Das OLG Zweibrücken hat entschieden, dass die Geschäftsführerin einer GmbH nur dann nach § 43 II GmbHG haftet, wenn sie zuvor eine spezifische organschaftliche Pflicht verletzt hat. Pflichtverletzungen, die Tätigkeiten betreffen, die nur bei Gelegenheit der Geschäftsführung erfolgen, rechtfertigen keine Haftung nach dem erhöhten Sorgfaltsmaßstab des § 43 II GmbHG.
Worum ging es?
Die Beklagte war gemeinsam mit dem Alleingesellschafter zur Geschäftsführerin der Klägerin bestellt. Sie erhielt mehrere sogenannte "Phishing-E-Mails", in denen sich jemand als Mitarbeiter eines Unternehmens ausgab, mit dem die Klägerin tatsächlich in regelmäßiger Geschäftsbeziehung stand, und die Bezahlung von Rechnungen verlangte, die den Mails beigefügt waren. Die E-Mail-Adresse des Absenders gab jeweils den Namen der Person an, zu der der regelmäßige Kontakt bestand, verwendete im Übrigen aber als E-Mail-Adresse allerdings nicht die tatsächliche E-Mail-Adresse "….@….film.com" des Geschäftspartners, sondern "….@….flim.com". Die Abweichung durch die Buchstabenverdrehung fiel der Geschäftsführerin nicht auf.
Die Phishing-E-Mails knüpften inhaltlich an einen vorangegangenen E-Mailaustausch mit dem tatsächlichen Ansprechpartner der E-Mail-Adresse "….@....film.com" an. Aus der E-Mail- Korrespondenz (und auch sonst) war für die Geschäftsführerin nicht ersichtlich, dass jemand anders diese Korrespondenz gekapert hatte und darauf aufsetzen konnte. Auch die den Phishing-E-Mails beigefügten Rechnungen des angeblichen Geschäftspartners sahen genauso aus wie die vom tatsächlichen Geschäftspartner ausgestellten Rechnungen.
In den Phishing-E-Mails wurde die Geschäftsführerin zur Zahlung von insgesamt mehr als USD 130.000 aufgefordert. Diese Beträge entsprachen in etwa dem, was in der Geschäftsbeziehung in der Vergangenheit an Forderungen des Geschäftspartners üblich gewesen war. Die Geschäftsführerin bezahlte die (angeblichen) Forderungen des (angeblichen) Geschäftspartners und überwies das Geld dabei auf ein in der Rechnung angegebenes Konto. Dieses Konto gehörte (natürlich) nicht dem tatsächlichem Geschäftspartner, sondern dem betrügerischen Absender der Phishing-Mails. Die Geschäftsführerin hatte ihren Mitgeschäftsführer und Alleingesellschafter der geschädigten Gesellschaft jeweils in die E-Mailkorrespondenz mit der Phishing-Emailadresse einkopiert.
Nachdem bekannt wurde, dass die Zahlungen an Betrüger geleistet worden waren, verlangte die geschädigte Gesellschaft (Klägerin) die zu ihren Lasten geleisteten Zahlungen von der Geschäftsführerin zurück. Landgericht und Oberlandesgericht haben die Klage abgewiesen.
Was hat das OLG Zweibrücken entschieden?
1. Verstoß gegen Organpflicht
Nach dem OLG Zweibrücken haftet ein Geschäftsführer einer GmbH der Gesellschaft nach § 43 II GmbHG nur dann, wenn er eine spezifisch organschaftliche Pflicht verletzt hat. Eine solche spezifische Pflicht als Organwalterin der Gesellschaft habe die Geschäftsführerin in diesem Fall aber nicht verletzt.
Die Geschäftsführerin habe bei den Überweisungen zwar leicht fahrlässig gehandelt, da ihr bei Wahrung der im geschäftlichen Zahlungsverkehr bei Überweisung höherer Geldbeträge erforderlichen Sorgfalt der Buchstabendreher in der Absender-Adresse der Phishing-E-Mails hätte auffallen können und müssen. Dies führe jedoch nicht zur Haftung der Geschäftsführerin. Denn das Verhalten der Geschäftsführerin stehe in keinem Zusammenhang mit ihren dienstlichen Organpflichten. Tätigkeiten, die lediglich "bei Gelegenheit" der Geschäftsführung vorgenommen werden, die also ebenso gut von einem Dritten hätten vorgenommen werden können, begründeten hingegen keine Haftung nach § 43 II GmbHG. Dies sei bei fraglichen Geldüberweisungen der Fall. Sie hätten jeweils eine Höhe gehabt, wie sie bei Zahlungen an den wahren Geschäftspartner an der Tagesordnung waren. Solche üblichen Zahlungen führe üblicherweise die Buchhaltung der Klägerin aus. Bei deren ordnungsgemäßer Erledigung gehe es daher nicht um spezifischen Organpflichten.
Damit hat das OLG Zweibrücken zwar eine leicht fahrlässige Pflichtverletzung der Geschäftsführerin festgestellt, ihre Haftung nach § 43 II GmbH aber verneint, weil ihre Tätigkeit in dem konkreten ihr zur Last gelegten Zusammenhang keine spezifische organschaftliche Tätigkeit darstelle.
Als Folge stellte sich dann die Frage, ob die Geschäftsführerin der klagenden Gesellschaft dann nicht nach den allgemeinen Haftungsregelungen haften müsste, wie sie allgemein für Arbeitnehmer gelten.
2. Anwendbarkeit der Grundsätze der Arbeitnehmerhaftung
Greift zu Lasten eines Geschäftsführers einer GmbH die Vorschrift des § 43 II GmbH mangels Verletzung spezifischer Organpflichten nicht ein, finden nach der Entscheidung des OLG Zweibrücken auf des haftungsbegründende Verhalten eines GmbH-Geschäftsführers die allgemeinen Regeln betreffend den Pflichten-, Sorgfalts- und Haftungsmaßstab von Arbeitnehmern Anwendung. Das OLG Zweibrücken wendet in diesem Zusammenhang zugunsten der Beklagten eine Haftungsmilderung in Anlehnung an die Grundsätze der Arbeitnehmerhaftung an.
Zwar komme im Bereich der Organfunktionen eines GmbH-Geschäftsführers eine Haftungsmilderung nach allgemeinen Arbeitnehmergrundsätzen nicht in Betracht. Eine Ausnahme sei aber zu machen, wenn der Geschäftsführer wie jeder beliebige Dritte am Rechtsverkehr teilnehme. In diesen Fällen seien die arbeitsrechtlichen Grundsätze zum "innerbetrieblichen Schadensausgleich" anwendbar.
Nach den Grundsätzen des Bundesarbeitsgerichts für den "innerbetrieblichen Schadensausgleich" bestimmt das Ausmaß des Verschuldens, das dem Arbeitnehmer zur Last gelegt wird, den Umfang seiner Haftung gegenüber dem Arbeitgeber. Bei leicht fahrlässigem Verhalten haftet der Arbeitnehmer gar nicht gegenüber dem Arbeitgeber, bei grob fahrlässigem Verhalten haftet der Arbeitnehmer vollständig und bei mittlerer Fahrlässigkeit teilen sich Arbeitnehmer und Arbeitgeber den Schaden. Hieraus folgt: Bei nur leicht fahrlässigem Handeln haftet die Geschäftsführerin überhaupt nicht, nur bei grobfahrlässigem Handeln haftet sie auf den ganzen Schaden.
Nach Auffassung des OLG Zweibrücken hat die Geschäftsführerin lediglich leicht fahrlässig gehandelt. Es wäre ihr bei einem höheren Maß an Aufmerksamkeit sicherlich möglich gewesen, den Buchstabendreher in der E-Mail-Adresse des Absenders zu erkennen. Andererseits bestand der Fehler in einer nur geringfügigen Abweichung von der korrekten E-Mail-Adresse des langjährigen Geschäftspartners. Jeder andere hätte diese Abweichung genau so übersehen können. Als (vermeintlicher) Absender der Phishing-Mails erschien zudem der langjährigen Ansprechpartner der Geschäftsführerin bei dem Geschäftspartner. Der Phishing-Angriff bestand in einer fortgesetzte E-Mail-Kommunikation, die inhaltlich auch Bezug auf E-Mails vor Beginn der Phishing-Attacke nahm. Schließlich waren auch die mit den Phishing-Mails übersandten Rechnungen plausibel, sowohl nach ihrer äußeren Gestaltung als auch in ihrer jeweiligen Höhe. Aus all diesen Gründen fiel der Geschäftsführerin aus Sicht des OLG Zweibrücken nur der Vorwurf leicht fahrlässigen Verhaltens zu Last und schied auch eine Haftung der Geschäftsführerin nach den Grundsätzen der Arbeitnehmerhaftung aus.
3. Einbeziehung von Mitgeschäftsführer und Alleingesellschafter
Schließlich hat das OLG Zweibrücken eine Haftung der Klägerin auch aus dem Grund verneint, weil sie den Mitgeschäftsführer und Alleingesellschafter der Klägerin in der gesamten E-Mail-Korrespondenz ins "cc" gesetzt und damit ausdrücklich über die Vorgänge informiert hatte, ohne dass diesem auffiel, dass es sich um einen Phishing Angriff auf die Klägerin handelte.
Schlussfolgerungen für die Praxis
Cyber-Angriffe nehmen immer weiter zu, viele Unternehmen sind schon einmal Opfer eines Cyber-Angriffes geworden. Die hierdurch verursachten Schäden sind oftmals sehr hoch und können existenzgefährdend ein. Regelmäßig stellt sich die Frage nach einem Rückgriff beim Geschäftsführer / Arbeitnehmer, der Adressat des Phishing-Angriffs war. Das OLG Zweibrücken hat in dem besprochenen Fall einen solchen Rückgriff abgelehnt. Hierbei hat das OLG Zweibrücken drei wichtige Rechtsfragen entschieden, von denen zwei Fragen bisher höchstgerichtlich noch nicht geklärt worden sind.
1. Begrenzung der Haftung über § 43 II GmbHG auf organschaftliche Tätigkeiten
Das OLG Zweibrücken begrenzt die Haftung des Geschäftsführers nach § 43 II GmbHG auf die Verletzung spezifischer Organpflichten als Geschäftsführer der GmbH. Dies sind die dem Geschäftsführer nach Gesetz oder Vertrag obliegende Geschäftsleitungspflichten, Sorgfaltspflichten bei der Unternehmensleitung, Überwachungspflichten und "Compliance-Pflichten". Ist keiner dieser Pflichtenkreise betroffen, haftet der Geschäftsführer nach Auffassung des OLG Zweibrücken nur nach allgemeinen Grundsätzen der Arbeitnehmerhaftung. Ob dies nur für Fremdgeschäftsführer wie die beklagte Geschäftsführerin gilt oder auch für Gesellschafter-Geschäftsführer, hat das OLG Zweibrücken offen gelassen.
Nach der Entscheidung des OLG Zweibrücken sind die Freigabe und Bezahlung von Rechnungen im Unternehmen grundsätzlich eine Buchhaltungstätigkeit. Dies dürfte allerdings nicht ausnahmslos gelten. Ob die Freigabe einer Rechnung bzw. die Vornahme einer konkreten Überweisungen tatsächlich eine "Buchhaltungstätigkeit" oder jedenfalls keine spezifische Geschäftsleitungstätigkeit ist und damit nicht in den spezifischen Aufgabenkreis der Geschäftsführung fällt, dürfte jeweils von den Umständen des Falles abhängen. Ausschlaggebend dürfte hierbei insbesondere die Größe des betroffenen Unternehmens, die Höhe der konkreten Rechnung, der vorausgegangene Leistungsverkehr mit dem vermeintlichen Geschäftspartner, der vermeintlich die Fake-Rechnung gestellt hat, und die üblichen Abläufe in dem betroffenen Unternehmen sein. Solange der Bundesgerichtshof die Ansicht des OLG Zweibrücken noch nicht ausdrücklich bestätigt hat und es keine etablierte Regeln für die Abgrenzung von üblichen / unüblichen Rechnungen/ Zahlungen gibt, scheint es deshalb unvorsichtig, als Geschäftsführer grundsätzlich darauf zu vertrauen, dass die Freigabe von Rechnungen bzw. die Vornahme von Überweisungen nicht zu einer organschaftlichen Haftung führen können. Es wird hier wohl vielmehr immer auf die Einzelfallumstände ankommen.
Was das OLG Zweibrücken überhaupt nicht geprüft und noch nicht einmal angesprochen hat, ist, ob sich ggf. ein Organisationsverschulden des Geschäftsführers daraus ergeben kann, dass das Unternehmen unzureichend vor Cyber-Angriffen geschützt ist. Ob eine solche Pflicht angenommen werden kann, wird maßgeblich davon abhängen, welcher Art das Unternehmen ist und wie groß es ist. Rein vorsorglich sollten Geschäftsführer sich damit beschäftigen, ob ihr Unternehmen nach seiner Art und Größe nach möglicherweise ein Ziel von Cyber-Angriffen sein könnte und wie diesen begegnet werden kann.
2. Arbeitsrechtliche Haftungserleichterung bei Organtätigkeit
Die Anwendung der arbeitsrechtlichen Rechtsprechungsregeln über den "innerbetrieblichen Schadensausgleich" auf GmbH-Geschäftsführer lehnt die ganz herrschende Meinung im Bereich der Organhaftung ab, da die Stellung von Geschäftsführern und Arbeitnehmern wegen der gänzlich anderen Rechtsstellung nicht vergleichbar sei. Dem stimmt auch das OLG Zweibrücken zu. Das OLG Zweibrücken hat die Grundsätze der Arbeitnehmerhaftung deshalb auch lediglich auf nicht organspezifische Tätigkeiten der Geschäftsführerin angewandt, also auf solche Tätigkeiten, die auch ein anderer Mitarbeiter unterhalb der Geschäftsführungsebene hätte ausführen können. Eine höchstrichterliche Entscheidung ist hierzu noch nicht ergangen. In der Literatur ist hoch umstritten, ob Haftungserleichterungen für den Geschäftsführer überhaupt in Betracht kommen. Problematisch ist hierbei insbesondere die Unterscheidung zwischen organspezifischer und nicht organspezifischer Tätigkeit. Diese ist, wenn man eine solche Unterscheidung vornehmen wollte, schwierig. Wie ein Gericht einen konkreten Fall beurteilt, lässt sich kaum rechtssicher vorhersagen.
Geschäftsführer sollten deshalb nicht auf Haftungserleichterungen nach Arbeitnehmergrundsätzen vertrauen, auch wenn sie der Auffassung sind, im konkreten Fall keine organspezifischen Tätigkeiten auszuüben. Das für sie zuständige Gericht wird diese möglicherweise anders beurteilen.
3. Entfallen der Geschäftsführerhaftung durch laufende Unterrichtung des Alleingesellschafters und Mitgeschäftsführers
Das OLG Zweibrücken hat eine Haftung der Geschäftsführerin auch deshalb abgelehnt, weil sie den Mitgeschäftsführer und Alleingesellschafter in die E-Mail-Korrespondenz einkopiert hatte. Ob alleine durch das Einkopieren und die damit verbundene Möglichkeit der Kenntnisnahme des Mitgeschäftsführers und Alleingesellschafters die Haftung entfällt, darf allerdings bezweifelt werden. Bisher ist lediglich anerkannt, dass ein Einverständnis zu (rechtswirksamen) Handlungen auch stillschweigend erteilt werden kann. Die Möglichkeit, von einer Handlung Kenntnis zu nehmen, steht nach der Rechtsprechung des BGH einer tatsächlichen Kenntnisnahme allerdings nicht gleich. Nach der Rechtsprechung des BGH führt selbst die tatsächliche Kenntnis nur bei Hinzutreten weiterer Umstände zu Annahme eines stillschweigenden Einverständnisses. Hierauf geht das OLG Zweibrücken bei seiner Entscheidung nicht weiter ein. Möglichweise hat sich das Gericht auch einfach von der Überlegung leiten lassen, die Geschäftsführerin nicht für das Übersehen eines arglistigen Buchstabendrehers haften zu lassen, wenn dieser dem Mitgeschäftsführer und Alleingesellschafter nicht aufgefallen ist.
Allgemein wird es auch insoweit von den Umständen des Einzelfalls abhängen, in welchem Umfang der Mitgeschäftsführer / der Gesellschafter eine konkret Überwachungsfunktion wahrnimmt oder in einzelne Themen und Bereiche konkret eingebunden ist. Sollte dies nicht der Fall sein, dürfte das einfache, ggf. sogar massenhafte Einkopieren weiterer Geschäftsführer oder eines beherrschenden Gesellschafters durch einen Geschäftsführer in seine E-Mails wohl nicht zu einer Beschränkung der Haftung des Geschäftsführers führen.
Fazit
Das OLG Zweibrücken hat wichtige Fragen angesprochen und diese zugunsten der beklagten Geschäftsführerin entschieden. Möglichweise halten diese jedoch einer höchstgerichtlichen Überprüfung nicht stand, weil es doch gewichtige Argumente auch dagegen gibt. Wie die Rechtsprechung sich hier entwickelt bleibt abzuwarten. Derzeit hat das OLG Zweibrücken den Geschäftsführern bei leicht fahrlässigen Pflichtverletzungen den Rücken gestärkt.
Sind sie von Cyber-Angriffen betroffen, wollen Rückgriff bei Ihrer Geschäftsführung nehmen oder sind als GeschäftsführerIn Rückgriffsforderungen ausgesetzt, rufen Sie und an oder schreiben und eine E-Mail. Wir unterstützen Sie!
