OLG Zweibrücken, Urteil vom 18. August 2022, Az. 4 U 198/21
Das OLG Zweibrücken hatte mit seinem auf den ersten Blick unscheinbaren Urteil vom 18. August 2022 darüber zu entscheiden, ob eine Geschäftsführerin gegenüber der Gesellschaft für eine unberechtigte Überweisung aufgrund einer betrügerischen Phishing-E-Mail haftet. Das Gericht verneinte eine Haftung und wies die Klage gegen die Geschäftsführerin ab. Die Begründung der Entscheidung ist bemerkenswert und wirft einige interessante Fragestellungen auf.
Dem Urteil lag folgender Sachverhalt zugrunde: Eine GmbH begehrte von einer ehemaligen Geschäftsführerin Schadenersatz in fünfstelliger Höhe mit dem Vorwurf, sie habe aufgrund von Phishing-E-Mails eine unberechtigte Überweisung an Betrüger im Ausland getätigt. Die Geschäftsführerin war Opfer einer Phishing-Attacke geworden. Die Betrüger schickten der Geschäftsführerin E-Mails, die als Absender einen langjährigen Geschäftspartner nachahmten. Dabei wurde die E-Mail-Adresse des Absenders nur geringfügig in Form eines „Buchstabendrehers“ verändert. Die Beklagte überwies daraufhin, wie üblich, hohe fünfstellige Summen auf die in den Phishing-E-Mails genannten Bankkonten. Erst zu einem deutlich späteren Zeitpunkt, wurde die Geschäftsführerin durch die Hausbank der Gesellschaft auf diese Unregelmäßigkeiten hingewiesen. Sie erstattete sodann Strafanzeige.
Das OLG Zweibrücken wies die Klage der GmbH ab. Die Entscheidung des Gerichts ist insoweit bemerkenswert, als dass es die Verletzung einer spezifisch organschaftlichen Pflicht als Geschäftsführerin verneinte. Nach Auffassung des OLG Zweibrücken fehlte es im zu entscheidenden Fall bereits an einer solchen. Zwar habe die Geschäftsführerin nach Auffassung des Gerichts leicht fahrlässig gehandelt, indem ihr der „Buchstabendreher“ bei der Überweisung hoher Geldbeträge nicht auffiel. Allerdings habe die Geschäftsführerin nach Auffassung des OLG Zweibrücken hierdurch keine „spezifisch organschaftliche“ Pflicht nach § 43 Abs. 2 GmbHG verletzt. Das Tätigen einer Überweisung sei keine solche organschaftliche Pflicht.
Was unter Organpflichten zu verstehen sei, wird in Literatur und Rechtsprechung unterschiedlich beurteilt. Das OLG Koblenz bejahte bei einem grob fahrlässig verursachten Verkehrsunfall eine Pflichtverletzung eines Geschäftsführers. Ein Teil der Literatur vertritt ebenfalls die Ansicht, dass auch nicht organschaftliche Pflichtverletzung unter die Haftung nach § 43 Abs. 2 GmbHG fallen. Der überwiegende Teil der Literatur, der sich das OLG Zweibrücken in hiesigem Fall anschloss, unterscheidet zwischen folgenden spezifischen Organpflichten: Legalitäts-, Sorgfalts-, Überwachungs- und Compliance-Pflichten. Tätigkeiten, die nur „bei Gelegenheit“ ausgeführt werden, sollen nach dieser Meinung nach den allgemeinen Haftungsregeln nach §§ 280, 823, 276 BGB zu beurteilen sein. Die Beauftragung einer Geldüberweisung aufgrund einer Phishing-E-Mail ist nach Auffassung des OLG Zweibrücken keine Ausführung speziell organschaftlicher Pflichten. Dies sei normalerweise eine Tätigkeit der Buchhaltung. Die Unternehmensleitung der Geschäftsführerin sei nicht berührt. Genauso wenig habe die Geschäftsführerin eine Überwachungspflicht verletzt. Dabei orientierte sich das OLG Zweibrücken auch an den Vorgaben der Vorstandshaftung nach § 93 Abs. 2 S. 1 AktG. Dort wird ebenfalls nur eine Pflicht verletzt, wenn die Tätigkeit im Zusammenhang mit seiner dienstlichen Tätigkeit steht.
Das OLG Zweibrücken verneinte auch eine Haftung der Geschäftsführerin auf Schadenersatz nach § 280 I BGB oder § 823 BGB. Das Gericht entschied, dass der Geschäftsführerin hinsichtlich dahingehender Pflichtverletzungen eine Haftungsmilderung in Anlehnung an die Grundsätze der Haftung von Arbeitnehmern im Rahmen des innerbetrieblichen Schadensausgleichs zugutekomme. Bei dem vorliegend nur leicht fahrlässigen Handeln der Geschäftsführerin hafte sie daher nicht. Das OLG Zweibrücken lehnte eine Haftung letztlich auch deshalb ab, da die GmbH Kenntnis von den Phishing-E-Mails hatte − der Alleingesellschafter befand sich in allen E-Mails in CC. Die Geschäftsführerin habe daher ohnehin mit stillschweigendem Einverständnis der Gesellschaft gehandelt. Das Gericht vereinte aus diesen Gründen daher insgesamt eine Haftung der Geschäftsführerin.
Der Entscheidung des OLG Zweibrücken ist anzumerken, dass sie von dem Gedanken getragen wird, die Geschäftsführerin aus Gerechtigkeitsgesichtsgründen nicht haften zu lassen. Gerade im Hinblick auf die „organschaftliche“ Organisations- und Überwachungspflicht eines Geschäftsführers bleibt die Entscheidung wage. So stellte das OLG Zweibrücken zwar die unterschiedlichen Ansichten, ob Geschäftsführer nur für organschaftliche Pflichten oder auch sonstige Tätigkeiten haften, ausführlich dar, ging aber letztlich nicht darauf ein, welche organschaftlichen Pflichten eines Geschäftsführers im Rahmen der Organisationspflicht zur Vermeidung von Phishing-Emails bestehen. Gerade Ausführungen hierfür wären sehr interessant gewesen. So drängt sich als Außenstehender beispielsweise die Frage auf, warum einzelne Überweisungen durch die Geschäftsführerin selbst und nicht durch die Buchhaltung getätigt wurden bzw. ob es Regelungen zur Rechnungsfreigabe gab. Offen bleibt nach der Entscheidung des OLG Zweibrücken auch, welche Anforderungen an das IT-System eines Unternehmens zu stellen sind, um Phishing-E-Mails zu vermeiden.
Die Entscheidungsbegründung wirft auch Fragen hinsichtlich D&O-Versicherungen auf. Versichert sind unter einer D&O-Versicherung in aller Regel nur Pflichtverletzungen infolge der „Organtätigkeit“. Folgt man der Auffassung des OLG Zweibrücken, dass bei „Gelegenheitstätigkeiten“ keine organschaftlichen Pflichten verletzt werden, so würde dies bei enger Auslegung der Versicherungsbedingungen in der Konsequenz bedeuten, dass dahingehende Pflichtverletzungen eines Geschäftsführers nicht vom D&O-Versicherungsschutz umfasst sind. In der Praxis dürfte dies gerade bei der Entscheidung, ob bei der Inanspruchnahme eines Geschäftsführers für bestimmte Pflichtverletzungen Abwehrkostenschutz zu gewähren ist, für (Abgrenzungs-)Probleme sorgen.
Die Entscheidung des OLG Zweibrücken kommt auf den ersten Blick ganz unscheinbar daher. Bei genauerer Betrachtung ist sie es jedoch nicht. Die Entscheidung zeigt, dass nicht jede Pflichtverletzung eines Geschäftsführers zwangsläufig als organschaftliche Pflichtverletzung im Sinne von § 43 Abs. 2 GmbHG einzuordnen ist. Des Weiteren bestätigt die Entscheidung, dass eine Haftungsmilderung nach den Grundsätzen des innerbetrieblichen Schadensausgleichs in analoger Anwendung auch für Geschäftsführer in Betracht kommen kann, wenn er wie jeder beliebige Dritte am Rechtsverkehr teilnimmt und im Unternehmen lediglich begrenzte Entscheidungskompetenzen hat.
Die Entscheidung wirft auch Fragen hinsichtlich des D&O-Versicherungsschutzes auf, der regelmäßig nur Pflichtverletzungen der Geschäftsführer aufgrund ihrer „Organtätigkeit“ umfasst.