Pflicht, nicht Kür: Compliance-Management-Systeme im Mittelstand.

 Ohne internes Kontrollsystem drohen Haftungsrisiken – auch in KMU.

Prof. Dr. Peter Fissenewert, Rechtsanwalt der Kanzlei Buse Heberer Fromm
Prof. Dr. Peter Fissenewert
Rechtsanwalt

Pflicht, nicht Kür: Compliance-Management-Systeme im Mittelstand.

Blog: Arbeitsrecht - Beitrag vom 14.03.2023
Geschäftsführer haften persönlich, wenn sie unzureichende Compliance-Maßnahmen treffen und es zu Gesetzesverstößen von Mitarbeitern kommt. Das gilt für Unternehmen jeder Größe, wie ein Urteil des OLG Nürnberg klarstellt. Verbunden sind damit auch Risiken bei M&A-Transaktionen.

Internes Kontrollsystem muss rechtmäßiges Handeln gewährleisten

Zwar gibt es keine originäre gesetzliche Pflicht für Geschäftsführer, ein Compliance-Management-System (CMS) zu implementieren. Doch aus der Sorgfaltspflicht eines ordentlichen Geschäftsführers leitet die Rechtsprechung ab: Das Management muss eine interne Organisationsstruktur im Unternehmen schaffen, die Rechtmäßigkeit und Effizienz des Handelns gewährleistet. Dazu gehört, dass der Geschäftsleiter jederzeit Überblick über die wirtschaftliche und finanzielle Lage der Gesellschaft hat. Notwendig ist ein Überwachungssystem, mit dem Risiken für den Fortbestand des Unternehmens erfasst und kontrolliert werden können. Dies ergibt sich bereits aus einem Urteil des BGH vom 20.02.1995 – II ZR 9/94. Zudem ist ein solches internes Kontrollsystem eine Vorgabe nach § 1 des seit 2021 geltenden Gesetzes über den Stabilisierungs- und Restrukturierungsrahmen von Unternehmen (StaRUG).

Auch KMU brauchen ein Compliance-Management-System

Ein Urteil des OLG Nürnberg vom 30.03.2022 stellt zudem klar: Der Geschäftsführer einer GmbH muss ein CMS einrichten. Das gilt auch in einem mittelständischen Betrieb mit 13 Mitarbeitern. Wenn durch unzureichende Organisation, Anleitung oder Kontrolle Straftaten oder sonstige Fehler von Mitarbeitern ermöglicht oder auch nur erleichtet werden, haftet der Geschäftsführer persönlich. Dies ergibt sich aus der Legalitätspflicht gemäß § 43 Abs. 1 GmbHG.

Der Gang der Geschäfte ist laut den Nürnberger Richtern so zu überwachen oder überwachen zu lassen, dass die Geschäftsleitung unter normalen Umständen von einer ordnungsgemäßen Erledigung der Geschäfte ausgehen kann. Das Management muss zudem sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen und Verdachtsmomenten unverzüglich nachgehen. Zudem muss der Geschäftsführer geeignete organisatorische Vorkehrungen treffen, um Pflichtverletzungen von Unternehmensangehörigen von vornherein zu vermeiden, so auch der BGH in seinem Urteil vom 08.10.1984 – II ZR 175/83.

Klare Strukturen und Prozesse für Kontrollmaßnahmen implementieren

Im Fall vor dem OLG Nürnberg hatte eine GmbH & Co. KG Schadensersatzansprüche gegen den Geschäftsführer der Komplementär-GmbH auf Grundlage des § 43 GmbHG geltend gemacht. Die Klägerin vertrieb Mineralölprodukte und gab an Kunden Tankkarten mit einem Kreditlimit aus. Die Tankkarten berechtigten Fahrer der Kunden, bargeldlos an den Tankstellen der Klägerin zu bezahlen. Der für die Betreuung von Kunden und Tankkarten zuständige Mitarbeiter wusste, dass einige Kunden aufgrund von wirtschaftlichen Schwierigkeiten ihre Rechnungen nicht begleichen konnten und die Kreditlimits ausgeschöpft waren. Dennoch sperrte er die Karten nicht, sondern verschleierte stattdessen diesen Umstand. Die Klägerin begründete den Anspruch auf Schadensersatz damit, dass der beklagte Geschäftsführer den Mitarbeiter nicht ausreichend überwacht habe. So hätte er insbesondere die Einhaltung des Vier-Augen-Prinzips fordern müssen. Zudem habe er im Rahmen der Unternehmensorganisation Kontroll- und Überwachungsmaßnahmen unterlassen.

Kontrollsystem muss klarstellen: Verstöße werden geahndet

Das OLG Nürnberg teilte die Auffassung der Klägerin: Der Geschäftsleiter habe seine Sorgfaltspflicht verletzt, weil es kein funktionierendes Kontroll- und Überwachungssystem gab. So fehlten sowohl ein Vier-Augen-Prinzip als auch Kontrollen anhand von Stichproben oder überraschenden Prüfungen, die den Beschäftigten verdeutlichen: Verstöße werden entdeckt und geahndet. Kann der Geschäftsführer absehen, dass die Maßnahmen nicht ausreichen, um die genannte Wirkung zu erzielen, muss er andere geeignete Aufsichtsmaßnahmen ergreifen, so die Richter. Die Grenze hierfür orientiere sich an der objektiven Zumutbarkeit: etwa an der Würde der Beschäftigten oder am Betriebsklima, das nicht von einem zu starken Misstrauen geprägt sein sollte.

Eine gesteigerte Überwachungspflicht mit noch intensiveren Aufsichtsmaßnahmen ist laut den Nürnberger Richtern notwendig, wenn es in einem Unternehmen bereits zu Unregelmäßigkeiten gekommen ist.

Delegation befreit nicht von Oberaufsicht

Delegiert der Geschäftsführer seine Überwachungsaufgabe, reduziert sich seine Pflicht darauf, die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten zu kontrollieren, sprich auf die Überwachung der Überwacher oder Meta-Überwachung. Dies ändert aber nichts daran, dass die sogenannte Oberaufsicht bei ihm verbleibt und er insbesondere die Verantwortung für Organisation und System der internenen Delegationsprozesse trägt. Dieser Oberaufsicht kann der Geschäftsleiter nicht entrinnen.

Vorsicht bei M&A-Transaktionen

Da bei Verstößen gegen diese Pflichten dem Geschäftsführer hohe Geldbußen und persönliche Haftung drohen, gilt bei Due Diligence-Prüfungen im Rahmen von M&A-Transaktionen ein besonderes Augenmerk den Compliance-Strukturen des Zielunternehmens. Denn spätestens ab dem Closing trägt der Käufer die Verantwortung für ein funktionierendes CMS. Die Geschäftsführer, die der Käufer des Targets im Closing bestellt hat, übernehmen ab diesem Zeitpunkt auch das Haftungsrisiko. Selbst wenn eine Directors & Officers (D&O)-Versicherung besteht, kommt es auf den Einzelfall an, ob diese für den Schaden eintritt. Auch die Versicherungen prüfen sehr genau, ob die Systeme stimmen und idealerweise ein effizientes CMS vorhanden ist. Im schlimmsten Fall muss der Geschäftsleiter den Schaden selbst begleichen.

Keine oder nicht ausreichende Compliance-Maßnahmen können zu einer persönlichen Haftung des Geschäftsführers führen, wenn es zu Rechtsverstößen von Beschäftigten kommt. Daran besteht nach der Rechtsprechung der letzten Jahre kein Zweifel mehr. In Bereichen wie Sozialversicherung oder Steuern kann dies gar Geldstrafen oder Gefängnis bedeuten. Nicht zuletzt drohen gemäß § 30 Ordnungswidrigkeitengesetz Geldbußen gegen das Unternehmen und ein Reputationsschaden, der oft noch viel schwerer wiegt. Das Urteil des OLG Nürnberg verdeutlicht für Unternehmen jeder Größe einmal mehr, wie wichtig klare Strukturen und dokumentierte Prozesse sind, um Haftungsrisiken zu minimieren.

Newsletter

Bleiben Sie auf dem Laufenden!
Sie möchten informiert werden, wenn ein neuer Blogbeitrag erschienen ist und erfahren, über welches Thema wir als nächstes berichten? Dann melden Sie sich hier zu unseren Newsletter an:

Zeiterfassung per Fingerabdruck? Nur mit ausdrücklicher Einwilligung des Mitarbeiters.

Blog: Arbeitsrecht
Zeiterfassung per Fingerabdruck? Nur mit ausdrücklicher Einwilligung des Mitarbeiters.
02.06.2020

Wo Du willst-Jobs: Wieviel Freiraum lässt das Arbeitsrecht?

Blog: Arbeitsrecht
Wo Du willst-Jobs: Wieviel Freiraum lässt das Arbeitsrecht? Unternehmen gewähren Mitarbeiter*innen mehr Flexibilität – Fünf Dos and Don´ts für HR.
21.06.2022
Tanja Radoux

With Great Power Comes Great Responsibility. Einige Überlegungen zur Haftung von Betriebsräten für Verstöße gegen die DSGVO.

Blog: Arbeitsrecht
With Great Power Comes Great Responsibility. Einige Überlegungen zur Haftung von Betriebsräten für Verstöße gegen die DSGVO.
30.11.2021
Jan Tibor Lelley, Tobias Vößing

Wie umgehen mit politischem Extremismus am Arbeitsplatz?

Blog: Arbeitsrecht
Wie umgehen mit politischem Extremismus am Arbeitsplatz? Welche Möglichkeiten das Arbeitsrecht im Umgang mit politischen Extremisten am Arbeitsplatz bietet.
09.01.2024
Tobias Grambow

Wenn der Geschäftsführer nichts kann.

Blog: Arbeitsrecht
Wenn der Geschäftsführer nichts kann. Über persönliche Haftung von Geschäftsführern für eigenes Unvermögen und Überwachungsverschulden.
19.12.2023
Peter Fissenewert

Was lange währt, wird schließlich gut? Das Hinweisgeberschutzgesetz kommt endlich.

Blog: Arbeitsrecht
Was lange währt, wird schließlich gut? Das Hinweisgeberschutzgesetz kommt endlich. Keine Übergangsfrist – Bearbeitung anonymer Meldungen wird Pflicht.
17.01.2023
Jan Tibor Lelley
Let’s connect

Möchten Sie Informationen zu aktuellen Rechtsentwicklungen, Einladungen zu Veranstaltungen und Seminaren von uns erhalten? Dann bitten wir Sie um Ihre ausdrückliche Einwilligung.

…zur Einwilligungserklärung

BUSE

Über die Kanzlei
Partnerinnen und Partner
Kontakt
CSR
Impressum
Datenschutzerklärung

Gespräch vereinbaren

Ihr Anliegen können wir gerne direkt in einem persönlichen Gespräch erörtern. Wir versichern Ihnen absolute Diskretion und eine professionelle und ehrliche Beratung.

…zu unseren Standorten

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB