Der OGH beschäftigte sich vor kurzem mit der Haftung des Geschäftsführers einer operativ tätigen Gesellschaft als Beklagten für den Schaden, der dieser Gesellschaft (Klägerin) durch einen Fake-President-Fraud entstanden ist (8 ObA 109/20t). Der Beklagte war gleichzeitig auch Vorstandsvorsitzender der börsenotierten Mutter-Aktiengesellschaft. Konzernweit waren für die Klägerin bzw verbundene Unternehmen rund 3.000 Mitarbeiter tätig. Es handelte sich also um einen Großkonzern.
Aber was war passiert? Ende 2015 bekam die Leiterin der Finanzbuchhaltung der Klägerin zahlreiche vertrauliche E-Mails, welche den Anschein hatten, vom Konzernvorstand zu stammen. Nach einigen vertrauensbildenden Maßnahmen wurde sie letztlich angewiesen, rund 54 Millionen Euro in mehreren Tranchen auf (den Betrügern zuzurechnende) Konten zu überweisen, was sie nach anfänglichem Misstrauen letztlich auch tatsächlich tat. Ein Großteil des Geldes ging dadurch für immer verloren, ein spektakulärer “Fake-President-Fraud” war geglückt. Der Schaden war mit über 40 Millionen Euro enorm.
Aber haftet der Geschäftsführer der Klägerin deswegen so ohne weiteres? Er hat ja nicht tatsächlich selbst gehandelt (oder zur Zahlung angestiftet). Und ein eigenes rechtswidriges und schuldhaftes Handeln, welches für einen Schaden auch kausal war, ist bekanntlich unabdingbare Voraussetzung für eine Geschäftsführerhaftung. Und Mitarbeiter sind dem Geschäftsführer auch nicht als seine Erfüllungsgehilfen haftungsrechtlich zuzurechnen. Fraglich konnte im gegenständlichen Fall daher nur sein, ob der Geschäftsführer ihn selbst treffende Organisations- oder Überwachungspflichten verletzt hat.
Organisationspflicht: Einrichtung eines internen Kontrollsystems
Geschäftsführer haben als eine ihrer Kardinalpflichten ein internes Kontrollsystem einzurichten (siehe § 22 GmbHG). Ein solches dient laut OGH dazu, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnung zu gewährleisten und die Einhaltung der Geschäftspolitik zu unterstützen. Ein IKS umfasst also generelle Gefahren aus einem menschlichen oder technischen Versagen, die zu beträchtlichen Schäden führen könnten. Je größer das Unternehmen und je komplizierter der Aufgabenbereich, umso mehr Regelungen und Anweisungen müssen eingesetzt werden.
Aber wie war der Zahlungsprozess nun bei der klagenden Gesellschaft aufgesetzt? Die Zahlungsfreigabe bei der betroffenen Gesellschaft unterlag genau definierten Prozessen mit mehrfachen, unabhängig voneinander erforderlichen Autorisierungen. Sozusagen am Ende der Kette war die Erteilung des Überweisungsauftrags mit TANs von Bankkarten zweier Mitarbeiter, die laut Prozess auch getrennt zu verwahren waren, durchzuführen. Bei der Klägerin wurde auch eine Risikobewertung in der Finanzbuchhaltung und der IT-Abteilung durchgeführt. Dabei hatte der Leiter der Finanzbuchhaltung die Einhaltung des Vieraugenprinzips bestätigt. Die Mitarbeiter der Klägerin waren zudem im Bereich der IT-Sicherheit geschult und verpflichtet, im Fall von Auftauchen suspekter E-Mails die IT-Abteilung zu informieren. Die IT-Abteilung versandte weiters Warnhinweise per E-Mail, Blog oder als Artikel im Mitarbeiter-Magazin. Und nicht zuletzt war bei der Klägerin ein Social-Engineering-Test durchgeführt und ein Artikel über die „User Awareness“ im Mitarbeitermagazin veröffentlicht worden.
Vor diesem Hintergrund befand der OGH das interne Kontrollsystem der Klägerin auch für ein Unternehmen mit mehreren tausend Mitarbeitern als in Ordnung und sah die Organisationspflicht des beklagten Geschäftsführers als nicht verletzt an. Auch wenn man sicher nicht alle der vorstehenden Maßnahmen auch für KMU wird verlangen können, kann man aus dieser und früheren Entscheidungen des OGH auch für Mittelständler mitnehmen: Für Überweisungen ist das Vier-Augen-Prinzip geboten!
Was die konkrete Ausgestaltung interner Kontrollsysteme betrifft gilt ganz allgemein, dass je nach Einzelfall angemessene Maßnahmen erforderlich sind. Bei der Frage nach der angemessenen Ausgestaltung hat man sich laut OGH an der „Business Judgement Rule“ zu orientieren. Hier kurz zur Erinnerung, wie diese wichtige Regel funktioniert: (i) Ein Geschäftsführer darf sich bei unternehmerischen Entscheidungen nicht von sachfremden Interessen leiten lassen. (ii) Entscheidungen müssen auf Grundlage angemessener Information getroffen werden. Und sie müssen (iii) ex ante betrachtet dem Wohl der Gesellschaft dienen bzw muss der Geschäftsführer vernünftigerweise annehmen dürfen, dass er zum Wohle der Gesellschaft handelt. Sind diese Kriterien erfüllt, haftet ein Geschäftsführer nicht, auch wenn sich seine Entscheidungen im Nachhinein als nachteilig herausstellen. Die Haftung setzt dabei laut OGH voraus, dass der Geschäftsführer seinen Ermessensspielraum überschreitet, eine evident unrichtige Sachentscheidung oder eine geradezu unvertretbare Entscheidung trifft.
Überwachungspflicht: Was muss der ressortunzuständige Geschäftsführer selbst machen?
Grundsätzlich ist ein Geschäftsführer verpflichtet, nicht nur ein Kontrollsystem auf dem Papier einzurichten, sondern er muss sein Funktionieren auch überprüfen, erkannte Missstände bekannt geben sowie das System laufend anpassen und weiterentwickeln.
Dass der definierte Prozess im vorliegenden Fall nicht eingehalten wurde, ist evident. Es war wohl auch generell so, dass die handelnde Mitarbeiterin mit Wissen ihres direkten Vorgesetzten (Gruppenleiter) mitunter durchaus selbständig Zahlungen durchgeführt hat. Der Geschäftsführer wusste davon nichts. Aber hätte er es bei ausreichender Kontrolle gewusst/wissen können und Mängel abstellen müssen? Und hätte sich der Schaden damit verhindern lassen?
Hier muss man sich zunächst die Geschäftsordnung bei der klagenden Gesellschaft vor Augen halten. Der Beklagte war dieser gemäß in den Bereichen Sales und Marketing, Forschung und Entwicklung, Technik, Qualitätssicherung, zentraler Einkauf, Kundenbetreuung, Strategie, Rechtsberatung und für die ausländischen Tochtergesellschaften zuständig. Für die hier interessierenden Bereiche Rechnungswesen, Controlling, Corporate Compliance und Risikomanagement war dagegen eine andere Geschäftsführerin, im gegenständlichen Prozess Nebenintervenientin, verantwortlich. Und diese berichtete ihren Geschäftsführerkollegen durchaus darüber, wie der Zahlungsprozess aufgesetzt war und welche Nachschärfungen sie vornahm. Und es gab auch keine Warnungen der externen Prüfungsorganisationen.
Vor diesem Hintergrund meinte der OGH – auf Linie mit dem von ihm in ständiger Rechtsprechung etablierten Vertrauensgrundsatz – dass es den Bogen überspannen würde, dem nicht ressortzuständigen Beklagten hier weitere Nachforschungspflichten oder gar eine eigene Überwachungspflicht gegenüber den Mitarbeitern der Buchhaltung der klagenden Gesellschaft aufzuerlegen. Dies zumal er laut den Feststellungen keine Zweifel an der Richtigkeit und Vollständigkeit der Berichte der ressortzuständigen Geschäftsführerin haben musste.
Diese Einschätzung des OGH ist nicht nur zu begrüßen, sondern es zeigt sich aus der Entscheidung einmal mehr, wie wichtig sowohl eine sauber abgrenzende Geschäftsordnung, als auch eine regelmäßige Kommunikation in der Geschäftsführung sind, um Haftungsrisiken für das einzelne Mitglied zu reduzieren.
Mag. Gernot Wilfling / Ekaterina Shapatkovskaya