Ihre
Suche

    19.03.2023

    Zur Geschäftsführerhaftung nach § 43 GmbHG im Zusammenhang mit Phishing-E-Mails


    OLG Zweibrücken, Urteil vom 18. August 2022, Az. 4 U 198/21

     

    Das OLG Zweibrücken hatte mit seinem auf den ersten Blick unscheinbaren Urteil vom 18. August 2022 darüber zu entscheiden, ob eine Geschäftsführerin gegenüber der Gesellschaft für eine unberechtigte Überweisung aufgrund einer betrügerischen Phishing-E-Mail haftet. Das Gericht verneinte eine Haftung und wies die Klage gegen die Geschäftsführerin ab. Die Begründung der Entscheidung ist bemerkenswert und wirft einige interessante Fragestellungen auf.

     

    Sachverhalt

     

    Dem Urteil lag folgender Sachverhalt zugrunde: Eine GmbH begehrte von einer ehemaligen Geschäftsführerin Schadenersatz in fünfstelliger Höhe mit dem Vorwurf, sie habe aufgrund von Phishing-E-Mails eine unberechtigte Überweisung an Betrüger im Ausland getätigt. Die Geschäftsführerin war Opfer einer Phishing-Attacke geworden. Die Betrüger schickten der Geschäftsführerin E-Mails, die als Absender einen langjährigen Geschäftspartner nachahmten. Dabei wurde die E-Mail-Adresse des Absenders nur geringfügig in Form eines „Buchstabendrehers“ verändert. Die Beklagte überwies daraufhin, wie üblich, hohe fünfstellige Summen auf die in den Phishing-E-Mails genannten Bankkonten. Erst zu einem deutlich späteren Zeitpunkt, wurde die Geschäftsführerin durch die Hausbank der Gesellschaft auf diese Unregelmäßigkeiten hingewiesen. Sie erstattete sodann Strafanzeige.

     

    Geschäftsführerhaftung nur bei Verletzung einer spezifisch organschaftlichen Pflicht

     

    Das OLG Zweibrücken wies die Klage der GmbH ab. Die Entscheidung des Gerichts ist insoweit bemerkenswert, als dass es die Verletzung einer spezifisch organschaftlichen Pflicht als Geschäftsführerin verneinte. Nach Auffassung des OLG Zweibrücken fehlte es im zu entscheidenden Fall bereits an einer solchen. Zwar habe die Geschäftsführerin nach Auffassung des Gerichts leicht fahrlässig gehandelt, indem ihr der „Buchstabendreher“ bei der Überweisung hoher Geldbeträge nicht auffiel. Allerdings habe die Geschäftsführerin nach Auffassung des OLG Zweibrücken hierdurch keine „spezifisch organschaftliche“ Pflicht nach § 43 Abs. 2 GmbHG verletzt. Das Tätigen einer Überweisung sei keine solche organschaftliche Pflicht.

     

    Was unter Organpflichten zu verstehen sei, wird in Literatur und Rechtsprechung unterschiedlich beurteilt. Das OLG Koblenz bejahte bei einem grob fahrlässig verursachten Verkehrsunfall eine Pflichtverletzung eines Geschäftsführers. Ein Teil der Literatur vertritt ebenfalls die Ansicht, dass auch nicht organschaftliche Pflichtverletzung unter die Haftung nach § 43 Abs. 2 GmbHG fallen. Der überwiegende Teil der Literatur, der sich das OLG Zweibrücken in hiesigem Fall anschloss, unterscheidet zwischen folgenden spezifischen Organpflichten: Legalitäts-, Sorgfalts-, Überwachungs- und Compliance-Pflichten. Tätigkeiten, die nur „bei Gelegenheit“ ausgeführt werden, sollen nach dieser Meinung nach den allgemeinen Haftungsregeln nach §§ 280, 823, 276 BGB zu beurteilen sein. Die Beauftragung einer Geldüberweisung aufgrund einer Phishing-E-Mail ist nach Auffassung des OLG Zweibrücken keine Ausführung speziell organschaftlicher Pflichten. Dies sei normalerweise eine Tätigkeit der Buchhaltung. Die Unternehmensleitung der Geschäftsführerin sei nicht berührt. Genauso wenig habe die Geschäftsführerin eine Überwachungspflicht verletzt. Dabei orientierte sich das OLG Zweibrücken auch an den Vorgaben der Vorstandshaftung nach § 93 Abs. 2 S. 1 AktG. Dort wird ebenfalls nur eine Pflicht verletzt, wenn die Tätigkeit im Zusammenhang mit seiner dienstlichen Tätigkeit steht.

     

    Enthaftung nach den Grundsätzen des innerbetrieblichen Schadenausgleichs

     

    Das OLG Zweibrücken verneinte auch eine Haftung der Geschäftsführerin auf Schadenersatz nach § 280 I BGB oder § 823 BGB. Das Gericht entschied, dass der Geschäftsführerin hinsichtlich dahingehender Pflichtverletzungen eine Haftungsmilderung in Anlehnung an die Grundsätze der Haftung von Arbeitnehmern im Rahmen des innerbetrieblichen Schadensausgleichs zugutekomme. Bei dem vorliegend nur leicht fahrlässigen Handeln der Geschäftsführerin hafte sie daher nicht. Das OLG Zweibrücken lehnte eine Haftung letztlich auch deshalb ab, da die GmbH Kenntnis von den Phishing-E-Mails hatte − der Alleingesellschafter befand sich in allen E-Mails in CC. Die Geschäftsführerin habe daher ohnehin mit stillschweigendem Einverständnis der Gesellschaft gehandelt. Das Gericht vereinte aus diesen Gründen daher insgesamt eine Haftung der Geschäftsführerin.

     

    Keine näheren Ausführungen zu den Organisationspflichten eines Geschäftsführers

     

    Der Entscheidung des OLG Zweibrücken ist anzumerken, dass sie von dem Gedanken getragen wird, die Geschäftsführerin aus Gerechtigkeitsgesichtsgründen nicht haften zu lassen. Gerade im Hinblick auf die „organschaftliche“ Organisations- und Überwachungspflicht eines Geschäftsführers bleibt die Entscheidung wage. So stellte das OLG Zweibrücken zwar die unterschiedlichen Ansichten, ob Geschäftsführer nur für organschaftliche Pflichten oder auch sonstige Tätigkeiten haften, ausführlich dar, ging aber letztlich nicht darauf ein, welche organschaftlichen Pflichten eines Geschäftsführers im Rahmen der Organisationspflicht zur Vermeidung von Phishing-Emails bestehen. Gerade Ausführungen hierfür wären sehr interessant gewesen. So drängt sich als Außenstehender beispielsweise die Frage auf, warum einzelne Überweisungen durch die Geschäftsführerin selbst und nicht durch die Buchhaltung getätigt wurden bzw. ob es Regelungen zur Rechnungsfreigabe gab. Offen bleibt nach der Entscheidung des OLG Zweibrücken auch, welche Anforderungen an das IT-System eines Unternehmens zu stellen sind, um Phishing-E-Mails zu vermeiden.

     

    Auswirkungen für D&O-Versicherungen?

     

    Die Entscheidungsbegründung wirft auch Fragen hinsichtlich D&O-Versicherungen auf. Versichert sind unter einer D&O-Versicherung in aller Regel nur Pflichtverletzungen infolge der „Organtätigkeit“. Folgt man der Auffassung des OLG Zweibrücken, dass bei „Gelegenheitstätigkeiten“ keine organschaftlichen Pflichten verletzt werden, so würde dies bei enger Auslegung der Versicherungsbedingungen in der Konsequenz bedeuten, dass dahingehende Pflichtverletzungen eines Geschäftsführers nicht vom D&O-Versicherungsschutz umfasst sind. In der Praxis dürfte dies gerade bei der Entscheidung, ob bei der Inanspruchnahme eines Geschäftsführers für bestimmte Pflichtverletzungen Abwehrkostenschutz zu gewähren ist, für (Abgrenzungs-)Probleme sorgen.

     

    Fazit

     

    Die Entscheidung des OLG Zweibrücken kommt auf den ersten Blick ganz unscheinbar daher. Bei genauerer Betrachtung ist sie es jedoch nicht. Die Entscheidung zeigt, dass nicht jede Pflichtverletzung eines Geschäftsführers zwangsläufig als organschaftliche Pflichtverletzung im Sinne von § 43 Abs. 2 GmbHG einzuordnen ist. Des Weiteren bestätigt die Entscheidung, dass eine Haftungsmilderung nach den Grundsätzen des innerbetrieblichen Schadensausgleichs in analoger Anwendung auch für Geschäftsführer in Betracht kommen kann, wenn er wie jeder beliebige Dritte am Rechtsverkehr teilnimmt und im Unternehmen lediglich begrenzte Entscheidungskompetenzen hat.

     

    Die Entscheidung wirft auch Fragen hinsichtlich des D&O-Versicherungsschutzes auf, der regelmäßig nur Pflichtverletzungen der Geschäftsführer aufgrund ihrer „Organtätigkeit“ umfasst.

     

    Dr. Florian Weichselgärtner

    Valerie Hoffmann

     

    Dieser Blogbeitrag erscheint ebenso im Haufe Wirtschaftsrechtsnewsletter.

    Zur besseren Lesbarkeit wird in dem vorliegenden Beitrag auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Es wird das generische Maskulin verwendet, wobei alle Geschlechter gleichermaßen gemeint sind.

     

    O du Fröhliche - Haftung unter dem Weihnachtsbaum
    Für den Anwalt „Business as usual“, für den Geschäftsführer eine hochemotionale …
    Weiterlesen
    ADVANT Beiten Mandantin erzielt Erfolg vor dem OLG Köln im Maskenlieferstreit
    München, 10. Januar 2025 – Die internationale Wirtschaftskanzlei ADVANT Beiten h…
    Weiterlesen
    Unternehmensverbünde, Familie und die unwiderlegbare Vermutung: Chaos und Unsicherheiten im Umgang mit familiären Verbindungen
    Einleitung Die Diskussion um die unwiderlegbare Vermutung eines gemeinsamen Han…
    Weiterlesen
    Anspruch des Handelsvertreters auf kostenfreie Überlassung von Arbeitsmitteln
    OLG Köln, Urt. v. 2.2.2024 – 19 U 73/23: Unternehmer muss Handelsvertreter EDV-S…
    Weiterlesen
    Cyberangriff: Wer kommt für den Schaden auf?
    In der heutigen digitalisierten Welt sind Unternehmen zunehmend Ziel von Cyberan…
    Weiterlesen
    Streit um Baden-Württemberg Pavillon auf der Weltausstellung in Dubai: ADVANT Beiten vertritt Freiburg Wirtschaft Touristik und Messe erfolgreich gegen Land Baden-Württemberg
    Freiburg, 11. November 2024 – Die internationale Wirtschaftskanzlei ADVANT Beite…
    Weiterlesen
    EuGH schafft Rechtssicherheit für Notare: Notarielle Beurkundung mit russischen Unternehmen verstößt nicht gegen EU-Sanktionen
    Mit Urteil vom 5. September 2024 (EuGH, C-109/23) hat der Europäische Gerichtsho…
    Weiterlesen
    Cyberangriffe und die Haftungsfrage: Wer trägt die Kosten?
    In einer zunehmend vernetzten Welt sind Unternehmen mehr denn je Bedrohungen dur…
    Weiterlesen
    Wirecard: Geschädigte Aktionäre sind keine nachrangigen Gläubiger!
    OLG München, Teil- und Zwischenurteil v. 17.09.2024, 5 U 7318/22 e Durch Teil- …
    Weiterlesen