Internes Kontrollsystem muss rechtmäßiges Handeln gewährleisten
Zwar gibt es keine originäre gesetzliche Pflicht für Geschäftsführer, ein Compliance-Management-System (CMS) zu implementieren. Doch aus der Sorgfaltspflicht eines ordentlichen Geschäftsführers leitet die Rechtsprechung ab: Das Management muss eine interne Organisationsstruktur im Unternehmen schaffen, die Rechtmäßigkeit und Effizienz des Handelns gewährleistet. Dazu gehört, dass der Geschäftsleiter jederzeit Überblick über die wirtschaftliche und finanzielle Lage der Gesellschaft hat. Notwendig ist ein Überwachungssystem, mit dem Risiken für den Fortbestand des Unternehmens erfasst und kontrolliert werden können. Dies ergibt sich bereits aus einem Urteil des BGH vom 20.02.1995 – II ZR 9/94. Zudem ist ein solches internes Kontrollsystem eine Vorgabe nach § 1 des seit 2021 geltenden Gesetzes über den Stabilisierungs- und Restrukturierungsrahmen von Unternehmen (StaRUG).
Auch KMU brauchen ein Compliance-Management-System
Ein Urteil des OLG Nürnberg vom 30.03.2022 stellt zudem klar: Der Geschäftsführer einer GmbH muss ein CMS einrichten. Das gilt auch in einem mittelständischen Betrieb mit 13 Mitarbeitern. Wenn durch unzureichende Organisation, Anleitung oder Kontrolle Straftaten oder sonstige Fehler von Mitarbeitern ermöglicht oder auch nur erleichtet werden, haftet der Geschäftsführer persönlich. Dies ergibt sich aus der Legalitätspflicht gemäß § 43 Abs. 1 GmbHG.
Der Gang der Geschäfte ist laut den Nürnberger Richtern so zu überwachen oder überwachen zu lassen, dass die Geschäftsleitung unter normalen Umständen von einer ordnungsgemäßen Erledigung der Geschäfte ausgehen kann. Das Management muss zudem sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen und Verdachtsmomenten unverzüglich nachgehen. Zudem muss der Geschäftsführer geeignete organisatorische Vorkehrungen treffen, um Pflichtverletzungen von Unternehmensangehörigen von vornherein zu vermeiden, so auch der BGH in seinem Urteil vom 08.10.1984 – II ZR 175/83.
Klare Strukturen und Prozesse für Kontrollmaßnahmen implementieren
Im Fall vor dem OLG Nürnberg hatte eine GmbH & Co. KG Schadensersatzansprüche gegen den Geschäftsführer der Komplementär-GmbH auf Grundlage des § 43 GmbHG geltend gemacht. Die Klägerin vertrieb Mineralölprodukte und gab an Kunden Tankkarten mit einem Kreditlimit aus. Die Tankkarten berechtigten Fahrer der Kunden, bargeldlos an den Tankstellen der Klägerin zu bezahlen. Der für die Betreuung von Kunden und Tankkarten zuständige Mitarbeiter wusste, dass einige Kunden aufgrund von wirtschaftlichen Schwierigkeiten ihre Rechnungen nicht begleichen konnten und die Kreditlimits ausgeschöpft waren. Dennoch sperrte er die Karten nicht, sondern verschleierte stattdessen diesen Umstand. Die Klägerin begründete den Anspruch auf Schadensersatz damit, dass der beklagte Geschäftsführer den Mitarbeiter nicht ausreichend überwacht habe. So hätte er insbesondere die Einhaltung des Vier-Augen-Prinzips fordern müssen. Zudem habe er im Rahmen der Unternehmensorganisation Kontroll- und Überwachungsmaßnahmen unterlassen.
Kontrollsystem muss klarstellen: Verstöße werden geahndet
Das OLG Nürnberg teilte die Auffassung der Klägerin: Der Geschäftsleiter habe seine Sorgfaltspflicht verletzt, weil es kein funktionierendes Kontroll- und Überwachungssystem gab. So fehlten sowohl ein Vier-Augen-Prinzip als auch Kontrollen anhand von Stichproben oder überraschenden Prüfungen, die den Beschäftigten verdeutlichen: Verstöße werden entdeckt und geahndet. Kann der Geschäftsführer absehen, dass die Maßnahmen nicht ausreichen, um die genannte Wirkung zu erzielen, muss er andere geeignete Aufsichtsmaßnahmen ergreifen, so die Richter. Die Grenze hierfür orientiere sich an der objektiven Zumutbarkeit: etwa an der Würde der Beschäftigten oder am Betriebsklima, das nicht von einem zu starken Misstrauen geprägt sein sollte.
Eine gesteigerte Überwachungspflicht mit noch intensiveren Aufsichtsmaßnahmen ist laut den Nürnberger Richtern notwendig, wenn es in einem Unternehmen bereits zu Unregelmäßigkeiten gekommen ist.
Delegation befreit nicht von Oberaufsicht
Delegiert der Geschäftsführer seine Überwachungsaufgabe, reduziert sich seine Pflicht darauf, die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten zu kontrollieren, sprich auf die Überwachung der Überwacher oder Meta-Überwachung. Dies ändert aber nichts daran, dass die sogenannte Oberaufsicht bei ihm verbleibt und er insbesondere die Verantwortung für Organisation und System der internenen Delegationsprozesse trägt. Dieser Oberaufsicht kann der Geschäftsleiter nicht entrinnen.
Vorsicht bei M&A-Transaktionen
Da bei Verstößen gegen diese Pflichten dem Geschäftsführer hohe Geldbußen und persönliche Haftung drohen, gilt bei Due Diligence-Prüfungen im Rahmen von M&A-Transaktionen ein besonderes Augenmerk den Compliance-Strukturen des Zielunternehmens. Denn spätestens ab dem Closing trägt der Käufer die Verantwortung für ein funktionierendes CMS. Die Geschäftsführer, die der Käufer des Targets im Closing bestellt hat, übernehmen ab diesem Zeitpunkt auch das Haftungsrisiko. Selbst wenn eine Directors & Officers (D&O)-Versicherung besteht, kommt es auf den Einzelfall an, ob diese für den Schaden eintritt. Auch die Versicherungen prüfen sehr genau, ob die Systeme stimmen und idealerweise ein effizientes CMS vorhanden ist. Im schlimmsten Fall muss der Geschäftsleiter den Schaden selbst begleichen.
Keine oder nicht ausreichende Compliance-Maßnahmen können zu einer persönlichen Haftung des Geschäftsführers führen, wenn es zu Rechtsverstößen von Beschäftigten kommt. Daran besteht nach der Rechtsprechung der letzten Jahre kein Zweifel mehr. In Bereichen wie Sozialversicherung oder Steuern kann dies gar Geldstrafen oder Gefängnis bedeuten. Nicht zuletzt drohen gemäß § 30 Ordnungswidrigkeitengesetz Geldbußen gegen das Unternehmen und ein Reputationsschaden, der oft noch viel schwerer wiegt. Das Urteil des OLG Nürnberg verdeutlicht für Unternehmen jeder Größe einmal mehr, wie wichtig klare Strukturen und dokumentierte Prozesse sind, um Haftungsrisiken zu minimieren.