Geschäftsführerhaftung - Symbolbild Foto: Lena Lindell via Pixabay

GmbH-Geschäftsführerhaftung? Da gibt es doch was vom … Versicherungsmakler

Die Haftung der Gesellschaft ist beschränkt. Nicht die des GmbH-Geschäftsführers.

Sind Sie Geschäftsführer einer GmbH oder auch einer UG (haftungsbeschränkt)? Oder planen Sie die Gründung einer GmbH oder UG, bei der Sie auch selbst die Geschäftsführung übernehmen wollen?

Dann sollten Sie über die GmbH-Geschäftsführerhaftung Bescheid wissen, zumindest in Grundzügen. Und Sie sollten wissen, dass Sie das Risiko persönlicher Haftung durch eine D&O-Versicherung ein gutes Stück weit entschärfen können. (Im Regelfall zahlt die Gesellschaft die Versicherungsprämie.)

Fiktives, aber realistisches Beispiel: Trojaner ruiniert GmbH-Geschäftsführer

Wenn keine Manager-Haftpflichtversicherung vorhanden ist, kann die GmbH-Geschäftsführerhaftung das komplette private Vermögen aufzehren, bis zur Pfändungsgrenze. Und dazu kommt es schneller als gedacht.

Nehmen wir ein (fiktives, aber realistisches) Beispiel: Einer Ihrer Mitarbeiter infiziert mit einem einzigen unvorsichtigen Klick Ihr Firmennetzwerk mit Ransomware. Der Verschlüsselungstrojaner macht im Hintergrund sämtliche Dateien unlesbar. Dann erscheint eine Erpresserbotschaft: 10 Bitcoin für den Code, der die Daten wieder entschlüsselt.

Im Unternehmen geht aufgrund der Verschlüsselung nichts mehr. Sie suchen erst einmal jemand, der weiß, wie man Bitcoin erwirbt und an die Erpresser transferiert. Leider ist die fünfstellige Euro-Summe für den Eintausch der Kryptowährung umsonst, sie erhalten keinen Dateischlüssel. Damit liegen Buchhaltung, Vertrieb und alle anderen Abteilungen lahm, weil kein Zugriff auf Kundendaten, Bestellungen, Abrechnungsprogramme und dergleichen mehr besteht. Betriebsunterbrechung und Lieferverzögerungen sorgen für Auftragsstornierungen und Umsatzverluste. Kunden springen ab, der Ruf des Unternehmens ist schwer beschädigt.

Und dafür macht man Sie verantwortlich, als Geschäftsführer der GmbH. Sie haben sich auf Ihren IT-Administrator verlassen, dessen System zur Datensicherung war jedoch der Aufgabe nicht gewachsen. Die Gesellschafter fordern von Ihnen Schadenersatz für sämtliche Schäden, die der Trojaner angerichtet hat: eine siebenstellige Summe.

Bei jeder Sorgfaltspflichtverletzung droht Haftung

Auch wenn dieser Irrglaube kaum auszurotten ist: Die Haftung mit Ihrem gesamten persönlichen Vermögen droht Ihnen als GmbH-Geschäftsführer keineswegs nur bei Insolvenz der Gesellschaft oder klarem Fehlverhalten in der Geschäftsführung.

Auch durch sogenannte Sorgfaltspflichtverletzungen können Sie sich schadenersatzpflichtig machen, weil Sie Ihre Aufgaben nicht mit der „Sorgfalt eines ordentlichen Kaufmanns“ versehen haben. (Diese Formulierung stammt direkt aus § 43 GmbH-Gesetz.)

Ob im konkreten Fall eine Verletzung der Sorgfaltspflicht vorliegt, ist eine Ermessensfrage. Eine völlig risikofreie Geschäftsführung ist schließlich nicht möglich. Als Sorgfaltspflichtverletzung kann es beispielsweise gelten, wenn …

  • Sie ein offensichtliches Risiko nicht versichert haben, obwohl das möglich gewesen wäre (z. B. Überschwemmungsschäden auf einem Grundstück in Ufernähe, aber auch die Folgen eines Ransomware-Angriffs)
  • nach einem Arbeitsunfall mit hohem Personenschaden der Vorwurf mangelhafter Sicherheitsvorkehrungen erhoben wird
  • ein Rechtsmittel nicht eingelegt wurde, etwa eine Klage, die dem Unternehmen unter Umständen Geld eingebracht hätte.

Im Zweifel entscheidet am Ende ein Richter darüber, ob Sie die konkrete Entscheidung zum Wohle der GmbH und frei von Interessenkonflikten getroffen haben, sich dabei ausreichend informiert hatten und kein unangemessenes Risiko eingegangen sind – also die nötige Sorgfalt an den Tag gelegt haben. Von seinem Urteil kann Ihr persönliches, finanzielles Schicksal abhängen.

In der Praxis besonders gefährlich: Überschuldung, Zahlungsunfähigkeit, Insolvenz

Zu Schadenersatzansprüchen gegen GmbH-Geschäftsführer kommt es besonders häufig in Folge von Überschuldung, Zahlungsunfähigkeit und Insolvenz der Gesellschaft. Nur zwei der damit verbundenen Hauptrisiken für den Geschäftsführer:

  • Er haftet mit seinem Privatvermögen für jede Zahlung, die trotz Insolvenzreife angewiesen wurde und nicht mit der „Sorgfalt eines ordentlichen Geschäftsmanns“ vereinbar ist. (Leitender Gesichtspunkt dafür ist das Interesse der Gläubiger, nicht die Perspektive der Geschäftsführung.)
  • Der Geschäftsführer haftet außerdem, wenn die Gesellschaft zu einem bestimmten Termin rechnerisch überschuldet oder zahlungsunfähig ist und er nicht unverzüglich, spätestens jedoch innerhalb von drei Wochen, Insolvenzantrag stellt. Mit jedem Tag, den die GmbH sich ab dann weiterschleppt, Ausgaben hat und neue Verträge abschließt, wächst die Liste der potenziellen Schadenersatzforderungen. Deshalb folgt aus der Insolvenz der Gesellschaft schnell der private Ruin des Geschäftsführers.

Das ist längst noch nicht alles in Sachen GmbH-Geschäftsführerhaftung

Wohlgemerkt: Das sind längst nicht alle Haftungsrisiken, mit denen ein GmbH-Geschäftsführer konfrontiert ist. Die Liste könnte noch lange fortgesetzt werden, etwa um die Haftung für Fehler von Mitgeschäftsführern, die Haftung für die Forderungsausfälle von Lieferanten, die besonderen Haftungsrisiken für nicht abgeführte Steuern und Sozialversicherungsbeiträge, die Haftung für mangelhafte Compliance etc. etc.

Anders gesagt: Die Haftungsmaterie ist ein komplexes Thema im GmbH-Recht, zu dem es viele Regalmeter an Literatur gibt. Die praktischen Auswirkungen der Rechtslage sind jedoch alles andere als abstrakt.

Und dazu kommt noch ein Punkt: Viele dieser Haftungstatbestände stehen mit Straftatbeständen in Verbindung. Das bedeutet: Erst drohen ein Strafverfahren mit Strafprozess und Verurteilung – und in der Folge noch eine existenzvernichtende Schadenersatzforderung.

„So etwas passiert mit unserer GmbH ja nicht.“

Trotzdem erlebe ich es häufig, dass GmbH-Geschäftsführern das Bewusstsein für ihr persönliches Risiko fehlt. Natürlich kann man darauf setzen, dass schon nichts passieren wird. Aber das ist dann eben Vogel-Strauß-Politik. Denn zu einer Insolvenz oder zum Vorwurf einer Sorgfaltspflichtverletzung kommt es keineswegs nur bei unfähigen Geschäftsführern – das ist schlicht ein allgemeines Berufsrisiko.

Die GmbH-Geschäftsführerhaftung lässt sich versichern. Fragen Sie uns einfach!

Zum Glück kann man vorbauen: durch eine D&O-Versicherung, die Schadenersatzforderungen aus der GmbH-Geschäftsführerhaftung abdeckt. Weil die Haftungsfragen rechtlich so komplex sind, kommt es bei einer Geschäftsführer-Haftpflichtpolice sehr auf die Versicherungsbedingungen an.

acant ist auf D&O-Versicherungen spezialisiert. Haben Sie Fragen? Wir beraten Sie gern, und selbstverständlich kostenlos.

IT-Compliance und persönliche Haftung, Teil 1: Compliance-Pflichten

Compliance-Verstoß Hackerangriff: Eine IT-Sicherheitsverletzung kann zu persönlichen Schadenersatzansprüchen gegen die Geschäftsführung führen.

„When, not if“ – so lautet eine Formel, die in IT-Sicherheitskreisen längst Standard geworden ist, wenn es um das Szenario einer konkreten IT-Sicherheitsverletzung geht. Die Frage lautet nicht, ob sich ein Cyber-Angriff, eine Technik-Havarie oder ein folgenschwerer menschlicher Fehler im Umgang mit Daten und Software auch bei Ihnen ereignet. Die Frage ist, wann es dazu kommt – und wie gut Ihr Unternehmen dann darauf vorbereitet ist.

Wer haftet für die Schäden? Das ist die nächste unausweichliche Frage, wenn Systeme nicht mehr reagieren, Kundendaten oder wichtige Unternehmenswerte ins Ausland transferiert wurden, Produktionsausfälle und Lieferverzögerungen zu Vertragsstrafen führen, Datenschutzverletzungen einen Shitstorm ausgelöst haben und die Marke beschädigt ist.

Stellt mangelnde IT-Sicherheit ein Führungsversagen dar, das Schadenersatzansprüche begründet? Das ist die entscheidende Frage. Die Antwort ist juristisch komplex, berührt verschiedene Rechtsgebiete, richtungsweisende Gerichtsentscheidungen gibt es noch nicht. Im Ergebnis lautet sie jedoch ja.

Beispiele: Haftungsszenarios

Die folgenden Beispiele sind fiktiv. Aber sie sind realistisch.

  • Ein Hacker schleust Schadsoftware in die Produktionssteuerung ein. Das führt zum Totalschaden mehrerer Fertigungsanlagen. Die Produktion fällt monatelang aus, viele Arbeitnehmer sitzen herum. Das Unternehmen kündigt vielen von ihnen, das Arbeitsgericht hebt die Kündigungen jedoch auf: eine betriebsbedingte Kündigung sei ungerechtfertigt: Sie wären überflüssig, wenn das Management durch eine Cyber- oder Produktionsausfallversicherung Vorsorge gegen den Schaden getroffen hätte. Daraufhin wird der bisherige Geschäftsführer von den Anwälten der Gesellschaft auf Schadenersatz über die Lohnkosten in sechsstelliger Höhe verklagt.
  • Ein als GmbH geführter Online-Shop wird verkauft – einschließlich der digitalen Kundenkartei. Er hat dafür aber nicht die erforderliche Genehmigung seiner bisherigen Kunden. Die Landesdatenschutzbehörde verhängt 10.000 Euro Bußgeld. Der GmbH-Geschäftsführer, der den Verkauf durchgeführt hat, wird von seiner Gesellschaft in Regress genommen.
  • Ein Unternehmen klagt vor dem Finanzgericht gegen einen Umsatzsteuerbescheid für einen zurückliegenden Zeitraum. Dabei stellt sich heraus, dass die Belege, die vor einigen Jahren digital archiviert wurden, nicht mehr abrufbar sind. Ohne Nachweise lässt sich das eigentlich sehr aussichtreiche Verfahren nicht gewinnen, das Unternehmen zu einer Steuernachzahlung in sechsstelliger Höhe verurteilt. Einer der Gesellschafter verklagt den Geschäftsführer auf Schadenersatz.

Compliance und IT-Compliance

Anders ausgedrückt: Wenn Sie Geschäftsführer oder Vorstand einer Kapitalgesellschaft sind, besteht für Sie durchaus ein sehr reelles Risiko, persönlich mit Schadenersatzansprüchen für Cyber-Schäden des Unternehmens konfrontiert zu werden und dafür mit dem eigenen Vermögen zu haften.

Der Grund ist einfach: IT-Compliance ist als umfassende Management-Aufgabe ein Teil der gesamten Compliance-Pflichten. Wie auf anderen Risikofeldern – Korruption, unternehmensinterne Diskriminierung, Steuerrecht etc. – gehört es auch bei der IT-Sicherheit zum Verantwortungsbereich des Managements, durch die unternehmensinterne Steuerung der Prozesse die Gefahren von vornherein einzugrenzen und die systematische Befolgung von Regeln sicherzustellen.

Ich möchte in diesem zweitteiligen Beitrag zur IT-Compliance zeigen, warum das Szenario persönlicher Haftung für Cyber-Schäden keine Panikmache ist, sondern ernstgenommen werden muss:

  • Im ersten Teil geht es um Compliance und Haftung allgemein. Die Gefahr, für Unternehmensschäden persönlich in Haftung genommen zu werden und dabei seine gesamte Existenz zu verlieren, wird nach wie vor von vielen Führungskräften unterschätzt. Sie ist aber sehr real, wie sich an konkreten Beispielen zeigen lässt.
  • Im zweiten Teil sind speziell IT-Compliance und Haftungsrisiken rund um IT-Sicherheitsverletzungen Thema – und die Frage, wie diese Risiken sich wirksam verringern lassen.

Compliance

Sowohl AG-Vorstände wie auch GmbH-Geschäftsführer sind gesetzlich dazu verpflichtet, ein Überwachungssystem einzurichten, mit dem sich Entwicklungen, die den Fortbestand des Unternehmens gefährden können, frühzeitig erkennen lassen. Compliance ist auch Teil des Lageberichts einer Kapitalgesellschaft. (§§ 289, 315, 317 Abs. 2 HGB). Bei börsennotierten AGs müssen die Wirtschaftsprüfer auch die Risikofrüherkennungssysteme kontrollieren (§ 91 Abs. 2 AktG, § 317 Abs. 4 HGB).

Compliance Management ist ein Trendthema. Aber deshalb sollte man nicht darauf schließen, dass es sich dabei nur um eine Modeerscheinung handelt. Die Zahl der Veröffentlichungen ist kaum überschaubar, das Gleiche gilt für Beratungsangebote, Schulungen und den Softwaremarkt für Compliance-Management-Systeme.

All das ein klares Zeichen für den real existierenden Bedarf. Vorstände und Geschäftsführungen benötigen funktionierende Compliance-Lösungen, unabhängig von der Größe der von ihnen geführten Unternehmen.

Compliance Management bedeutet sicherzustellen, dass regelkonformes Verhalten im Unternehmen nicht allein vom Zufall oder dem guten Willen Einzelner abhängt. Die Regeln und Anforderungen müssen zum einen explizit gemacht und zweitens in die geschäftlichen Prozesse selbst eingebettet sein.

Für ein funktionierendes Compliance Management zu sorgen, gehört zu den Sorgfaltspflichten eines Vorstands beziehungsweise eines GmbH-Geschäftsführers. Gute Compliance ist aber nicht nur Prävention gegen Steuer- und Zollprüfungen oder staatsanwaltliche Ermittlungen. Als ein Messwert für Corporate Governance, die Qualität der Geschäftsführung, wird funktionierende Compliance auch von Analysten honoriert. Die Konditionen für Kapitalaufnahme werden günstiger, Versicherungsprämien fallen niedriger aus, denn Compliance ist immer auch Risikovorsorge.

Grundlage der Haftung: die Geschäftsleiterverantwortung

Zuständig und verantwortlich für eine funktionierende Compliance sind grundsätzlich immer die Geschäftsführer einer GmbH beziehungsweise die Vorstände einer Aktiengesellschaft. Das ergibt sich aus ihrer Geschäftsleiterverantwortung, die bei GmbH-Geschäftsführern aus § 43 GmbHG und bei AG-Vorständen aus den § 76 Abs. 1 AktG und § 93 AktG folgt. Zudem hat der Vorstand wie erwähnt die ausdrückliche Pflicht zur Einführung eines Überwachungssystems, „damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Absatz 2 AktG).

Wie weit die Verantwortung reicht, zeigt ein weitreichendes Urteil des Landgerichts München. Die Richter verurteilten einen ehemaligen Siemens-Vorstand zu 15 Millionen Euro Schadenersatz an das Unternehmen. Der Vorwurf: Er hatte kein Compliance-System installiert und damit nicht vorgesorgt, um ein auf schwarzen Kassen beruhendes Schmiergeldsystem zu verhindern (LG München, 10.12.2013, 5 HKO 1387/10). Das Besondere an dem Urteil ist der Umstand, dass diese Missstände gar nicht in den von diesem Vorstand intern verantworteten Bereich fielen.

Das Landgericht dehnte die Compliance-Pflicht also über den Geschäftsbereich eines einzelnen Vorstands hinaus auf die gesamte Vorstandsverantwortung aus. Das Strafgesetzbuch enthält in § 299 StGB das klare Verbot, Bestechungen im Geschäftsverkehr einzufädeln und abzuwickeln. Die Rechtsprechung macht es dem Vorstand einer AG und der Geschäftsführung einer GmbH zur Aufgabe, dafür Sorge zu tragen, dass Straftaten im Unternehmen erst gar nicht möglich sind. Das wurde dem ehemaligen Siemens-Vorstand zum Verhängnis.

Diese Pflicht zum Risikomanagement gilt auch für die Prävention von Cyberstraftaten und IT-Havarien.

Selbst wenn Compliance-Verstöße oder andere Pflichtverletzungen dazu führen, dass man persönlich in Haftung genommen wird, muss das nicht das Ende der eigenen wirtschaftlichen Existenz bedeuten. Und zwar dann nicht, wenn man über eine D&O-Versicherung (Geschäftsführer-Haftpflichtversicherung) abgesichert ist. Fragen Sie uns: 030 863 926 990