European Case Law Identifier: ECLI:AT:OGH0002:2021:E132745
Rechtsgebiet: Zivilrecht
Spruch:
Die Revision wird zurückgewiesen.
Die klagende Partei ist schuldig, der beklagten Partei und der Nebenintervenientin die mit jeweils 16.090,20 EUR (darin je 2.681,70 EUR USt) bestimmten Kosten ihrer Revisionsbeantwortungen zu ersetzen.
Begründung:
[1] Der Beklagte war seit 1989 einer von zuletzt drei Geschäftsführern der klagenden Partei und gleichzeitig Vorstandsvorsitzender ihrer Muttergesellschaft, einer börsennotierten Aktiengesellschaft. Zum Jahreswechsel 2015/2016 waren bei der Klägerin rund 3.000 Mitarbeiter bei einem Jahresumsatz von rund 700 Mio EUR beschäftigt.
[2] Ende des Jahres 2015 wurde die Klägerin Opfer eines „Fake-President-Fraud“ (FPF), einer meist über E-Mails angebahnten Betrugsmethode, bei der Mitarbeiter eines Unternehmens von den Tätern unter Vortäuschung falscher Identitäten zur Überweisung von Geld manipuliert werden. Die Klägerin begehrt den Ersatz des ihr durch diesen Angriff entstandenen Vermögensschadens.
[3] Für die Geschäftsführung der Klägerin bestand eine Ressortverteilung. Der Beklagte war als Vorsitzender im Wesentlichen für Sales und Marketing, Forschung und Entwicklung, Technik, Qualitätssicherung, zentralen Einkauf, Kundenbetreuung, Strategie, Rechtsberatung und die ausländischen Tochtergesellschaften ressortzuständig.
[4] Unter anderem das Rechnungswesen, Strategie und Business Controlling, Informationstechnologie und technische Dienstleistungen sowie Corporate Compliance und Risikomanagement fielen in den Verantwortungsbereich der Nebenintervenientin, die dem Vorstand seit 2011 angehörte.
[5] Zu Beginn ihrer Tätigkeit besprach die Nebenintervenientin mit dem Leiter der Finanzbuchhaltung, bei dem es sich um einen langjährigen und für verlässlich erachteten Mitarbeiter handelt, die in diesem Bereich laufenden Prozesse. Sie erhielt die Auskunft, dass zur Durchführung einer Überweisung via Telebanking zwei getrennte TAN-Codes erforderlich sind, die von zwei Mitarbeiterinnen eingegeben werden müssten. Die Nebenintervenientin erteilte zusätzlich die Anweisung, dass die TANs getrennt voneinander aufzubewahren sind und nur unter Einhaltung des Vier-Augen-Prinzips verwendet werden dürfen. Die Prozesse „Zahllauf“, „Eingangsrechnungen“ und „Bankbuchungen“ wurden verschriftlicht und auf dem Buchhaltungslaufwerk gespeichert. Die Nebenintervenientinberichtete über das Ergebnis ihrer Bestandsaufnahme und darüber, dass das Vier-Augen-Prinzip in der Finanzbuchhaltung eingehalten werde, auch dem Beklagten und dem dritten Geschäftsführer.
[6] Im Herbst 2012 ließdie Nebenintervenientin, einem Vorstandsbeschluss folgend, in der Finanzbuchhaltung und der IT-Abteilung Risikobewertungen erstellen. Der Leiter der Finanzbuchhaltung bewertete dabei das Risiko im Bereich Zahlungslauf mit „1“ (= niedrigste von 5 Stufen) und führte aus, dass alle Prozesse, insbesondere die Bankbuchungen, nach dem Mehraugenprinzip von unterschiedlichen Personen durchgeführt würden. Auch davon berichtete die Nebenintervenientin ihren beiden Geschäftsführerkollegen.
[7] Der Zahlungslauf erfolgte bei der Klägerin normalerweise einmal wöchentlich. Eine Mitarbeiterin der Finanzbuchhaltung erstellte nach Rechnungsfreigabe durch die Kostenstellenverantwortlichen bzw bei Vorliegen einer entsprechenden Bestellung eine sogenannte Vorschlagsliste, überprüfte diese und verbuchte den Zahlungsvorgang im System. Ein Datensatz für das Online-Banking-System wurde generiert, den dann die Gruppenleiterin vom Buchhaltungslaufwerk in das Online-Banking-System übertrug und dabei nochmals die Endbeträge kontrollierte. Die Überweisung wurde durch die Eingabe von TAN-Codes durchgeführt. Die dazu benötigten TAN-Karten mehrerer Banken waren auf zwei Geschäftsführer sowie den Leiter der Finanzbuchhaltung ausgestellt. Letzterem waren alle Karten zur Verwahrung ausgehändigt worden. Es konnte nicht festgestellt werden, dass auch der Beklagte TAN-Karten für Konten der Klägerin hatte.
[8] Um eine Überweisung zu tätigen, mussten mit je zwei TAN-Karten mittels eines Kartenlesegerätes und Eingabe je eines PIN-Codes TAN-Codes generiert werden. Entgegen der Vorgabe des Vier-Augen-Prinzips wurden die Telebanking-Überweisungen jedoch tatsächlich alleine von der Gruppenleiterin der Finanzbuchhaltung durchgeführt, die dazu sämtliche TAN-Karten mit dem Vermerk der notwendigen PIN-Codes in einer Mappe in einem Rollcontainer aufbewahrte.
[9] Sie hatte damit faktisch die Möglichkeit, auch alleine und ohne Rücksprache Überweisungen durchzuführen. Dem Leiter der Finanzbuchhaltung war dies bewusst. Der Beklagte und seine beiden Geschäftsführerkollegen wussten es nicht, sondern sie gingen davon aus, dass bei Durchführung des Zahlungsprozesses das Vier-Augen-Prinzip eingehalten wird und das Zahlungssystem der Funktionstrennung entspricht.
[10] Zur Durchführung von Überweisungen waren PCs mit einer DFÜ-Leitung notwendig, womit nur die Arbeitsplätze der Gruppenleiterin in der Finanzbuchhaltung und deren Stellvertreterin ausgestattet waren. Die PCs waren mit personalisierten, in regelmäßigen Zeitabständen zu ändernden Passwörtern geschützt. Für den Einstieg in das Online-Banking-System war ein eigenes Passwort notwendig, das nicht in der Mappe mit den TANs aufschien.
[11] Die Gruppenleiterin kontrollierte die Kontostände täglich. Die Nebenintervenientin tat dies als ressortzuständiges Vorstandsmitglied zumindest einmal monatlich. Wie oft der Leiter der Finanzbuchhaltung sie kontrollierte, konnte nicht festgestellt werden. Die Geschäftsführer bekamen einmal monatlich die Kennzahlen und den Stand der Liquidität berichtet. Der Beklagte ging von zweimal wöchentlichen Kontrollen durch die Nebenintervenientin aus.
[12] Sämtliche Mitarbeiter der Klägerin wurden zur IT-Sicherung geschult und erhielten eine Kurzfassung der über das Intranet zugänglichen IT-Richtlinien. In diesen wurde vor E-Mails mit Dateianhängen von unbekannten Absendern gewarnt und Mitarbeitern im Fall suspekter Störfälle die Verpflichtung auferlegt, sofort die IT-Abteilung zu informieren. Bei Auftauchen problematischer E-Mails oder neuer Schadenssoftware versandte die IT-Abteilung zusätzliche Warnhinweise per E-Mail, Blog oder als Artikel im Mitarbeiter-Magazin.
[13] In den Jahren 2013/2014 führte ein externes Unternehmen bei der Klägerin einen Social-Engineering-Test durch. Da sich dabei Mängel im Sicherheitsbewusstsein einiger Mitarbeiter zeigten, wurde eine Verbesserung der „User Awareness“ empfohlen. Als Konsequenz erschien ein Artikel über Social Engineering im Mitarbeitermagazin. Die Betrugsmethode eines Fake President Fraud war den drei Geschäftsführern sowie dem IT-Abteilungsleiter bis zum klagsgegenständlichen Vorfall aber nicht bekannt.
[14] Die Nebenintervenientin leitete 2014 den Entwurf eines Finanzmanagement-Handbuchs, das wegen einer ab 2017 bevorstehenden Auditierung erstellt werden sollte, zur finalen Prüfung an den Leiter der Finanzbuchhaltung weiter, der dieser Aufgabe trotz mehrmaliger Urgenz nicht nachkam.
[15] Im September und Oktober 2015 erhielt die Nebenintervenientin insgesamt vier E-Mails, die als Absender die Firmen-E-Mailadresse des Beklagten vorgaben und in denen sie jeweils aufgefordert wurde, eine Überweisung vorzunehmen. Eines dieser E-Mails war in fehlerhaftem Deutsch, die anderen in Englisch abgefasst. Die Nebenintervenientin leitete diese E-Mails an den Beklagten und („cc“) an den IT-Abteilungsleiter weiter, an letzteren mit der Aufforderung, der Sache auf den Grund zu gehen. Die IT‑Abteilung veranlasste, dass der tatsächliche Absender der Mails auf die „Blacklist“ gesetzt wurde.
[16] Mit einem E-Mail des IT-Abteilungsleiters vom 17. 11. 2015 wurden sämtliche Mitarbeiter der Klägerin vor einer in Umlauf befindlichen Verschlüsselungssoftware gewarnt und bei dieser Gelegenheit auch dazu aufgefordert, sich immer gut anzuschauen, ob beim Absender eines E-Mails der Klartextname und die unterlegte Mailadresse logisch zusammenpassen.
[17] Ende November 2015 erhielten mehrere Personen im Betrieb der Klägerin gleichlautende E-Mails, die vorgeblich von der US-Bundessteuerbehörde stammten und die Aufforderung enthielten, einen Anhang auszufüllen, zu unterschreiben und mit einer Reisepass-Kopie zu faxen. Der Beklagte verständigte die IT-Abteilung, deren Security-Officer sofort alle Mitarbeiter via E-Mail darüber aufklärte und darauf aufmerksam machte, dass es trotz aller Schutzmaßnahmen zu SPAM-Mails und Virus-Mails kommen könne; die Mitarbeiter sollten daher wachsam und vorsichtig sein.
[18] Am 22. 12. 2015 erhielt die Gruppenleiterin der Finanzbuchhaltung ein an sie adressiertes, die Absenderadresse des Beklagten aufweisendes E-Mail mit dem Inhalt:
„Sehr geehrte Frau (Name der Gruppenleiterin),
zurzeit bereiten wir die Übernahme eines Unternehmens vor, welches insbesondere die erforderlichen finanziellen Transaktionen erfordert.
Diese Angelegenheit muss absolut vertraulich behandelt werden, weshalb Niemand sonst, auch nicht innerhalb unseres Hauses, bis zur öffentlichen Bekanntmachung darüber informiert wird.
Diese Bekanntmachung des Übernahmeangebots erfolgt in Kürze. Respektive nach Abwicklung der Übernahme.
Aufgrund Ihrer Diskretion und Ihrer bisher einwandfreien Arbeit in unserem Unternehmen möchte ich Ihnen die Verantwortung für dieses Projekt übertragen.
Da die gesamte Transaktion absolut vertraulich behandelt werden muss, bitte ich Sie, den Stand der Transaktion nur mit mir ausnahmslos per E-Mail abzustimmen.
Diese Angelegenheit darf und muss ausnahmslos nur mit Ihnen, Prof. Dr. N ürnberger und mir erörtert werden.
Weiter bitte ich Sie, mich in dieser Angelegenheit weder persönlich noch telefonisch zu kontaktieren. Jede Erörterung der geplanten Übernahme erfolgt ausnahmslos per E-Mail an Sie oder mich, auch um eine ausreichende Dokumentation gemäß den FMA Richtlinien sicherzustellen.
Ich zähle auf Ihre Diskretion und bedanke mich schon jetzt für ihre Mitarbeit.
Hat Herr Prof. Dr. N ürnberger Sie bereits kontaktiert?
Mit freundlichen Grüßen (Name des Beklagten)“
[19] Es fiel ihr auf, dass die aufscheinende Unternehmens-E-Mail-Adresse des Beklagten mit den Adressen aufsicht@fma.wien und fma.wien@europe.com hinterlegt war. Noch am selben Tag erhielt die Gruppenleiterin den angekündigten Anruf einer Person, die sich als Prof. Dr. Nürnberger ausgab. Sie wurde von ihm aufgefordert, Überweisungen durchzuführen, wozu sie sich nach Austausch von insgesamt 92 E-Mails überreden ließ. Sie tätigte ohne Rücksprache mit dem Leiter der Finanzbuchhaltung oder einem der Geschäftsführer in mehreren Teilen Zahlungen in Gesamthöhe von rund 54 Mio EUR auf die ihr vom Fake President genannten Konten.
[20] Es gab für Einzelüberweisungen kein Limit, sofern die Konten gedeckt waren. Um die geforderten Beträge überweisen zu können, rief die Gruppenleiterin auch eine Export-Kreditlinie ab. Dies durfte sie grundsätzlich nur nach Rücksprache mit dem Leiter der Finanzabteilung und aufgrund einer schriftlichen, von ihm oder einem der Geschäftsführer unterzeichneten Anweisung. An diese Vorgabe hatte sie sich bis dahin immer gehalten. Der Fake President übermittelte ihr eine Anweisung an die Bank mit der Unterschrift des Beklagten, die – wie sich später herausstellte – offenbar von einem veröffentlichten Finanzbericht hineinkopiert worden war.
[21] Die Gruppenleiterin verbuchte die Zahlungen zunächst auf einem Konto, das für „unklare/nicht zuordenbare“ Geschäftsfälle geführt wurde und dazu diente, nicht eindeutig zuordenbare Rechnungen oder Rechnungen mit sehr kurzer Zahlungsfrist für das erste buchhalterisch zu erfassen, um sie im Laufe des Monats dann richtig zu verbuchen. Am Monatsende musste dieses Konto auf Null stehen.
[22] Die unautorisierten Überweisungen wurden bei der Erstellung und Prüfung des Monatsabschlusses Dezember 2015 vom Leiter der Finanzabteilung entdeckt.
[23] Der Beklagte selbst hat die Gruppenleiterin nie aufgefordert, Überweisungen durchzuführen, ohne mit jemandem darüber zu sprechen. Es konnte nicht festgestellt werden, dass sie diese Überweisungen nicht durchgeführt hätte, wenn die Mitarbeiter der Finanzbuchhaltung über den genauen Inhalt der vorangegangenen Zahlungsaufforderungs-E-Mails an die Nebenintervenientin informiert worden wären, oder wenn mehr Mitarbeiter in der Finanzbuchhaltungsabteilung beschäftigt worden wären. Es konnte ebensowenig festgestellt werden, dass der Schadensfall im Fall der früheren Freigabe des Finanzmanagement-Handbuches unterblieben wäre.
[24] Die Klägerin wurde regelmäßig, insbesondere im Zusammenhang mit der Erstellung des Jahresabschlusses bzw des Konzernabschlusses von einer Wirtschaftsprüfungsgesellschaft geprüft. Im Zuge der Jahresabschlussprüfung 2012 wurde dabei zum Prozess „Rechnungsprüfung“ als Ergebnis „Control is operating effectively“ und „No exceptions noted“ angeführt. Die Wirtschaftsprüfungsgesellschaft hat bei laufender Prüfung hinsichtlich der Zahlungsprozesse keine Beanstandungen getroffen. Der Beklagte und der dritte Geschäftsführer hatten keine Hinweise, dass das interne Kontrollsystem der Klägerin nicht situationsadäquat gewesen wäre.
[25] Die Klägerin begehrt gemäß § 25 GmbHG den Ersatz des ihr durch die Überweisungen, die großteils nicht mehr rückgängig gemacht werden konnten, entstandenen Schadens. Zuletzt dehnte sie ihr Begehren von zunächst 10 Mio EUR auf 41.904.266,73 EUR sA aus.
[26] Sie brachte vor, der Beklagte habe seine gesetzlichen Pflichten als Geschäftsführer dadurch verletzt, dass er das Fehlen eines funktionierenden internen Kontrollsystems zu verantworten habe. Es sei kein Vier-Augen-Prinzip beim Zahlungsprozess und bei der Kontrolle der Kontostände vorgesehen gewesen, sodass eine Machtkonzentration bei einer Mitarbeiterin der Finanzbuchhaltungsabteilung bestanden habe. Obwohl ein Fake President-Angriff eine bereits bekannte Bedrohung gewesen sei, habe sich die IT-Richtlinie nur gegen technische Bedrohungen gerichtet. Der Beklagte habe auf die von der Nebenintervenientin berichteten Spoofing-Attacken im Herbst 2015 nicht angemessen reagiert.
[27] Der Beklagte wandte ein, er sei nicht für die Sicherheit des Zahlungsverkehrs ressortzuständig gewesen. Das interne Kontrollsystem der Beklagten sei angemessen gewesen, der Schaden sei durch kriminelle Täuschung und ein unvorhersehbares menschliches Versagen verursacht worden, das die Mitarbeiterin veranlasst habe, eigenmächtig gegen die geltenden Richtlinien zu verstoßen.
[28] Das Erstgericht sprach aus, dass die Klagsausdehnung nicht zugelassen werde, und wies das Klagebegehren ab.
[29] Die dem Beklagten vorgeworfenen Mängel des internen Kontrollsystems seien nicht vorgelegen bzw komme § 22 GmbHG insoweit nicht zum Tragen. Der Beklagte habe keine Anhaltspunkte dafür gehabt, dass die vorgeschriebenen Prozesse im Bereich der Finanzbuchhaltung tatsächlich nicht eingehalten wurden. Die E-Mails seien ohnehin an die IT‑Abteilung weitergeleitet worden.
[30] Das Berufungsgericht gab dem Rekurs der Klägerin gegen die Nichtzulassung der Klagsänderung Folge und trug dem Erstgericht die mündliche Verhandlung über das ausgedehnte Klagebegehren auf. In der Hauptsache bestätigte es mit Teilurteil die klagsabweisende Entscheidung.
[31] Die Geschäftsführerhaftung nach § 25 GmbHG sei keine Erfolgshaftung. Der Beklagte habe nach dem Sachverhalt seiner Kontroll- und Aufsichtspflicht so ausreichend entsprochen, wie es von der Maßfigur eines ordentlichen Kaufmanns zu erwarten gewesen sei. Er habe weder einen objektiven noch subjektiven Sorgfaltsverstoß zu verantworten.
[32] Die ordentliche Revision sei zulässig, weil sowohl zur Reichweite des § 22 Abs 1 GmbHG in Bezug auf das interne Kontrollsystem, insbesondere ob dieses auf eine Insolvenzprophylaxe oder doch auf einen allgemeinen Schutz vor Malversationen abziele, als auch zur Geschäftsführerhaftung nach § 25 GmbHG für Folgen krimineller Angriffe eine Klarstellung des Obersten Gerichtshofs wünschenswert wäre.
[33] Die vom Beklagten beantwortete Revision der klagenden Partei strebt die Abänderung des Urteils im klagsstattgebenden Sinn, hilfsweise die Aufhebung zur Verfahrensergänzung an. Sie beruft sich auf die Rechtsmittelgründe der Aktenwidrigkeit, der Mangelhaftigkeit des Berufungsverfahrens und der unrichtigen rechtlichen Beurteilung.
Rechtliche Beurteilung
[34] Die Revision ist entgegen dem das Höchstgericht nicht bindenden Ausspruch des Berufungsgerichts mangels der Voraussetzungen des § 502 Abs 1 ZPO nicht zulässig. Der vom Berufungsgericht für die Zulassung aufgeworfenen Frage zu § 22 Abs 1 GmbHG mangelt es schon deshalb an Relevanz, weil das Berufungsgericht einen allfälligen Verstoß dagegen ohnehin ausgehend vom weiteren Verständnis der Berufung geprüft hat.
[35] 1. Aktenwidrigkeit:
[36] 1.1. Die Revision macht geltend, das Berufungsgericht habe bei der Wiedergabe des Sachverhalts festgehalten, dass die von der IT-Abteilung an die Mitarbeiter ausgesandte Warnung vom 17. 11. 2015 als Reaktion auf die ersten an die Nebenintervenientin gerichteten E-Mails mit Überweisungsaufforderungen ergangen seien. Tatsächlich habe das Erstgericht aber festgestellt, dass der Anlass dieses E-Mails die Warnung vor einer damals im Umlauf befindlichen Verschlüsselungssoftware war.
[37] Es trifft zu, dass die bekämpfte Formulierung die erstgerichtliche Feststellung missverständlich verkürzt. Eine in der unrichtigen Wiedergabe der Feststellungen des Erstgerichts begründete Aktenwidrigkeit der Berufungsentscheidung ist dadurch zu bereinigen, dass das Revisionsgericht die tatsächlichen Feststellungen einer rechtlichen Beurteilung unterzieht. Hat das Berufungsgericht die übernommenen Feststellungen des Erstgerichts abweichend von ihrem eindeutigen Sinngehalt interpretiert, beurteilt es den Sachverhalt rechtlich unrichtig. Auf die Bedenken der Revision gegen die genannte Feststellung wird daher anhand der tatsächlichen Feststellungen des Erstgerichts bei Behandlung der Rechtsrüge eingegangen (RIS‑Justiz RS0116014 [T4]).
[38] 1.2. In der Übernahme einer vom Erstgericht getroffenen Feststellung zum Umfang und zur Frequenz der Prüfung des internen Kontrollsystems der Beklagten durch eine Wirtschaftsprüfungsgesellschaft liegt begrifflich keine Aktenwidrigkeit.
[39] 2. Verfahrensmängel:
[40] 2.1. Die Revision führt aus, das Berufungsgericht habe den Unmittelbarkeitsgrundsatz missachtet, indem es über den vom Erstgericht festgestellten Sachverhalt hinaus eigene Tatsachenfeststellungen ohne Beweisaufnahme getroffen habe.
[41] Dieser Mangel liegt nicht vor. Die in der Revision genannten Passagen der angefochtenen Entscheidung beinhalten keine (neuen) Feststellungen, sondern sind Teil der Behandlung der im Berufungsverfahren erhobenen Beweis- und Rechtsrüge und bringen die angestellten Überlegungen und Wertungen des Sachverhalts durch das Berufungsgerichts zum Ausdruck. Sie verlassen als solche nicht den Rahmen der erstgerichtlichen Feststellungen, auf die sie sich beziehen und auf die mit Klammerzitaten jeweils ausdrücklich hingewiesen wird.
[42] Ob eine vom Berufungsgericht gezogene beweiswürdigende Schlussfolgerung richtig oder fehlerhaft ist, hat das Revisionsgericht nicht mehr zu überprüfen (RS0043150 [T4, T5, T7]).
[43] 2.2. Auch soweit in der Revision die unterbliebene Behandlung der Tatsachenrüge bezüglich der Frequenz und des Umfangs der IKS-Überprüfungen durch die Wirtschaftsprüfungsgesellschaft moniert, ist ihr nicht zu folgen. Die Revision übersieht, dass das Erstgericht die Feststellung, dass das IKS „laufend“ überprüft wurde und es zu keinen Beanstandungen gekommen ist, auch dem eigenen Vorbringen der Klägerin (Klage S 17, AS 21) entnommen hat.
[44] Die in der Revision zur Darlegung des behaupteten Verfahrensmangels zitierten Passagen der Berufung haben nicht die genannte Feststellung bekämpft, sondern eine zusätzliche Feststellung aus dem Jahresbericht 2014/15 gefordert, in welchem auf eine beschränkte Prüfung des IKS in diesem Geschäftsjahr verwiesen worden sei.
[45] 3. Rechtsrüge:
[46] Die Revision stützt sich auf den zentralen Vorwurf, der Beklagte habe seine in § 22 Abs 1 GmbHG normierte Verpflichtung verletzt, für die Führung eines den Anforderungen des Unternehmens entsprechenden internen Kontrollsystems zu sorgen.
[47] 3.1. Die Geschäftsführer sind nach § 25 Abs 1 GmbHG verpflichtet, bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Geschäftsführer, die ihre Obliegenheiten verletzen, haften der Gesellschaft zur ungeteilten Hand für den daraus entstandenen Schaden. Diese Haftung ist, wovon die Vorinstanzen zutreffend ausgegangen sind, eine Verschuldenshaftung. Eine Erfolgshaftung trifft den Geschäftsführer nach dieser Gesetzesstelle nicht (RS0049459), denn das Unternehmensrisiko trägt die Gesellschaft. Der Geschäftsführer haftet nur für eigenes Verschulden. Arbeitnehmer der Gesellschaft sind nicht seine Erfüllungs- oder Besorgungsgehilfen, sondern Gehilfen der Gesellschaft. Eine Eigenhaftung des Geschäftsführers kommt allerdings in Betracht, wenn er seine Organisations- und Überwachungspflichten schuldhaft verletzt hat (RS0059528; 6 Ob 84/16w = RdW 2017/347, 493; J. Reich-Rohrwig in Straube/Ratka/Rauter, WK‑GmbHG § 25 Rz 31; Feltl/Told in Gruber/Harrer, GmbHG § 25 Rz 72; Ratka/Rauter, Geschäftsführerhaftung² Rz 2/75).
[48] Bei größeren Gesellschaften ist die Entwicklung sachgerechter Grundsätze der Geschäftspolitik und die Organisation des Unternehmens dergestalt, dass die Realisierung des Gesellschaftszwecks optimal gefördert wird, dass der Informationsfluss im Unternehmen so gestaltet wird, dass sich die Geschäftsleitung stets über betriebswirtschaftlich relevante Daten Gewissheit verschaffen kann und nicht riskiert, über Fehlentwicklungen erheblichen Ausmaßes nicht unterrichtet zu werden, Aufgabe der Geschäftsführer. Geschäftsführer schulden aber nicht einen bestimmten Erfolg, sondern nur eine branchen-, größen- und situationsadäquate Bemühung (RS0118177 [T1]; 6 Ob 198/15h; 9 ObA 136/19v; Koppensteiner/Rüffler, GmbH‑Gesetz3 § 25 Rz 10 ff mwN).
[49] Haftungsvoraussetzung ist die adäquat kausale Verursachung des Schadens durch den Geschäftsführer. Sein Verhalten ist nach der Äquivalenz- oder Bedingungstheorie ursächlich für einen Erfolg, wenn es nicht weggedacht werden kann, ohne dass der Erfolg entfiele. Die Adäquanz ist eine Rechtsfrage, die Kausalität muss von der Gesellschaft behauptet und bewiesen werden (Hörlsberger in Foglar-Deinhardstein/Aburumieh/Hoffenscher-Summer, GmbHG, § 25 Rz 8).
[50] Unter der Sorgfalt eines ordentlichen Geschäftsmannes sind die Sorgfalt, die Fähigkeiten und die Kenntnisse zu verstehen, die von einem Geschäftsführer in dem betreffenden Geschäftszweig und nach der Größe des Unternehmens üblicherweise erwartet werden können. Der Sorgfaltsmaßstab darf nicht überspannt werden (RS0118177).
[51] Die Gesellschaft hat eine adäquat kausale Schadensverursachung darzulegen (RS0121916 [T5]; RS0059608 [T4]). Den Geschäftsführer trifft die Beweislast, dass er die ihm nach § 25 GmbHG obliegende Sorgfalt angewendet hat. Es ist seine Sache zu behaupten und zu beweisen, dass sein Verhalten weder subjektiv noch objektiv sorgfaltswidrig war. Er hat sich sowohl hinsichtlich der Rechtswidrigkeit seines Verhaltens als auch hinsichtlich des Verschuldens zu entlasten (RS0059608 [T5]) und nachzuweisen, dass er bei Ermessensentscheidungen betreffend verschiedene Möglichkeiten der Ausgestaltung von Kontrollsystemen die ihm gemäß § 25 GmbHG obliegende Sorgfalt angewendet hat (RS0059608).
[52] Zum Sorgfaltsmaßstab eines Geschäftsführers bei Ermessensentscheidungen betreffend verschiedene Möglichkeiten der Ausgestaltung von Kontrollsystemen ist die Orientierung an der „Business Judgment Rule“ angebracht (vgl § 84 Abs 1a AktG). Bei unternehmerischen Entscheidungen darf sich danach der Geschäftsführer nicht von sachfremden Interessen leiten lassen, Entscheidungen müssen auf Grundlage angemessener Information, wie beispielsweise schlüssiger Expertengutachten getroffen werden, sie müssen ex ante betrachtet offenkundig dem Wohl der juristischen Person dienen und der Geschäftsführer muss vernünftigerweise annehmen dürfen, dass er zum Wohle der juristischen Person handelt, er muss also hinsichtlich der übrigen Kriterien gutgläubig sein. Sind diese Voraussetzungen innerhalb des eingeräumten Ermessensspielraums kumulativ erfüllt, so ist er haftungsfrei. Entscheidungen dürfen nicht schon deshalb haftungsbegründend sein, weil sie sich ex post als nachteilig herausgestellt haben (RS0130656; RS0130657 ua; Torggler, Business Judgment Rule und unternehmerische Ermessensentscheidungen, ZfRV 2002/9, 133; vgl BGH II ZR 175/95, BGHZ 135, 244, 253 f).
[53] Der Geschäftsführer einer Kapitalgesellschaft hat nur für ein ex ante pflichtwidriges Verhalten einzustehen. Eine Haftung des Gesellschaftsorgans setzt insoweit voraus, dass es seinen Ermessensspielraum überschreitet, eine evident unrichtige Sachentscheidung oder eine geradezu unvertretbare Entscheidung trifft. Es gibt dabei in einer Entscheidungssituation nicht zwingend nur eine richtige Entscheidungsalternative, sondern es können auch mehrere gegenteilige Handlungsalternativen sorgfaltskonform sein (RS0049459 [T3] = 6 Ob 150/15w). Eine Pflichtwidrigkeit liegt aber jedenfalls in der Verletzung rechtlicher Vorgaben (RS0130657 [T3]).
[54] 3.2. Die rechtliche Beurteilung, ob gesetzlichen Präventions-, Prüfungs- und Sorgfaltspflichten ausreichend nachgekommen wurde, ist grundsätzlich eine Frage des Einzelfalls (vgl RS0130434; RS0110202; RS0098750). Eine Einzelfallentscheidung ist nur dann im Revisionsverfahren überprüfbar, wenn im Interesse der Rechtssicherheit ein grober Fehler bei der Auslegung der anzuwendenden Rechtsnorm korrigiert werden müsste. Bewegt sich das Berufungsgericht, wie hier, im Rahmen der Grundsätze einer ständigen Rechtsprechung des Obersten Gerichtshofs und trifft es seine Entscheidung ohne krasse Fehlbeurteilung aufgrund der besonderen Umstände des Einzelfalls, so liegt eine erhebliche Rechtsfrage nicht vor (RS0044088 [T8, T9]).
[55] Entgegen den Revisionsausführungen liegen auch nicht deswegen erhebliche Rechtsfragen im Sinn des § 502 Abs 1 ZPO vor, weil der zugrunde liegende Schadensfall für die klagende Partei (zweifellos) große wirtschaftliche Bedeutung hat. Die rechtliche Beurteilung der Haftungsvoraussetzungen ist nicht von der Höhe der letztlich betrügerisch herausgelockten Summe abhängig.
[56] Eine erhebliche Rechtsfrage ergibt sich auch nicht daraus, dass aufgrund des selben Ereignisses auch eine Schadenersatzklage gegen die Nebenintervenientin anhängig ist, zumal wegen der festgestellten Ressortverteilung unterschiedliche sachliche und rechtliche Voraussetzungen bestehen. Darüber hinaus ist dieses Verfahren im Ausland und daher außerhalb des Einflussbereichs der Leitfunktion des Obersten Gerichtshofs anhängig.
[57] 3.3. Zu den in der Revision aufrecht erhaltenen Vorwürfen, aus denen die Haftung des Beklagten abgeleitet wird, ist im Einzelnen wie folgt Stellung zu nehmen:
[58] Die Revision erachtet die berufungsgerichtliche Auslegung der gesetzlichen Verpflichtung des Geschäftsführers nach § 22 Abs 1 GmbHG zur Führung eines den Anforderungen des Unternehmens entsprechenden internen Kontrollsystems für zu eng. Der Zweck dieser Norm beschränke sich keineswegs auf das Rechnungswesen und die Insolvenzprophylaxe. Die Anforderungen, denen das interne Kontrollsystem der Klägerin zu genügen habe, seien die eines börsennotierten, global tätigen Unternehmens mit rund 3.000 Mitarbeitern. Die Verpflichtung des Geschäftsführers eines derartigen Unternehmens ende nicht mit der Einrichtung eines Kontrollsystems auf dem Papier, sondern umfasse auch die Kontrolle seines Funktionierens, das Abstellen von erkannten Missständen und eine laufende Weiterentwicklung und Anpassung.
[59] Die so dargestellten abstrakten Anforderungen an die nach § 22 Abs 1 GmbHG zu beobachtende Sorgfalt eines Geschäftsführers haben in der Rechtsprechung des Obersten Gerichtshofs bereits Eingang und Anerkennung gefunden.
[60] In der Entscheidung 9 ObA 136/19v wurde die Haftung eines Geschäftsführers eines Tochterunternehmens eines Konzerns gemäß § 25 GmbHG für einen deliktischen Schaden bejaht, dessen Eintritt durch das Fehlen eines angemessenen internen Kontrollsystems ermöglicht worden war. Nach dem Sachverhalt dieser Entscheidung hatte sich eine Buchhaltungskraft durch eigenmächtige Überweisungen und Kassamanipulationen selbst bereichert. Der Geschäftsführer wurde zum Schadenersatz verpflichtet, weil er trotz Kenntnis massiver Beschwerden über die fehlerhafte Arbeit der Mitarbeiterin sowie unter Missachtung einer ausdrücklichen Aufforderung der Gesellschafterin sowohl die Nichteinhaltung des Vier-Augen-Prinzips bei Überweisungen bewusst geduldet, als auch jede andere Überwachung und Kontrolle der Mitarbeiterin unterlassen hatte.
[61] Der hier zu beurteilende Sachverhalt ist jedoch in wesentlichen Teilen anders gelagert.
[62] Der in erster Instanz von der Klägerin noch erhobene Vorwurf, bei der Klägerin sei überhaupt kein internes Kontrollsystem mit Vier-Augen-Prinzip etabliert gewesen und der Kläger habe keine Kontrollen und Interventionen unternommen, obwohl ihm Missstände und eine Machtkonzentration in der Finanzbuchhaltungsabteilung bekannt gewesen seien und er die unmittelbar ressortzuständige Mitgeschäftsführerin für unfähig gehalten habe, konnte im Beweisverfahren nicht erhärtet werden.
[63] Das Ziel eines internen Kontrollsystems ist es, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnung zu gewährleisten und die Einhaltung der Geschäftspolitik zu unterstützen (Unger inWK‑GmbHG § 22 Rz 23 unter Hinweis auf 734 BlgNR 20. GP 63; ebenso Mollnhuber/Suesserott in U. Torggler, GmbHG § 22 Rz 8). Ziel sind die Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit (Mollnhuber/Suesserott aaO mwN). Regelmäßig basiert es wohl auf Überwachungsmaßnahmen organisatorischer und EDV-technischer Art, wie Unterschriftenregelungen, EDV‑Zugriffsbeschränkungen oder Arbeitsanweisungen und Kontrollmaßnahmen, die manuell oder automatisationsunterstützt, etwa Plausibilitätsprüfungen in der Buchhaltungssoftware, durchgeführt werden. Hinzu kommen Richtlinien und Regelwerke zur Definition von Standardprozessen sowie deren Dokumentation und eine interne Revision, die in diesem Zusammenhang die Aufgabe hat, bei wiederkehrenden Prüfungen die Effizienz eines IKS zu kontrollieren.
[64] Ein Kontrollsystem in diesem Sinn bestand nach den Feststellungen bei der Klägerin. Es liegt aber auch auf der Hand, dass ein Fake President Fraud, der auf Methoden des „social engineering“ beruht und die angesprochenen Mitarbeiter gerade zur Umgehung der Kontrolleinrichtungen verleiten will, damit allein nicht verhindert werden kann.
[65] Die Revision hält die in der Klage erhobenen Vorwürfe zusammengefasst insoweit noch aufrecht, als sie eine Vernachlässigung der laufenden Evaluierung und Überwachung des an sich bestehenden Kontrollsystems erblickt und dem Beklagten insbesondere vorhält, auf die im Herbst 2015 bekannt gewordenen Bedrohungen durch Spoofing-E-Mails mit betrügerischen Zahlungsaufforderungen nicht adäquat reagiert zu haben. Eine Unkenntnis von bestehenden Missständen des Kontrollsystems, die auf eine mit der Sorgfaltspflicht des ordentlichen Kaufmanns nicht vereinbare Gleichgültigkeit zurückgehe, könne auch nicht ressortzuständige Geschäftsführer nicht exkulpieren. Der Beklagte hätte sich nicht nur auf das Fehlen von Warnungen der externen Prüfungsorganisationen und auf die Berichte der Nebenintervenientin verlassen dürfen.
[66] Diese Ausführungen verlassen unzulässig den Boden des festgestellten Sachverhalts. Danach unterlag die Zahlungsfreigabe bei der Klägerin durchaus genau definierten, automatisierten Prozessen mit mehrfachen unabhängig voneinander erforderlichen Autorisierungen unter Einhaltung des Mehraugenprinzips. Auch der letzte Schritt der Kette, die Erteilung des Überweisungsauftrags an die Bank, war dahingehend geregelt, dass zwei verschiedene Bankkarten zu verwenden waren, die von zwei verschiedenen Angestellten der Finanzbuchhaltungsabteilung zu verwahren und zu verwenden gewesen wären.
[67] Aus dem Sachverhalt geht nicht hervor, woraus sich für den Beklagten vor dem gegenständlichen Schadensfall ein Verdacht ergeben hätte können, dass es in der so organisierten Finanzbuchhaltung dennoch zur Schwachstelle einer Missachtung der Anweisung zur getrennten Verwahrung von TAN-Karten gekommen war. Es steht fest, dass die für die Finanzbuchhaltung ressortzuständige Nebenintervenientin dem Geschäftsführergremium über die Zahlungsabläufe und die Etablierung des Vier-Augen-Prinzips berichtet hat. Der von der Revision erhobene Vorwurf eines mangelnden ressortübergreifenden Interesses geht daher ins Leere. Eine Verpflichtung zur Nachfrage hätte den Beklagten vielmehr dann treffen können, wenn die Nebenintervenientin diese Informationen nicht von sich aus an die Kollegen herangetragen hätte, oder wenn konkrete Bedenken gegen die Richtigkeit und Vollständigkeit ihrer Auskünfte aufgetreten wären. Die Rechtsansicht des Berufungsgerichts, dass eine anlasslose, lediglich auf prinzipiellem Misstrauen beruhende Obliegenheit, die anderen Ressorts noch weiter zu prüfen, eine Überspannung der Sorgfaltspflicht eines Geschäftsführers bedeuten würde, ist nicht korrekturbedürftig.
[68] Nach dem bindend festgestellten Sachverhalt gab es vor dem Schadensfall für den Beklagten keinen Anhaltspunkt für eine regelwidrige Praxis bei den Banküberweisungen, den er als sorgfältiger Geschäftsführer zum Anlass für Maßnahmen nehmen hätte müssen.
[69] Die in der Revision in diesem Zusammenhang behaupteten rechtlichen Feststellungsmängel liegen nicht vor. Dieser Rechtsmittelgrund ist nicht geeignet, die in dritter Instanz nicht mehr zulässige Überprüfung der Beweiswürdigung der Vorinstanzen zu unterlaufen. Die Revisionsausführungen zielen teilweise nicht darauf ab, für die rechtliche Beurteilung wesentliche, fehlende Feststellungen zu ergänzen, sondern darauf, unter Bezugnahme auf einzelne Beweisergebnisse andere als die vom Erstgericht getroffenen Feststellungen zum Wissensstand des Beklagten zu gewinnen.
[70] Die Revisionswerberin führt aus, die Betrugsform des Fake President Fraud sei im Jahr 2015 bereits allgemein bekannte Bedrohung gewesen. Dennoch habe der Beklagte auf die drei einschlägigen Mailsan die Nebenintervenientin sowie auf die als Anfrage der US-Steuerbehörden getarnte, teilweise sogar erfolgreiche Phishingattacke nicht ausreichend reagiert.
[71] Auch diese Ausführungen verlassen großteils den Boden des Sachverhalts. Es ist weder den Feststellungen zu entnehmen, noch allgemein notorisches Wissen, dass jene höchst professionell organisierte, mit offenkundig erheblichem Rechercheaufwand ausgeklügelte und auf mehreren kommunikativen Ebenen ausgeführte Angriffsmethode, die zum Schadensfall geführt hat, vor Ende 2015 im deutschsprachigen Raum bereits bekannt war.
[72] Die angewandte Methode geht über die herkömmlichen, durch ihre zahlreichen Fehler und plumpen Formulierungen leicht als Betrugsversuch erkennbaren E‑Mails, wie sie im Herbst 2015 an die Nebenintervenientin gerichtet wurden, erheblich hinaus. Die Strategie dieser speziellen Form des FPFist nicht auf eine Täuschung entscheidungsbefugter Personen ausgelegt, sondern auf die Umgehung oder unautorisierte Nutzung von vorhandenen Prozessen durch geschickte Manipulation und Täuschung eines weisungsabhängigen Mitarbeiters der Abteilung Finanzen oder der Buchhaltung.
[73] Dabei ist die Ausnutzung menschlicher Eigenschaften ein zentrales Element der technologisch und psychologisch versierten bis hochprofessionellen Angreifer. Dem Mitarbeiter wird durch Vertrauensbezeugungen und Lob geschmeichelt, eine Vertrauensbasis hergestellt, die durch telefonische Kontakte und vorgebliche Beteiligung seriöser Autoritäten (hier: Finanzmarktaufsicht) verstärkt wird. Vorhandene Zweifel werden zerstreut, falsche Urkunden eingesetzt, alles mit dem Ziel, dass der Mitarbeiter die bestehenden Sicherungssysteme bewusst, vermeintlich im Auftrag des Vorstands und im Interesse des Unternehmens ausnahmsweise zu umgehen bereit ist (vgl Fritzsche, Eigenschaften von Fake President Fraud – Grundlagen zur Risikobeurteilung, Maßnahmenableitung und Reaktion im Einzelfall, Compliance-Berater 11/2017).
[74] Aufgrund welcher Anhaltspunkte der Beklagte damit rechnen hätte müssen, dass nach einem Vorstandsmitglied, das die an sie gerichteten E-Mails sofort als Betrugsversuch erkannte und reagierte, eine hierarchisch zwei Ebenen darunter rangierende Angestellte der Finanzbuchhaltung Ziel eines ungleich komplexer angelegten Fake President Fraud werden könnte, vermag die Revision nicht zu begründen.
[75] Es trifft nach den Feststellungen auch nicht zu, dass aus den an die IT-Abteilung weitergeleiteten E-Mails keine Konsequenzen gezogen wurden, weil alle Mitarbeiter auf mehreren Informationswegen – und daher auch mit Kenntnis des Beklagten – vor erkannten Gefahren gewarnt wurden. Auch ein Social Engineering-Test wurde durchgeführt, um vorhandene Schwachstellen beim Sicherheitsbewusstsein der Mitarbeiter zu entdecken und zu entschärfen.
[76] Wenngleich, wie die Revision aufzeigt, die Anweisung, bei verdächtigen E-Mails auf allenfalls unterlegte Absenderadressen zu achten, richtigerweise nicht als Reaktion auf die im September und Oktober 2015 bei der Nebenintervenientin eingegangenen E-Mails, sondern aus Anlass einer Warnung vor Schadsoftware erfolgt ist, ändert sich nichts an der maßgeblichen Tatsache, dass es diese Anweisung gegeben hat. Fest steht auch, dass die vom Fake President angesprochene Gruppenleiterin der Finanzbuchhaltung diese Anweisung tatsächlich befolgt und die E-Mailadresse kontrolliert hat. Ihre dabei aufgetretenen Bedenken wurden jedoch von den Tätern mittels vorgetäuschter Behördenadresse und geschickten Argumentierens zerstreut.
[77] Auch soweit die Revision dem Beklagten vorwirft, seine TAN-Karte sorglos weitergegeben zu haben, setzt sie sich nicht mit dem festgestellten Sachverhalt auseinander, wonach die TAN-Karte gar nicht die Konten der Klägerin betraf. Sie führt nicht weiter aus, inwieweit das Verhalten des Beklagten insoweit kausal für den eingetretenen Schaden war. Die Ausführungen zu den fehlenden Überweisungslimits bzw -beschränkungen stellen keinen allgemeinen Standard dar, von dem im Verantwortungsbereich des Beklagten abgewichen wurde.
[78] 3.3.3. Beweislast
[79] Die Revision führt unter Hinweis auf Literatur (Lehner, GesRZ 2005, 128 [133]) und Rechtsprechung (6 Ob 11/18p) aus, dass der belangte Geschäftsführer zu behaupten und zu beweisen habe, dass sein Verhalten weder subjektiv noch objektiv sorgfaltswidrig war, er sich also sowohl hinsichtlich der Rechtswidrigkeit als auch des Verschuldens zu entlasten habe. Das Berufungsgericht habe diese Rechtslage verkannt, weil es nicht beachtet habe, dass ein ordentlicher Geschäftsmann dafür Sorge tragen hätte müssen, dass in jeder Phase des Zahlungsprozesses zumindest das Vier-Augen-Prinzip eingehalten wird. Dem Beklagten sei der ihm obliegende Entlastungsbeweis daher nicht gelungen.
[80] Das Berufungsgericht ist zutreffend davon ausgegangen, dass den Geschäftsführer nach der Rechtsprechung die Beweislast trifft, dass er die ihm nach § 25 GmbHG obliegende Sorgfalt angewandt hat; eine Missachtung des Sorgfaltsmaßstabs indiziert dabei in der Regel auch ein subjektives Verschulden (RS0059608; RS0059556).
[81] Grundlage der Haftung nach § 25 GmbHG ist aber immer eine individuelle, schuldhafte Pflichtverletzung. Für das Fehlverhalten von Angestellten haften Geschäftsführer nicht schon dann, wenn es möglich war und ein Schaden eingetreten ist, sondern nur, wenn sie ihre Organisations- und Überwachungspflichten schuldhaft verletzt haben und dieses Versäumnis schadenskausal war (RS0059608 [T4]; Reich-Rohrwig in Straube/Ratka/Rauter, WK‑GmbHG § 25 Rz 171; S.-F.Kraus/U.Torggler in U. Torggler [Hrsg], GmbHG § 25 Rz 8).
[82] Von den maßgeblichen Feststellungen und dem 2015 bestehenden Wissensstand ausgehend verlässt die Rechtsansicht des Berufungsgerichts, der Beklagte habe nachgewiesen, dass er die Sorgfalt eines ordentlichen Kaufmanns nicht verletzt hat, insbesondere nicht durch Unterlassung von objektiv gebotenen Überwachungs- und Kontrollmaßnahmen oder Warnpflichten, den Rahmen des bei dieser Beurteilung im Einzelfall offen stehenden Bewertungsspielraums nicht.
[83] 4. Die Kostenentscheidung gründet sich auf §§ 41, 50 ZPO. In beiden Revisionsbeantwortungen wurde auf das Fehlen der Voraussetzungen des § 502 Abs 1 ZPO hingewiesen.
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)