Persönliche Haftung : Managerhaftung – wo fängt sie an, wo hört sie auf?

Dass die Top-Manager großer Gesellschaften bei groben Verfehlungen auch mit ihrem persönlichen Vermögen geradestehen müssen, dürfte wohl bei den meisten Menschen auf Verständnis treffen. Doch auch ohne das Vorhandensein von Aktionären und Aufsichtsrat können Geschäftsführer, etwa einer GmbH, persönlich haften müssen – und zwar gegebenenfalls unbegrenzt mit dem gesamten Besitz, obwohl sogar die Gesellschaft nur mit ihrem Vermögen (eben „mit beschränkter Haftung“, wie es schon der Name sagt) herangezogen würde. Hier wird man eher ungläubig hinterfragen: Wie kann die handelnde Person weiter haften müssen als die Gesellschaft, die sie vertritt? Und ab welcher Stufe der Verantwortlichkeit geht ein höheres Gehalt auch mit einer möglichen persönlichen Haftung einher?

Tatsächlich war es früher so, dass man (sei es aus „Fairness“-Gründen oder warum auch immer) nur selten an eine Haftung von Managern gedacht hat – geschweige denn so weit zu gehen, sie bei größeren Schäden privat zu verklagen. Dies hat sich aber in den letzten Jahren geändert: Spätestens die Affären rund um die Manipulation von Dieselmotorsteuerungen haben gezeigt, wie heiß der Stuhl werden kann, auf dem ein Manager sitzt. Oliver S. leitete zum Beispiel von Februar 2012 bis März 2015 die VW-Umweltzertifizierungsstelle in Michigan. Im August letzten Jahres bekannte er sich schuldig, gegen das Luftreinhaltungsgesetz verstoßen zu haben. Er wurde am 5. Dezember zu 7 Jahren Haft in den USA verurteilt – zudem muss er 400.000 US-$ Strafe zahlen. Immerhin: Zuvor hatte die Anklagebehörde noch 169 Jahre Haft verlangt.

Und der Chemie- und Pharma-Konzern Bilfinger verlangt von zwölf ehemaligen Vorstandsmitgliedern Schadensersatz, weil sie gegen Compliance-Richtlinien verstoßen haben sollen – nach Angaben der Wirtschaftswoche beläuft sich die Summe auf knapp 200 Mio. e. Wie gesagt: An Top-Entscheider mit Top-Gehältern sind eben auch höchste Anforderungen zu stellen.

Am anderen Ende der Hierarchien fällt die Einschätzung ebenfalls leicht: Ein „einfacher Mitarbeiter“ kann sich nach der Rechtsprechung des Bundesarbeitsgerichts darauf verlassen, dass er für Schäden, die er verursacht, nur unter bestimmten Bedingungen haftet, da es unbillig erscheint, ihn eventuell mit Millionenforderungen zu überziehen. Deswegen wird in der Praxis wie folgt differenziert:

• leichte Fahrlässigkeit: keine Haftung
• normale Fahrlässigkeit: Arbeitnehmer muss den Schaden anteilig tragen
• grobe Fahrlässigkeit: volle Haftung, jedoch gegebenenfalls in begrenzter Höhe
• Vorsatz: volle Haftung

Eine pauschale Aussage lässt sich dazu nicht treffen, denn die Differenzierungen liegen im Detail: Hätte beispielsweise der Arbeitgeber einen Schaden versicherungstechnisch absichern können, so wird der Arbeitnehmer bei normaler Fahrlässigkeit nicht (anteilig) haften müssen, wenn keine solche Versicherung abgeschlossen wurde. Es hängt also viel von den Umständen des Einzelfalles ab.

Dabei macht es übrigens keinen grundsätzlichen Unterschied, ob ein Mitarbeiter in der Rangliste ganz unten steht oder ob es sich etwa um den IT-Leiter handelt. Gleichwohl wird dies durch die dargestellte Differenzierung insofern abgefangen, als ein IT-Leiter durch Ausbildung und höheren Kenntnisstand sowie nicht zuletzt auch der gesteigerten Verantwortung, die er trägt, mit einer Verfehlung viel schneller den Grad der groben Fahrlässigkeit erreicht und dadurch seine Haftung steigt.

Für Geschäftsführer gelten die aufgeführten Haftungsprivilegien indessen nicht, was aus ihrer besonderen Stellung als Organ der Gesellschaft folgt.

Im Gegenteil gilt zu ihren Lasten, dass bei einem Schaden eine Säumnis vermutet wird und sie sich exkulpieren müssen, also eine Beweislastumkehr stattfindet. Einzig und alleine die sogenannte „Business Judgement Rule“ kommt ihnen zugute: also die Regel, dass nicht haftet, wessen Entscheidungen vom Willen geprägt waren, zum Wohle der Gesellschaft zu handeln, wobei keine sachfremden Interessen verfolgt und in gutem Glauben gehandelt wurde, dass die vorliegenden Informationen als Grundlage der Entscheidung vollständig und fehlerfrei waren.

Die Bedrohung ist real

Dass eine mögliche Haftbarkeit auch im IT-Umfeld schnell infrage kommen kann, sollen nachfolgend ein paar Beispiele verdeutlichen. So hat etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht über die „Lage der IT-Sicherheit in Deutschland“ von 2017 (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2017.pdf?__blob=publicationFile&v=4) auch einen Fall aufgelistet, in dem es um Baustellenampeln ging: Im August 2016 erhielt das Amt Hinweise darauf, dass sich bestimmte Ampeln über das Internet manipulieren ließen, die mit einer fernwartbaren Software ausgestattet (RealVNC) waren. Wie so oft wies diese Software eine Sicherheitslücke auf, sodass man sich unbefugt Zugriff verschaffen konnte – nicht auszudenken, was passieren könnte, wenn ein Hacker beispielsweise an einer Hauptverkehrsader alle Ampeln (bzw. „Wechsellichtzeichenanlage“ lt. StVO) plötzlich auf grün stellen würde.

Der Fehler ist also längst bekannt, ein Update der Software wird dringend angeraten – und dennoch läuft in vielen Ampeln immer noch die veraltete Softwareversion. Und selbst wenn das BSI in dem an sie herangetragenen Fall die Sache so nicht bestätigen konnte, belegt dieses erschreckende Beispiel doch, wie schnell Verantwortliche einem enormen persönlichen Haftungsrisiko gegenüberstehen können: Nutzt ein Angreifer (egal ob minderjähriger Computerfreak oder krimineller Erpresser) eine solche Lücke, geht der potenzielle Schaden schnell in die Millionen. Der verantwortliche Manager der Baufirma, der seine Ampeln nicht auf dem aktuellen Stand gehalten hat, haftet dann gegebenenfalls mit seinem gesamten Privatvermögen, da er eindeutig eine Pflichtverletzung begangen hat.

Dieses sicherlich spektakuläre Beispiel soll deutlich machen, wie schnell man gegen gesetzliche oder sonstige Anforderungen im Alltagsleben verstoßen kann und was daraus möglicherweise resultiert. Oft sind es jedoch längst nicht so spektakuläre Fälle, sondern vielmehr kleine, leicht zu übersehene Anforderungen von Gesetzen oder Verordnungen, die zu finanziellen Schäden für das Unternehmen oder bei Dritten führen können – Schäden, welche Gesellschafter dann womöglich beim zuständigen Manager einfordern.

War es früher noch eine Art Unding, über eine solche Haftung auch nur nachzudenken (schließlich hatte sich der eigene Geschäftsführer doch jahrelang für „sein“ Unternehmen „krumm gebuckelt“), so zeigen die letzten Jahre doch, wie schnell man sich heute von solchen altgedienten Kollegen verabschiedet und die ehemaligen „Kumpel“ vor Gericht wiedertrifft. Die Verteidigung gegen solche Forderungen wird zumeist noch dadurch erschwert, dass der Betroffene etwa nach einer fristlosen Kündigung mit sofortiger Freisetzung gar keine Möglichkeit mehr hat, entlastende Belege (z. B. E-Mails oder Schriftstücke) für sich zu sichern – denn diese unterliegen ja vollständig dem Zugriff des Unternehmens.

Sicherheitsgesetz & Co.

Überdies stellen die jüngsten Gesetze zu IT-Sicherheit und Datenschutz hohe Anforderungen an die Verantwortlichen – das IT-Sicherheitsgesetz (IT-SiG) an die Betreiber von IT-Infrastrukturen, an Betreiber kritischer Infrastrukturen und Unternehmen, die mit besonders wertvollen Informationen umgehen. Die Pflichten dieses Gesetzes treffen natürlich zunächst den Geschäftsführer, denn er ist in der Position, Änderungen in seinem Unternehmen anzuordnen oder Sicherheitsmaßnahmen durchzusetzen. Dies kann mit der Anordnung des regelmäßigen Wechselns des persönlichen Passworts anfangen und mit der Installation einer Firewall noch längst nicht aufhören.

Das IT-Sicherheitsgesetz verpflichtet zum Beispiel die Betreiber kritischer Infrastrukturen, ihre IT nach dem „Stand der Technik“ abzusichern und alle zwei Jahre zu evaluieren, ob der Schutz noch angemessen ist. Das BSI ist befugt, bei erkannten Mängeln deren Beseitigung anzuordnen. Und die Betreiber müssen sich sogar selbst „anzeigen“: Wenn erhebliche Störungen der IT vorliegen und dies Auswirkungen auf die Verfügbarkeit kritischer Dienstleistungen haben kann, müssen sie dies dem BSI melden. Wann eine Infrastruktur als „kritisch“ im Sinne des Gesetzes angesehen wird, ergibt sich aus der BSI-KritisV von 2016, der „Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz“ – dort werden bestimmte Mindest-Schwellenwerte genannt, um nicht jeden Ein-Mann-Betrieb zu treffen und zu verpflichten.

Dies heißt im Umkehrschluss aber nicht, dass ein Ein-Mann-Betrieb untätig bleiben darf: Denn die allgemeinen Pflichten, Schäden für seine Kunden abzuwehren, gelten auch dort (und natürlich bei Unternehmen aller „Zwischengrößen“). Wer Daten nicht mit verhältnismäßigen und zumutbaren Maßnahmen nach den Stand der Technik sichert, muss im Zweifel mit Folgen rechnen.

Auch für Telekommunikationsunternehmen hat sich die Situation verschärft: Sie müssen ihre Kunden warnen, wenn sie merken, dass deren Anschluss für Angriffe auf IT missbraucht wird. Zudem wurde die bestehende Meldepflicht für erhebliche IT-Sicherheitsvorfälle nochmals erweitert. TK-Unternehmen müssen ihre Infrastruktur ebenfalls nach dem Stand der Technik vor unerlaubten Eingriffen schützen – diese Maßnahmen müssen zudem den Schutz personenbezogener Daten umfassen. Und von den vielen mehr oder minder neuen Verpflichtungen aufgrund der EU-Datenschutzgrundverordnung (DSGVO) wollen wir an dieser Stelle gar nicht schon wieder anfangen …

Teile und herrsche!

Selbstverständlich können und werden Geschäftsführer solche Pflichten an ihre IT-Fachleute und andere Fachabteilungen im Hause delegieren. Der Manager darf dann an sich darauf vertrauen, dass diese ordentlich arbeiten und ist aus der Haftung erstmal raus. Liegen jedoch beispielsweise Anhaltspunkte vor, dass die ein oder andere Abteilung angeordnete Dinge „nicht ganz so präzise“ umsetzt, so ist er schon wieder in der Verpflichtung, dies mit besonderem Augenmerk zu prüfen.

Was kann beziehungsweise sollte der Verantwortliche also tun? Denn bei der schier unübersichtlichen Menge an Verantwortung kann er ja schnell etwas übersehen, im Alltagsstress mal eine falsche Anordnung geben, die sich böse auswirkt, und so weiter und so fort. Zum einen kann er bestimmte Aufgaben an Fachleute delegieren, die diese eigenständig wahrzunehmen haben und dafür Sorge tragen müssen, dass die damit verbundenen Pflichten erfüllt werden. Einschreiten muss der Manager nur dann, wenn er Kenntnis davon hat, das dies nicht zuverlässig geschieht – er sollte sich daher in regelmäßigen Reportings berichten lassen und selbst davon überzeugen, dass alles regelgerecht umgesetzt ist.

Sehr sinnvoll ist auch der Einsatz eines externen Beraters, etwa eines Sicherheitsfachmanns für die Technik oder eines spezialisierten Juristen für Rechtsfragen. Solche Fachleute werden letztlich von der Firma bezahlt und der Manager darf davon ausgehen, dass diese lege artis arbeiten und sich so aus der Verpflichtung nehmen. Wenn etwas zu komplex oder zu spezifisch wird, ist er sogar gehalten, externe Spezialisten hinzuzuziehen, wenn er oder sein Unternehmen die notwendige Expertise fachlich nicht selbst abdecken.

Zum anderen können Manager eine D&O-Versicherung (DOI – Directors and Officers Insurance) abschließen, was eigentlich fast immer dringend anzuraten ist: Die Prämie zahlt meist die Firma, der Schutz kommt aber dem Manager zugute. Bei Einstellungsverhandlungen oder neu übertragenen Aufgabenbereichen sollte man direkt hierauf zu sprechen kommen – und Wert darauf legen, dass nicht nur ein großer Firmenwagen zur Verfügung gestellt, sondern auch eine D&O-Versicherung abgeschlossen wird.

Wichtig ist, dass diese Versicherung auch den Bereich des Strafrechts abdeckt, denn in der Praxis gehen solche Schadensersatzansprüche oft mit strafrechtlichen Vorwürfen einher. Tatsächlich geht die Praxis mittlerweile so weit, Manager unter anderem dann in die Haftung zu nehmen, wenn

• man ihnen Untreue oder Betrug zulasten der Gesellschaft vorwirft, wobei die Begriffe teils weit ausgelegt werden – etwa schon beim Verfolgen „ungünstiger“ Projekte oder dem Eingehen „ungünstiger“ Abschlüsse
• die Gesellschaft und ihre Struktur nicht so organisiert sind, dass Schäden abgewandt werden, sondern die Organisation es vielmehr zulässt, dass die Gesellschaft Schaden nimmt – hierfür genügt beispielsweise schon, dass in einem Krankenhaus durch mangelnde Organisation versäumt wird, neu eingestellte Ärzte die Approbationsurkunde vorlegen zu lassen und sich so Hochstapler einschleichen, oder zwar die Anordnung besteht, Passwörter monatlich zu wechseln und nirgendwo aufzuschreiben, dies aber nicht kontrolliert wird, obwohl Anhaltspunkte bestehen, dass dagegen verstoßen wird
• Weisungen der Gesellschafter missachtet warden
• gesetzliche Vorschriften nicht eingehalten warden

Fazit

Man muss es nochmals in aller Deutlichkeit sagen: Wer als Verantwortlicher im Unternehmen nicht dafür sorgt, dass beispielsweise Kundendaten nach dem Stand der Technik ausreichend geschützt sind oder zumindest entsprechende Anordnungen an seine IT-Fachleute weitergibt und sich anschließend so gut es geht auch davon überzeugt, dass alles umgesetzt wurde, der haftet mit seinem gesamten Vermögen, wenn es beispielsweise zu Datenlecks oder Imageschäden kommt oder womöglich die eigene Firma sogar schließen muss.