Phishing-Betrug: Haftet die Geschäftsführung?
Die Geschäftsführerin einer GmbH fällt auf Phishing-Betrüger rein. Mehr als 200.000 Euro gehen dem Unternehmen dadurch verloren. Muss die Frau Schadensersatz leisten? Warum das Urteil überraschend ist und was es für die ähnliche Fälle in der Zukunft bedeutet, erläutern die VP-Rechtsexperten Jem Schyma und Raimund Mallmann.
(Foto: WILHELM Rechtsanwälte )
Der Fall.
Jahrelang liefen die Geschäfte problemlos zwischen der deutschen GmbH und ihrem südkoreanischen Hauptlieferanten. Bis sich Cyberkriminelle in die Geschäftsbeziehung einklinkten: Sie gaben sich als Ansprechpartnerin aus Seoul aus und führten eine E-Mail-Korrespondenz mit der Geschäftsführerin der GmbH. Bis auf einen Buchstabendreher in der Absender-Adresse wirkte die Korrespondenz authentisch. Die Geschäftsführerin bemerkte den Betrug nicht und zahlte nach Erhalt mehrerer falscher Rechnungen hohe Geldbeträge auf Konten der Betrüger. Insgesamt rund 205.000 Euro kamen der Gesellschaft so abhanden.
Die Managerin verlor daraufhin ihren Posten und sah sich zudem einer Klage auf Schadensersatz ausgesetzt: Die GmbH wollte die vollständige Summe von ihr ersetzt bekommen.
Das Urteil.
Das OLG Zweibrücken wies die Klage ab (Az.: 4 U 198/21). Die Geschäftsführerin treffe keine Haftung nach dem GmbH-Gesetz, weil sie keine „spezifisch organschaftliche Pflicht“ verletzt habe. Zwar hätte sie vor den Überweisungen den Absender der Rechnungen strenger prüfen müssen. Dies sei aber eine allgemeine Pflicht, die auch Arbeitnehmer in der Buchhaltung treffe. Die Verletzung einer allgemeinen Pflicht „bei Gelegenheit“ der Geschäftsführung reiche nicht aus für eine Haftung nach § 43 Abs. 2 GmbHG. Als Beispiel führt das Gericht den Geschäftsführer an, der mit seinem Dienstwagen einen Unfall verursacht. Dieser hafte nicht gegenüber der GmbH für den Schaden, weil das Fahren eines Autos keine typische Geschäftsführertätigkeit ist. Ähnlich verhalte es sich hier, so die Richter: Die Vornahme von Geldüberweisungen sei üblicherweise eine rein buchhalterische Tätigkeit.
Für Tätigkeiten, die üblicherweise normale Arbeitnehmer ausübten, hafte die Geschäftsführerin nur nach den Prinzipien der Arbeitnehmerhaftung: Die im Arbeitsrecht übliche Haftungsmilderung für Arbeitnehmer gegenüber ihrem Arbeitgeber sieht keine Haftung für einfache Fahrlässigkeit vor – das gelte nach Auffassung des Gerichts auch im Fall des professionellen Phishing-Betrugs
Der Ausblick.
Die Entscheidung des OLG überrascht, wenn man die ansonsten strengen Regeln der Managerhaftung in Deutschland betrachtet: So hätte die Geschäftsführerin womöglich für den gleichen Fehler eines Angestellten voll in der Haftung gestanden (sog. „Organisationsverschulden“). Fällt sie selbst auf einen Überweisungsbetrug herein, haftet sie nicht. Das wirft Zweifel auf. Das Urteil sorgt für Diskussionsstoff und könnte auch Auswirkungen auf die D&O-Versicherung haben. Da die Revision zugelassen ist, könnte sich der BGH noch mit dem Fall befassen.
Weitere Artikel
Pralinen, Promille und ein kurioser Gerichtsstreit
Umstrittene Generalklausel: BGH bringt Klarheit