Einleitung

Der Oberste Gerichtshof hatte kürzlich in Zusammenhang mit einem der aufsehenerregendsten Wirtschaftskriminalfälle der letzten Jahre zu entscheiden, ob den ehemaligen Geschäftsführer aufgrund einer (behaupteten) Verletzung der Einrichtung eines angemessenen internen Kontrollsystems Ersatzpflichten gegenüber der Gesellschaft treffen, die unter seiner Leitung Opfer eines Fake President Fraud mit Schaden in Millionenhöhe wurde.

Unter „Fake President Fraud“ versteht man eine meist via E-Mail angebahnte Betrugsmethode, bei der Mitarbeiter eines Unternehmens von den Tätern unter Vortäuschung falscher Identitäten (typischerweise Vorgesetzter) zur Überweisung von Geld manipuliert werden.

Sachverhalt

Der Beklagte war langjähriger Geschäftsführer der klagenden GmbH und gleichzeitig Vorstandsvorsitzender ihrer Muttergesellschaft, einer börsennotierten AG mit rund 3.000 Mitarbeiter bei einem Jahresumsatz von rund EUR 700 Mio.

Ende des Jahres 2015 wurde die Klägerin Opfer eines hochprofessionellen Fake President Frauds, in dessen Rahmen einer Mitarbeiterin der Finanzbuchhaltung von Angreifern vorgetäuscht wurde, der Beklagte arbeite an einer vertraulichen Transaktion. Nach dem Austausch von beinahe 100 Emails mit dem vermeintlichen Beklagten veranlasste die Mitarbeiterin schließlich die Überweisung von rund EUR 54 Mio auf Konten der Angreifer, die großteils nicht mehr rückgebucht werden konnten.

Die Klägerin begehrte im gegenständlichen Verfahren den Ersatz des ihr durch diesen Angriff entstandenen Vermögensschadens und stütze sich dabei vorrangig auf eine Verletzung von Überwachungspflichten durch den Beklagten.

Aus der Begründung des OGH

  • Das Ziel eines internen Kontrollsystems („IKS“) ist es, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnung zu gewährleisten und die Einhaltung der Geschäftspolitik zu unterstützen. Ziel sind die Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit. Regelmäßig basiert es wohl auf Überwachungsmaßnahmen organisatorischer und EDV-technischer Art, wie Unterschriftenregelungen, EDV-Zugriffsbeschränkungen oder Arbeitsanweisungen und Kontrollmaßnahmen, die manuell oder automatisationsunterstützt, etwa Plausibilitätsprüfungen in der Buchhaltungssoftware, durchgeführt werden. Hinzu kommen Richtlinien und Regelwerke zur Definition von Standardprozessen sowie deren Dokumentation und eine interne Revision, die in diesem Zusammenhang die Aufgabe hat, bei wiederkehrenden Prüfungen die Effizienz eines IKS zu kontrollieren.
  • Bei der Klägerin war ein IKS in diesem Sinn eingerichtet. Es liegt aber auch auf der Hand, dass ein Fake President Fraud, der auf Methoden des „social engineering“ (Manipulation von Menschen) beruht und die angesprochenen Mitarbeiter gerade zur Umgehung der Kontrolleinrichtungen verleiten will, damit allein nicht verhindert werden kann. Die angewandte Methode geht über die herkömmlichen, durch ihre zahlreichen Fehler und plumpen Formulierungen leicht als Betrugsversuch erkennbaren E-Mails erheblich hinaus.
  • Der Beklagte musste (im gegenständlichen Fall) nicht damit rechnen, dass eine hierarchisch zwei Ebenen unter ihm rangierende Mitarbeiterin der Finanzbuchhaltung Ziel eines – bis dahin in Österreich in dieser Form unbekannten – komplex angelegten Fake President Fraud werden könnte.
  • Im September 2015 wurde im Unternehmen der Klägerin eine Warnung zirkuliert, bei verdächtigen E-Mails auf allenfalls unterlegte Absenderadressen zu achten. Die vom Fake President angesprochene Mitarbeiterin der Finanzbuchhaltung hat diese Warnung tatsächlich auch befolgt und die E-Mailadresse kontrolliert hat. Den Angreifern gelang es aber, ihre dabei aufgetretenen Bedenken mittels vorgetäuschter Behördenadresse und geschickten Argumentierens zu zerstreuen.
  • Grundlage der Haftung nach § 25 GmbHG ist immer eine individuelle, schuldhafte Pflichtverletzung. Für das Fehlverhalten von Angestellten haften Geschäftsführer nicht schon dann, wenn es möglich war und ein Schaden eingetreten ist, sondern nur, wenn sie ihre Organisations- und Überwachungspflichten schuldhaft verletzt haben und dieses Versäumnis schadenskausal war.

Anmerkungen

  • Begrüßenswert und richtig ist die Quintessenz der Entscheidung, dass kein IKS alle Eventualitäten abdecken kann und insbesondere hochprofessionelle Angreifer (wie im Anlassfall) mittels neuartiger Methoden auch im besten Internen Kontrollsystem technische oder menschliche Schwachstellen finden und ausnützen können.
  • Ob Präventions-, Prüfungs- und Sorgfaltspflichten ausreichend nachgekommen wurde, ist jeweils im Einzelfall zu beurteilen. Das IKS ist jedenfalls branchen-, größen- und situationsadäquat auszugestalten.
  • Geschäftsführer werden mit zunehmend professionell agierenden Angreifern rechnen müssen und im Rahmen ihrer Organisations- und Überwachungspflichten für entsprechende Schulungen und Sicherheitsmaßnahmen sorgen müssen. Ob die Rechtsprechung in vergleichbaren Fällen zukünftig bei ähnlichen Fällen (auch aufgrund des Bekanntheitsgrades, den die Betrugsform „Fake President Fraud“ durch den Anlassfall erlangt hat) einen strengeren Maßstab anlegen wird, bleibt abzuwarten.

Unsere erfahrenen KPMG Law-Experten beraten Sie gerne zu allen Aspekten der gesellschaftsrechtlichen Compliance, insbesondere auch zur Ausgestaltung Ihres internen Kontrollsystems.