Die Entscheidung des Obersten Gerichtshofes vom 3. August 2021 ruft in Erinnerung, dass die Vermeidung einer Haftung als Geschäftsführer oder Vorstandsmitglied eng mit der Organisation des Unternehmens zusammenhängt.
Grundsätzlich können Organmitglieder auf die Tätigkeit von Kollegen und Mitarbeitern vertrauen („Vertrauensgrundsatz“), doch muss dieses Vertrauen berechtigt sein. Es dürfen keine Verdachtsmomente vorliegen, die ein sorgfältiges Organmitglied zum Handeln veranlassen würden. Klar ist im Grundsatz, dass ein Geschäftsführer nicht sämtliche Vorgänge im arbeitsteilig organisierten Unternehmen selbst zu verantworten hat. Insbesondere kann eine Ressortverteilung helfen, das Haftungsrisiko der einzelnen Organmitglieder zu reduzieren. Ein Universalrezept zur Vermeidung der Haftung als Organwalter gibt es allerdings nicht, außer man übernimmt die Organfunktion erst gar nicht und enthält sich auch einer faktischen Geschäftsführung. Tritt nämlich bei der Gesellschaft ein Schaden auf, so kann – trotz einer Ressortverteilung – der Vorwurf erhoben werden, das ressortunzuständige Mitglied habe sich zu wenig um das fremde Ressort im Sinne einer Kontrolltätigkeit gekümmert. Regelmäßig wird eine Rolle spielen, ob das beschuldigte Organmitglied etwas wusste oder wissen musste (und reagieren musste).
Im entscheidungsgegenständlichen Fall, dessen Sachverhalt in das Jahr 2015 und davor zurückreicht, wurde ein Unternehmen Opfer eines Fake-President-Fraud, bei welchem Mitarbeiter eines Unternehmens insbesondere unter Vorspiegelung falscher Identitäten (vermeintliche E-Mails des „Chefs“) zu schädigenden Handlungen (Überweisungen von Geldbeträgen) verleitet werden. Es stellte sich daher in der Folge die Frage, ob der Schaden mit der gebotenen Sorgfalt hätte vermieden werden können. Die rezente OGH-Entscheidung betraf die Klage gegen den ressortunzuständigen Geschäftsführer, der ua nicht für die Finanzbuchhaltung zuständig war.
Für die Gerichte war insbesondere von Relevanz, wie die Überweisungstätigkeit organisiert war (hierzu finden sich detaillierte Feststellungen, zB auch zu PIN, TAN, Aufbewahrung, DFÜ-Leitungen und Passwörtern). Während dem Leiter der Finanzbuchhaltung bewusst war, dass die Gruppenleiterin der Finanzbuchhaltung faktisch allein Überweisungen vornehmen konnte, war dies den Geschäftsführern nicht bekannt. Sie gingen von der Einhaltung des Vieraugenprinzips aus. Zudem wurden Mitarbeiter geschult und es existierten IT-Richtlinien, ua mit Warnungen vor suspekten E-Mails.
Die Bedeutung des unternehmensinternen Informationsflusses wird vom OGH in der Entscheidung recht abstrakt festgehalten (siehe Rn 48 der Entscheidung): „Bei größeren Gesellschaften ist die Entwicklung sachgerechter Grundsätze der Geschäftspolitik und die Organisation des Unternehmens dergestalt, dass die Realisierung des Gesellschaftszwecks optimal gefördert wird, dass der Informationsfluss im Unternehmen so gestaltet wird, dass sich die Geschäftsleitung stets über betriebswirtschaftlich relevante Daten Gewissheit verschaffen kann und nicht riskiert, über Fehlentwicklungen erheblichen Ausmaßes nicht unterrichtet zu werden, Aufgabe der Geschäftsführer.“
Der OGH hielt auf Basis der Feststellungen fest, dass bei der Klägerin ein internes Kontrollsystem eingerichtet war. Das Höchstgericht erkannte an, dass ein internes Kontrollsystem einen Fake-President-Fraud nicht per se verhindern kann (Rn 64). Der Vorwurf der Klägerin, der Beklagte habe die laufende Evaluierung und Überwachung des Kontrollsystems vernachlässigt, wurde mit dem Hinweis verknüpft, es sei die Bedrohung durch Spoofing-E-Mails mit betrügerischen Zahlungsaufforderungen im Herbst 2015 bekannt geworden. Für den OGH war jedoch entscheidend, dass es keinen Anlass für einen Verdacht gab, dass die nach dem Vieraugenprinzip organisierte Finanzbuchhaltung faktisch eine Schwachstelle aufwies.
Grundsätzlich ist von einem Organmitglied darauf Bedacht zu nehmen, ob Gefahren bekannt sind, gegen welche unternehmensinterne Vorkehrungen zu treffen sind. Eine solche Kenntnis kann sich aus allgemein zugänglichen Informationsquellen (zB den Medien) ergeben oder auch aus konkreten Anlassfällen in einem Unternehmen. Entscheidend ist letztlich, ob der Organwalter Kenntnis haben müsste.
Der OGH hielt für den konkreten Fall fest, dass ein derart komplexer Fake-President-Fraud Ende des Jahres 2015 noch nicht zum notorischen Wissen gehört hatte und dass auch die vor dem Vorfall bekannten verdächtigen E-Mails nicht dazu geführt hatten, dass der Beklagte mit einem solchen betrügerischen Angriff rechnen musste. Die OGH-Entscheidung zeigt somit sehr anschaulich, dass der Wissensstand im maßgeblichen Zeitraum große Bedeutung besitzen kann. Was Ende 2015 noch sorgfaltsgemäß war, muss im Jahr 2021 nicht unbedingt sorgfaltsgemäß sein. Neuere Erkenntnisse erfordern mitunter ein Reagieren der Gesellschaftsorgane, bisherige Systeme sind ggf nachzujustieren. Kurz: „Anlassfälle“ modifizieren die Pflichtenlage.