Geschäftsführerhaftung im Fall von Phishing-Mails
Hintergrund ist ein aktuelles Urteil des OLG Zweibrücken, Urteil vom 18. August 2022 – 4 U 198/21 –, juris.
Der Alleingesellschafter einer GmbH versuchte eine frühere Geschäftsführerin für die Durchführung von mehreren Überweisungen an einen vermeintlichen Lieferanten haftbar zu machen.
Es waren ca. 200.000 US$ innerhalb eines halben Jahres transferiert worden, nachdem Angreifer der Geschäftsführerin per E-Mail glaubhaft einen Kontenwechsel des bereits bekannten Lieferanten vorgegaukelt hatten.
Der klagende Gesellschafter sah hier eine Pflichtverletzung der Geschäftsführerin nach § 43 Abs. 2 GmbHG.
Das Gericht schloss sich dem nicht an und sah keine Pflichtverletzung der Geschäftsführerin mit Bezug auf die Pflichten der Geschäftsführerin als Organwalterin.
Es prüfte hier folgende Bereiche:
- Legalitätspflicht
- Erfüllung von Organ- und Rechtspflichten
- Sorgfaltspflicht im engeren Sinne
- Umfängliche Wahrnehmung der Unternehmensleitung im gesetzlich vorgegebenen Pflichtenrahmen
- Überwachungspflicht
- recht- und zweckmäßiges Verhalten von Mitarbeitern und Mitgeschäftsführern
- Compliancepflicht
- Pflicht-/Gesetzesverstöße von Unternehmensangehörigen sind durch geeignete und zumutbare Schutzvorkehrungen zu verhindern
Das Gericht erachtete das Handeln der Geschäftsführerin bei den Überweisungen lediglich als leicht fahrlässig, so habe sie die bei der Überweisung höherer Geldbeträge erforderliche Sorgfalt nicht walten lassen und habe so den von den Tätern genutzten „Buchstabendreher“ (flim.com statt film.com) nicht bemerkt.
Diese Fahrlässigkeit verletze aber keine der o.g. Pflichten der Geschäftsführung, da die Tätigkeit der Überweisungsvornahme grundsätzlich eine der Buchhaltung sei und auch eine Pflichtverletzung hinsichtlich der Überwachungspflichten der Geschäftsführung wurde vom Gericht verneint.
Wichtig ist hierbei folgende Passage:
„Hiergegen ließe sich letztlich nur einwenden, dass Summen ab einer bestimmten Größenordnung nur nach intensiver Überprüfung und unter Wahrung des Vier-Augen-Prinzips überwiesen werden sollten. Angesichts der von der Beklagten glaubhaft geschilderten Ausgestaltung der (von dem Alleingesellschafter vorgegebenen) tatsächlichen Abläufe im Unternehmen der Klägerin war eine solche Gegenkontrolle für die Beklagte allerdings nicht leistbar. Die im Einzelnen überwiesenen Summen waren zudem nach im Prozess vorgelegten Kontoauszügen nicht außergewöhnlich, sondern alltäglich.“
https://www.landesrecht.rlp.de/bsrp/document/KORE279492023/part/L
Unter anderen Umständen wäre die offensichtlich mangelhafte Umsetzung eines Compliance-Management Systems als Organpflicht der Geschäftsführung sicher zum Tragen gekommen und hätte sich negativ auf die Bewertung der Schuld der Geschäftsführerin ausgewirkt.
Der Schutz der Organisation vor Cyberangriffen als Pflicht der Geschäftsführerin wurde vom Gericht im speziellen Fall verneint. Dies dürfte aber ebenfalls in anderen Konstellationen der Geschäftsführung als Verletzung der ihr obliegenden gesetzlichen Pflichten zur Last gelegt werden und eine Schadensersatzpflicht nach sich ziehen, wie im Urteil des OLG München, Beschluss vom 22. September 2022 – 19 U 2204/22 –, juris.
Diese Tendenz wird durch das NIS-2 Umsetzungs- und Cybersicherheitsverstärkungsgesetz weiter forciert werden, enthält der Entwurf doch in seinem § 38 Haftungsregelungen für die Geschäftsführung aus Bußgeld- und Schadensersatzansprüchen.
Der Fall zeigt uns deutlich, wie wichtig ein funktionierendes Schutzsystem für jede Organisation ist, stellen Sie also regelmäßig Ihre Compliance-, IT-Sicherheit- und Datenschutzorganisation auf den Prüfstand, damit sichergestellt ist, dass die Schutzmaßnahmen bei allen Beschäftigten bekannt sind und von allen angewandt werden. Sollten Sie Unterstützungsbedarf in einem der Punkte haben, so stehen wir Ihnen gern zur Seite.