Compliance – ein Thema, das schon längst die Mehrheit der deutschen Unternehmen beschäftigt, unabhängig davon, ob es sich um Großkonzerne oder kleine und mittlere Unternehmen (KMU) handelt. Die Rechtsprechung der letzten Jahre hat gezeigt, dass Verstöße gegen Compliance-Regelungen zur Haftung von Leitungsorganen (Geschäftsführer, leitende Angestellte und Aufsichtsorgane) führen können, wenn es innerhalb einer Gesellschaft zu Rechtsverstößen und in der Folge zu Schäden kommt. Das Regime der Organhaftung ist weitreichend, da es eine persönliche und unbeschränkte Haftung vorsieht und es mitunter auch zu strafrechtlichen Folgen kommen kann. Die Führung eines Entlastungsbeweises ist häufig komplex und sollte stets juristisch begleitet werden. Regelmäßig kann allein die Implementierung eines Compliance-Management-Systems im Vorfeld zu einer erfolgreichen Entlastung eines Leitungsorgans führen, dies jedoch nur dann, wenn ein solches angemessen, risikoorientiert und funktional ausgestaltet ist.
Business Judgement Rule als Grundlage unternehmerischer Entscheidungen
Das Gesetz bleibt in seiner Darstellung etwaiger Enthaftungsmöglichkeiten zumeist wage. Verpflichtend ist für sämtliche Leitungsorgane stets ein umfassendes Bündel an Überwachungs-, Treue- und Legalitätspflichten. Unternehmerische Entscheidungen der Leitungsorgane müssen sich dabei im Rahmen dieser Pflichten an den Maßstäben der „Business Judgement Rule” messen lassen. Zwar ist diese in § 93 Abs. 2 AktG gesetzlich normiert, sie gilt jedoch entsprechend auch für die Leitungsorgane von Gesellschaften anderer Rechtsformen wie der GmbH. Sieht sich ein Leitungsorgan einem Haftungsanspruch, z. B. aus § 43 Abs. 2 GmbHG ausgesetzt, so kann es einer tatsächlichen Inanspruchnahme nur dann erfolgreich entgegentreten, wenn es (i) im Rahmen einer unternehmerischen Entscheidung-, (ii) gutgläubig, (iii) ohne Sonderinteresse oder sachfremde Einflüsse, (iv) zum Wohle der Gesellschaft und (v) auf Grundlage angemessener Informationen gehandelt hat. Auch hierbei sollte stets juristische Expertise zur Auslegung der einzelnen Vorgaben herangezogen werden. Bei Einhaltung der Voraussetzungen der Business Judgement Rule besteht für das betroffene Leitungsorgan eine Enthaftungsmöglichkeit.
Wesentlich ist dabei, dass eine exakte und nachvollziehbare Dokumentation der Entscheidungsgrundlage(n) erfolgt, sodass im Streitfall die korrekte Befolgung der Maßgaben der Business Judgement Rule nachgewiesen werden kann. Dieses Erfordernis folgt aus der hierbei bestehenden Beweislastumkehr, wonach es dem betroffenen Organ obliegt, das eigene pflichtgemäße Verhalten nachzuweisen. Ohne im Vorhinein eingeführte Dokumentationsstrukturen lässt sich ein solcher Nachweis selten führen und die beschriebene persönliche (und möglicherweise strafrechtliche) Haftung schwebt als „Damoklesschwert” über den Entscheidungsorganen im Unternehmen.
Maßgenaues Compliance-Management-System als Enthaftungsmöglichkeit
Organisatorisch kann eine Überwachung und Dokumentation pflichtgemäßen Verhaltens durch den Aufbau einer umfangreichen Compliance-Management-Struktur gewährleistet werden. So können etwaige Haftungsfallen durch die Einführung eines Compliance Management-Systems („CMS”) frühzeitig erkannt, dokumentiert und (etwaige) Schäden verhindert werden. Darüber hinaus bezeugt dies das Bemühen der Leitungsorgane um eine regelkonforme Unternehmensführung.
Auch im Streitfall kann ein CMS einen erheblichen Mehrwert bieten, da ohne hinreichende Dokumentation eine Enthaftung regelmäßig ausscheidet. Das Haftungsrisiko für Leitungsorgane in Unternehmen ohne CMS ist somit enorm. Dies gilt gerade auch für kleine und mittelständige Unternehmen, da die dortigen Organisationsstrukturen nicht immer die erforderlichen Ausprägungen aufweisen und somit die Gefahr besteht, dass einzelne Haftungsfallen nicht hinreichend abgesichert sind.
Nicht zuletzt kann ein funktionierendes CMS neben der persönlichen Enthaftung von Leitungsorganen auch dabei helfen, etwaige Reputationsschäden zu vermeiden, welche fundamentale Auswirkungen auf Unternehmen jeglicher Größe haben können.
Individuelle Ausgestaltung stets erforderlich
Bei der Ausgestaltung und Implementierung steht den Leitungsorganen ein umfangreicher Ermessenspielraum zu, dessen Ausübung sich in einem etwaigen Haftungsfall jedoch in der rechtlichen Beurteilung niederschlagen kann. Der Ausgestaltung eines CMS muss dabei stets eine individuelle Betrachtung der Bedürfnisse und Herausforderungen eines jeweiligen Unternehmens vorausgehen. Betrachtet werden müssen die individuellen Risiken, welche sich je nach Branche und Tätigkeitsregion (teilweise sogar innerhalb eines Unternehmens) deutlich unterscheiden können. Weiter sind Ausrichtung, Zielsetzung und Risiken des Unternehmens bei der Einrichtung eines CMS zu beachten. Eine „Standardlösung” für ein CMS gibt es daher nicht, wobei die Grundstrukturen und Vorgehensweisen regelmäßig einen ähnlichen Grundstock aufweisen. Eine Analyse der individuellen Risiken sollte durch eine angemessene Due Diligence erfolgen und in der Konzipierung und dem Aufbau eines passenden CMS münden. Eine stabile Grundstruktur kann mit Unterstützung durch juristische Expertise oftmals schnell geschaffen werden.
Die initial festgelegten Strukturen und Systeme eines (neu) geschaffenen CMS müssen jedoch kontinuierlich überwacht, überprüft und bei Bedarf an geänderte Umstände und neue Risiken angepasst werden. Ein CMS ist somit nicht als starres Konstrukt zu verstehen, sondern sollte mit den Anforderungen eines Unternehmens mitwachsen.
OLG Nürnberg (2022): Umfangreiche Geschäftsführerhaftung bei fehlendem „Vier-Augen-Prinzip”
In seinem Urteil − 12 U1520 / 19 vom 30.03.2022 traf das Gericht Feststellungen zur Notwendigkeit eines CMS und den Haftungsfolgen für die Geschäftsführung bei fehlenden Strukturen zur Vermeidung von Haftungsfällen durch unternehmensinterne Sorgfaltspflichtverletzungen.
Im konkreten Fall entstand der betroffenen Gesellschaft durch das Fehlverhalten eines Mitarbeiters ein Schaden, da der Mitarbeiter ursprünglich gesetzte Tankkartenlimits einzelner Kunden nicht berücksichtigte und diese somit über ihr Limit hinaus tanken konnten, ohne im Nachgang die offenen Rechnungen zu begleichen. Dieses Vorgehen wurde durch den Mitarbeiter verschleiert.
Nach Feststellung des Gerichts wäre der Geschäftsführer dazu verpflichtet gewesen, die Geschäftsgänge des Unternehmens insofern zu überwachen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte hätte rechnen können. Der Geschäftsführer müsse sich durch sein Handeln in die Lage versetzen, bei Anhaltspunkten für etwaiges Fehlverhalten eingreifen und die notwendigen Maßnahmen treffen zu können. Eine Pflichtverletzung des Geschäftsführers liege schon dann vor, wenn durch unzureichende Organisation, Anleitung oder Kontrolle den Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert würden. Diesbezüglichen Verdachtsmomenten müsse der Geschäftsführer unverzüglich nachgehen; weiterhin müsse er geeignete organisatorische Vorkehrungen treffen, um Pflichtverletzungen von Unternehmensangehörigen zu verhindern.
Directors-and-Officers-Versicherung (D&O) stellt keinen Sicherungssautomatismus dar
Zur Minimierung der Haftungsrisiken von Leitungsorganen hat sich der Abschluss einer D&O Versicherung als quasi unerlässlich durchgesetzt. Es ist jedoch zu beachten, dass eine solche Versicherung nicht von allen persönlichen Haftungsrisiken befreit und sich die betroffenen Leitungsorgane im Haftungsfall oftmals langwierigen Diskussionen und Auseinandersetzungen mit ihrer Versicherung aussetzen müssen. Nicht selten weisen die betroffenen Versicherer die Auszahlung von Versicherungssummen erst einmal von sich.
Zusätzlich ist von den betroffenen Leitungsorganen (vorab) genauestens zu überprüfen, welche Deckungssummen Teil der Versicherungsleistung sind und ob diese sämtliche potenziellen Risiken und Schäden im tatsächlichen Haftungsfall ausreichend abdecken. Neben der zwingenden Selbstbeteiligung bleiben derartige – über die Versicherungssumme hinausgehende – Beträge ansonsten an den Betroffenen persönlich hängen und können schwerwiegende Konsequenzen nach sich ziehen.
Vor dem Abschluss einer derartigen D&O Versicherung sollten sich betroffene Leitungsorgane daher umfassend informieren und genau überlegen, ob ihre Risiken abgedeckt werden. Welche Risiken abgedeckt werden müssen, lässt sich wiederrum durch eine erfolgreiche Risikoanalyse im Rahmen des Aufbaus eines CMS erfassen.
Zusammenfassung
Nicht zuletzt das Urteil des OLG Nürnberg aus 2022 zeigt, dass sich Leitungsorgane jeglicher Unternehmensgröße mit der Frage beschäftigen müssen, ob ihre derzeitigen Strukturen Mitarbeiter und auch sie selbst vor etwaigen im Unternehmen bestehenden Haftungsrisiken schützen können. Sollte die Antwort auf diese Frage negativ ausfallen, so ist es Zeit für ein Umdenken und die Implementierung eines funktionablen und sicheren CMS.