BEITRAG. Nach § 22 Abs 1 GmbHG haben die Geschäftsführer dafür zu sorgen, dass ein internes Kontrollsystem geführt wird. Kommen sie dieser Verpflichtung nicht nach, verletzen sie damit grundsätzlich ihre Pflicht zur ordnungsgemäßen Geschäftsführung iSv § 25 Abs 1 GmbHG. Fraglich erscheint, inwieweit die dazu von Lehre und Rsp bereits entwickelten Maßstäbe auch für die Prävention von Cyber-Attacken anwendbar sind. Der vorliegende Beitrag geht dieser Frage anhand der E des OGH in 8 ObA 109/20 t nach. ecolex 2022/101

A. Sachverhalt

Der Bekl war seit 1989 einer von zuletzt drei Geschäftsführern der Kl, die Ende 2015 Opfer eines sog Fake President Fraud (FPF) wurde. Beim FPF handelt es sich um eine Betrugsmethode, bei der Mitarbeiter eines Unternehmens von den Tätern unter Vortäuschung falscher Identitäten (sog Spoofing-Methode) zur Überweisung von Geld manipuliert werden. Dabei bauen die Täter eine Vertrauensbasis zu einem oder mehreren Mitarbeitern auf, die durch telefonische Kontakte und vorgebliche Beteiligung seriöser Autoritäten (hier: der Finanzmarktaufsicht) verstärkt wird. Vorhandene Zweifel werden zerstreut und falsche Urkunden mit dem Ziel eingesetzt, dass der Mitarbeiter die bestehenden Sicherungssysteme bewusst, vermeintlich im Auftrag der Geschäftsführung und im Interesse des Unternehmens, ausnahmsweise zu umgehen bereit ist.1 Die Gruppenleiterin der Finanzbuchhaltung der Kl erhielt im vorliegenden Fall insgesamt 92 E-Mails von mehreren Personen, die sich ua als der Bekl ausgaben, durch die sie sich dazu überreden ließ, in mehreren Teilen rund 54 Mio Euro auf die ihr vom Fake President genannten Konten zu zahlen. Zu einem Großteil konnten diese Überweisungen nicht mehr rückgängig gemacht werden.

B. Problematik des Anspruchsgegners

Der Verlust der überwiesenen Summe zeigt auf, wie schwerwiegend eine Schadensbegrenzung nach einer eingetretenen Cyber-Attacke für das betroffene Unternehmen sein kann. Eine effektive straf- oder zivilrechtliche Verfolgung der professionellen, häufig aus dem Ausland operierenden unbekannten Täter bereitet regelmäßig Schwierigkeiten und hat oft wenig Aussicht auf Erfolg. Selbst wenn eine Identifizierung der Täter gelingt, bleiben weitere Hürden bei der Rechtsdurchsetzung und Vollstreckung bestehen.2 Beispielsweise ist die Betrugsbeute oftmals nicht mehr greifbar, was eine allfällige Exekution erschwert.

Einfacher erscheint es daher für das geschädigte Unternehmen, Ersatzansprüche gegenüber jenen Mitarbeitern zu erheben, die die Cyber-Attacke durch allfällige Sorgfaltspflichtverletzungen überhaupt erst ermöglicht haben. Dabei stößt man allerdings zugleich an die Grenzen des DHG: Nach dessen § 2 Abs 1 kann das Gericht den Ersatzanspruch bei fahrlässigem Verhalten des Dienstnehmers aus Gründen der Billigkeit mäßigen bzw bei leichter Fahrlässigkeit sogar zur Gänze erlassen. Bereits aus diesem Grund wird daher auch von Mitarbeitern des Unternehmens im Regelfall kein Ersatz in jener Höhe zu erlangen sein, der nur annähernd dem Schaden entspricht, der durch die Cyber-Attacke entstanden ist.3

Nach der Rsp des OGH ist das oben dargestellte Dienstnehmerhaftungsprivileg des DHG jedoch nicht auf Geschäftsführer anzuwenden, die somit vollumfänglich für entstandene Schäden haftbar gemacht werden können.4 Diese Tatsache und der Umstand, dass Geschäftsführer im Regelfall wohl über einen ausgedehnteren Haftungsfonds und Versicherungsschutz als durchschnittliche Dienstnehmer verfügen, könnte auch im vorliegenden Fall die geschädigte Gesellschaft dazu veranlasst haben, ihren Schadenersatzanspruch gegenüber dem (ehemaligen) Geschäftsführer geltend zu machen.5

C. Internes Kontrollsystem

Eine Haftung der Geschäftsführer käme nur in Betracht, wenn die Verpflichtung zur ordnungsgemäßen Geschäftsführung iSv § 22 Abs 1, § 25 Abs 1 GmbHG verletzt worden ist. Folglich beanstandete die Kl im vorliegenden Fall, dass kein funktionierendes Internes Kontrollsystem (IKS) im Unternehmen implementiert worden sei. Dies würde – sofern zutreffend – grundsätzlich eine entsprechende Verletzung der Pflicht zur ordnungsgemäßen Geschäftsführung darstellen und somit eine Geschäftsführerhaftung begründen.6

Die Haftungsbegründung gegenüber Geschäftsführern ist bei einer Cyber-Attacke im Regelfall nicht so einfach möglich wie gegenüber den ausführenden Mitarbeitern.

Ein IKS zielt primär auf die Genauigkeit und Zuverlässigkeit der Abrechnung und die Einhaltung der Geschäftspolitik im Rahmen von Rechnungslegungsverpflichtungen der Gesellschaft ab und dient damit zugleich dem Schutz ihres Vermögens.7 Insoweit ist mit IKS nach hA – im Rahmen des „payment governance“ – auch Cyber-Attacken zu begegnen.8 Die konkreten Maßnahmen richten sich dabei grundsätzlich nach der Größe des Unternehmens und der Branche und können bspw Unterschriftenregelungen oder EDV-Zugriffsbeschränkungen umfassen. Hinzu kommen Richtlinien und Regelwerke zur Definition von Standardprozessen sowie deren Dokumentation und eine interne Rev, die in diesem Zusammenhang die Aufgabe haben, bei wiederkehrenden Prüfungen die Effizienz eines IKS zu kontrollieren.10

To view the full article click  here

Footnotes

1) Siehe Rz 72 der vorliegenden E mit Verweis auf Fritzsche, Eigenschaften von Fake President Fraud – Grundfragen zur Risikobeurteilung, Maßnahmenableitung und Reaktion im Einzelfall, Compliance-Berater 11/2017, 403–407.

2) Schmidt-Versteyl, Cyber Risks – neuer Brennpunkt Managerhaftung? NJW 2019, 1637 (1638).

3) Schmidt-Versteyl, NJW 2019, 1637 (1638f).

4) Vgl OGH 5 Ob 686/78 ÖJZ 1979/135; OGH 9 ObA 326/99b RdW 2001/101

5) Gegen eine weitere (ehemalige) Geschäftsführerin, die diesem Verfahren als Nebenintervenientin beitrat, wurde eine eigene Schadenersatzklage im Ausland erhoben, vgl Rz 56 der vorliegenden E.

6) OGH 6 Ob 84/16w ecolex 2017/191; Unger in Straube/Ratka/Rauter, WK GmbHG § 22 Rz 25.

7) Vgl Reich-Rohrwig/Zimmermann in Artmann/Karollus, AktG II6 § 82 Rz 28; Unger in WK-GmbHG § 22 Rz 23; ErläutRV 734 BlgNR 20. GP 63.

8) Siehe Reich-Rohrwig/Zimmermann, IT-Organisationspflichten des Geschäftsleiters, ecolex 2020, 901 (901f); Thomale/Told, Zahlungsmanagement und Malversationsprävention als Organisationspflichten der Geschäftsleitung, ÖBA 2021, 233 (239f).

9) Vgl Edelmann/Nayer in Foglar-Deinhardstein/Aburumieh/HoffenscherSummer, GmbHG § 22 Rz 18; Kalss in MüKo5 AktG § 91 Rz 103.

10) Rz 63 der vorliegenden E; der durch die E diesbezüglich neu gebildete RS ist zu RIS-Justiz RS0133798 veröffentlicht.

Originally published by ECOLEX GESELLSCHAFTSRECHT

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.