Zur Geschäftsführerhaftung nach § 43 GmbHG im Zusammenhang mit Phishing-E-Mails

Zusammenfassung

Das OLG Zweibrücken hatte darüber zu entscheiden, ob eine Geschäftsführerin für eine unberechtigte Überweisung aufgrund einer betrügerischen Phishing-E-Mail haftet. Das Gericht verneinte eine Haftung. Die Begründung wirft interessante Fragestellungen – auch im Hinblick auf D&O-Versicherungen – auf.

Sachverhalt

Dem Urteil lag folgender Sachverhalt zugrunde: Eine GmbH begehrte von einer ehemaligen Geschäftsführerin Schadensersatz in fünfstelliger Höhe mit dem Vorwurf, sie habe aufgrund von Phishing-E-Mails eine unberechtigte Überweisung an Betrüger im Ausland getätigt. Die Geschäftsführerin war Opfer einer Phishing-Attacke geworden. Die Betrüger schickten der Geschäftsführerin E-Mails, die als Absender einen langjährigen Geschäftspartner nachahmten. Dabei wurde die E-Mail-Adresse des Absenders nur geringfügig in Form eines "Buchstabendrehers" verändert. Die Beklagte überwies daraufhin, wie üblich, hohe fünfstellige Summen auf die in den Phishing-E-Mails genannten Bankkonten. Erst zu einem deutlich späteren Zeitpunkt wurde die Geschäftsführerin durch die Hausbank der Gesellschaft auf diese Unregelmäßigkeiten hingewiesen. Sie erstattete sodann Strafanzeige.

Geschäftsführerhaftung nur bei Verletzung einer spezifisch organschaftlichen Pflicht

Das OLG Zweibrücken wies die Klage der GmbH ab. Die Entscheidung des Gerichts ist insoweit bemerkenswert, als dass es die Verletzung einer spezifisch organschaftlichen Pflicht als Geschäftsführerin verneinte. Nach Auffassung des OLG Zweibrücken fehlte es im zu entscheidenden Fall bereits an einer solchen. Zwar habe die Geschäftsführerin nach Auffassung des Gerichts leicht fahrlässig gehandelt, indem ihr der "Buchstabendreher" bei der Überweisung hoher Geldbeträge nicht auffiel. Allerdings habe die Geschäftsführerin nach Auffassung des OLG Zweibrücken hierdurch keine "spezifisch organschaftliche" Pflicht nach § 43 Abs. 2 GmbHG verletzt. Das Tätigen einer Überweisung sei keine solche organschaftliche Pflicht.

Was unter Organpflichten zu verstehen sei, wird in Literatur und Rechtsprechung unterschiedlich beurteilt. Das OLG Koblenz bejahte bei einem grob fahrlässig verursachten Verkehrsunfall eine Pflichtverletzung eines Geschäftsführers. Ein Teil der Literatur vertritt ebenfalls die Ansicht, dass auch nicht organschaftliche Pflichtverletzungen unter die Haftung nach § 43 Abs. 2 GmbHG fallen. Der überwiegende Teil der Literatur, der sich das OLG Zweibrücken in hiesigem Fall anschloss, unterscheidet zwischen folgenden spezifischen Organpflichten: Legalitäts-, Sorgfalts-, Überwachungs- und Compliance-Pflichten. Tätigkeiten, die nur "bei Gelegenheit" ausgeführt werden, sollen nach dieser Meinung nach den allgemeinen Haftungsregeln nach §§ 280, 823, 276 BGB zu beurteilen sein. Die Beauftragung einer Geldüberweisung aufgrund einer Phishing-E-Mail ist nach Auffassung des OLG Zweibrücken keine Ausführung speziell organschaftlicher Pflichten. Dies sei normalerweise eine Tätigkeit der Buchhaltung. Die Unternehmensleitung der Geschäftsführerin sei nicht berührt. Genauso wenig habe die Geschäftsführerin eine Überwachungspflicht verletzt. Dabei orientierte sich das OLG Zweibrücken auch an den Vorgaben der Vorstandshaftung nach § 93 Abs. 2 Satz 1 AktG. Dort wird ebenfalls nur eine Pflicht verletzt, wenn die Tätigkeit im Zusammenhang mit seiner dienstlichen Tätigkeit steht.

Enthaftung nach den Grundsätzen des innerbetrieblichen Schadenausgleichs

Das OLG Zweibrücken verneinte auch eine Haftung der Geschäftsführerin auf Schadensersatz nach § 280 Abs. 1 BGB oder § 823 BGB. Das Gericht entschied, dass der Geschäftsführerin hinsichtlich dahingehender Pflichtverletzungen eine Haftungsmilderung in Anlehnung an die Grundsätze der Haftung von Arbeitnehmern im Rahmen des innerbetrieblichen Schadensausgleichs zugutekomme. Bei dem vorliegend nur leicht fahrlässigen Handeln der Geschäftsführerin hafte sie daher nicht. Der Betrüger hatte sich als ein langjähriger Geschäftspartner der Geschädigten ausgegeben und auf bestehende Kommunikationen Bezug genommen, die vor dem Phishing-Angriff tatsächlich mit diesem Geschäftspartner stattgefunden hatten. Es wurden Rechnungen vorgelegt, die sowohl ihrer Darstellung als auch ihrer Höhe nach plausibel waren. Die Höhe der überwiesenen Beträge waren für die geschädigte GmbH auch nicht außergewöhnlich, sondern alltäglich. Das OLG Zweibrücken lehnte eine Haftung letztlich auch deshalb ab, da die GmbH Kenntnis von den Phishing-E-Mails hatte; der Alleingesellschafter befand sich in allen E-Mails in CC. Die Geschäftsführerin habe daher ohnehin mit stillschweigendem Einverständnis der Gesellschaft gehandelt. Das Gericht verneinte aus diesen Gründen daher insgesamt eine Haftung der Geschäftsführerin.

Keine näheren Ausführungen zu den Organisationspflichten eines Geschäftsführers

Der Entscheidung des OLG Zweibrücken ist anzumerken, dass sie von dem Gedanken getragen wird, die Geschäftsführerin aus Gerechtigkeitsgesichtsgründen nicht haften zu lassen. Gerade im Hinblick ...