Haftet der GmbH-Geschäftsführer bei Geldtransfers aufgrund von Phishing-E-Mails?
Achtung bei Phishing-E-Mails!
Unter „Phishing“ versteht man den Versand gefälschter E-Mails, die den Empfänger dazu verleiten sollen, auf einen Betrug hereinzufallen, nämlich Finanzinformationen, Zugangsdaten oder andere sensible Daten preiszugeben. Das Oberlandesgericht Zweibrücken hatte sich in diesem Zusammenhang mit der Frage zu befassen, ob der GmbH gegen ihren Geschäftsführer ein Schadensersatzanspruch zusteht, wenn dieser durch betrügerische Phishing-E-Mails zu Geldüberweisungen zulasten der GmbH veranlasst wurde.
GmbH-Geschäftsführer befolgte Zahlungsaufforderungen aus gefälschten E-Mails …
Die klagende GmbH, die weltweit mit Flächenbeschichtungsfolien handelt, begehrte von der beklagten früheren Mitgeschäftsführerin Schadensersatz in Höhe von über 100.000 US-$ und war der Meinung, diese habe ihre organschaftliche Pflicht verletzt, indem sie Gelder der GmbH auf Drittkonten im Ausland überwiesen hatte. Tatsächlich hatte die Geschäftsführerin Zahlungsaufforderungen aus sogenannten Phishing-E-Mails befolgt, deren Absenderadresse sich nur durch einen Buchstabendreher („…flim.com“ anstatt „…film.com“) von der bekannten Adresse eines Geschäftspartners der GmbH unterschied.
… und kam „ungeschoren“ davon
Zur Überraschung der klagenden GmbH hat das Gericht den Schadensersatzanspruch gegen die Mitgeschäftsführerin verneint; sie muss die überwiesenen Geldbeträge nicht erstatten. Warum? Weil sie nach Ansicht der Richter:innen keine spezifisch organschaftlichen Pflichten verletzt hatte. Nach dem gesetzlich geregelten Organhaftungsanspruch der GmbH gegen einen Geschäftsführer (§ 43 Abs. 2 GmbHG) haftet dieser gegenüber der GmbH – wenn er seine Sorgfaltspflichten verletzt – für den entstandenen Schaden. Dies war jedoch bei der Mitgeschäftsführerin nicht der Fall: Zwar hatte sie bei den Überweisungen (leicht) fahrlässig gehandelt, da ihr bei Wahrung der erforderlichen Sorgfalt im geschäftlichen Zahlungsverkehr – insbesondere bei der Überweisung höherer Geldbeträge – der „Buchstabendreher“ in den Phishing-E-Mails hätte auffallen können und müssen. Allerdings sei das Ausführen von Überweisungen üblicherweise Aufgabe der Buchhaltung, so das Gericht; die Unternehmensleitung sei nicht betroffen, auch nicht in Form einer Überwachungspflicht. Für solche Tätigkeiten, die ebenso gut von einem Dritten hätten vorgenommen werden können und die nur bei Gelegenheit von der Geschäftsführung vorgenommen worden seien, scheide eine Organhaftung aus.
In Cc gesetzter Alleingesellschafter hatte die Geschäftsführerin auch gewähren lassen
Schließlich erklärten die Richter:innen noch, dass der GmbH-Alleingesellschafter aufgrund seiner Cc-Einbindung in den E-Mail-Verkehr sein informelles Einverständnis zu den Überweisungen gegeben habe. Er sei trotz Sachverhaltskenntnis nicht eingeschritten, was die Haftung der Geschäftsführerin entfallen lasse. Denn der Befolgung eines Gesellschafterbeschlusses stehe es gleich, wenn ein Geschäftsführer ohne förmliche Beschlussfassung im – auch stillschweigenden – Einverständnis aller Gesellschafter:innen handele. Zwar hatte das Oberlandesgericht Zweibrücken die Revision zugelassen, diese ist aber (bedauerlicherweise) nicht eingelegt worden.
Oberlandesgericht Zweibrücken, Urteil vom 18.8.2022 – 4 U 198/21