Verschärfte (Compliance-)Pflichten und Haftungsrisiken des Geschäftsleiters bei der internen Unternehmensorganisation – Oberlandesgericht Nürnberg qualifiziert unterlassene Compliance-Maßnahmen als Pflichtverletzung
5. Oktober 2022
Das OLG Nürnberg hat in seinem Urteil vom 30. März 2022 (Az.: 12 U 1520/19) die Pflichten von Geschäftsleitern im Zusammenhang mit der internen Unternehmensorganisation konkretisiert und dadurch die potenzielle Haftung von Geschäftsleitern weiter verschärft. Obwohl die Entscheidung von erheblicher Bedeutung für die Praxis und die Unternehmensorganisation durch den Geschäftsleiter ist, hat sie erst vor wenigen Wochen die Aufmerksamkeit der breiten (Fach-)Öffentlichkeit erfahren.
Konkret hat das Oberlandesgericht Nürnberg in seiner Entscheidung die Einführung eines Vier-Augen-Prinzips für kritische Prozesse und schadensträchtige Tätigkeiten als Teil eines internen Compliance-Management-Systems als verpflichtend angesehen und das Unterlassen von dessen Einführung als Pflichtverletzung des Geschäftsleiters qualifiziert.
I. Sachverhalt der Entscheidung des OLG Nürnberg
Der Entscheidung des Oberlandesgerichts Nürnberg lag folgender – stark verkürzt wiedergegebener – Sachverhalt zugrunde:
Die Klägerin, eine GmbH & Co. KG, vertrieb unter anderem an von ihr eingerichteten Tankstellen Mineralölprodukte an Unternehmen mit eigenen Fuhrparks. Zu diesem Zweck gab die Klägerin Tankkarten mit einem Kreditlimit an Kunden mit großen Fuhrparks aus, sodass die Fahrer der Kunden unter Benutzung der Tankkarten bargeldlos bei der Klägerin tanken konnten. Die einzelnen Tankvorgänge wurden den Kunden von der Klägerin monatlich in Rechnung gestellt.
Die Einhaltung der Kreditlimits wurde bei der Klägerin zunächst nicht flächendeckend und systematisch kontrolliert. Daher konnten im Jahr 2006 zwei Kunden ihre Fahrzeuge weit über das ihnen eingeräumte Kreditlimit hinaus betanken, ohne dass es zu einer Sperrung der Tankkarten kam. Über das Vermögen der beiden Kunden wurde in der Folge jeweils ein Insolvenzverfahren eröffnet, was zu einem erheblichen Zahlungsausfall der Klägerin führte.
Daraufhin fasste der Beirat der Klägerin den Beschluss, sämtliche Tankkarten bzw. deren Kreditlimit künftig auf einen Betrag von EUR 25.000,00 zu begrenzen. Etwaige Ausnahmen von dieser Regel sollten nur mit ausdrücklicher Genehmigung des Beirats möglich sein. Die Einhaltung der Regelungen sollte wöchentlich durch die Controlling-Abteilung der Klägerin kontrolliert und dem Beirat hierüber monatlich berichtet werden.
Im Jahr 2008 wurde der Beklagte als Geschäftsführer der Komplementär GmbH der Klägerin bestellt. Als solcher war er gerade auch mit der Geschäftsführung der Klägerin betraut. Im Herbst 2012 nahm der Beklagte an zwei Geschäftsführerschulungen der Klägerin teil, in denen es u.a. um die internen Regularien der Kreditgewährung an Kunden und das hierbei einzuhaltende Vier-Augen-Prinzip sowie die Pflichten eines Geschäftsführers im Rahmen des Rechnungs- und Mahnwesens ging.
Zu dieser Zeit gerieten drei Kunden der Klägerin in eine wirtschaftliche Schieflage und konnten die Rechnungen der Klägerin nicht mehr bezahlen. Die Kreditlimits sämtlicher von der Klägerin an diese Kunden ausgegebener Tankkarten waren vollständig ausgeschöpft. Ein Mitarbeiter der Klägerin, der für den Bereich Akquise und Betreuung von Kartenkunden zuständig war, erhielt von der wirtschaftlichen Schieflage der Kunden Kenntnis. Statt die betreffenden Tankkarten nach Maßgabe der internen Regularien zu sperren, missbrauchte er seine Befugnis zur Anlage und Verwaltung von Kunden in der Tankkartenabrechnungssoftware der Klägerin, indem er die Tankkarten der drei Unternehmen entweder anderen tatsächlichen Kunden der Klägerin oder von ihm angelegten fiktiven Kunden zuordnete. Durch diese Manipulation ermöglichte er es den drei Kunden, ihre Fahrzeuge weit über das ihnen eingeräumte Kreditlimit hinaus zu betanken. Damit sein Vorgehen nicht im Zuge der monatlichen Rechnungserstellung durch die Buchhaltung der Klägerin auffiel, übernahm der Mitarbeiter zudem kompetenzwidrig Aufgaben aus der Buchhaltung und dem Beschwerdemanagement.
Während eines längeren Urlaubs des Mitarbeiters häuften sich die Beschwerden von Kunden über fehlerhafte Rechnungen. Bei einer daraufhin durchgeführten Überprüfung wurden die Manipulationen entdeckt. Da über die Vermögen der drei Kunden jeweils ein Insolvenzverfahren eröffnet wurde, entstand der Klägerin in der Folge ein Schaden von ca. EUR 800.000,00.
Die Klägerin machte daraufhin gerichtlich Schadensersatzansprüche nach § 43 Abs. 2 GmbHG gegen den Beklagten geltend, da dieser als Geschäftsführer der Komplementärin nicht die Einhaltung des intern vorgegebenen Vier-Augen-Prinzips gewahrt habe und er im Rahmen der Unternehmensorganisation Kontroll- und Überwachungsmaßnahmen unterlassen habe. Das Landgericht Nürnberg-Fürth hat der Klage weitgehend stattgegeben und den Beklagten entsprechend verurteilt. Der Beklagte hat gegen das Urteil Berufung eingelegt.
II. Entscheidung des OLG Nürnberg vom 30. März 2022 (AZ.: 12 U 1520/19)
Das Oberlandesgericht Nürnberg hat die Berufung des Beklagten – bis auf einen geringen Teilbetrag – zurückgewiesen und festgestellt, dass dieser aufgrund der unterlassenen Einführung des Vier-Augen-Prinzips seine Sorgfaltspflichten als Geschäftsleiter verletzt habe und der Klägerin daher nach § 43 Abs. 2 GmbHG zum Schadensersatz verpflichtet sei.
1. Unmittelbare Haftung des Geschäftsführers der Komplementär-GmbH gegenüber der Kommanditgesellschaft
Zunächst führt das Oberlandesgericht Nürnberg aus, dass es der Einstandspflicht des Beklagten nicht entgegenstehe, dass zwischen ihm und der Klägerin weder ein Organ- noch ein Anstellungsverhältnis bestanden habe. Zwar sei der Beklagte allein als Geschäftsführer der Komplementär-GmbH der Klägerin bestellt gewesen und auch nur mit dieser habe ein Geschäftsführeranstellungsvertrag bestanden. Allerdings erstrecke sich der Schutzbereich des zwischen der Komplementär-GmbH der Klägerin und dem Beklagten als Geschäftsführer bestehenden Organ- und Anstellungsverhältnisses im Falle einer sorgfaltswidrigen Geschäftsführung auch auf die Kommanditgesellschaft, wenn und soweit die alleinige oder wesentliche Aufgabe der Komplementär-GmbH – wie vorliegend – in der Führung der Geschäfte der Kommanditgesellschaft bestehe. In diesem Fall hafte der Geschäftsführer der Komplementär-GmbH allein aufgrund der organschaftlichen Sonderrechtsbeziehung gegenüber der Kommanditgesellschaft nach § 43 Abs. 2 GmbHG unmittelbar.
2. Schaffung von interner Organisationsstruktur als Sorgfaltspflicht des Geschäftsleiters
Der Beklagte müsse sich als Geschäftsführer der Komplementär-GmbH an der Sorgfalt eines ordentlichen Geschäftsmanns messen lassen. Dies gelte ausdrücklich auch insoweit, als er in den Angelegenheiten der von ihm über die Komplementär-GmbH geleiteten Klägerin tätig werde.
Sodann führt das Oberlandesgericht Nürnberg weiter aus, dass es die Sorgfalt eines ordentlichen Geschäftsleiters gebiete, sofern er nicht sämtliche Maßnahmen selbst beschließe und ausführe, eine interne Organisationsstruktur der Gesellschaft zu schaffen, die die Rechtmäßigkeit und Effizienz ihres Handelns gewährleiste. Insoweit konkretisiere sich die Sorgfaltspflicht des Geschäftsleiters zu einer Unternehmensorganisationspflicht. Der Geschäftsleiter habe das von ihm geführte Unternehmen daher so zu organisieren, dass er jederzeit Überblick über die wirtschaftliche und finanzielle Lage der Gesellschaft habe. Dies erfordere gegebenenfalls die Einführung eines Überwachungssystems, mit dem Risiken für den Unternehmensfortbestand erfasst und kontrolliert werden könnten.
3. Legalitätspflicht erfordert Implementierung eines Compliance-Management-Systems
Aus dieser Legalitätspflicht des Geschäftsleiters folge die Verpflichtung zur Einrichtung eines Compliance-Management-Systems, das die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindere. Diese Pflicht erschöpfe sich ausdrücklich nicht in einer Überwachung oder einem Überwachen lassen des Geschäftsbetriebs, sondern umfasse vielmehr auch eine Pflicht zum sofortigen Eingreifen, wenn und soweit sich Anhaltspunkte für ein Fehlverhalten im Unternehmen ergeben würden. Eine Pflichtverletzung des Geschäftsleiters liege bereits dann vor, wenn Mitarbeitern durch eine unzureichende Organisation, Anleitung und Kontrolle die Begehung von Straftaten oder sonstigen Fehlhandlungen ermöglicht oder auch nur erleichtert werde.
4. Grundsatz: Kein flächendeckendes Kontrollnetz erforderlich
Zu der Überwachungspflicht des Geschäftsleiters gehört nach der Ansicht des Oberlandesgerichts Nürnberg überdies eine hinreichende Kontrolle, die nicht erst dann eingreifen dürfe, wenn Missstände bereits entdeckt worden seien. Insoweit führt das Gericht aus, dass sich der erforderliche Umfang der Kontrollen nach der Gefahrgeneigtheit der konkreten Unternehmenstätigkeit und der Bedeutung und dem Gewicht der zu beachtenden Vorschriften richte. Im Grundsatz seien regelmäßige stichprobenartige und überraschende Prüfungen erforderlich, aber auch ausreichend, sofern dadurch den Unternehmensangehörigen vor Augen gehalten werde, dass etwaige Verstöße entdeckt und geahndet werden würden. Da alle Aufsichtsmaßnahmen ihre Grenze jedoch in der objektiven Zumutbarkeit fänden und bei der Beurteilung der Zumutbarkeit die Würde der Betriebsangehörigen und die Wahrung des Betriebsklimas zu berücksichtigen seien, könne es einem Geschäftsleiter regelmäßig nicht abverlangt werden, ein flächendeckendes Kontrollnetz zu installieren.
5. Ausnahme: Unregelmäßigkeiten in der Vergangenheit
Eine Ausnahme von diesem Grundsatz gilt nach den Ausführungen des Oberlandesgerichts Nürnberg indes ausdrücklich dann, wenn es in dem Unternehmen in der Vergangenheit bereits zu Unregelmäßigkeiten gekommen sei. Bei der Klägerin sei dies – wie dem Beklagten aufgrund der Geschäftsführerschulungen auch bekannt gewesen sei – in Gestalt der unterlassenen Kontrolle der Kreditlimits der Tankkarten und deren Abrechnung der Fall gewesen. Daher sei der Beklagte dazu verpflichtet gewesen, im Rahmen der internen Unternehmensorganisation der Klägerin solche Compliance-Management-Strukturen zu schaffen, die ein rechtmäßiges und effektives Handeln aller Mitarbeiter gewährleisten und die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Angestellte verhindern.
Solche Compliance-Management-Strukturen und Prozesse habe der Beklagte indes gerade nicht implementiert, insbesondere habe er entgegen der internen Regularien im schadensträchtigen Bereich der Ausgabe von Tankkarten sowie deren EDV-mäßiger Verbuchung und Zuordnung nicht das Vier-Augen-Prinzip eingeführt und eingehalten. Das Oberlandesgericht Nürnberg führt insoweit aus, dass es gerade das Ziel des Vier-Augen-Prinzips sei, das Risiko von Fehlern und Missbrauch zu reduzieren. Das Vier-Augen-Prinzip sei dabei branchenübergreifend bei einer Vielzahl von unternehmensinternen Arbeitsprozessen zu finden, die als kritisch bewertet werden könnten. Kritisch in diesem Sinne seien Prozesse immer dann, wenn sie bei einer nicht ordnungsgemäßen Durchführung Personenschäden oder erhebliche finanzielle Auswirkungen für das Unternehmen zur Folge haben könnten.
6. Delegation der Überwachungspflicht möglich
Das Oberlandesgericht Nürnberg stellt dabei noch einmal explizit fest, dass ein Geschäftsleiter seine Überwachungspflicht selbstverständlich delegieren könne. In diesem Fall reduziere sich seine effektive Überwachungspflicht auf die ihm unmittelbar unterstellten Mitarbeiter und deren konkreten Führungs- und Überwachungstätigkeiten. Auch bei einem mehrstufigen Überwachungssystem – vom Oberlandesgericht Nürnberg als Meta-Überwachung bezeichnet – verbleibe die Oberaufsicht jedoch stets bei dem Geschäftsleiter, da ihm allein die Organisations- und Systemverantwortung obliege.
Soweit der Beklagte sich damit verteidigt hat, dass er kein geeignetes Personal für die Einführung des Vier-Augen-Prinzips gefunden habe, hält das Oberlandesgericht Nürnberg diesen Einwand für unerheblich. Sofern die Überwachung nicht auf Mitarbeiter delegiert werden könne, müsse ein Geschäftsleiter die notwendigen Überwachungstätigkeiten selbst durchführen.
III. Fazit und Stellungnahme
Die Entscheidung des Oberlandesgerichts Nürnberg zeigt abermals auf, dass Geschäftsleitern auch bei der internen Unternehmensorganisation umfassende Sorgfaltspflichten obliegen. Zu diesen Sorgfaltspflichten eines Geschäftsleiters gehört die Schaffung unternehmensinterner Organisationsstrukturen, die das rechtmäßige Handeln des Unternehmens und der Mitarbeiter gewährleisten. Diese Sorgfaltspflicht beinhaltet auch die Einführung eines Compliance-Management-Systems für die Überwachung und Kontrolle der Unternehmensprozesse und der Mitarbeiter.
Nach der (bislang) allgemeinen Meinung besteht bei der konkreten Ausgestaltung eines Compliance-Management-Systems und der einzelnen Compliance-Maßnahmen jedoch ein Beurteilungs- und Ermessensspielraum der Geschäftsleitung. Abweichend hiervon hat das Oberlandesgericht Nürnberg nunmehr entschieden, dass bei schadensgeneigten Geschäftsfeldern, bei denen Personenschäden oder große finanzielle Schäden für das Unternehmen im Raum stehen, verpflichtend das Vier-Augen-Prinzip gelte bzw. einzuhalten sei. Damit hat – soweit ersichtlich – erstmals ein deutsches Oberlandesgericht eine konkrete Organisations- bzw. Compliance-Maßnahme, wenn auch unter bestimmten Voraussetzungen, als verpflichtend angesehen. Ob sich diese Rechtsauffassung des Oberlandesgerichts Nürnberg in der Rechtsprechung der anderen Oberlandesgerichte durchsetzen wird, bleibt abzuwarten.
Positiv hervorzuheben ist, dass das Oberlandesgericht Nürnberg noch einmal ausdrücklich hervorgehoben hat, dass eine Delegation von Überwachungspflichten im Rahmen der Unternehmensorganisation und innerhalb von Compliance-Management-Systemen selbstverständlich möglich ist. In diesem Fall reduziert sich die effektive Überwachungspflicht des Geschäftsleiters auf eine sorgfältige Auswahl und Überwachung derjenigen Personen, die mit der Überwachung der kritischen Unternehmensprozesse betraut werden und sind (sog. Überwachung der Überwacher).
IV. Auswirkungen für die Praxis
Auch wenn derzeit noch offen ist, ob sich die Rechtsauffassung des Oberlandesgerichts Nürnberg durchsetzen wird, ist die Entscheidung gleichwohl von erheblicher Bedeutung für die Praxis der Geschäftsleitung. Die Entscheidung des Oberlandesgerichts Nürnberg verdeutlicht einmal mehr, dass die Implementierung eines Compliance-Management-Systems, durch das ein effizientes und rechtmäßiges Handeln der Gesellschaft und der Mitarbeiter gewährleistet wird, von erheblicher Bedeutung für die Haftungsvermeidung und -reduzierung von Geschäftsleitern ist.
Dabei kommt der Größe des Unternehmens, wie die Entscheidung des Oberlandesgerichts Nürnberg verdeutlicht, ausdrücklich keine Bedeutung zu. Schließlich waren bei der Klägerin lediglich 13 Mitarbeiter beschäftigt. Allerdings dürften bei größeren und mitarbeiterstärkeren Unternehmen noch deutlich strenge Maßstäbe an ein Compliance-Management-System gestellt werden, als es das Oberlandesgericht Nürnberg bei der Klägerin getan hat. Schließlich steigt mit der Größe der Unternehmen auch die Zahl der zu überwachenden Mitarbeiter und Prozesse.
Mit Blick auf die Entscheidung des Oberlandesgerichts Nürnberg sollten Geschäftsleiter folgende Schritte unternehmen:
- Überprüfung der internen Unternehmensorganisation im Hinblick auf solche Arbeitsprozesse, bei denen eine nicht ordnungsgemäße Durchführung Personenschäden oder erhebliche wirtschaftliche Folgen für das Unternehmen haben kann.
- Sofern dabei kritische Bereiche identifiziert werden, sollten in diesen Bereichen zumindest das Vier-Augen-Prinzip oder andere vergleichbare Kontrollmechanismen implementiert werden.
- Die Aufgabenverteilung bei wichtigen Prozessen in Unternehmen sollte dergestalt erfolgen, dass nicht ein Mitarbeiter des Unternehmens allein sämtliche Arbeitsschritte vornehmen kann. Vielmehr sollten mindestens zwei Mitarbeiter für ein und denselben Prozess nach dem Vier-Augen-Prinzip verantwortlich sein.
- Mitarbeiter, die mit sensiblen Daten oder der Kontrolle von Zahlungsströmen befasst sind, sollten dahingehend geschult werden, dass sie anderen Mitarbeitern nicht ohne Weiteres Zugang zu diesen Informationen gewähren.
- Sorgfältige Auswahl und Überwachung derjenigen Personen, die mit der Überwachung von kritischen Unternehmensprozessen betraut sind oder betraut werden sollen.
Der Blogbeitrag steht hier für Sie zum Download bereit: Verschärfte (Compliance-)Pflichten und Haftungsrisiken des Geschäftsleiters bei der internen Unternehmensorganisation – Oberlandesgericht Nürnberg qualifiziert unterlassene Compliance-Maßnahmen als Pflichtverletzung