Jedes KMU ist in der Verpflichtung – Urteil
Der Geschäftsführer eines Familienunternehmens mit rund 60 Mitarbeitern wird persönlich zur Zahlung von 800.000 EUR Schadensersatz verurteilt, weil er es unterlassen hat, ein internes Compliance-Management-System (CMS) einzurichten, konkret ein Vier-Augen-Prinzip für kritische Prozesse und schadensträchtige Bereiche. Und dies, obwohl ein untreuer Mitarbeiter den Schaden mit krimineller Energie durch Manipulationen an der internen Software und am Buchungssystem verursacht hat.
Dieses Urteil hat aufhorchen lassen, zumal spätestens seit dieser Entscheidung des OLG Nürnberg Ende 2022 klar ist, dass praktisch jedes Unternehmen ein Compliance-Management-System einrichten muss, wenn eine Haftung der Geschäftsführung vermieden werden soll. In dem Urteil liest sich dies wie folgt:
„Aus der Legalitätspflicht folgt die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern.“
Das Urteil beruht auf § 43 Abs. 2 GmbH (ähnlich: § 93 Abs. 2 AktG). Dabei soll der Bezug auf die GmbH und AG nicht täuschen: Die Regelung ist analog auf andere Gesellschaftsformen anzuwenden.
Die Entscheidung des OLG Nürnberg ist nicht vollkommen überraschend. Bereits seit geraumer Zeit ist etwa über § 130 OWiG eine Geldbuße von bis zu 1 Millionen EUR normiert, wenn Aufsichtsmaßnahmen unterlassen werden, „die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern“.
Das Urteil beruht auf § 43 Abs. 2 GmbH (ähnlich: § 93 Abs. 2 AktG). Dabei soll der Bezug auf die GmbH und AG nicht täuschen: Die Regelung ist analog auf andere Gesellschaftsformen anzuwenden.
Die Entscheidung des OLG Nürnberg ist nicht vollkommen überraschend. Bereits seit geraumer Zeit ist etwa über § 130 OWiG eine Geldbuße von bis zu 1 Millionen EUR normiert, wenn Aufsichtsmaßnahmen unterlassen werden, „die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern“.
Enthaftung durch Compliance-Management-System
Schon aufgrund der praktisch für jedes Unternehmen relevanten GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sollte ein Internes Kontrollsystems (IKS) für die IT Systeme eingerichtet werden. Der Einsatz von Rechnungslegungssystemen beispielsweise von SAP oder DATEV ist zwar üblich. Dennoch muss der Einsatz dieser Systeme ordnungsgemäß implementiert und überwacht werden sowie dies ausreichend dokumentiert werden. Werden derartige interne Kontrollsysteme eingesetzt, kann dies bei einer dennoch erfolgenden Rechtsverletzung ein Verschulden (und damit eine Schadensersatzpflicht) ausschließen. Beispielsweise folgt aus Nr. 2.6 Satz 6 AEAO zu § 153 AO:
„Hat der Steuerpflichtige ein innerbetriebliches Kontrollsystem eingerichtet, das der Erfüllung der steuerlichen Pflichten dient, kann dies ggf. ein Indiz darstellen, das gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit sprechen kann, …“
Auch nach dem BGH (Urt. v 09.05.2017, Az. 1 StR 265/16) kann sich ein ordnungsgemäßes Compliance-Management-System haftungsmindernd auswirken, wenn wegen doch erfolgter Verstöße ein Bußgeld festzusetzten ist:
„Für die Bemessung der Geldbuße ist zudem von Bedeutung, inwieweit [das Unternehmen] … ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt [ist]“.
Wichtig bei der Einrichtung eines Compliance-Management-Systems ist, dass es sich um ein ernsthaftes System handelt, das tatsächlich „gelebt“ wird.
Zunehmende Verschärfung von Gesetzen
Die Forderung nach einem Compliance-Management-System ergibt sich aus zunehmend mehr gesetzlichen Regelungen:
Beispielsweise werden im zur Umsetzung der aktuellen NIS2-Richtlinie geplanten § 38 BSIG-E bestimmte Unternehmen (sog. „wichtige Einrichtungen“) ausdrücklich zur Einrichtung, Billigung und Überwachung eines Risikomanagementsystems im Bereich Cybersicherheit verpflichtet. Eine Delegation dieser Überwachungsaufgaben weg von der Geschäftsführung ist dabei ausdrücklich verboten. Auch eine regelmäßige, persönliche Schulung der Geschäftsführung wird vorgeschrieben. Ein Verzicht auf einen Regress gegenüber Geschäftsführern, z. B. im Geschäftsführeranstellungsvertrag, ist nichtig.
Welche Unternehmen aufgrund der Umsetzung dieser NIS2-Richtlinie bzw. dem BSIG-E erfasst sind, ist in umfangreichen Anlagen definiert. Erfasst ist derzeit beispielsweise ein Maschinenbauer, der Fräsen oder bestimmte andere Werkzeugmaschinen herstellt, wenn mehr als 50 Mitarbeiter vorhanden sind, oder alternativ wenn Jahresumsatz und Jahresbilanz über 10 Mio. EUR liegen. Dasselbe gilt für Hersteller von Glühlampen, Armbanduhren, Elektromotoren, USB-Kabeln, Kühlschränken, Fahrrädern und vielen weiteren mehr. Auch Forschung und rein digitale Dienste können erfasst sein, z. B. Anbieter von Online-Marktplätzen, also Plattformen, die Anbieter und Nachfrager „zusammenbringen“.
Ähnliches ergibt sich aus Art. 5 DORA (Digital Operational Resilience Act) für Unternehmen im Finanzsektor, in dem das Folgende zu lesen ist: „Das Leitungsorgan trägt die letztendliche Verantwortung für das Management der IKT-Risiken“. „IKT“ steht für Informations- und Kommunikationstechnologien.
Eine persönliche Haftung kann sich dabei auch z. B. bei einer fehlenden Compliance von Produkten ergeben, etwa wenn diese ohne die notwendige CE-Kennzeichnung auf den Markt gebracht werden. Insoweit ist auf den kommenden Cyber Resilience Act (CRA) hinzuweisen, nach dem ab voraussichtlich 2027 fast jede Software mit einem CE-Kennzeichen zu versehen ist. Hier sind oftmals zugleich Straftatbestände relevant, die sich nach dem deutschen Strafrecht immer auf natürliche Personen beziehen, also auf die Geschäftsführung oder die sonst Handelnden, aber nie auf das Unternehmen.
Durchgereichte Anforderungen in der Lieferkette
Neben den Verschärfungen aufgrund von Gesetz und Rechtsprechung ergibt sich eine indirekte Verpflichtung, die sich unmittelbar auf die Akquise und Kundenbeziehungen auswirkt. Zunehmend mehr Kunden werden nämlich entweder aus Sorge um die eigene Haftung oder aufgrund jedenfalls für sie geltender gesetzlicher Vorgaben von ihren Zulieferern verlangen, dass diese ein ausreichendes Compliance-Management-System bzw. Risikomanagementsystem vorweisen können. Zum Teil mag ihnen dies wiederum durch deren Kunden für die gesamte Lieferkette vorgegeben worden sein.
Beispielsweise kann ein Unternehmen zwar nicht direkt von der NIS2-Richtlinie bzw. dem deutschen BSIG-E erfasst sein. Als Automotive-Zulieferer kann der Kunde des Unternehmens jedoch die Einhaltung und den Nachweis verschiedener Anforderungen verlangen. Insoweit mögen sogar weitergehende Normen maßgeblich sein. Im Beispiel aus dem Automotive-Bereich schreiben etwa die UNECE-Regelungen R155 und R156 die Einrichtung eines „Cybersecurity-Management-Systems“ (CSMS) bzw. eines „Software-Update-Management-Systems“ (SUMS) vor, wobei es darauf ankommt, dass auch die Zulieferer entsprechend die IT-Sicherheit nachweisen können. Für die betroffenen Zulieferer kann es sich dann anbieten, ein gesondertes Cybersecurity-Management-System gemäß ISO/SAE 21434 sowie ein Software-Update-Management-System nach ISO 24089 vorweisen zu können – oder zumindest einzelne Maßnahmen hieraus. Wer also Kunden halten und Neukunden gewinnen möchten, ist zunehmend gehalten, Maßnahmen im Bereich Compliance-Management-System und Risikomanagement vorweisen zu können.
Andersherum kann es unter dem bereits oben angesprochenen Aspekt der Enthaftung von Bedeutung sein, dass Unternehmen bei der Auswahl ihrer eigenen Zulieferer und Dienstleister auf ein ausreichendes Compliance-System und ausreichende Sicherungsmaßnahmen achten. Da eine Einzelprüfung dieser Ausgestaltungen bei Zulieferern in der Regel praxisfern ist oder nur bei besonders kritischen Lieferanten durchgeführt werden kann, werden eine freiwillige Zertifizierungen und die freiwillige Einhaltung von Standards eine zunehmende Bedeutung erhalten. Wenn beispielsweise von zwei gleichsam in Betracht kommenden Zulieferern nur der eine ein Information Security Management System (ISMS) nach ISO/IEC 27001 vorweisen kann, dürfte dieser Anbieter vorzuziehen sein. Entsprechendes wird gelten, wenn mehrere Cloud-Anbieter zur Auswahl stehen, von denen nur einer den C5-Kriterienkatalog des BSI (Cloud Computing Compliance Criteria Catalogue) erfüllt.
In bestimmten Bereich wird es zukünftig sogar vorgeschrieben sein, dass nur Produkte mit einer sog. Cybersicherheitszertifizierung nach EU-Schemata eingesetzt werden dürfen.
Cyber- und D&O-Versicherungen allein helfen nicht
Der Abschluss einer Cyber-Versicherung und einer D&O-Versicherung ist zugunsten der Geschäftsführung und dem Unternehmen anzuraten. Es bedarf jedoch einer sehr genauen Betrachtung, ob hierdurch tatsächlich eine ausreichende Absicherung besteht. In der Regel besteht jedenfalls keine, wenn ein vorsätzliches Verhalten vorliegt. Dies kann jedoch rasch gegeben sein, wenn die Geschäftsführung trotz der inzwischen klaren rechtlichen Vorgaben ein Compliance-Management-System oder ein Risikomanagementsystem gerade nicht eingerichtet und überwacht hat. Ebenfalls kann eine Versicherung bei der Verwirklichung von Straftatbeständen kaum Abhilfe schaffen.
Schadensträchtige Vorgange und Multiplikation des Schadens
Neben der Haftungsvermeidung der Geschäftsführung sollte ein Compliance-Management-System bzw. Risikomanagementsystem es leisten, schadensträchtige Vorgänge zu identifizieren, sodass speziell diese auf Schadensrisiken hin geprüft und überwacht werden können sowie Schaden vom Unternehmen fern gehalten werden kann. Ohne derartige Maßnahmen können sich aus einfachen Fehlern massive Schäden ergeben.
Ein Beispiel aus der Praxis: Ein Unternehmen hat aus China einen bestimmten Büroartikel importiert und hat diese in Deutschland massenhaft für 1 EUR je Stück verkauft. Nach zwei Jahren meldet sich der Inhaber eines in Deutschland eingetragenen Designs und verlangt Schadensersatz sowie Vernichtung sämtlicher inzwischen in Millionenzahl verkaufter Büroartikel. Mit Blick auf einen einzelnen Büroartikel ist der Schaden minimal. Das Problem entsteht aus der „Multiplikation“ der Schäden durch die massenhaft vertriebenen Artikel. Dabei wäre das entgegenstehende Designrecht bereits bei einer summarischen Durchsicht des Designregisters rasch aufgefallen.
Ein anderes Beispiel: Ein Softwareanbieter mit erfreulichen 10.000 Kunden ermöglicht über seine Software die Abwicklung der ab 2025 kommenden, neuen E-Rechnungen. Einige Zeit später führt die Finanzverwaltung bei ersten Kunden Prüfungen durch und lehnt ab, weil der Softwarehersteller bestimmte Anforderungen der GoBD nicht eingehalten hat. Für den Softwarehersteller „multipliziert“ sich ein einfacher Fehler nun erheblich, weil jeder betroffene Kunde einen Regress geltend machen wird. Für den Softwarehersteller hätte es sich hier zudem angeboten, eine Prüfung nach IDW PS 880 durchzuführen. Der Fehler wäre dann zum einen vermutlich frühzeitig aufgefallen. Zum anderen wirkt ein solches Zertifikat gegenüber Kunden vertrauensbildend und hilft bei der Werbung und Vermarktung, um sich von anderen Produkten abzuheben. Soweit prüfungspflichtige Unternehmen die Software einsetzen, kann ein solches Zertifikat sogar entscheidend bei der Auswahl des Softwareanbieters sein.
IT-CMS Quick Check
Ein erster Eindruck von der Situation im Unternehmen kann über unseren IT-CMS Quick Check erlangt werden. Hierdurch können sich Unternehmen und die persönlich haftende Geschäftsführung mit einem überschaubaren Aufwand einen ersten Überblick über den Status Quo verschaffen, also davon, welche Grundmaßnahmen zu ergreifen sind und welche ersichtlichen Defizite bestehen – und damit, welches generelle Haftungspotential vorliegt. In der Regel ist der IT-CMS Quick Check mit einem Workshop verbunden. Auf welche Bereiche sich ein solcher IT-CMS Quick Check bezieht, hängt von den konkreten Gegebenheiten und Bedürfnissen im Unternehmen ab und wird zuvor festgelegt. Dabei können u. a. folgende Bereiche im Fokus liegen:
- Zugriffsschutz: Werden für die Anwendungen u.a. hinreichende Rechtevergabeverfahren angewendet und sind Super-Rechte strikt vergeben?
- Änderungsmanagement: Sind die durchgeführten Änderungen an Programmen nachvollziehbar getestet oder wird hier auf die Zuarbeit von Dienstleistern vertraut ohne der gesetzlichen Nachweispflicht nachzukommen?
- Digitale Transformation: Derzeit besteht bei vielen zentralen Finanzanwendungen (ERP) die Herausforderung das System zu wechseln (SAP, Navision etc.), da frühere Versionen nicht mehr von Softwareherstellern unterstützt werden. Die Einführung der neuen ERP-Lösung beeinflusst das komplette Finanz-IT-Rückgrat, ist nicht das Daily Business der Gesellschaft, aber wesentlich, dass in Zukunft die Business Prozesse ohne Fehler betrieben werden können. Diese Projekte haben ein sehr hohes Risiko (70 % bis nahezu 100 %) deswegen stellt sich die Frage, stehen dem Unternehmen neben den Dienstleister auch erfahrene, unabhängige Fachleute zur Verfügung?
- IT-Basisprozesse: Z.B. Notfallkonzept inkl. Backup oder Systemjobs mit Massenverarbeitung werden häufig nicht näher betrachtet, sind aber z.B. entscheidend bei dem heutigen Digitalisierungsgrad. Werden diese u.a. regelmäßig auf Ihre Robustheit überprüft?
- Datenschutz. Beispiel: Sind die Meldewege im Unternehmen so eingerichtet, dass Datenpannen und sonstige meldepflichtige Ereignisse innerhalb von (im Falle der DSGVO) spätestens 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden (eine verspätete Meldung ist u. a. unter der DSGVO bußgeldbewehrt)?
- Resilienz: Sind mit Dienstleistern ausreichende Service Level Agreements (SLA) abgeschlossen, um Verfügbarkeitslücken in den eigenen – ggf. kritischen – Angeboten zu vermeiden? Dürfen Daten überhaupt den eingebundenen Dienstleistern überlassen werden oder wird gegen Geheimhaltungsvereinbarungen, Schweigepflicht oder Datenschutz verstoßen?
- Lizenzcompliance. Beispiel: Ist ein Lizenzmanagementsystem so etabliert, dass Dritte keine Unterlassungsansprüche gegen die eigenen Produkte wegen unerkannter Lizenzlücken (auch in Lizenzketten) durchsetzen können?
- Aufstellung im Cybersicherheitsfall: Besteht beispielsweise eine ausreichende Cyberversicherung oder sind Maßnahmen ergriffen worden, die den Umfang von doch auftretenden Vorfällen geringhalten?
- Sind grundlegende Anforderungen an die Ausgestaltung der eigenen Waren und Dienstleistungen eingehalten, um z. B. behördliche Untersagungen und eine Haftung gegenüber Kunden unter diesem Aspekt zu vermeiden?
Beachten Sie auch die Veröffentlichung: Hötzel / Völkl, Vermeidung von Haftungsfällen mittels IT-CMS, Zeitschrift für Bilanzierung, Rechnungswesen und Controlling (BC), 9/2024