1. 1. Einleitung

Die Business Judgment Rule („BJR“) anerkennt, dass die Unternehmensorgane nicht für Schäden haften, solange Entscheidungen „vernünftig“ vorbereitet und getroffen werden und soweit das Unternehmen „vernünftig“ organisiert ist. Organisation ist nicht „alles“, bietet dem Geschäftsleiter aber die Chance, unternehmerisch zu führen, ohne sich in Haftung zu verstricken. Was eine vernünftige Organisation ist, ist zunächst ebenfalls eine unternehmerische Frage. Ein Entscheid des OLG Nürnberg von 2022[1] macht aber deutlich, dass die Gerichte nicht davor zurückscheuen, organisatorische Standards aufzustellen. Das steht im Einklang mit der wachsenden Neigung des Gesetzgebers, inhaltliche Vorgaben an Unternehmen mit organisatorischen Anweisungen zu flankieren. Dass dies nicht immer überzeugt, zeigt das Urteil des OLG Nürnberg.

1. 2. Das Urteil
      1. Sachverhalt

Ein kleines Tankstellen-Unternehmen gab an Kunden Karten aus, mit denen sich bargeldlos tanken ließ. Ein Mitarbeiter verschleierte ungetreu, systematisch und mit krimineller Energie umfangreiche Überschreitungen von Kartenlimiten, und das Unternehmen fiel mit erheblichen Forderungen bei den betreffenden Kunden aus. Das Unternehmen nahm den Geschäftsführer in Anspruch, u.a. weil er bei Überwachung der Kreditlimite nicht nach dem Vier-Augen-Prinzip zwei Mitarbeiter eingesetzt, sondern sich auf einen Mitarbeiter verlassen hatte. Der Geschäftsführer hielt dagegen, mit derartiger krimineller Energie habe er nicht zu rechnen brauchen (Vertrauensgrundsatz), zumal der Mitarbeiter seit vielen Jahren eine Vertrauensstellung innegehabt habe und der Geschäftsführer mit ihm „regelrecht befreundet“ gewesen sei.[2]. Er habe zudem seit geraumer Zeit nach einem weiteren Mitarbeiter gesucht, um die Kreditlimite mit vier Augen überwachen zu lassen, aber keinen geeigneten Bewerber gefunden.

1. 1. 2. Der Entscheid des OLG[3]

Das OLG Nürnberg hat den Geschäftsführer zu Schadensersatz verurteilt.[4] Der Geschäftsführer habe es unterlassen, „im Rahmen der internen Unternehmensorganisation … Compliance-Strukturen zu schaffen, die ein rechtmäßiges und effektives Handeln gewährleisten“. Das zeige sich daran, dass der Geschäftsführer keine Maßnahmen ergriffen habe, um das Vier-Augen-Prinzip im schadensträchtigen Bereich der Ausgabe von Tankkarten, deren Verbuchung und der Zuordnung an Kartenkunden einzuhalten. Vier-Augen-Kontrolle sei branchenübergreifend bei einer Vielzahl von unternehmensinternen Arbeitsprozessen zu finden. Kritisch seien Prozesse immer dann, wenn sie bei einer nicht ordnungsgemäßen Durchführung Personenschäden oder erhebliche finanzielle Auswirkungen zur Folge haben können[5]. Es sei unerheblich, dass der Geschäftsführer kein geeignetes Personal gefunden habe; denn „soweit aus diesem Grund eine Überwachung nicht delegiert werden konnte, hätte der Beklagte selbst die notwendigen Überwachungstätigkeiten durchführen müssen“.

1. 1. 3. Organisation bei Delegation

Gerade wenn der Geschäftsführer Maßnahmen an Unternehmensmitarbeiter delegiere, müsse er eine angemessene interne Organisationsstruktur schaffen, so dass der Geschäftsführer - so das OLG Nürnberg - „jederzeit Überblick über die wirtschaftliche und finanzielle Lage der Gesellschaft hat“. Dies erfordere „ggf. ein Überwachungssystem, mit dem Risiken für Unternehmensfortbestand erfasst und kontrolliert werden können“[6]. Aus der Legalitätspflicht folge zudem „die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern“.

Zu ordnungsmäßiger Delegation gehöre auch „eine hinreichende Kontrolle, die nicht erst dann einsetzen darf, wenn Missstände entdeckt worden sind. …Über diese allgemeine Kontrolle hinaus muss der Geschäftsführer die Aufsicht so führen, dass Unregelmäßigkeiten auch ohne ständige unmittelbare Überwachung grundsätzlich unterbleiben.“

1. 1. 4. Grenzen der Kontrolle

Immerhin sollen nach dem OLG Aufsichtsmaßnahmen „eine äußere Grenze … an ihrer objektiven Zumutbarkeit [finden]. Dazu gehören auch die Beachtung der Würde der Unternehmensangehörigen und die Wahrung des Betriebsklimas, die überzogenen, von zu starkem Misstrauen geprägten Aufsichtsmaßnahmen entgegenstehen“.

1. 3. Keine Verallgemeinerungsfähigkeit

Die abstrakten Formulierungen des OLG Nürnberg gehen jedoch zu weit und lassen sich nicht verallgemeinern: § 43 Abs. 1 GmbHG, § 93 AktG setzen zwar einen objektiven Standard.[7] Andererseits ist das Unternehmen (Art, Größe, wirtschaftliche Lage) sowie die konkrete Geschäftsführungsmaßnahme (Umfang, Bedeutung, Folgen) zu berücksichtigen („objektiv-relativer“ Standard).[8] Außerdem sind im Rahmen der BJR Kosten und die Nachteile derartiger Organisationsmaßnahmen zu berücksichtigen, aber auch die sich verdichtende empirische Erkenntnis, dass viele Compliance Management Systeme ihr Ziel verfehlen:

1. 1. 1. Vier – Augen – Prinzip

Entgegen dem Urteil lässt sich kein allgemeiner Grundsatz aufstellen, dass kritische Vorgänge im Unternehmen (oder gar Buchhaltungsvorgänge) durchweg jeweils von zwei Personen betreut werden müssen. Soweit dem Autor bekannt, werden beispielsweise die buchhalterischen Zwischenschritte vom Geschäftsvorfall über den Beleg zur Verbuchung im Betriebskontenrahmen in keinem Unternehmen (durchgängig) von zwei Mitarbeitern parallel betreut. Das wäre viel zu aufwändig.

1. 1. 2. Jederzeitiger Überblick über die wirtschaftliche und finanzielle Lage

Einen „jederzeitigen (sic!) Überblick über die wirtschaftliche und finanzielle Lage der Gesellschaft“, wie OLG Nürnberg - und auch der BGH[9] - ihn verlangen, hat nur eine Geschäftsleitung, deren Finanz- und Betriebsbuchhaltung alle Geschäftsvorfälle in Echtzeit elektronisch erfassen und aufbereiten kann. Hierzu verpflichten § 239 Abs. 2, 4 HGB, § 91 Abs. 1 AktG nicht. Die notwendige ERP (Enterprise Ressources Planning) – Software ist teuer und ihre Installierung fehleranfällig und dornenreich. (Die Richter des OLG Nürnberg mögen sich die Schwierigkeiten ihrer Gerichte schon mit dem sehr viel einfachen beA – Postfach vor Augen halten). Ob es sich „lohnt“ ein derartiges Programm anzuschaffen, setzt die Abwägung von Kosten und Nutzen voraus, die von Unternehmen zu Unternehmen anderes ausfallen kann. Das ist eine unternehmerische Entscheidung. Eine Sorgfaltspflicht zur Anschaffung von ERP-Software kann es daher nicht geben.[10]

1. 1. 3. Mitarbeitermangel

In der Tat kann es schadensträchtig sein, wenn wichtige Positionen in einer Organisation nicht besetzt sind. Pressebekannte Fälle von Organisationsverschulden der öffentlichen Hand zeigen dies zuweilen tragisch, so beim Diebstahl von Krebsmedikamenten in Brandenburg. Dass die Medikamente trotz mangelnder Wirkung in Umlauf gerieten, war nach Medienberichten auch dem Umstand geschuldet, dass im Gesundheitsministerium Brandenburg für die Überwachung zuständige Stellen unbesetzt geblieben waren.[11]. Daher muss die Geschäftsleitung Vorkehrungen treffen. Sie kann freilich in aller Regel nicht alles selbst machen und dann ihre sonstigen Aufgaben vernachlässigen, sondern muss gegebenenfalls umorganisieren und umdelegieren. Das geht freilich nicht stets und sofort, kann an arbeitsrechtliche Schranken stoßen und in Zeiten zunehmender Personalknappheit auch scheitern. Je nach den Gegebenheiten ist dann zu prüfen, ob es sinnvoller ist, die betreffenden Risiken schlicht in Kauf zu nehmen[12] statt den Geschäftsbetrieb einzustellen oder einzuschränken.

1. 1. 4. Pflicht zu Compliance Systemen?

All‘ dies sät Zweifel am Schluss des OLG Nürnberg, aus der Legalitätspflicht die Pflicht zur Einrichtung eines bestimmten Compliance Management – Systems (hier: Vier-Augen-Prinzip) abzuleiten: Zahlreiche Organisationen, insbesondere Unternehmen und Behörden, versuchen in der Tat, die Regeltreue in der Organisation durch Compliance Management Systeme (CMS) zu erhöhen.[13] Freilich entfaltet der Aufwand, der in CMS gesteckt wird, nach den Erkenntnissen der Empirie nur beschränkte Wirkung. [14] Die Zahl der Hinweise darauf, dass CMS vielfach verpuffen, wächst.[15] Die Fälle, in denen es trotz millionenschweren Aufwands in CMS zu Regelverstößen kommt, erhärten diesen Befund. Unternehmensbezogene Regelverstöße haben nach den Erkenntnissen der empirischen Forschung zu „White Collar Crime“ ihre Ursache vielfach in einer unvorhersehbaren Koinzidenz von Tätereigenschaften und Gelegenheit.[16] Dass sich empirisch nicht sicher bestimmen lässt, ob und wie CMS wirken, relativiert den zum abstrakten Rechtssatz verdichteten Grundsatz des OLG Nürnberg, aus der Legalitätspflicht folge die Pflicht zu CMS (oder gar bestimmten CMS). Hier gilt Ermessen.[17]

1. 4. Schlußbemerkung

Auch nach dem Urteil ist also nicht davon auszugehen, dass sich das Vier-Augen-Prinzip faktisch zum Standard für kritische Prozesse entwickelt. Ungeachtet dessen ist das Urteil Anlass für Geschäftsleiter, die Ablauforganisation kritischer Prozesse in Unternehmen zu überprüfen. Die Vorgaben, die die neue Corporate Sustainability Reporting Directive (CSRD)[18] und die sich abzeichnende Corporate Sustainability Due Diligence Directive (CSDDD) mit sich bringen, verstärkt dies weiter.[19]

[1] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19, Rn. 74 ff.; DB 2022, 2153 = NZG 2022, 1058.

[2] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19, Rn. 100 f.

[3] Ausführlichere Darstellung bei Reuter, NZG 2023, 322 ff.

[4] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19, Rn. 104 ff.

[5] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19, Rn. 105.

[6] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19, Rn. 79 mit Hinweis auf BGH, Urt. v. 20.02.1995 - II ZR 9/94, ZIP 1995, 560, Rn. 7 bei juris; Beurskens in Noack/Servatius/Haas, GmbHG, 23. Aufl., § 43, Rn. 29, § 37, Rn. 11.

[7] Paefgen in Habersack/Casper/Löbbe, GmbHG Großkommentar, 3. Aufl. 2020, § 43, Rn. 36 ff.; Beurskens in Noack/Servatius/Haas, GmbHG, 23. Aufl., § 43 Rn. 8, 9; OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19, Rn. 105; das OLG verweist in diesem Zusammenhang auch auf § 347 HGB. Dies ist, worauf Paefgen hingewiesen hat, allerdings dogmatisch unrichtig, Paefgen, a.a.O., Rn. 37, weil dem Einzelkaufmann gegenüber sich selbst größere Freiheiten zukommen als dem Geschäftsleiter nach § 43 GmbHG, § 96 AktG.

[8] Paefgen in Habersack/Casper/Löbbe, GmbHG Großkommentar, 3. Aufl. 2020, § 43, Rn. 36 ff.Näher Reuter, NZG 2023, 322, 324.

[9] BGH, Urt. v. 20.02.1995 - II ZR 9/94, Rn. 9.

[10] Näher Reuter, NZG 2023, 322, 323 f.

[11] https://www.deutschlandfunk.de/gestohlene-und-gefaelschte-krebsmedikamente-pharmaskandal-100.html; näher Reuter, Unternehmensbußen – ein verfassungsrechtlicher Holzweg, ZIP 2018, 2198, 2199.

[12] Zu verneinen in einem Fall wie „Krebsmedikamente Brandenburg“, in dem es um Leib und Leben ging; vgl. Näher Reuter, NZG 2023, 322, 325.

[13] Überblick bei Reuter, Verbessern Unternehmenssanktionen die Rechtstreue des Managements? – Kriminologische Antworten mit verfassungsrechtlichen Konsequenzen, FS Thümmel, Berlin 2020, S. 674, 686 f.; ders., EU Corporate Fines Hit the Wrong and Fails Their Purpose – Empirical Considerations and their Con-sequences from the Perspective of Shareholders’ Fundamental Rights, EuCLR 2020, 365, 379 ff., Open Access / DOI: 10.5771/2193-5505-2020-3-365.

[14] Näher Reuter, NZG 2023, 322, 324.

[15] Näher Reuter, NZG 2023, 322, 324.

[16] Reuter, Verbessern Unternehmenssanktionen die Rechtstreue des Managements? – Kriminologische Antwor-ten mit verfassungsrechtlichen Konsequenzen, FS Thümmel, Berlin 2020, S. 674, 687 f.

[17] Eindringlich Paefgen, „Compliance“ als gesellschaftsrechtliche Organpflicht?, WM 2016, 433 ff.; ebenso Näher Reuter, NZG 2023, 322, 325.

[18] Richtlinie (EU) 2022/2464 vom 14.12.2022.

[19] Vorschlag für eine Richtlinie über die Sorgfaltspflichten von Unternehmen im Hinblick auf Nachhaltigkeit und zur Änderung der Richtlinie (EU) 2019/1937, COM/2022/71 final, Dokument 52022PC0071