Im Rahmen einer professionell durchgeführten Angriffsmethode wurden mittels Fake President Fraud (FPF) weisungsabhängige Mitarbeiter durch Ausnutzung menschlicher Eigenschaften (Vertrauensbezeugungen, Lob, e-mail und telefonische Kontakte sowie Zerstreuung von Zweifeln durch falsche Urkunden und vorgebliche Beteiligung seriöser Autoritäten (hier: Finanzmarktaufsicht)) geschickt manipuliert und getäuscht. Dies führte zu einem Fake President Fraud (FPF), wozu auch der OGH angerufen wurde und wichtige Aussagen für Geschäftsführer und Vorstände im Judikat vom 3.8.2021, 8 ObA 109/20t nunmehr aufzeigt:
Bei größeren Gesellschaften ist die Entwicklung sachgerechter Grundsätze der Geschäftspolitik und die Organisation des Unternehmens dergestalt, dass die Realisierung des Gesellschaftszwecks optimal gefördert wird, dass der Informationsfluss im Unternehmen so gestaltet wird, dass sich die Geschäftsleitung stets über betriebswirtschaftlich relevante Daten Gewissheit verschaffen kann und nicht riskiert, über Fehlentwicklungen erheblichen Ausmaßes nicht unterrichtet zu werden, Aufgabe der Geschäftsführer. Geschäftsführer schulden aber nicht einen bestimmten Erfolg, sondern nur eine branchen-, größen- und situationsadäquate Bemühung (RS0118177 [T1]; 6 Ob 198/15h; 9 ObA 136/19v; Koppensteiner/Rüffler, GmbH Gesetz3 § 25 Rz 10 ff mwN).
Unter der Sorgfalt eines ordentlichen Geschäftsmannes sind die Sorgfalt, die Fähigkeiten und die Kenntnisse zu verstehen, die von einem Geschäftsführer in dem betreffenden Geschäftszweig und nach der Größe des Unternehmens üblicherweise erwartet werden können. Der Sorgfaltsmaßstab darf nicht überspannt werden (RS0118177).
Zum Sorgfaltsmaßstab eines Geschäftsführers bei Ermessensentscheidungen betreffend verschiedene Möglichkeiten der Ausgestaltung von Kontrollsystemen ist die Orientierung an der „Business Judgment Rule“ angebracht (vgl § 84 Abs 1a AktG). Bei unternehmerischen Entscheidungen darf sich danach der Geschäftsführer nicht von sachfremden Interessen leiten lassen, Entscheidungen müssen auf Grundlage angemessener Information, wie beispielsweise schlüssiger Expertengutachten getroffen werden, sie müssen ex ante betrachtet offenkundig dem Wohl der juristischen Person dienen und der Geschäftsführer muss vernünftigerweise annehmen dürfen, dass er zum Wohle der juristischen Person handelt, er muss also hinsichtlich der übrigen Kriterien gutgläubig sein. Sind diese Voraussetzungen innerhalb des eingeräumten Ermessensspielraums kumulativ erfüllt, so ist er haftungsfrei. Entscheidungen dürfen nicht schon deshalb haftungsbegründend sein, weil sie sich ex post als nachteilig herausgestellt haben (RS0130656; RS0130657 ua; Torggler, Business Judgment Rule und unternehmerische Ermessensentscheidungen, ZfRV 2002/9, 133; vgl BGH II ZR 175/95, BGHZ 135, 244, 253 f).
Der Geschäftsführer einer Kapitalgesellschaft hat nur für ein ex ante pflichtwidriges Verhalten einzustehen. Eine Haftung des Gesellschaftsorgans setzt insoweit voraus, dass es seinen Ermessensspielraum überschreitet, eine evident unrichtige Sachentscheidung oder eine geradezu unvertretbare Entscheidung trifft. Es gibt dabei in einer Entscheidungssituation nicht zwingend nur eine richtige Entscheidungsalternative, sondern es können auch mehrere gegenteilige Handlungsalternativen sorgfaltskonform sein (RS0049459 [T3] = 6 Ob 150/15w). Eine Pflichtwidrigkeit liegt aber jedenfalls in der Verletzung rechtlicher Vorgaben (RS0130657 [T3]).
Das Ziel eines internen Kontrollsystems ist es, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnung zu gewährleisten und die Einhaltung der Geschäftspolitik zu unterstützen (Unger in WK GmbHG § 22 Rz 23 unter Hinweis auf 734 BlgNR 20. GP 63; ebenso Mollnhuber/Suesserott in U. Torggler, GmbHG § 22 Rz 8). Ziel sind die Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit (Mollnhuber/Suesserott aaO mwN). Regelmäßig basiert es wohl auf Überwachungsmaßnahmen organisatorischer und EDV-technischer Art, wie Unterschriftenregelungen, EDV Zugriffsbeschränkungen oder Arbeitsanweisungen und Kontrollmaßnahmen, die manuell oder automatisationsunterstützt, etwa Plausibilitätsprüfungen in der Buchhaltungssoftware, durchgeführt werden. Hinzu kommen Richtlinien und Regelwerke zur Definition von Standardprozessen sowie deren Dokumentation und eine interne Revision, die in diesem Zusammenhang die Aufgabe hat, bei wiederkehrenden Prüfungen die Effizienz eines IKS zu kontrollieren.
Es liegt aber auch auf der Hand, dass ein Fake President Fraud (FPF), der auf Methoden des „social engineering“ beruht und die angesprochenen Mitarbeiter gerade zur Umgehung der Kontrolleinrichtungen verleiten will, damit allein nicht verhindert werden kann.
Dabei ist die Ausnutzung menschlicher Eigenschaften ein zentrales Element der technologisch und psychologisch versierten bis hochprofessionellen Angreifer. Dem Mitarbeiter wird durch Vertrauensbezeugungen und Lob geschmeichelt, eine Vertrauensbasis hergestellt, die durch telefonische Kontakte und vorgebliche Beteiligung seriöser Autoritäten (hier: Finanzmarktaufsicht) verstärkt wird. Vorhandene Zweifel werden zerstreut, falsche Urkunden eingesetzt, alles mit dem Ziel, dass der Mitarbeiter die bestehenden Sicherungssysteme bewusst, vermeintlich im Auftrag des Vorstands und im Interesse des Unternehmens ausnahmsweise zu umgehen bereit ist (vgl Fritzsche, Eigenschaften von Fake President Fraud – Grundlagen zur Risikobeurteilung, Maßnahmenableitung und Reaktion im Einzelfall, Compliance-Berater 11/2017).
Im Ergebnis kann man festhalten, dass ein – nach dem Judikat des OGH – der Größe und der Branche des Unternehmens adäquat aufgebautes IKS und dessen regelmäßige Überprüfung auf dessen Einhaltung, Wirksamkeit sowie die regelmäßige Bewusstseinsbildung bei Mitarbeitern sowie die Einhaltung der Business Judgment Rule entscheidende Kriterien zur Nichthaftung von Geschäftsführern und Vorständen auch bei FPF darstellen.
Wir empfehlen als Abendlektüre das Judikat des OGH 3.8.2021, 8 ObA 109/20t, welches Sie unter https://www.ris.bka.gv.at/Dokumente/Justiz/JJT_20210803_OGH0002_008OBA00109_20T0000_000/JJT_20210803_OGH0002_008OBA00109_20T0000_000.html abrufen können.