“Nein” meint der Oberste Gerichtshof (OGH) in einer aktuellen Entscheidung. Das kann aber keinesfalls verallgemeinert werden und ist immer eine Einzelfallentscheidung. Warum Geschäftsführer trotz dieser Entscheidung aufpassen sollten.
In der nunmehr veröffentlichten Entscheidung des OGH vom 03.08.2021, 8 ObA 109/20t ging es um die Frage, ob der ehemalige Vorstand des Flugzeuglieferers FACC für einen Cyberbetrug, bei welchem das Unternehmen 43 Millionen Euro verlor, haftet. FACC war Anfang 2016 Opfer eines “Fake President Fraud” geworden. Betrüger hatten sich gegenüber der Buchhaltung des Unternehmens als Firmenchefs ausgegeben und in mehr als 92 “streng vertraulichen” Mails die Überweisung von 54 Millionen Euro auf ausländische Konten gefordert. Die Buchhaltung kam der vermeintlichen Weisung des Vorstands nach. Ein großer Teil des Geldes konnte nicht mehr zurückgeholt werden. Entgegen der Vorgabe eines Vieraugenprinzips wurden die Telebanking-Überweisungen alleine von der Gruppenleiterin der Finanzbuchhaltung durchgeführt. Sie hatte damit die Möglichkeit, ohne Rücksprache Überweisungen durchzuführen. Die Geschäftsführung wusste davon allerdings nichts (vgl https://www.derstandard.at/story/2000130175643/ex-chef-von-flugzeugzulieferer-facc-haftet-nicht-fuer-cyberbetrug).
Das Unternehmen begehrte gegenüber dem damaligen Geschäftsführer nun Schadenersatz mit der Begründung, er hätte kein ausreichendes Kontroll- und Sicherheitssystem eingerichtet.
Haftung von Geschäftsführern
Geschäftsführer einer GmbH sind verpflichtet, bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Geschäftsführer, die ihre Pflichten schuldhaft – also fahrlässig oder gar vorsätzlich – verletzen, haften der GmbH für den daraus entstandenen Schaden. Abgesehen von dieser zivilrechtlichen Haftung besteht unter gewissen Umständen auch die Gefahr einer strafrechtlichen Verantwortung. Insbesondere der Straftatbestand der Untreue ist immer wieder Gegenstand von Strafverfahren gegen Geschäftsführer.
Klar ist aber, dass ein Geschäftsführer schlichtweg nicht (immer) nur gänzlich risikolose Entscheidungen treffen kann. Es bringt das unternehmerische Handeln mit sich, dass auch zu einem gewissen Teil riskantere Entscheidungen getroffen werden. Maßstab für die Frage, ob ein Geschäftsführer haftet ist die sogenannte “Business Judgement Rule”. Bei unternehmerischen Entscheidungen darf sich danach der Geschäftsführer nicht von sachfremden Interessen leiten lassen, Entscheidungen müssen auf Grundlage angemessener Information, wie beispielsweise schlüssiger Expertengutachten getroffen werden, sie müssen ex ante betrachtet offenkundig dem Wohl der Gesellschaft dienen und der Geschäftsführer muss vernünftigerweise annehmen dürfen, dass er zum Wohle der Gesellschaft handelt, er muss also hinsichtlich der übrigen Kriterien gutgläubig sein. Sind all diese Voraussetzungen erfüllt, so ist er haftungsfrei. Entscheidungen dürfen nicht schon deshalb haftungsbegründend sein, weil sie sich im Nachhinein als nachteilig herausgestellt haben.
Pflicht der Geschäftsführer zur Implementierung eines Internen Kontrollsystems
Geschäftsführer haben gewisse Pflichten zu erfüllen. Viele von diesen sind bereits von Gesetzes wegen vorgegeben, weitere können sich durch Gesellschaftsvertrag und Gesellschafterbeschlüsse ergeben. Eine Pflicht des Geschäftsführers ist es dafür zu sorgen, dass ein internes Kontrollsystem geführt wird die den Anforderungen des Unternehmens entsprechen. Die Beurteilung, ob gesetzlichen Präventions-, Prüfungs- und Sorgfaltspflichten ausreichend nachgekommen wurde, ist grundsätzlich eine Frage des Einzelfalls. Das Ziel eines internen Kontrollsystems ist es, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnung zu gewährleisten und die Einhaltung der Geschäftspolitik zu unterstützen. Ziel sind die Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit. Regelmäßig basiert es wohl auf Überwachungsmaßnahmen organisatorischer und EDV-technischer Art, wie Unterschriftenregelungen, EDV-Zugriffsbeschränkungen oder Arbeitsanweisungen und Kontrollmaßnahmen, die manuell oder automatisationsunterstützt, etwa Plausibilitätsprüfungen in der Buchhaltungssoftware, durchgeführt werden. Hinzu kommen Richtlinien und Regelwerke zur Definition von Standardprozessen sowie deren Dokumentation und eine interne Revision, die in diesem Zusammenhang die Aufgabe hat, bei wiederkehrenden Prüfungen die Effizienz eines IKS zu kontrollieren. In der Praxis geht die Implementierung eines funktionierenden IKS mit der Implementierung eines Compliance Management Systems einher.
In einer etwas älteren Entscheidung (OGH 9 ObA 136/19v) wurde die Haftung eines Geschäftsführers beispielsweise bejaht, dessen Eintritt durch das Fehlen eines angemessenen internen Kontrollsystems ermöglicht worden war. Nach dem Sachverhalt dieser Entscheidung hatte sich eine Buchhaltungskraft durch eigenmächtige Überweisungen und Kassamanipulationen selbst bereichert. Der Geschäftsführer wurde zum Schadenersatz verpflichtet, weil er trotz Kenntnis massiver Beschwerden über die fehlerhafte Arbeit der Mitarbeiterin sowie unter Missachtung einer ausdrücklichen Aufforderung der Gesellschafterin sowohl die Nichteinhaltung des Vier-Augen-Prinzips bei Überweisungen bewusst geduldet, als auch jede andere Überwachung und Kontrolle der Mitarbeiterin unterlassen hatte.
Cyberbetrug – eine Einzelfallbeurteilung
Der eingangs erwähnten, aktuellen Entscheidung lag eine Betrugsform des sogenannten “Fake President Fraud” zu Grunde. Dabei handelt es sich um eine höchst professionell organisierte, mit offenkundig erheblichem Rechercheaufwand ausgeklügelte und auf mehreren kommunikativen Ebenen ausgeführte Angriffsmethode. Die angewandte Methode ging – zumindest damals – über herkömmliche, durch ihre zahlreichen Fehler und plumpen Formulierungen leicht als Betrugsversuch erkennbaren E-Mails erheblich hinaus. Weil diese Betrugsform auch für einen objektiv sorgfältigen Geschäftsführer nicht erkennbar war und vor allem – für die damalige Situation – ausreichende Kontrollmaßnahmen (insbesondere durch Implementierung eines funktionierenden Internen Kontrollsystems vom Geschäftsführer unternommen wurden, haftete der Geschäftsführer nicht.
Fakt ist aber auch, dass es sich hier immer um eine Einzelfallbeurteilung handeln wird. Dabei darf auch nicht außer Acht gelassen werden, dass das Thema Cybercrime immer wichtiger wird. Mögen sich auch laufend die Methoden der Cyberkriminellen weiterentwickeln, steigt (hoffentlich) auch bei Unternehmen und deren Managern die Sensibilisierung für dieses Thema und erkennen diese, wie wichtig es ist, hier ausreichende Präventivmaßnahmen vorzunehmen.
Was bedeutet das nun für die Praxis?
Zusammenfassend ergeben sich daraus für die Praxis folgende Punkte:
- Geschäftsführer, die ihre Pflichten schuldhaft – also fahrlässig oder gar vorsätzlich – verletzen, haften für den daraus entstandenen Schaden.
- Zu den Pflichten der Geschäftsführung gehört die Implementierung eines funktionierenden Internen Kontrollsystems (IKS).
- Damit einhergehend sollte auch ein funktionierendes Compliance Management System (CMS) eingerichtet werden.
- Dabei ist auch auf die „neuen“ Gefahren von Cybercrime zu achten.
Fragen? Georg Kudrna berät Sie gerne!