GmbH-Geschäftsführerhaftung und Phishing-E-Mails
Die organschaftliche Haftung eines GmbH-Geschäftsführers setzt die Verletzung einer spezifischen Pflicht in seiner Funktion als Organ der Gesellschaft voraus. Für sonstige Pflichtverletzungen des Geschäftsführers bestimmt sich die Haftung nach den allgemeinen Vorschriften des Zivilrechts. Dies folgt aus einem Urteil des OLG Zweibrücken.
Sachverhalt
Dem Urteil des OLG Zweibrücken liegt folgender Sachverhalt zugrunde: Die Geschäftsführerin einer GmbH erhielt Phishing-E-Mails von unbekannten Betrügern im Ausland. Diese Betrüger rekonstruierten die Mailadresse eines langjährigen Geschäftspartners der GmbH mit einem kaum auffälligen Tausch zweier Buchstaben („@w...flim.com“ statt @w…film.com“). Der Austausch über E-Mail war zwischen den Geschäftspartnern üblich und schien auf den ersten Blick plausibel. Zur Begleichung der angeblichen Forderungen überwies die Geschäftsführerin mehrfach Geldbeträge in Höhe eines insgesamt niedrigen sechsstelligen Betrages auf die in den E-Mails genannten Bankkonten. Erst später stellte sich heraus, dass die Geschäftsführerin Betrügern zum Opfer gefallen war.
Die GmbH forderte die Geschäftsführerin auf, den entstandenen Schaden zu ersetzen. Das LG Frankenthal wies die Zahlungsklage ab. Hiergegen legte die GmbH Berufung ein.
Die Entscheidung des OLG Zweibrücken (Urteil vom 18.08.2022 – Az.: 4 U 198/21)
Die Berufung blieb ohne Erfolg. Nach der Auffassung des OLG Zweibrücken schied eine organschaftliche Geschäftsführerhaftung nach § 43 Abs. 2 GmbHG aus. Mit der herrschenden Literaturauffassung hält das OLG Zweibrücken die Verletzung einer spezifischen organschaftlichen Pflicht für erforderlich. Dies sei hier jedoch nicht der Fall.
Die Aufgaben des Organwalters können in vier verschiedene Pflichtenkreise unterteilt werden: Die (i) Legalitätspflicht, (ii) die Sorgfaltspflicht im engeren Sinne, (iii) die Überwachungspflicht und (iv) die Compliance-Pflicht. Die Haftung für alle anderen sonstigen Tätigkeiten von Geschäftsführern bestimme sich nach dem allgemeinen Zivilrecht.
Die Beauftragung einer Geldüberweisung aufgrund der Phishing-Mails sei grundsätzlich als eine Tätigkeit der Buchhaltung anzusehen und ist nach dem OLG keine Verletzung einer speziell organschaftlichen Pflicht. Weder sei hier die übertragene Unternehmensleitung noch eine mögliche Überwachungspflicht verletzt worden.
Auch verneinte das OLG Zweibrücken die Haftung nach zivilrechtlichen Grundsätzen, d.h. aus § 280 Abs. 1 BGB sowie aus § 823 Abs. 1 BGB. Es sei nur leicht fahrlässig gewesen, dass der Geschäftsführerin der „Buchstabendreher“ in den zur Überweisung auffordernden Phishing-Mails nicht auffiel. In Anlehnung an die arbeitsrechtlichen Haftungsgrundsätze und die damit einhergehende Haftungsmilderung, schied daher vorliegend auch eine Haftung trotz leichter Fahrlässigkeit aus.
Praxishinweis
Die organschaftliche Haftung des Geschäftsführers kann nur die Verletzung solcher spezifischen Aufgaben als Organwalter betreffen. Für die Haftung von Vorständen einer Aktiengesellschaft ist dies im Zusammenhang von § 93 AktG anerkannt; nichts anderes kann für die Geschäftsführerhaftung nach § 43 Abs. 2 GmbHG gelten, der § 93 AktG nachgebildet ist.
Die Einordnung unter den jeweiligen Haftungsgrund kann in der Praxis erhebliche Auswirkungen haben. Unterschiede ergeben sich beim Sorgfaltsmaßstab sowie der Beweislastverteilung. Während für die Haftung nach allgemeinen Regeln die Einhaltung der „im Verkehr erforderlichen Sorgfalt“ erforderlich ist, gilt für die organschaftliche Haftung gem. § 43 Abs. 1 GmbHG die „Sorgfalt eines ordentlichen Geschäftsmannes“. Außerdem hat der Geschäftsführer bei der Haftung nach § 280 Abs. 1 BGB nur die Beweislast hinsichtlich des Verschuldens zu tragen, während er sich bei einer Haftung nach § 43 Abs. 2 GmbHG zudem auch hinsichtlich der Pflichtverletzung entlasten muss.
Interessant ist, dass das OLG Zweibrücken vorliegend auch die sog. Grundsätze des innerbetrieblichen Schadensausgleichs auf die Verletzung einer nicht organspezifischen Pflicht des Geschäftsführers angewandt hat. Die Geschäftsführerin musste trotz leicht fahrlässigen Verhaltens nicht für den entstandenen Schaden aufkommen. Denn der innerbetriebliche Schadensausgleich ist eine von der Rechtsprechung entwickelte arbeitsrechtliche Haftungsmilderung für betrieblich veranlasste Tätigkeiten von Arbeitnehmern. Bei nur leichter Fahrlässigkeit haftet der Arbeitnehmer nicht. Ob die Grundsätze des innerbetrieblichen Schadensausgleichs auch auf den Geschäftsführer oder Vorstände übertragbar sind, ist in der Literatur umstritten. Die wohl herrschende Auffassung lehnt dies ab. Das OLG Zweibrücken möchte die arbeitsrechtliche Haftungsprivilegierung im Einzelfall auch auf den Geschäftsführer anwenden. Eine Übertragung kommt bei einem Geschäftsführer umso mehr in Betracht, je mehr er in seinem Handeln – beispielsweise als Geschäftsführer einer konzernabhängigen GmbH – gebunden ist. Eine klärende höchstrichterliche Entscheidung wird in dieser Rechtssache nicht erfolgen, da keine Revision eingelegt wurde.
Die Entscheidung verdeutlicht die Komplexität der Geschäftsführerhaftung und sollte zum Anlass genommen werden, die D&O-Versicherung von Geschäftsführern in den Blick zu nehmen. Überwiegend wird der Versicherungsschutz einer D&O-Versicherung so konkretisiert, dass lediglich solche Pflichtverletzungen gedeckt werden, welche aufgrund der Organtätigkeit entstehen. Dies würde bedeuten, dass ein Geschäftsführer, dessen Pflichtverletzung nicht als Organtätigkeit eingeordnet wird, eventuell nicht von dem Versicherungsschutz umfasst wäre. Die einzelfallabhängige Einordnung könnte daher zu Problemen hinsichtlich der Eintrittsverpflichtung der Versicherungsgesellschaft führen.
19. Juli 2023