen, reicht jedoch für sich genommen nicht aus. Es handelt sich dabei ja nicht um starre „Checklisten“, sondern um dynamische Rahmenwerke, die an die konkrete Risikolage, Branche und Größe des Unternehmens angepasst werden müssen.

Im Lichte der Business-Judgement-Rule bedeutet dies, dass die Unternehmensleitung nicht zwingend jede denkbare Sicherheitsmaßnahme implementieren muss. Entscheidend ist vielmehr, dass sie eine nachvollziehbare, informierte und sachgerechte Auswahl unter verschiedenen Handlungsoptionen trifft. Wer etwa bewusst ein bestimmtes Sicherheitssystem wählt, dessen Wirksamkeit geprüft wurde, und dieses in ein übergreifendes IT-Risikomanagement integriert, kann sich im Haftungsfall auf den Schutzbereich der Business-Judgement-Rule berufen – auch wenn sich im Nachhinein herausstellt, dass andere Maßnahmen im konkreten Fall effektiver gewesen wären.

Entscheidend ist damit nicht die absolute Sicherheit, sondern die nachvollziehbare Abwägung auf Grundlage angemessener Informationen. Um dieser Anforderung gerecht zu werden, empfiehlt sich nicht zuletzt die Einrichtung eines dokumentierten Informationssicherheits-Managementsystems (ISMS), das nicht nur der technischen Sicherheit dient, sondern auch die nachweisliche Umsetzung unternehmerischer Sorgfaltspflichten ermöglicht.

Fazit

Auch wenn eine einheitliche Definition der „angemessenen Maßnahmen“ im Bereich der Cybersicherheits-Compliance kaum möglich ist, so zeigt sich doch: Wer individuelle Risiken realistisch bewertet, angemessene Schutzmaßnahmen ableitet und diese sorgfältig dokumentiert, handelt im Rahmen des zuvor aufgezeigten rechtlichen Ermessensspielraums – und kann damit einer persönlichen Haftung erfolgreich begegnen.

Gleichwohl bleibt festzuhalten, dass sich eine allgemeingültige Zusammenfassung der Anforderungen an die Business-Judgement-Rule im Bereich der Cybersicherheits-Compliance nicht formulieren lässt: Sowohl die Auswahl der heranzuziehenden Informationsquellen als auch deren Bewertung hängen stets von der individuellen Risikolage, der Unternehmensgröße, der Branche und der IT-Infrastruktur ab.

Unternehmerische Entscheidungen im Bereich der Cybersicherheit sind daher immer einzelfallabhängig zu treffen und im Lichte der konkreten Gefährdungslage zu bewerten. Gerade diese Einzelfallbezogenheit ist ebenfalls Ausdruck des unternehmerischen Ermessensspielraums, den die Business-Judgement-Rule schützt.

Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt am Main. Jaqueline Emmerich ist Doktorandin an der Albert-Ludwig-Universität Freiburg im Bereich Cybersicherheitsrecht und wissenschaftliche Mitarbeiterin bei Bird & Bird LLP.

Literatur

[1] Bundeskriminalamt (BKA), Bundeslagebericht Cybercrime 2023, Mai 2024,
www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2023.html

[2] Bundeskriminalamt (BKA), Bundeslagebericht Cybercrime 2010, Juni 2011,
www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Cybercrime/cybercrimeBundeslagebild2010.html

[3] Dr. Ralf Wintergerst, Wirtschaftsschutz 2024. Vortragsfolien zu einer Umfrage von Bitkom Research, August 2024,
www.bitkom.org/sites/main/files/2024-08/240828-bitkom-charts-wirtschaftsschutzcybercrime.pdf

[4] Steve Morgan, Cybercrime To Cost The World $9.5 Trillion USD Annually in 2024, Cybersecurity Ventures – Cybercrime Magazine, Oktober 2023,
https://cybersecurityventures.com/cybercrime-to-cost-the-world9-trillion-annually-in-2024/

[5] Bundesamt für Justiz, Aktiengesetz (AktG), September 1965 (BGBl. I S. 1089), zuletzt geändert durch Artikel 18 des Vierten Gesetzes zur Entlastung der Bürgerinnen und Bürger, der Wirtschaft sowie der Verwaltung von Bürokratie (Viertes Bürokratieentlastungsgesetz – BEG IV) vom 23. Oktober 2024 (BGBl. 2024 I Nr. 323), www.gesetze-im-internet.de/aktg/index.html

[6] Bundesamt für Justiz, Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG), April 1892 (RGBl. S. 477), zuletzt geändert durch Art. 21 des Vierten Gesetzes zur Entlastung der Bürgerinnen und Bürger, der Wirtschaft sowie der Verwaltung von Bürokratie (Viertes Bürokratieentlastungsgesetz – BEG IV) vom 23. Oktober 2024 (BGBl. 2024 I Nr. 323), www.gesetze-im-internet.de/gmbhg/

[7] Bundesministerium der Justiz, Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts (UMAG), in: Bundesgesetzblatt (BGBl.) 2005 Teil I Nr. 60, S. 2802, September 2005, www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl105s2802.pdf

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.