§
Recht

Gesetzliche Pflichten und Haftungsrisiken für die Geschäftsleitung

Ordnungsmerkmale

erschienen in: <kes> 2011#4, Seite 49

Rubrik: Recht

Schlagwort: Haftung der Geschäftsleitung

Zusammenfassung: Dieser Beitrag befasst sich mit der immer wieder diskutierten Frage, welche gesetzlichen Pflichten dem Vorstand einer Aktiengesellschaft und dem Geschäftsführer einer größeren GmbH im Rahmen des Risikomanagements obliegen und welche Haftungsrisiken in Deutschland drohen können, wenn Mitglieder der Geschäftsleitung diese Pflichten verletzen.

Der Vorstand einer Aktiengesellschaft hat nach den Vorschriften des Aktiengesetzes (§ 91 Abs. 2 AktG) die Pflicht "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden". Er muss somit ein Risikofrühwarnsystem einrichten und dieses auch unterhalten.

Dies gilt jedoch nicht nur für den Vorstand einer Aktiengesellschaft, sondern anerkanntermaßen auch für größere GmbHs mit AG-ähnlichen Strukturen. Der Geschäftsführer einer GmbH hat in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden (§ 43 Abs. 1 GmbHG). Geschäftsführer, die ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden (§ 43 Abs. 2 GmbHG) – in diese Pflicht des GmbH-Geschäftsführers wird Pflicht zum Risikomanagement entsprechend § 91 Abs. 2 AktG einbezogen.

Die Prüfung des Risikofrüherkennungssystems erfolgt nach § 317 Abs. 4 Handelsgesetzbuch (HGB) durch den Abschlussprüfer, wobei hier der Prüfungsstandard 340 des Instituts der Wirtschaftsprüfer (IDW PS 340) anzulegen ist. Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Frühwarnsystem seine Aufgaben erfüllen kann.

Konkretisierung der Pflichten

Abgesehen von den berufsrechtlichen Vorgaben für Wirtschaftsprüfer nach den IDW-Prüfungsstandards stellt sich die Frage, wie sich der Gesetzgeber die Pflichten des Vorstands und des Geschäftsführers einer GmbH im Rahmen des Risikomanagements genau vorstellt. Der Bundesgerichtshof hatte sich im Rahmen eines strafrechtlichen Revisionsverfahrens im vergangenen Jahr mit den Pflichten des GmbH-Geschäftsführers im Rahmen des § 43 Abs. 1 GmbHG auseinandergesetzt und klargestellt, dass die Sorgfaltspflichten von § 43 Abs. 1 GmbHG und § 93 Abs. 1 S. 1 AktG nach allgemeiner Auffassung die Pflicht begründen, für die Legalität des Handelns der Gesellschaft, insbesondere auch für die Erfüllung der ihr aufgetragenen buchführungs- und steuerrechtlichen Pflichten, Sorge zu tragen (BGH, Urteil vom 27. Aug. 2010 – 2 StR 111/09).

Im Rahmen der BGH-Entscheidung wurde im Übrigen festgestellt, dass sich Geschäftsführer einer GmbH oder Vorstände einer Aktiengesellschaft wegen Untreue strafbar machen können, wenn sie unter Verstoß gegen § 43 Abs. 1 GmbHG, § 93 Abs. 1 AktG und unter Verletzung von Buchführungsvorschriften eine schwarze Kasse im Ausland einrichten.

Relevanter für den Bereich des Risikomanagements war die Entscheidung des Landgerichts München I aus dem Jahre 2008, wonach der Vorstand einer Aktiengesellschaft durch § 91 Abs. 2 AktG nicht nur verpflichtet wird, ein Risikofrühwarn- und Überwachungssystem einzurichten, sondern darüber hinaus auch eine Rechtspflicht bestehe, dieses System zu dokumentieren (LG München I, Urteil vom 05. Apr. 2007 – 5 HK O 15964/06). Wird das Frühwarn- und Überwachungssystem im Sinne des Aktiengesetzes nicht ordnungsgemäß dokumentiert, sei der Hauptversammlungsbeschluss, durch den die Hauptversammlung den Vorstand entlastet, anfechtbar (gem. § 243 Abs. 1 AktG).

Das Landgericht München begründete: "Aufgrund der Vorschrift des § 91 Abs. 2 AktG hat der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit Entwicklungen, die den Fortbestand der Gesellschaft gefährden, früh erkannt werden. Die Einrichtung eines solchen Systems hat eine Organisationsanforderung zum Inhalt, der durch die Begründung unmissverständlicher Zuständigkeiten, ein engmaschiges Berichtswesen und eine entsprechende Dokumentation Rechnung getragen werden kann und muss."

Und weiter: "Es ist sicherzustellen, dass vom verantwortlichen Sachbearbeiter über die jeweiligen Hierarchieebenen bis hin zur Unternehmensleitung sämtliche relevante Stellen von vorhandenen Risiken Kenntnis erlangen, um die entsprechenden Maßnahmen zur Beherrschung dieser Risiken einleiten zu können. Dieses Risikomanagementsystem muss dokumentiert werden, um es auch unternehmensintern zu kommunizieren. Diese Offenlegung organisatorischer Regelungen, der getroffenen Maßnahmen und Verfahrensabläufe trägt nämlich entscheidend dazu bei, Handlungsabläufe innerhalb des Risikomanagementsystems einer Gesellschaft zu optimieren."

Zudem sei der Bezug zum Handelsgesetzbuch (§ 317 Abs. 4 HGB) wesentlich: "Danach muss der Abschlussprüfer im Rahmen der Prüfung beurteilen, ob der Vorstand einer börsennotierten Gesellschaft die ihm nach § 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann. (…) Damit aber gehört auch die Dokumentation des Früherkennungssystems zu den zentralen Aufgaben des Vorstandes im Anwendungsbereich von § 91 Abs. 2 AktG und der in dieser Vorschrift zum Ausdruck kommenden Bestandssicherungsverantwortung."

Damit hat das Landgericht München als (soweit ersichtlich) erstes deutsches Gericht die Pflichten des Vorstands im Rahmen des Risikomanagements näher konkretisiert. Danach hat der Vorstand ein Risikofrühwarnsystem nicht nur einzurichten, sondern muss hierfür auch die erforderliche Organisation vorhalten, das heißt insbesondere Zuständigkeiten definieren, um die Kenntnis bestehender Risiken von der operativen Ebene an die Geschäftsleitung weiterzugeben, damit die erforderlichen Maßnahmen zur Beherrschung der Risiken eingeleitet werden können. Zudem ist das Risikomanagementsystem fortlaufend zu dokumentieren, um die Handlungsabläufe innerhalb des Risikomanagementsystems optimieren zu können.

Bezogen auf die IT-Sicherheit hat der Vorstand demgemäß auch dafür Sorge zu tragen, dass für typische IT-Risiken wie Viren- oder Hacker-Attacken oder Stromausfälle ein im Vorfeld festgelegter Notfallplan besteht, der in der Praxis auch durchführbar ist und gegebenenfalls laufend erprobt und überprüft werden muss. Bei der konkreten Ausgestaltung des Risikomanagements im Bereich der IT kann und sollte sich der zuständige Vorstand (d. h. in der Regel der CIO) an den Empfehlungen der BSI-Grundschutzkataloge orientieren, die über die Homepage des BSI im Volltext abgerufen werden können ([externer Link] www.bsi.bund.de/gshb).

Haftung und Versicherung

In dem Fall vor dem Landgericht München ging es letztlich zwar nicht um eine persönliche Haftung des Vorstands wegen der Verletzung seiner Pflichten aus § 91 Abs. 2 AktG, sondern zunächst nur um die Anfechtung eines Hauptversammlungsbeschlusses der Aktiengesellschaft. Eine Haftung in Form eines Schadensersatzanspruchs der Aktiengesellschaft gegen den jeweils verantwortlichen Vorstand persönlich ist jedoch grundsätzlich denkbar.

Anspruchsgrundlage hierfür wäre § 93 Abs. 2 S. 1 AktG, wonach Vorstandsmitglieder, die ihre Pflichten verletzen, der Gesellschaft zum Ersatz des daraus entstehenden Schadens verpflichtet sind. Ist streitig, ob der Vorstand die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt hat, so trifft ihn insoweit sogar die volle Beweislast, das heißt der Vorstand muss im Zweifel nachweisen können, dass er ein Risikofrühwarnsystem nach den gesetzlichen Vorgaben eingerichtet und ordnungsgemäß dokumentiert hat. Analog sind auch Schadensersatzansprüche einer GmbH gegen den zuständigen Geschäftsführer aus § 43 Abs. 2 GmbH denkbar, wenn dieser seine Obliegenheiten verletzt.

Ohne eine wirksame vertragliche Regelung haftet das Mitglied der Geschäftsleitung grundsätzlich unbegrenzt mit seinem Privatvermögen. Gegen solche Schäden kann sich der Manager zwar mit einer speziellen Organ- oder Manager-Haftpflichtversicherung ein Stückweit absichern (sog. D&O-Versicherung). Jedoch sind dabei zum einen die jeweiligen Ausschlusstatbestände im Versicherungsvertrag genau zu prüfen und zum anderen ist der Versicherer nach dem Versicherungsvertragsgesetz (VVG) berechtigt, die Versicherungsleistung zu kürzen, wenn der Versicherte grob fahrlässig gehandelt hat. Wenn der Gesetzgeber dem Organmitglied der Aktiengesellschaft klare Anforderungen definiert, dürfte grobe Fahrlässigkeit schnell anzunehmen sein, wenn der Vorstand oder Geschäftsführer diese Pflichten verletzt hat.

Die <kes>-Rubrik "Recht" gibt Tipps zu Rechts­fragen der ITK sowie der Infor­mations­sicherheit und informiert über aktuelle Urteile aus diesem Bereich. Die Rechtsanwälte Christian Welkenbach und Florian Decker betreuen diese Kolumne seit 2011. Beide sind als Fach­anwalt für Informations­technologie­recht (IT-Recht) bei Res Media | Kanzlei für IT-Recht und Medien­recht in Mainz tätig ([externer Link] www.res-media.net).

Fazit

Die Anforderungen an das betriebswirtschaftlich definierte Risikomanagement mögen zwar komplexer und umfangreicher sein als die Pflicht zur Einrichtung und Überwachung eines Risikofrüherkennungssystems nach § 92 Abs. 2 AktG, bei dem es in erster Linie um die Bestandssicherung geht und nicht um die allgemeine und umfassende Verhinderung von Verlusten aus der Geschäftstätigkeit der Gesellschaft. In Anbetracht des vom Vorstand zu beachtenden Sorgfaltsmaßstabs gemäß § 93 Abs. 1 AktG empfiehlt sich dennoch eine auf die jeweilige Gesellschaft und ihre Geschäftstätigkeit individuell angepasste Lösung. Hieran sollte der zuständige Vorstand ein erhebliches Eigeninteresse haben, um seine eigenen Haftungsrisiken zu begrenzen!

Vorständen von Aktiengesellschaften und Geschäftsführern größerer GmbHs ist daher im Ergebnis dringend zu empfehlen, sich über den gesetzlichen Pflichtenkatalog vor ihrem Amtsantritt genau zu informieren und nach Umsetzungsmöglichkeiten für diese Pflichten zu suchen.

Darüber hinaus sollte man die gesetzlichen Anforderungen – jeweils zugeschnitten auf die Gesellschaft und ihr Geschäftsfeld – vertraglich konkretisieren, um für beide Seiten Klarheit zu schaffen. So lassen sich Haftungsrisiken im Vorfeld ausloten und eindämmen. (Christian Welkenbach)