Business Continuity Pflicht

Pflicht des Verwaltungsrats zur Sicherstellung der Fortführungsfähigkeit der Gesellschaft auch in Krisen- und Notfallsituationen als moderne Ausprägung der Sorgfaltspflicht.

Definition

Die Business Continuity Pflicht ist die Pflicht des Verwaltungsrats zur Sicherstellung der Fortführungsfähigkeit der Gesellschaft auch in Krisen- und Notfallsituationen. Sie verlangt eine systematische Identifikation kritischer Geschäftsprozesse, eine Planung für Ausfallszenarien, klare Verantwortlichkeiten in der Krise, geeignete Wiederanlaufverfahren und die regelmässige Erprobung dieser Massnahmen. Sie ist eine moderne Ausprägung der allgemeinen Sorgfaltspflicht und gewinnt mit zunehmender Komplexität und Vernetzung der Wirtschaft an Bedeutung.

Business Continuity ist nicht nur Risikomanagement, sondern eine strategische Grundvoraussetzung. Wer keine Vorbereitung für absehbare Krisen hat, gefährdet die Gesellschaft in ihrem Bestand. Cyberangriffe, Pandemien, Lieferkettenausfälle und politische Verwerfungen haben in den letzten Jahren gezeigt, dass scheinbar unwahrscheinliche Szenarien innerhalb von Tagen Realität werden können.

Rechtsgrundlage

Es gibt keine eigenständige Norm für die Business Continuity Pflicht. Sie leitet sich aus mehreren Bestimmungen ab. OR Art. 716a Ziff. 2 zur Organisationspflicht verpflichtet den VR, eine angemessene Organisation festzulegen, die auch Krisenfähigkeit umfasst. OR Art. 717 verankert die Sorgfaltspflicht. OR Art. 725, 725a und 725b regeln die Pflichten bei drohender Zahlungsunfähigkeit, Kapitalverlust und Überschuldung. OR Art. 754 sanktioniert Verstösse.

Bei Finanzinstituten verlangt die FINMA explizit ein Business Continuity Management und prüft dies im Rahmen der laufenden Aufsicht. Das FINMA-Rundschreiben zum Business Continuity Management definiert Mindestanforderungen. Bei kritischen Infrastrukturen wie Energie, Telekommunikation oder Gesundheit kommen Anforderungen aus dem Informationssicherheitsgesetz und dem ICT-Minimalstandard des Bundes hinzu.

Die Aktienrechtsrevision 2023 hat die Pflicht zur Liquiditätsplanung präzisiert. Eine systematische Liquiditätsüberwachung ist Teil eines wirksamen Business Continuity Programms, weil viele Krisen über Liquiditätsschocks akut werden.

Praxis Schweiz

In der Schweizer Praxis hat sich eine Business Continuity Architektur etabliert, die mehrere Ebenen umfasst. An der Basis steht die Business Impact Analyse, die kritische Geschäftsprozesse identifiziert und die maximale tolerierbare Ausfallzeit definiert. Daraus werden Recovery Time Objectives und Recovery Point Objectives abgeleitet, die die Wiederanlaufpriorisierung steuern.

Darüber liegen Notfallpläne für definierte Szenarien wie Cyberangriff, IT-Ausfall, Standortausfall, Pandemie oder Lieferanten-Engpass. Diese Pläne enthalten konkrete Schritte, Verantwortlichkeiten, Eskalationspfade und Kommunikationsvorlagen. Sie werden regelmässig getestet, typischerweise einmal jährlich in Tabletop-Exercises und in unregelmässigen Abständen in technischen Tests.

Die Krisenstruktur ist ein eigenes Element. Sie definiert das Krisenteam, oft als Krisenstab oder Incident Management Team, mit klaren Rollen, Kommunikationswegen und Entscheidungskompetenzen. Bei börsenkotierten Gesellschaften ist die Anbindung an den VR und an die Investor Relations besonders sensibel zu regeln, weil Ad-hoc-Pflichten zu berücksichtigen sind.

Externe Partner sind ebenfalls Teil der Vorbereitung. Forensik-Spezialisten bei Cybervorfällen, Krisenkommunikationsberater bei Reputationskrisen, spezialisierte Anwaltskanzleien bei regulatorischen Verfahren und Sanierungsexperten bei Liquiditätskrisen werden vorab identifiziert und teils mit Standby-Mandaten ausgestattet. Wer im Krisenfall noch verhandeln muss, verliert wertvolle Zeit.

Häufige Fehler

Der häufigste Fehler sind formale Notfallpläne ohne reale Testbarkeit. Wenn das Business Continuity Konzept nur im Schubladenmodus existiert und nie praktisch erprobt wurde, hilft es im Ernstfall nicht. Realistische Tabletop-Exercises mit den Schlüsselpersonen, von der GL bis zum operativen Krisenstab, sind unverzichtbar.

Ein zweiter Fehler ist die Vernachlässigung der Lieferantenkette. Viele Krisen kommen über Drittparteien, etwa Cloud-Anbieter, IT-Dienstleister oder Lieferanten mit Konzentrationsrisiken. Die VR-Sorgfalt verlangt, dass auch externe Abhängigkeiten in der Business Impact Analyse berücksichtigt und durch Verträge, Redundanzen und Backup-Lieferanten abgesichert werden.

Weiter wird die Krisenkommunikation oft unterschätzt. Eine technisch gut bewältigte Krise kann reputativ ein Desaster werden, wenn die Kommunikation versagt. Vorab definierte Kommunikationsvorlagen, geübte Sprecher und ein abgestimmtes Vorgehen mit Investor Relations sind Pflicht.

Ein weiterer Schwachpunkt ist die Annahme, dass D&O- und Cyber-Versicherungen die Vorbereitung ersetzen. Versicherungen decken finanzielle Folgen, beseitigen aber nicht die operativen, reputativen und strategischen Konsequenzen einer schlecht bewältigten Krise. Die Versicherung ist ein Baustein, nicht ein Substitut.

Abgrenzung

Die Business Continuity Pflicht ist abzugrenzen von der allgemeinen Risikomanagement-Pflicht. Das Risikomanagement identifiziert und steuert Risiken proaktiv, Business Continuity bereitet die Reaktion auf eingetretene Krisenszenarien vor. Beide gehören zusammen, sind aber inhaltlich verschieden.

Sie ist auch zu unterscheiden von der Cyber-Sorgfaltspflicht. Cybersicherheit ist ein wesentlicher Treiber für Business Continuity, weil viele aktuelle Krisenszenarien Cyber-bedingt sind. Business Continuity ist aber breiter und umfasst auch nicht-digitale Krisen wie Pandemien, Naturkatastrophen oder Lieferengpässe.

Schliesslich grenzt sich die Business Continuity Pflicht von der Sanierungsverantwortung ab. Sanierung greift, wenn die Gesellschaft in finanzielle Not gerät. Business Continuity ist die vorgelagerte Vorbereitung für alle möglichen Krisen, von denen finanzielle Not nur eine ist. Sanierungsfähigkeit ist eine Teilmenge der Business Continuity, nicht ihr Gegenteil.

Häufige Fragen

Was ist die Business Continuity Pflicht?

Die Business Continuity Pflicht ist die Pflicht des VR, die Fortführungsfähigkeit der Gesellschaft auch in Krisen- und Notfallsituationen sicherzustellen. Sie verlangt eine systematische Planung für Ausfallszenarien, definierte Wiederanlaufverfahren, klare Verantwortlichkeiten und regelmässige Tests der Notfallpläne.

Wo ist die Business Continuity Pflicht verankert?

Sie hat keine eigenständige Norm, leitet sich aus OR Art. 716a zur Organisationspflicht, OR Art. 717 zur Sorgfaltspflicht und OR Art. 725 zum Sanierungsrecht ab. Bei Finanzinstituten verlangt die FINMA explizit Business Continuity Management. Bei kritischer Infrastruktur gelten zusätzliche regulatorische Anforderungen.

Welche Szenarien deckt Business Continuity ab?

Klassische Szenarien sind Cyberangriffe und Ransomware, IT-Ausfälle, Pandemien, Naturkatastrophen, Ausfall von Schlüsselpersonen, Lieferanten-Engpässe, Reputationskrisen, regulatorische Massnahmen und politische Risiken. Das Spektrum ist breit, die Priorisierung erfolgt nach Eintrittswahrscheinlichkeit und Schadenpotenzial.

Welche Bausteine umfasst ein Business Continuity Programm?

Zentrale Bausteine sind die Business Impact Analyse, der Notfallplan, das Krisenkommunikationskonzept, das Recovery Time Objective je Geschäftsprozess, die Wiederanlauf-Reihenfolge, Backup- und Redundanzkonzepte, definierte Krisenteams sowie regelmässige Tabletop-Exercises und Stresstests.

Wie reagiert der VR im Krisenfall?

Der VR muss unverzüglich informiert werden, die Krisenstruktur aktivieren, externe Spezialisten beiziehen, die Kommunikation steuern, Stakeholder einbinden und die Folgemassnahmen koordinieren. Schnelligkeit, Klarheit der Verantwortlichkeiten und gute Vorbereitung sind entscheidend. Improvisierte Krisenreaktion verschärft fast immer den Schaden.

Welche Rolle spielt das Sanierungsrecht?

OR Art. 725 ff. konkretisieren die Pflichten bei drohender Zahlungsunfähigkeit, Kapitalverlust und Überschuldung. Ein wirksames Business Continuity Programm muss diese Schwellen frühzeitig erkennen und die im Gesetz vorgeschriebenen Massnahmen einleiten. Verspätete Reaktion ist Pflichtverletzung und persönlich haftungsrelevant.

Welche Fehler sind in der Praxis häufig?

Häufig sind formale Notfallpläne ohne reale Testbarkeit, fehlende Tabletop-Exercises, mangelnde Schulung der Mitarbeitenden, unklare Krisenverantwortlichkeiten, Vernachlässigung der Lieferantenkette, schlechte Krisenkommunikation und die Annahme, die D&O-Versicherung würde die Vorbereitung ersetzen. Wer im Krisenfall improvisiert, verliert Zeit und Geld.

Wer haftet bei mangelhafter Business Continuity?

Bei nachweisbar mangelhafter Business Continuity haftet der VR persönlich nach OR Art. 754. Anknüpfungspunkte sind das Ignorieren bekannter Risiken, fehlende Notfallplanung trotz branchenüblicher Standards, mangelhafte Reaktion auf Krisensignale oder verspätete Eskalation. Im Konkursfall sind solche Vorwürfe regelmässig Bestandteil von Verantwortlichkeitsklagen.