Zur Geschäftsführerhaftung nach § 43 GmbHG im Zusammenhang mit Phishing-E-Mails
Sachverhalt
Dem Urteil lag folgender Sachverhalt zugrunde: Eine GmbH begehrte von einer ehemaligen Geschäftsführerin Schadenersatz in fünfstelliger Höhe mit dem Vorwurf, sie habe aufgrund von Phishing-E-Mails eine unberechtigte Überweisung an Betrüger im Ausland getätigt. Die Geschäftsführerin war Opfer einer Phishing-Attacke geworden. Die Betrüger schickten der Geschäftsführerin E-Mails, die als Absender einen langjährigen Geschäftspartner nachahmten. Dabei wurde die E-Mail-Adresse des Absenders nur geringfügig in Form eines "Buchstabendrehers" verändert. Die Beklagte überwies daraufhin, wie üblich, hohe fünfstellige Summen auf die in den Phishing-E-Mails genannten Bankkonten. Erst zu einem deutlich späteren Zeitpunkt, wurde die Geschäftsführerin durch die Hausbank der Gesellschaft auf diese Unregelmäßigkeiten hingewiesen. Sie erstattete sodann Strafanzeige.
Geschäftsführerhaftung nur bei Verletzung einer spezifisch organschaftlichen Pflicht
Das OLG Zweibrücken wies die Klage der GmbH ab. Die Entscheidung des Gerichts ist insoweit bemerkenswert, als dass es die Verletzung einer spezifisch organschaftlichen Pflicht als Geschäftsführerin verneinte. Nach Auffassung des OLG Zweibrücken fehlte es im zu entscheidenden Fall bereits an einer solchen. Zwar habe die Geschäftsführerin nach Auffassung des Gerichts leicht fahrlässig gehandelt, indem ihr der „Buchstabendreher“ bei der Überweisung hoher Geldbeträge nicht auffiel. Allerdings habe die Geschäftsführerin nach Auffassung des OLG Zweibrücken hierdurch keine „spezifisch organschaftliche“ Pflicht nach § 43 Abs. 2 GmbHG verletzt. Das Tätigen einer Überweisung sei keine solche organschaftliche Pflicht.
Was unter Organpflichten zu verstehen sei, wird in Literatur und Rechtsprechung unterschiedlich beurteilt. Das OLG Koblenz bejahte bei einem grob fahrlässig verursachten Verkehrsunfall eine Pflichtverletzung eines Geschäftsführers. Ein Teil der Literatur vertritt ebenfalls die Ansicht, dass auch nicht organschaftliche Pflichtverletzungen unter die Haftung nach § 43 Abs. 2 GmbHG fallen. Der überwiegende Teil der Literatur, der sich das OLG Zweibrücken in hiesigem Fall anschloss, unterscheidet zwischen folgenden spezifischen Organpflichten: Legalitäts-, Sorgfalts-, Überwachungs- und Compliance-Pflichten. Tätigkeiten, die nur „bei Gelegenheit“ ausgeführt werden, sollen nach dieser Meinung nach den allgemeinen Haftungsregeln nach §§ 280, 823, 276 BGB zu beurteilen sein. Die Beauftragung einer Geldüberweisung aufgrund einer Phishing-E-Mail ist nach Auffassung des OLG Zweibrücken keine Ausführung speziell organschaftlicher Pflichten. Dies sei normalerweise eine Tätigkeit der Buchhaltung. Die Unternehmensleitung der Geschäftsführerin sei nicht berührt. Genauso wenig habe die Geschäftsführerin eine Überwachungspflicht verletzt. Dabei orientierte sich das OLG Zweibrücken auch an den Vorgaben der Vorstandshaftung nach § 93 Abs. 2 S. 1 AktG. Dort wird ebenfalls nur eine Pflicht verletzt, wenn die Tätigkeit im Zusammenhang mit seiner dienstlichen Tätigkeit steht.
Enthaftung nach den Grundsätzen des innerbetrieblichen Schadenausgleichs
Das OLG Zweibrücken verneinte auch eine Haftung der Geschäftsführerin auf Schadenersatz nach § 280 I BGB oder § 823 BGB. Das Gericht entschied, dass der Geschäftsführerin hinsichtlich dahingehender Pflichtverletzungen eine Haftungsmilderung in Anlehnung an die Grundsätze der Haftung von Arbeitnehmern im Rahmen des innerbetrieblichen Schadensausgleichs zugutekomme. Bei dem vorliegend nur leicht fahrlässigen Handeln der Geschäftsführerin hafte sie daher nicht. Der Betrüger hatte sich als ein langjähriger Geschäftspartner der Geschädigten ausgegeben und auf bestehende Kommunikationen Bezug genommen, die vor dem Phishing-Angriff tatsächlich mit diesem Geschäftspartner stattgefunden hatten. Es wurden Rechnungen vorgelegt, die sowohl ihrer Darstellung als auch ihrer Höhe nach plausibel waren. Die Höhe der überwiesenen Beträge waren für die geschädigte GmbH auch nicht außergewöhnlich, sondern alltäglich. Das OLG Zweibrücken lehnte eine Haftung letztlich auch deshalb ab, da die GmbH Kenntnis von den Phishing-E-Mails hatte − der Alleingesellschafter befand sich in allen E-Mails in CC. Die Geschäftsführerin habe daher ohnehin mit stillschweigendem Einverständnis der Gesellschaft gehandelt. Das Gericht verneinte aus diesen Gründen daher insgesamt eine Haftung der Geschäftsführerin.
Keine näheren Ausführungen zu den Organisationspflichten eines Geschäftsführers
Der Entscheidung des OLG Zweibrücken ist anzumerken, dass sie von dem Gedanken getragen wird, die Geschäftsführerin aus Gerechtigkeitsgesichtsgründen nicht haften zu lassen. Gerade im Hinblick auf die "organschaftliche" Organisations- und Überwachungspflicht eines Geschäftsführers bleibt die Entscheidung wage. So stellte das OLG Zweibrücken zwar die unterschiedlichen Ansichten, ob Geschäftsführer nur für organschaftliche Pflichten oder auch sonstige Tätigkeiten haften, ausführlich dar, ging aber letztlich nicht darauf ein, welche organschaftlichen Pflichten eines Geschäftsführers im Rahmen der Organisationspflicht zur Vermeidung von Phishing-Emails bestehen. Gerade Ausführungen hierfür wären sehr interessant gewesen. So drängt sich als Außenstehender beispielsweise die Frage auf, warum einzelne Überweisungen durch die Geschäftsführerin selbst und nicht durch die Buchhaltung getätigt wurden bzw. ob es Regelungen zur Rechnungsfreigabe gab. Offen bleibt nach der Entscheidung des OLG Zweibrücken auch, welche Anforderungen an das IT-System eines Unternehmens zu stellen sind, um Phishing-E-Mails zu vermeiden.
Auswirkungen auf D&O-Versicherungen?
Die Deckung des Haftungsfalles durch eine D&O-Versicherung war nicht Gegenstand des Rechtstreits. Gleichwohl ist das Urteil auch für D&O-Versicherungen von grundsätzlicher Bedeutung.
Das Urteil könnte Auswirkungen auf die Deckungsfrage haben, weil durch eine D&O-Versicherung in aller Regel nur Pflichtverletzungen infolge der "Organtätigkeit" versichert werden. Folgt man der Auffassung des OLG Zweibrücken, dass bei "Gelegenheitstätigkeiten" keine organschaftlichen Pflichten verletzt werden, so würde dies bei enger Auslegung der Versicherungsbedingungen in der Konsequenz bedeuten, dass dahingehende Pflichtverletzungen eines Geschäftsführers nicht vom D&O-Versicherungsschutz umfasst sind. In der Praxis dürfte dies gerade bei der Entscheidung, ob bei der Inanspruchnahme eines Geschäftsführers für bestimmte Pflichtverletzungen Abwehrkostenschutz zu gewähren ist, für (Abgrenzungs-)Probleme sorgen.
Fazit
Die Entscheidung des OLG Zweibrücken kommt auf den ersten Blick ganz unscheinbar daher. Bei genauerer Betrachtung ist sie es jedoch nicht. Die Entscheidung zeigt, dass nicht jede Pflichtverletzung eines Geschäftsführers zwangsläufig als organschaftliche Pflichtverletzung im Sinne von § 43 Abs. 2 GmbHG einzuordnen ist. Des Weiteren bestätigt die Entscheidung, dass eine Haftungsmilderung nach den Grundsätzen des innerbetrieblichen Schadensausgleichs in analoger Anwendung auch für Geschäftsführer in Betracht kommen kann, wenn er wie jeder beliebige Dritte am Rechtsverkehr teilnimmt und im Unternehmen lediglich begrenzte Entscheidungskompetenzen hat. Wegen der grundsätzlichen Bedeutung dieser Fragen wurde die Revision gegen das Urteil zugelassen.
Die Entscheidung wirft auch Fragen hinsichtlich des D&O-Versicherungsschutzes auf, der regelmäßig nur Pflichtverletzungen der Geschäftsführer aufgrund ihrer "Organtätigkeit" umfasst.
(OLG Zweibrücken, Urteil vom 18.8.2022, 4 U 198/21)
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.7762
-
Gerichtliche Ladungen richtig lesen und verstehen
1.549
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.499
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.435
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.364
-
Klagerücknahme oder Erledigungserklärung?
1.337
-
Wie kann die Verjährung verhindert werden?
1.190
-
Verdacht der Befangenheit auf Grund des Verhaltens des Richters
1.155
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
1.126
-
Formwirksamkeit von Dokumenten mit eingescannter Unterschrift
9861
-
Neue Bundesverordnung zur „Cookie-Einwilligung“
31.10.2024
-
Zahl der Datenschutz-Bußgeldverfahren steigt
24.10.2024
-
Untersuchungs- und Rügeobliegenheit im B2B-Bereich
23.10.2024
-
Fernmeldegeheimnis gilt nicht für private E-Mails und Telefonate am Arbeitsplatz
17.10.2024
-
Wirecard: Geschädigte Aktionäre sind keine nachrangigen Gläubiger!
16.10.2024
-
Entscheidung zu drittstaatlichen Subventionen billigt Durchsuchung eines chinesischen Konzerns
15.10.2024
-
Neues zur Gesellschaft mit gebundenem Vermögen
15.10.2024
-
Rechtliche Aspekte beim KI-Einsatz in Unternehmen
10.10.2024
-
Doch kein Monster: Ein Jahr Hinweisgeberschutzgesetz
09.10.2024
-
Einreichung der ursprünglichen Gesellschafterliste im einstweiligen Rechtsschutz
08.10.2024