Das OLG Zweibrücken sah mit Urteil vom 18. August 2022 (4 U 198/21) u.a. keine Geschäftsführerhaftung im Zusammenhang mit Phishing-E-mails nach § 43 GmbHG. Die vom Unternehmen auf Schadensersatz verklagte Geschäftsführerin hatte Zahlungsaufforderungen aus sog. Phishing-E-Mails befolgt, deren Absenderadresse sich nur durch einen Buchstabendreher („…flim.com“ statt „…film.com“) von der bekannten Adresse eines Geschäftspartners unterschied, Der Beklagten fiel die abweichende E-Mail-Adresse zunächst nicht auf. Sie tätigte auf entsprechende Aufforderungen mehrere Geldüberweisungen auf verschiedene in den Phishing-E-Mails genannte Bankkonten in mehreren Ländern. Nachfolgend kam es seitens der Beklagten in der Zeit zwischen Mai und Anfang September 2020 zu Überweisungen in einem Gesamtwert von ca. USD 138.000.
Nach Ansicht des OLG hat die Beklagte keine sie gerade aus ihrer Stellung als Geschäftsführerin der Klägerin treffende (spezifische) Pflicht als Organwalterin der Gesellschaft verletzt. Zwar hat die Beklagte bei den Überweisungen (leicht) fahrlässig gehandelt, da ihr bei Wahrung der im geschäftlichen Zahlungsverkehr bei der Überweisung höherer Geldbeträge erforderlichen Sorgfalt der „Buchstabendreher“ in den zu den jeweiligen Geldüberweisungen auffordernden Phishing-Mails hätte auffallen können und müssen. Dies führt jedoch nicht zu der Annahme einer Pflichtverletzung im Sinne von § 43 Abs. 2 GmbHG. Die Beklagte haftet der Klägerin auch nicht aus § 280 Abs. 1 BGB oder nach § 823 BGB. Die Entscheidung hat hohe Relevanz für die deutsche Managerhaftung.
Danach gelten für Tätigkeiten, die lediglich bei Gelegenheit der Geschäftsführung vorgenommen werden (zB das Fahren eines Geschäfts-Pkw) der Pflichten-, Sorgfalts- und Haftungsmaßstab aus den allgemeinen Regeln. Das Verhalten des Geschäftsführers ist in solchen Fällen „an §§ 280 ff., 823 BGB und am Sorgfaltsmaßstab des § 276 Abs. 2 BGB zu messen“ u.a. (Noack/Servatius/Haas/Beurskens, 23. Aufl. 2022, GmbHG § 43 Rn. 6). Der erkennende Senat entscheidet dahin, dass der Sorgfaltspflichtverstoß der Beklagten, der in der Beauftragung von Geldüberweisungen aufgrund einer (gefälschten) Mitteilung einer geänderten Kontoverbindung des Empfängers W. bestand, nicht als Verletzung einer spezifisch organschaftlichen Pflicht anzusehen ist. Denn diese Tätigkeit wäre üblicherweise eine solche der Buchhaltung gewesen. Die der Beklagten als Geschäftsführerin übertragene Unternehmensleitung als solche ist hiervon nicht berührt, auch nicht in Form einer Verletzung von Überwachungspflichten.
Dieses Ergebnis findet nach Auffassung des Senats Bestätigung in § 93 AktG, dem § 43 Abs.2 GmbHG nachgebildet ist. Denn bei der Beurteilung der Verantwortlichkeit von Vorstandsmitgliedern nach § 93 AktG wird die vom Senat für zutreffend erachtete Auffassung übereinstimmend geteilt: „Als Pflichtverletzungen iSd § 93 Abs. 2 kommen nur organbezogene Tätigkeiten in Betracht. Wo das Verhalten eines Vorstandsmitglieds in keinem Sachzusammenhang mit seinen dienstlichen Pflichten steht, scheidet eine Organhaftung aus. Dies gilt insbesondere für Tätigkeiten „bei Gelegenheit“ der Geschäftsführung, die ebenso gut von einem Dritten hätten vorgenommen werden können. Paradigmatisches Beispiel ist die Fahrt mit dem Dienstwagen. In solchen Fällen greift statt § 93 Abs. 1 der allgemeine Sorgfaltsmaßstab des § 276 BGB ein.“ (BeckOGK/Fleischer, 1.9.2021, AktG § 93 Rn. 240 mit weiteren Nachweisen). Danach scheidet eine Haftung der Beklagten auf Schadensersatz aus § 43 Abs. 2 GmbHG aus.
Auch eine Haftung der Beklagten aus § 280 Abs. 1 BGB wegen Verletzung der sie aus dem Anstellungsvertrag als Geschäftsführerin treffenden Dienstpflichten oder aus § 823 BGB besteht nicht. Dabei kann dahinstehen, ob von der Beklagten nach dem Anstellungsvertrag die Sorgfalt verlangt werden kann, die ein ordentlicher Geschäftsmann in verantwortlich leitender Position bei selbstständiger Wahrnehmung fremder Vermögensinteressen zu beachten hat (Altmeppen, 10. Aufl. 2021, GmbHG § 43 Rn. 3 mit weiteren Nachweisen), was über den von jedermann zu beachtenden Sorgfaltsmaßstab in § 276 BGB hinaus geht (BeckOK GmbHG/Pöschke, 49. Ed. 1.8.2021, GmbHG § 43 Rn. 287 unter Verweis auf OLG Koblenz aaO). Denn die (wenn auch geringfügige) Abweichung der Absenderadresse bei den Phishing-Mails („film.com“ zu „flim.com“) hätte von der Beklagten bei einem höheren Maß an Aufmerksamkeit durchaus bemerkt werden können.
Unabhängig von der Verneinung einer spezifisch organschaftlichen Pflichtverletzung der Beklagten greift aber – die Klageabweisung selbständig tragend – im vorliegenden Fall zu Gunsten der Beklagten eine Haftungsmilderung in Anlehnung an die Grundsätze der Haftung von Arbeitnehmern im Rahmen des innerbetrieblichen Schadensausgleichs nach den arbeitsrechtlichen Grundsätzen der betrieblich veranlassten Tätigkeit (dazu Wilhelmi, NZG 2017, 681, 686f; Fritz, NZA 2017, 673, 678f). Danach ist hier – unter weiterer Berücksichtigung gerade auch der von dem Senat als glaubhaft erachteten Angaben der Beklagten in ihrer formlosen Parteianhörung zu ihren faktisch beschränkten Entscheidungskompetenzen in dem Unternehmen der Klägerin – sowohl eine Haftung der Beklagten aus § 280 Abs. 1 BGB i.V.m. dem Anstellungsvertrag als auch nach § 823 BGB und auch eine solche nach § 43 Abs. 2 GmbHG ausgeschlossen. Eine Haftungsmilderung kommt nach herrschender Meinung im Bereich der Organfunktion zwar grundsätzlich nicht in Betracht (Altmeppen, 10. Aufl. 2021, GmbHG § 43 Rn. 5 mit Darstellung des Streitstandes). Eine Ausnahme wird teilweise als möglich erachtet, wenn der Geschäftsführer wie jeder beliebige Dritte am Rechtsverkehr teilnimmt. In diesen Fällen sei eine analoge Anwendung der arbeitsrechtlichen Grundsätze zum innerbetrieblichen Schadenausgleich je nach Umständen des Einzelfalls möglich, die umso eher ausscheidet, je autonomer der Geschäftsführer handeln kann, und umso mehr in Betracht kommt, je mehr er in seinem Handeln – etwa als Geschäftsführer einer konzernabhängigen GmbH – gebunden ist (vgl. Lutter, GmbHR 2000, 301, 312, juris). Klassischer Beispielsfall ist die Beschädigung eines gesellschaftseigenen Dienstwagens durch den Geschäftsführer (Lutter, GmbHR 2000, 301, 312; aA OLG Koblenz, aaO). Legt man – wie nach Auffassung des Senats geboten – diesen Maßstab an das Handeln der Beklagten an, scheidet ihre Haftung auf Schadensersatz aus, weil sie bei den Fehlüberweisungen bloß leicht fahrlässig gehandelt hat (vgl. auch BAG NZA 1999, 263).
Letztlich scheide eine Haftung auch wegen Kenntnis der GmbH in Person des Alleingesellschafters und Mitgeschäftsführers aus. Der Alleingesellschafter sei bei der E-Mail-Kommunikation jeweils in „Cc“ eingebunden gewesen. Dennoch unterblieb eine ausdrückliche Anweisung, keine Gelder zu überweisen oder die Geschäftsbeziehungen mit W. zu beenden. Damit liegt ein sog. informelles Einverständnis der Klägerin mit der Handlungsweise der Beklagten vor, das die Haftung der Beklagten entfallen lässt. Denn der Befolgung eines Gesellschafterbeschlusses steht es gleich, wenn Geschäftsführer ohne förmliche Beschlussfassung im – auch stillschweigenden – Einverständnis aller Gesellschafter handeln (Verse in: Scholz, GmbHG, 12. Aufl. 2018 ff., § 43 GmbHG, Rn. 265).