Geschäftsführerhaftung nach § 43 GmbHG - Phishing-E-Mails

Das OLG Zweibrücken hatte darüber zu entscheiden, ob eine Geschäftsführerin für eine unberechtigte Überweisung aufgrund einer betrügerischen Phishing-E-Mail haftet. Das Gericht verneinte eine Haftung. Die Begründung wirft interessante Fragestellungen – auch im Hinblick auf D&O-Versicherungen – auf.

Sachverhalt

Dem Urteil lag folgender Sachverhalt zugrunde: Eine GmbH begehrte von einer ehemaligen Geschäftsführerin Schadenersatz in fünfstelliger Höhe mit dem Vorwurf, sie habe aufgrund von Phishing-E-Mails eine unberechtigte Überweisung an Betrüger im Ausland getätigt. Die Geschäftsführerin war Opfer einer Phishing-Attacke geworden. Die Betrüger schickten der Geschäftsführerin E-Mails, die als Absender einen langjährigen Geschäftspartner nachahmten. Dabei wurde die E-Mail-Adresse des Absenders nur geringfügig in Form eines "Buchstabendrehers" verändert. Die Beklagte überwies daraufhin, wie üblich, hohe fünfstellige Summen auf die in den Phishing-E-Mails genannten Bankkonten. Erst zu einem deutlich späteren Zeitpunkt, wurde die Geschäftsführerin durch die Hausbank der Gesellschaft auf diese Unregelmäßigkeiten hingewiesen. Sie erstattete sodann Strafanzeige.

Geschäftsführerhaftung nur bei Verletzung einer spezifisch organschaftlichen Pflicht

Das OLG Zweibrücken wies die Klage der GmbH ab. Die Entscheidung des Gerichts ist insoweit bemerkenswert, als dass es die Verletzung einer spezifisch organschaftlichen Pflicht als Geschäftsführerin verneinte. Nach Auffassung des OLG Zweibrücken fehlte es im zu entscheidenden Fall bereits an einer solchen. Zwar habe die Geschäftsführerin nach Auffassung des Gerichts leicht fahrlässig gehandelt, indem ihr der „Buchstabendreher“ bei der Überweisung hoher Geldbeträge nicht auffiel. Allerdings habe die Geschäftsführerin nach Auffassung des OLG Zweibrücken hierdurch keine „spezifisch organschaftliche“ Pflicht nach § 43 Abs. 2 GmbHG verletzt. Das Tätigen einer Überweisung sei keine solche organschaftliche Pflicht.

Was unter Organpflichten zu verstehen sei, wird in Literatur und Rechtsprechung unterschiedlich beurteilt. Das OLG Koblenz bejahte bei einem grob fahrlässig verursachten Verkehrsunfall eine Pflichtverletzung eines Geschäftsführers. Ein Teil der Literatur vertritt ebenfalls die Ansicht, dass auch nicht organschaftliche Pflichtverletzungen unter die Haftung nach § 43 Abs. 2 GmbHG fallen. Der überwiegende Teil der Literatur, der sich das OLG Zweibrücken in hiesigem Fall anschloss, unterscheidet zwischen folgenden spezifischen Organpflichten: Legalitäts-, Sorgfalts-, Überwachungs- und Compliance-Pflichten. Tätigkeiten, die nur „bei Gelegenheit“ ausgeführt werden, sollen nach dieser Meinung nach den allgemeinen Haftungsregeln nach §§ 280, 823, 276 BGB zu beurteilen sein. Die Beauftragung einer Geldüberweisung aufgrund einer Phishing-E-Mail ist nach Auffassung des OLG Zweibrücken keine Ausführung speziell organschaftlicher Pflichten. Dies sei normalerweise eine Tätigkeit der Buchhaltung. Die Unternehmensleitung der Geschäftsführerin sei nicht berührt. Genauso wenig habe die Geschäftsführerin eine Überwachungspflicht verletzt. Dabei orientierte sich das OLG Zweibrücken auch an den Vorgaben der Vorstandshaftung nach § 93 Abs. 2 S. 1 AktG. Dort wird ebenfalls nur eine Pflicht verletzt, wenn die Tätigkeit im Zusammenhang mit seiner dienstlichen Tätigkeit steht.

Enthaftung nach den Grundsätzen des innerbetrieblichen Schadenausgleichs

Das OLG Zweibrücken verneinte auch eine Haftung der Geschäftsführerin auf Schadenersatz nach § 280 I BGB oder § 823 BGB. Das Gericht entschied, dass der Geschäftsführerin hinsichtlich dahingehender Pflichtverletzungen eine Haftungsmilderung in Anlehnung an die Grundsätze der Haftung von Arbeitnehmern im Rahmen des innerbetrieblichen Schadensausgleichs zugutekomme. Bei dem vorliegend nur leicht fahrlässigen Handeln der Geschäftsführerin hafte sie daher nicht. Der Betrüger hatte sich als ein langjähriger Geschäftspartner der Geschädigten ausgegeben und auf bestehende Kommunikationen Bezug genommen, die vor dem Phishing-Angriff tatsächlich mit diesem Geschäftspartner stattgefunden hatten. Es wurden Rechnungen vorgelegt, die sowohl ihrer Darstellung als auch ihrer Höhe nach plausibel waren. Die Höhe der überwiesenen Beträge waren für die geschädigte GmbH auch nicht außergewöhnlich, sondern alltäglich. Das OLG Zweibrücken lehnte eine Haftung letztlich auch deshalb ab, da die GmbH Kenntnis von den Phishing-E-Mails hatte − der Alleingesellschafter befand sich in allen E-Mails in CC. Die Geschäftsführerin habe daher ohnehin mit stillschweigendem Einverständnis der Gesellschaft gehandelt. Das Gericht verneinte aus diesen Gründen daher insgesamt eine Haftung der Geschäftsführerin.

Keine näheren Ausführungen zu den Organisationspflichten eines Geschäftsführers

Der Entscheidung des OLG Zweibrücken ist anzumerken, dass sie von dem Gedanken getragen wird, die Geschäftsführerin aus Gerechtigkeitsgesichtsgründen nicht haften zu lassen. Gerade im Hinblick auf die "organschaftliche" Organisations- und Überwachungspflicht eines Geschäftsführers bleibt die Entscheidung wage. So stellte das OLG Zweibrücken zwar die unterschiedlichen Ansichten, ob Geschäftsführer nur für organschaftliche Pflichten oder auch sonstige Tätigkeiten haften, ausführlich dar, ging aber letztlich nicht darauf ein, welche organschaftlichen Pflichten eines Geschäftsführers im Rahmen der Organisationspflicht zur Vermeidung von Phishing-Emails bestehen. Gerade Ausführungen hierfür wären sehr interessant gewesen. So drängt sich als Außenstehender beispielsweise die Frage auf, warum einzelne Überweisungen durch die Geschäftsführerin selbst und nicht durch die Buchhaltung getätigt wurden bzw. ob es Regelungen zur Rechnungsfreigabe gab. Offen bleibt nach der Entscheidung des OLG Zweibrücken auch, welche Anforderungen an das IT-System eines Unternehmens zu stellen sind, um Phishing-E-Mails zu vermeiden.

Auswirkungen auf D&O-Versicherungen?

Die Deckung des Haftungsfalles durch eine D&O-Versicherung war nicht Gegenstand des Rechtstreits. Gleichwohl ist das Urteil auch für D&O-Versicherungen von grundsätzlicher Bedeutung.

Das Urteil könnte Auswirkungen auf die Deckungsfrage haben, weil durch eine D&O-Versicherung in aller Regel nur Pflichtverletzungen infolge der "Organtätigkeit" versichert werden. Folgt man der Auffassung des OLG Zweibrücken, dass bei "Gelegenheitstätigkeiten" keine organschaftlichen Pflichten verletzt werden, so würde dies bei enger Auslegung der Versicherungsbedingungen in der Konsequenz bedeuten, dass dahingehende Pflichtverletzungen eines Geschäftsführers nicht vom D&O-Versicherungsschutz umfasst sind. In der Praxis dürfte dies gerade bei der Entscheidung, ob bei der Inanspruchnahme eines Geschäftsführers für bestimmte Pflichtverletzungen Abwehrkostenschutz zu gewähren ist, für (Abgrenzungs-)Probleme sorgen.

Fazit

Die Entscheidung des OLG Zweibrücken kommt auf den ersten Blick ganz unscheinbar daher. Bei genauerer Betrachtung ist sie es jedoch nicht. Die Entscheidung zeigt, dass nicht jede Pflichtverletzung eines Geschäftsführers zwangsläufig als organschaftliche Pflichtverletzung im Sinne von § 43 Abs. 2 GmbHG einzuordnen ist. Des Weiteren bestätigt die Entscheidung, dass eine Haftungsmilderung nach den Grundsätzen des innerbetrieblichen Schadensausgleichs in analoger Anwendung auch für Geschäftsführer in Betracht kommen kann, wenn er wie jeder beliebige Dritte am Rechtsverkehr teilnimmt und im Unternehmen lediglich begrenzte Entscheidungskompetenzen hat. Wegen der grundsätzlichen Bedeutung dieser Fragen wurde die Revision gegen das Urteil zugelassen.

Die Entscheidung wirft auch Fragen hinsichtlich des D&O-Versicherungsschutzes auf, der regelmäßig nur Pflichtverletzungen der Geschäftsführer aufgrund ihrer "Organtätigkeit" umfasst.

(OLG Zweibrücken, Urteil vom 18.8.2022, 4 U 198/21)