Letztlich verbleibt somit lediglich ein Rückgriff auf Vorstände und Geschäftsführerinnen und Geschäftsführer, um zumindest den finanziellen Schaden wieder auszugleichen. Zu diesem Rückgriff sind die Vereine und Verbände auch verpflichtet, sodass Geschäftsführerinnen und Geschäftsführer nicht darauf hoffen können, nicht in Anspruch genommen zu werden.
Unabhängig davon, dass die Geschäftsführerinnen und Geschäftsführer bei einem Haftungsfall einer Inanspruchnahme durch den Verein oder deren Gesellschafter ausgesetzt sind, kann auch eine Haftung gegenüber Dritten in Betracht kommen.
Die Haftung des Vorstands oder der Geschäftsführung hängt jeweils maßgeblich von der Frage ab, ob sie schuldhaft eine Pflicht verletzt haben und ob daraus ein ersatzfähiger Schaden entstanden ist.
Geschäftsführerinnen und Geschäftsführer müssen generell „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters “ beachten. Dies ergibt sich aus § 93 Abs. 1 S. 1 AktG bzw. § 43 Abs. 1 GmbHG.
Aus § 93 Abs. 2 AktG bzw. § 43 Abs. 2 GmbHG folgt wiederum, dass bereits leichte Fahrlässigkeit haftungsbegründende Wirkung hat. Hierbei ist nicht nur die Pflicht der im Einzelfall geschäftsführenden Person gemeint, sich persönlich rechtstreu zu verhalten, sondern auch die Pflicht, sicherzustellen, dass der Verein gegen keine rechtlichen Bestimmungen verstößt. Darüber hinausgehende Pflichten können auch aus internem Vereinsrecht oder der Satzung resultieren. Ebenso zu beachten ist Art. 32 DSGVO, welcher für personenbezogene Daten verarbeitende Vereine die Verpflichtung statuiert, „angemessene technische und organisatorische Maßnahmen“ (TOMs) zu deren Schutz zu ergreifen. Es ist und bleibt daher die Aufgabe der Geschäftsführung, dafür Sorge zu tragen, dass der Verein nach sämtlichen Rechtsvorgaben gesetzeskonform arbeitet. Dazu zählt auch die Verantwortlichkeit der Geschäftsführung dafür Sorge zu tragen, dass die IT-Sicherheit nach dem Stand der Technik gewährleistet ist. Auch dies hat die Geschäftsführung fortlaufend zu überwachen. Eine etwaige Verletzung der sehr hohen Anforderungen führt zur Eigenhaftung der Geschäftsführung.
Darüber hinaus ist über die Ausstrahlungswirkung von § 91 Abs. 2 AktG, eine allgemeine Leitungspflicht der Geschäftsleitung zur Vermeidung der Bestandsgefährdung eines Vereins einen Organisationsstandard zu schaffen, vollkommen anerkannt. Da Cyberrisiken mit massiven finanziellen Verlusten sowie einem Rückgang des Mitgliederbestandes aufgrund eines enttäuschten Vertrauens in die Datensicherheit einhergehen können, kann ein Cyberangriff eine Gefahr für den Bestand eines Vereins darstellen.