Ein Fachblog von Gercke Wollschläger
gw-strafrecht.de ↗ LinkedIn Kontakt
Leerer Serverraum hinter Glaswand — Cyberangriff und Ad-hoc-Publizität nach Art. 17 MAR.

Cyberangriff als Ad-hoc-Meldung: Pflicht nach Art. 17 MAR?

9 Min.

AUF EINEN BLICK

Ein Cyberangriff ist eine Insiderinformation nach Art. 7 MAR (Marktmissbrauchsverordnung), wenn er präzise, nicht öffentlich bekannt und geeignet ist, den Börsenkurs erheblich zu beeinflussen. Maßgeblich ist die unmittelbare Fundamentalwertrelevanz: Wirkt sich der Angriff plausibel auf Umsatz, Ergebnisprognose, Liquidität oder Finanzberichterstattung aus, muss der Emittent ihn nach Art. 17 Abs. 1 MAR unverzüglich per Ad-hoc-Meldung veröffentlichen — oder den Aufschub nach Art. 17 Abs. 4 MAR dokumentieren. Nicht jeder Angriff löst die Pflicht aus. Das Unterlassen einer gebotenen Ad-hoc-Meldung begründet zunächst ein Bußgeldrisiko nach § 120 WpHG; strafbar nach § 400 AktG wird es erst bei einer unrichtigen Darstellung der Verhältnisse der Gesellschaft.

Cyberangriffe treffen börsennotierte Gesellschaften nicht nur als IT-, Betriebs- und Kommunikationskrise. Sie werfen zugleich eine kapitalmarktrechtliche Kernfrage auf, die im Krisenstab oft zu spät gestellt wird: Muss der Vorfall als Insiderinformation behandelt und ad-hoc veröffentlicht werden? Für den Gesamtüberblick über Tatbestände, Strafrahmen und Verfahren dient der Pillar-Beitrag Kapitalmarktstrafrecht: Insiderhandel und Marktmanipulation; dieser Beitrag beantwortet ausschließlich die Cyber-Ad-hoc-Frage — und die daran hängende Haftung.

Wann ist ein Cyberangriff eine Insiderinformation nach Art. 7 MAR?

Ein Cyberangriff kann eine Insiderinformation sein, wenn die Information die drei Merkmale des Art. 7 Abs. 1 MAR erfüllt: präzise, nicht öffentlich bekannt, geeignet zur erheblichen Kursbeeinflussung. Erfasst ist nach Art. 7 Abs. 3 MAR auch ein hinreichend konkreter Zwischenschritt eines laufenden Geschehens — bei Cybervorfällen praktisch bedeutsam, weil sich die Erkenntnisse forensisch erst verdichten. Der Emittentenbezug ist bei einem Angriff auf IT-Infrastruktur, Produktionssysteme, Kundendaten oder zentrale Geschäftsprozesse regelmäßig unproblematisch. Die beiden praktisch schwierigen Fragen sind die Präzision und die Kurserheblichkeit.

Die Präzision ist zu Beginn eines Vorfalls oft zweifelhaft. Solange Angriffsvektor, betroffene Systeme und Schadensausmaß unklar sind, fehlt der Information die für Art. 7 MAR nötige Bestimmtheit. Mit fortschreitender forensischer Aufklärung verdichtet sie sich — und mit ihr die Veröffentlichungspflicht.

Die Kurserheblichkeit richtet sich nach der unmittelbaren Fundamentalwertrelevanz: Der Angriff muss geeignet sein, wertbildende Faktoren wie Umsatz, Ergebnis, Liquidität, operative Kontinuität, Prognose oder Finanzberichterstattung wesentlich zu verändern. Nicht jede abstrakte Unsicherheit genügt; erforderlich sind plausible Auswirkungen. Besonders naheliegend ist die Kursrelevanz, wenn der Angriff Produktionsanlagen stilllegt, zentrale IT-Systeme lahmlegt, Lieferketten unterbricht oder die Finanzberichterstattung verzögert.

Die Marktpraxis zeigt: Zahlreiche Emittenten haben Cybervorfälle über Pressemitteilungen oder Kundeninformationen bekannt gemacht, ohne eine Ad-hoc-Meldung zu veröffentlichen. Diese Praxis ist tragfähig, wenn die Fundamentalwertrelevanz fehlt — sie wird zum Risiko, wenn der operative Schaden bereits absehbar ist und die Ad-hoc-Meldung dennoch unterbleibt.

Muss ein Cyberangriff ad-hoc veröffentlicht werden — und wann darf er aufgeschoben werden?

Erfüllt der Cyberangriff die Merkmale der Insiderinformation, muss der Emittent ihn nach Art. 17 Abs. 1 MAR unverzüglich veröffentlichen. „Unverzüglich“ bedeutet ohne schuldhaftes Zögern; ein Zuwarten bis zur vollständigen Sachverhaltsaufklärung ist nur zulässig, solange die Information noch nicht die Präzisionsschwelle erreicht hat.

Ein Aufschub nach Art. 17 Abs. 4 MAR (Selbstbefreiung) kommt bei Cyberangriffen grundsätzlich in Betracht, etwa wenn die sofortige Veröffentlichung die Schließung der Sicherheitslücke, die forensische Aufklärung oder die Abwehr von Nachahmungstaten gefährden würde. Der Aufschub verlangt drei kumulative Voraussetzungen: ein berechtigtes Interesse des Emittenten, keinen Widerspruch zur letzten öffentlichen Kommunikation und die gesicherte Vertraulichkeit der Information.

Gerade die Vertraulichkeit ist im Cyberfall schwer zu wahren. Angreifer können den Vorfall selbst veröffentlichen, Daten im Darknet zugänglich machen, Kunden oder Medien kontaktieren oder mit der Veröffentlichung drohen. Sobald die Vertraulichkeit nicht mehr gesichert ist, entfällt die Aufschub-Privilegierung und der Emittent muss die Information nach Art. 17 Abs. 7 MAR unverzüglich nachholen. Wer einen Aufschub wählt, muss ihn deshalb dokumentieren und eine vorbereitete „Leak-Ad-hoc-Meldung“ bereithalten.

Wie verhält sich die Ad-hoc-Pflicht zu NIS2, DORA und DSGVO?

Die Ad-hoc-Pflicht nach Art. 17 MAR ist von den IT-sicherheitsrechtlichen Meldepflichten zu trennen — sie haben andere Adressaten, andere Fristen und andere Zwecke. Ein einziger Cybervorfall kann mehrere Melde- und Veröffentlichungspflichten auslösen. Das gilt insbesondere für MAR, DSGVO und — je nach Sektor — BSIG oder DORA. Für Finanzunternehmen ist DORA im Vorfallsmeldewesen regelmäßig das speziellere Regime gegenüber der NIS2-/BSIG-Meldung; die Ad-hoc-Prüfung nach Art. 17 MAR und eine mögliche DSGVO-Meldung bleiben davon unberührt.

Regime Rechtsgrundlage Empfänger Frist Zweck
Ad-hoc-Publizität Art. 17 Abs. 1 MAR Kapitalmarkt (Bereichsöffentlichkeit), BaFin vorab unverzüglich Anlegerschutz, Marktintegrität
NIS2 / BSIG § 32 BSIG BSI Frühwarnung binnen 24 h, Folgemeldung binnen 72 h, Abschluss-/Fortschrittsmeldung nach 1 Monat IT-Sicherheit besonders wichtiger und wichtiger Einrichtungen
DORA Art. 19 DORA i. V. m. techn. Meldestandards BaFin Initial Notification binnen 4 h nach Klassifizierung als schwerwiegend, spätestens 24 h nach Erkennung; Intermediate Report 72 h; Final Report 1 Monat digitale operationale Resilienz des Finanzsektors
DSGVO Art. 33 DSGVO Datenschutzaufsicht 72 h Schutz personenbezogener Daten

Für Finanzunternehmen kann DORA besonders kurze Meldefristen auslösen: Die Initial Notification ist grundsätzlich binnen 4 Stunden nach Klassifizierung als schwerwiegender IKT-Vorfall einzureichen; zugleich ist die 24-Stunden-Grenze nach Erkennung des Vorfalls mitzudenken. Eine erfüllte NIS2- oder DSGVO-Meldung ersetzt die Ad-hoc-Meldung nicht — und umgekehrt. Für Emittenten außerhalb des Finanzsektors gilt: Die BSI-Meldung nach § 32 BSIG ist eine vertrauliche Behördenmeldung, die Ad-hoc-Meldung nach Art. 17 MAR dagegen eine öffentliche Kapitalmarktinformation. Beide Bewertungen müssen im Incident-Response-Plan getrennt geführt werden.

Welche Haftung droht dem Vorstand bei unterlassener Ad-hoc-Meldung?

Das Unterlassen einer gebotenen Ad-hoc-Meldung ist primär ein Bußgeldrisiko, kann aber in eine persönliche Strafbarkeit umschlagen. Die vorsätzliche oder leichtfertige Verletzung der Ad-hoc-Publizitätspflichten kann nach § 120 WpHG als Ordnungswidrigkeit geahndet werden; die konkrete Obergrenze hängt von Täterkreis und Verstoß ab. Bei juristischen Personen nennt die BaFin im Kontext des Art. 17 MAR insbesondere 2,5 Mio. Euro oder 2 % des Gesamtumsatzes als Obergrenze, daneben eine Gewinnabschöpfung.

Zur Straftat wird der Vorgang, wenn der Vorstand die Verhältnisse der Gesellschaft unrichtig darstellt: § 400 Abs. 1 Nr. 1 AktG (unrichtige Darstellung) sanktioniert dies mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe. Das bloße Verschweigen eines Cyberangriffs genügt dafür nicht; erforderlich ist eine aktive Falschdarstellung — etwa wenn der Vorstand in einer Zwischenmitteilung oder Analystenkommunikation ein beschönigendes Bild der Lage zeichnet, das er als überholt kennt.

Auf der zivilrechtlichen Ebene sind drei Haftungsstränge zu trennen. Die Außenhaftung des Emittenten gegenüber Anlegern folgt aus §§ 97, 98 WpHG bei unterlassener, verspäteter oder unrichtiger Ad-hoc-Meldung. Die persönliche deliktische Haftung des Vorstands greift bei vorsätzlicher Falschinformation nach § 826 BGB und § 823 Abs. 2 BGB i. V. m. § 400 AktG. Die Innenhaftung des Vorstands gegenüber der Gesellschaft folgt aus § 93 Abs. 2 AktG (Legalitätspflicht).

Die unionsrechtsbezogene Verweisungstechnik im Marktmissbrauchsrecht hat das Bundesverfassungsgericht in BVerfG 2 BvR 375/17 im Ergebnis nicht beanstandet; die Entscheidung ersetzt aber nicht die Prüfung, ob im Einzelfall eine präzise und kurserhebliche Insiderinformation vorlag. Für die Verteidigung ist der entscheidende Hebel die Vorsatz- und Kenntnisebene. Die Ad-hoc-Pflicht setzt Kenntnis der Insiderinformation voraus; entsteht der kursrelevante Befund unterhalb der Vorstandsebene und wird nicht weitergeleitet, verschiebt sich die Frage von der Veröffentlichungs- zur Organisationspflicht. Genau an dieser Schnittstelle — was wusste der Vorstand wann, und war die Information bereits präzise und kurserheblich — entscheidet sich in der Praxis, ob überhaupt ein vorwerfbares Unterlassen vorliegt.

Häufige Fragen

Ist jeder Cyberangriff auf ein börsennotiertes Unternehmen ad-hoc-pflichtig?

Nein. Ad-hoc-pflichtig nach Art. 17 MAR ist ein Cyberangriff nur, wenn er eine Insiderinformation nach Art. 7 MAR darstellt — also präzise, nicht öffentlich und kurserheblich ist. Maßgeblich ist die unmittelbare Fundamentalwertrelevanz, also die Auswirkung auf wertbildende Faktoren wie Umsatz, Ergebnis, Liquidität oder Finanzberichterstattung. Ein Angriff ohne plausible solche Auswirkung löst die Pflicht regelmäßig nicht aus.

Darf man die Ad-hoc-Meldung eines Cyberangriffs aufschieben?

Ein Aufschub nach Art. 17 Abs. 4 MAR ist möglich, wenn ein berechtigtes Interesse besteht (etwa Schließung der Sicherheitslücke oder forensische Aufklärung), kein Widerspruch zur letzten öffentlichen Kommunikation vorliegt und die Vertraulichkeit gesichert ist. Bei Cyberangriffen scheitert der Aufschub oft an der Vertraulichkeit, weil Angreifer den Vorfall selbst öffentlich machen können. Der Aufschub ist zu dokumentieren; entfällt die Vertraulichkeit, ist nach Art. 17 Abs. 7 MAR unverzüglich nachzuholen.

Muss ein Ransomware-Angriff mit Lösegeldforderung veröffentlicht werden?

Ein Ransomware-Angriff ist ad-hoc-pflichtig, wenn er kursrelevant ist — etwa bei Produktionsstillstand, Ausfall zentraler Systeme oder verzögerter Finanzberichterstattung. Die Lösegeldforderung selbst begründet die Pflicht nicht; entscheidend ist die Fundamentalwertrelevanz der Betriebsstörung. Sind personenbezogene Daten betroffen, greift parallel die DSGVO-Meldepflicht binnen 72 Stunden nach Art. 33 DSGVO.

Ersetzt die NIS2- oder DORA-Meldung die Ad-hoc-Meldung?

Nein. Die NIS2-Meldung an das BSI (§ 32 BSIG) und die DORA-Meldung an die BaFin (Art. 19 DORA) sind vertrauliche Behördenmeldungen mit eigenen Fristen. Die Ad-hoc-Meldung nach Art. 17 MAR ist eine öffentliche Kapitalmarktinformation und bleibt eigenständig. Für Finanzunternehmen ist DORA im Vorfallsmeldewesen regelmäßig das speziellere Regime gegenüber der NIS2-/BSIG-Meldung; MAR-Ad-hoc-Prüfung und DSGVO-Meldung bleiben davon unberührt.

Welche Folgen drohen dem Vorstand, wenn er einen kursrelevanten Cyberangriff verschweigt?

Das bloße Unterlassen einer gebotenen Ad-hoc-Meldung begründet zunächst ein Bußgeldrisiko nach § 120 WpHG; die Obergrenze hängt von Täterkreis und Verstoß ab und beträgt bei juristischen Personen im Art.-17-Kontext u. a. 2,5 Mio. Euro oder 2 % des Gesamtumsatzes. Eine Strafbarkeit nach § 400 AktG (bis 3 Jahre) setzt eine unrichtige Darstellung der Verhältnisse voraus. Daneben kommt zivilrechtliche Haftung des Emittenten nach §§ 97, 98 WpHG in Betracht.

Ab welchem Zeitpunkt läuft die Ad-hoc-Frist bei einem noch unklaren Cybervorfall?

Die Ad-hoc-Pflicht nach Art. 17 MAR entsteht erst, wenn die Information die Präzisionsschwelle des Art. 7 MAR erreicht — also Angriffsvektor, betroffene Systeme und absehbarer Schaden hinreichend bestimmt sind. Zu Beginn eines Vorfalls fehlt es daran oft. Mit fortschreitender forensischer Aufklärung verdichtet sich die Information; ab Kenntnis der kurserheblichen Tatsachen ist unverzüglich zu veröffentlichen oder ein Aufschub zu dokumentieren.

Die kapitalmarktrechtliche Bewertung eines Cybervorfalls entscheidet sich in den ersten Stunden — parallel zur technischen Abwehr und unter unvollständiger Tatsachengrundlage. Wer die Ad-hoc-Prüfung als festes Gate in den Incident-Response-Prozess einzieht und die Insiderlisten-Führung des Krisenstabs dokumentiert, verlagert die Entscheidung von der Reaktion in die Vorbereitung. Zur handelsgestützten Manipulation und ihren Nachweisfragen vertieft der Beitrag Spoofing und Layering in der Verteidigung; zu den strafrechtlichen Risiken rund um IT-Systeme der Pillar IT-Strafrecht.

Zur strafrechtlichen Verantwortung im Krisenfall: Strafbarkeitsrisiken des Geschäftsführers, Garantenstellung des Aufsichtsrats, Haftung des Geschäftsführers nach § 43 GmbHG, § 130 OWiG — Aufsichtspflichtverletzung.

Das Fundament

GrundlageUnternehmensstrafrecht DeutschlandGrundlageCompliance Officer — HaftungGrundlageBeschuldigtenrechte im StrafverfahrenGrundlageUntreue nach § 266 StGBGrundlageBetrug im WirtschaftsstrafrechtGrundlageSteuerhinterziehung § 370 AO

Criminal Compliance Briefing

Einmal im Quartal: ausgewählte Entwicklungen im Wirtschaftsstrafrecht, in der Criminal Compliance und bei internen Untersuchungen — eingeordnet aus Verteidigerperspektive.

Zum Inhalt springen