Haftung einer GmbH-Geschäftsführerin nach Phishing-Attacke

Ausgangslage

Die Geschäftsführerin einer GmbH wurde Opfer einer Phishing-Attacke. Bei dieser erhielt sie mehrere E-Mails, in denen sie von einem vermeintlichen Geschäftspartner aufgefordert wurde, verschiedene Rechnungen zu begleichen. Der oder die Täter vertauschten dabei in der von ihnen verwendeten E-Mail-Adresse zwei Buchstaben im Vergleich zur E-Mail-Adresse des tatsächlichen Geschäftspartners der GmbH. Daraufhin beauftragte die Geschäftsführerin die erbetenen Überweisungen. Diese erfolgten schließlich auf das Konto eines unbekannten Dritten und nicht auf das Konto des eigentlichen Geschäftspartners. Dies fiel erst auf, nachdem die Hausbank der GmbH auf Unregelmäßigkeiten hingewiesen hatte. Der verursachte Schaden belief sich auf 83.960,76 US-Dollar. Daraufhin nahm die geschädigte GmbH ihre, inzwischen frühere, (Mit-) Geschäftsführerin auf Schadenersatz wegen behaupteter Pflichtverletzungen im Zuge der beschriebenen Überweisungen in Anspruch. Das LG Frankenthal wies die Klage in erster Instanz ab. Die Berufung wurde durch das OLG Zweibrücken zurückgewiesen.

Entscheidung des OLG Zweibrücken

Das OLG Zweibrücken lehnt in seinem Urteil vom 18.08.2022 – 4 U 198/21 – eine Haftung der Geschäftsführerin für den durch die Phishing-Attacke verursachten Schaden ab.

Zunächst in den Blick genommen wird dabei eine Haftung nach § 43 II GmbHG. Dabei vertritt das OLG die Auffassung, dass eine Haftung nach dieser Vorschrift die Verletzung einer spezifisch organschaftlichen Pflicht voraussetze. Es wird herausgearbeitet, dass die Rechtsprechung zu dieser Frage nicht eindeutig sei. Lediglich im Falle eines sog. „Risikogeschäfts“ bzw. grob fahrlässigen Handelns, was vorliegend jeweils abzulehnen sei, hätten diverse Oberlandesgerichte eine Haftung nach § 43 II GmbHG auch ohne die Verletzung einer spezifisch organschaftlichen Pflicht angenommen. Die vorliegende Handlung (die Beauftragung von Überweisungen) sei allerdings nicht als Verletzung einer spezifisch organschaftlichen Pflicht anzusehen, sondern nur als bei Gelegenheit der Geschäftsführung vorgenommen, da diese üblicherweise durch die Buchhaltung vorgenommen werde und die der Geschäftsführerin übertragene Unternehmensleitung davon nicht berührt werde. Das OLG schließt sich sodann der überwiegenden Literaturmeinung an, wonach für solche Tätigkeiten, die lediglich bei Gelegenheit der Geschäftsführung vorgenommen werden, der Pflichten-, Sorgfalts- und Haftungsmaßstab der allgemeinen Regeln gelte, weswegen ein solches Verhalten an den §§ 280 ff., 823 BGB zu messen sei.

Eine Haftung aus §§ 280 I, 823 BGB lehnt das OLG ebenfalls ab. Es überträgt hierbei die aus dem Arbeitsrecht stammende Figur des sog. „innerbetrieblichen Schadensausgleichs“ auf das Verhältnis zwischen einem Geschäftsführer und einer GmbH. Zwar komme diese analoge Anwendung im Bereich der Organfunktion des Geschäftsführers nicht in Betracht, die Anwendung sei aber möglich, wenn der Geschäftsführer wie jeder beliebige Dritte am Rechtsverkehr teilnimmt. Zu berücksichtigen sei dabei auch die Handlungsautonomie des Geschäftsführers. Je größer diese sei, desto eher scheide eine analoge Anwendung aus. Da die Geschäftsführerin vorliegend nur leicht fahrlässig gehandelt habe, komme es nach den Maßstäben des sog. „innerbetrieblichen Schadensausgleichs“ zu einem kompletten Haftungsausschluss.

Fazit

Das OLG Zweibrücken setzt durch dieses Urteil die Anforderungen an die Haftung eines GmbH-Geschäftsführers gegenüber der Gesellschaft hoch an. Nur wenn eine spezifisch organschaftliche Pflicht verletzt wird, kommt die Haftung gem. § 43 II GmbHG überhaupt erst in Betracht. Sollte eine weitergehende Haftung seitens der Gesellschaft gewünscht sein, kommt dem Anstellungsvertrag eine gesteigerte Bedeutung zu. Inwiefern in diesem der Pflichtenkanon des Geschäftsführers erweitert werden kann, thematisiert das OLG Zweibrücken nicht. Daher ist anzuraten, sich in dieser Frage juristisch beraten zu lassen.

Außerhalb des § 43 II GmbHG gilt grundsätzlich der allgemeine Haftungsmaßstab. Indem das OLG Zweibrücken aber die Grundsätze des sog. „innerbetrieblichen Schadensausgleichs“ heranzieht, wird die Haftung zumindest für normale und leichte Fahrlässigkeit weiter eingeschränkt. Inwiefern hier eine Modifikation des Haftungsmaßstabs durch den Anstellungsvertrag vorgenommen werden kann, wird durch das OLG Zweibrücken zwar ausdrücklich offen gelassen, allerdings scheint es hier dazu zu tendieren, eine Abweichung nicht zuzulassen.

Die Revision zum BGH wurde zugelassen, die weitere Entwicklung bleibt also abzuwarten.