Pflicht für CMS?
Grundsätzlich gibt es im deutschen Recht keine generelle Pflicht für Unternehmen, ein Compliance-Management-System einzurichten.
Allerdings werden in den letzten Jahren die Anforderungen und rechtliche Regulierung von Unternehmen in rasantem Tempo komplexer. Die Einhaltung rechtlicher Vorgaben (z. B. aktuell u. a. das Lieferkettensorgfaltsgesetz) im Unternehmen ohne ausgefeiltes CMS – ggf. auch unter Einsatz von KI – zu überwachen, erscheint quasi nicht mehr machbar. Insofern zwingt die Macht des Faktischen Unternehmen ab einer bestimmten Größe dazu, ein CMS zu implementieren und: zu überwachen.
Gleichzeitig leitet die Rechtsprechung aus der allgemeinen Sorgfaltspflicht eines ordentlichen Geschäftsmannes ab, dass Geschäftsführer im Unternehmen ein Überwachungssystem etablieren müssen, das Risiken für den Fortbestand des Unternehmens erfasst und kontrolliert. Das ist nichts Neues, das Urteil des BGH dazu stammt immerhin bereits aus dem Jahr 1995 (BGH, Urteil v. 20.02.1995, Az.: II ZR/9/94).
Aktives Risikomanagement ist also des Geschäftsführers Pflicht und das nicht ohne Grund: Ein effizientes CMS senkt Haftungsrisiken für Unternehmen und Verantwortliche enorm. So trägt es außerdem dazu bei, Imageschäden – und damit weitere finanzielle Schäden! – im Haftungsfall zu vermeiden oder Haftungsfolgen zu reduzieren. Nicht zuletzt verlangen etliche D&O-Versicherungen inzwischen klare Regeln und Risikosteuerungsinstrumente. Auch hier zeigt sich wieder die Macht des Faktischen.
Urteil des OLG Nürnberg zu Compliance und persönlicher Haftung des Geschäftsführers
Im Fall vor dem OLG Nürnberg verklagte eine GmbH ihren Geschäftsführer auf Schadenersatz und machte damit einen Anspruch auf persönliche Haftung des Mannes gegenüber der GmbH aus § 43 GmbHG geltend. Das Unternehmen hatte Tankkarten mit einem Kreditlimit an Kunden ausgegeben. Ein Mitarbeiter wusste, dass einige Kunden die Kreditlimits ausgereizt hatten und nicht zahlen konnten, zog aber die Karten nicht ein. Der Vorwurf der GmbH an den Geschäftsführer: Er hätte diesen Mitarbeiter ausreichend überwachen müssen und u. a. auf die Einhaltung des Vier-Augen-Prinzips pochen müssen.
Das Gericht gab der Gesellschaft Recht. Denn es gab im Unternehmen schlichtweg kein funktionierendes Kontroll- und Überwachungssystem, um solchen Schäden vorzubeugen – im Kleinen wie im Großen.
Delegieren ist möglich
Klar ist allerdings, dass Geschäftsführer ihre Aufgaben in Hinblick auf die Überwachung von Kontrollsystemen delegieren können (müssen).
Das Recht zu delegieren, entbindet aber nicht von der Verantwortung und der Pflicht zur Oberaufsicht. (Dazu auch der Beitrag „Wenn der Geschäftsführer nichts kann“ in unserem Blog)
Wer als Geschäftsführer delegiert, muss also sicherstellen, dass die Aufgaben dennoch sorgfältig und ordnungsgemäß ausgeführt werden. Wer als Geschäftsführer delegiert, sollte deshalb die Personen, an die delegiert wird, sorgfältig auswählen, anleiten, überwachen und im Bedarfsfall eingreifen können.
Compliance-Strukturen: wichtig in Due-Diligence-Prüfungen
Bedenkt man das Vorstehende, wird schnell deutlich: Auch im Rahmen von Unternehmenstransaktionen sollten CMS auf Herz und Nieren geprüft werden. Andernfalls riskiert der Erwerber mit dem Unternehmen auch persönliche Haftungsrisiken des alten Geschäftsführers für den neuen Geschäftsführer mit „einzukaufen“.
Und nicht selten verweigern D&O-Versicherungen in exakt diesen Konstellationen im Ernstfall die Leistung. Die Folge: Der neue Geschäftsführer muss selbst für Schäden aus Pflichtverletzungen aufkommen, die er selbst „nur“ leichtfertig übernommen hat.
Das Wichtigste kurz zusammengefasst:
- Aktives Risikomanagement ist Teil der Sorgfaltspflicht eines ordentlichen Geschäftsmannes und damit eines Geschäftsführers.
- Geschäftsführer sollten im Rahmen der Sorgfaltspflicht klare Strukturen und Prozesse für Kontrollmaßnahmen (CMS) implementieren.
- Verletzt ein Geschäftsführer diese Pflicht, so aktiv Risikomanagement zu betreiben, droht persönliche Haftung nach § 43 Abs. 1 GmbHG.
