Das OLG Nürnberg hat in einer Entscheidung aus dem März 2023 den Pflichtenkreis gerade von Geschäftsleitern in mittleren und kleinen GmbH’s per Federstrich wesentlich erweitert, indem es die „Einrichtung eines Compliance Management Systems“ unabhängig von der Unternehmensgröße fordert. Der nachfolgende Artikel beleuchtet die Implikationen dieser Entscheidung.
Die Entscheidung
Der Geschäftsführer (der alleinvertretungsberechtigten Komplementär-GmbH einer KG) verabsäumte es, seine 13 (!) Mitarbeiter ausreichend zu überwachen, so dass das Betriebsvermögen durch Manipulationen eines Mitarbeiters wesentlich geschädigt wurde. Die Strafverfahren gegen den Geschäftsführer und den manipulierenden Mitarbeiter wurden gegen Zahlung einer jeweils nicht unerheblichen Geldbuße eingestellt. Nach – vom OLG Nürnberg akzeptierten – Vortrag des Klägers hat der beklagte Geschäftsführer „die Einhaltung des Vier-Augen-Prinzips nicht gefordert“ (Rz. 69). Es verurteilte den Geschäftsführer wegen Verletzung der ihm als Geschäftsführer obliegenden Sorgfaltspflichten nach § 43 GmbHG zur Zahlung von Schadenersatz.
Soweit, so gut und so nachvollziehbar. Im weiteren Verlauf hat sich das OLG Nürnberg dann aber bemüßigt gefühlt, zusätzliche grundsätzliche Ausführungen zu treffen:
„Aus der Legalitätspflicht folgt die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern.“ (Rz. 115)
Aus Sicht der Rechtsberatung ist die Quintessenz dieser Entscheidung, dass der Geschäftsleiter eines – wie auch immer juristisch verfassten – Unternehmens ein Compliance-Management-System (CMS) und wahrscheinlich ein Internes-Kontroll-System (IKS; s. dazu Rz. 116) vorhalten muss.
Bewertung
Dieses Urteil geht weit über die bisher von der Rechtsprechung im Hinblick gerade auf die Erforderlichkeit eines CMS weit hinaus. Denn in seinem wegweisenden „Neubürger-Urteil“ aus dem Jahre 2013 hatte das LG München I (Urt. v. 10.12.2013 – 5 HK O 1387/10) bezüglich der Siemens AG noch geurteilt, dass „entscheidend für den Umfang [des CMS] im Einzelnen [sind] Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit.“ (Leitsatz). Sprich, die Unternehmensgröße spielt bei der Pflicht zur Etablierung eines CMS durchaus eine Rolle. Der BGH hat in seinem sog. „Panzerhaubitzen-Urteil“ (Urt. v. 9.05.2017 – 1 StR 265/16) dann die sanktionsmindernde Wirkung betont, die die Etablierung eines CMS nach sich ziehen kann („Für die Bemessung der Geldbuße ist zudem von Bedeutung, inwieweit die Nebenbeteiligte ihrer Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss….“ (Rz. 118)).
Das OLG Nürnberg bricht nun mit dieser Rechtsprechung, indem es die Pflicht zur Etablierung eines CMS undifferenziert auch auf kleine Unternehmen (s. zur Definition hier) ausdehnt. Schon aus diesem Grund erscheint die Nichtzulassung der Revision gegen das Urteil bedenklich. Darüber hinaus schießt die – zwar nicht ausdrücklich so bezeichnete, aber in Rz. 116 entsprechend umschriebene (und von der Literatur deswegen auch so verstandene) – Pflicht, unabhängig von der Unternehmensgröße ein IKS vorzuhalten, über das Ziel hinaus. Denn das zur Begründung dieser Pflicht genannte Urteil des BGH (vom 20.02.1995 – II ZR 9/94) hatte vor dem Hintergrund der Verpflichtung zur Einberufung einer Gesellschafterversammlung bei Verlust der Hälfte des Stammkapitals nach § 49 Abs. 3 GmbHG bzw. auf die Verpflichtung zur Stellung eines Insolvenzantrages (jetzt § 15a InsO) nur festgestellt, dass der Geschäftsführer einer GmbH für „eine Organisation sorgen [muss], die ihm die dafür erforderliche Übersicht über die wirtschaftliche und finanzielle Situation der Gesellschaft jederzeit ermöglicht.“ Während also der BGH eine Überwachungspflicht für genau bestimmte – gesetzlich fixierte – Tatbestände manifestierte, entgrenzt das OLG Nürnberg die Pflichten. Denn bei CMS und IKS handelt es sich um die Etablierung von Systemen, die das Gesamtunternehmen umfassen und anlaßunabhängig betrieben werden, die Etablierung derartiger Systeme folgt genau bestimmten Standards – etwa dem IDW PS 980 für CMS oder IDW PS 982 für IKS. Diese Standards sind ersichtlich nicht für kleine (und im Zweifel auch nicht für mittlere) Unternehmen zugeschnitten.
Nun mag man einwenden, dass der Gesetzgeber ja mit der Einführung des StaRUG schon selbst für eine ähnliche Entgrenzung gesorgt habe. So schreibt die Regelung des § 1 StaRUG seit 2021 vor, dass Geschäftsleiter (größen und rechtsformunabhängig) „fortlaufend über Entwicklungen, welche den Fortbestand der juristischen Person gefährden können“ zu wachen haben.“ Allerdings hat sich der Gesetzgeber gleichzeitig in § 101 StaRUG verpflichtet, entsprechende „Informationen über die Verfügbarkeit der von öffentlichen Stellen bereitgestellten Instrumentarien zur frühzeitigen Identifizierung von Krisen“ im Internet bereit zu stellen – und tut dies auch: BMJ: „Frühwarnsysteme nach § 101 StaRUG“. Eine Betrachtung dieser Links (s. dazu auch hier) zeigt, dass die darin vorgehaltenen „Informationen“ wesentlich geringeren und spezifischeren Aufwand auf Seiten der Unternehmen bedingen, als dies die Einrichtung eines CMS oder IKS erfordert.
Zahlreiche das CMS betreffende Regelungen richten sich zudem nach der Unternehmensgröße, etliche Gesetzeswerke greifen z.B. erst ab bestimmten Mitarbeiterzahlen (HinGSchG, 50 MA, s. hier oder LKSG, 1.000 MA, hier).
Fazit: Zusammenfassend trifft den Geschäftsleiter nach dem Stand der derzeitigen obergerichtlichen Rechtsprechung die Pflicht zur Einrichtung eines CMS und IKS – und zwar größenunabhängig. Zusätzlich zu den sich verschärfenden wirtschaftlichen Bedingungen der Unternehmen steigt damit der bürokratische Aufwand und die Haftungsrisiken für Geschäftsleiter weiter.
Bis zu einer (hoffentlich erfolgenden) erneuten Begrenzung der durch das OLG Nürnberg statuierten Pflichten ist auch Geschäftsleitern von kleinen Unternehmen anzuraten, sich mit den Möglichkeiten auseinanderzusetzen, möglichst effizient ein effektives (sprich haftungsminimierendes) CMS und IKS in ihren Unternehmen zu etablieren. Ob es dabei mit der Etablierung eines Vier-Augen-Prinzips sowie der Überwachung der Einhaltung desselben getan ist, darf bezweifelt werden.