Zur Geschäftsführerhaftung bei Phishing-Angriffen
Im digitalen Anglerlatein bezeichnet Phishing – abgeleitet vom englischen „fishing“ für Angeln – eine tückische Methode, bei der Cyberkriminelle mittels Spam-Mails, Direktnachrichten sowie durch geschickt erstellte Webseiten oder Profile versuchen, an die persönlichen Daten eines ahnungslosen Nutzers zu gelangen. Die heimtückischen Absichten hinter Phishing reichen vom Diebstahl von Eigentum und sensiblen Informationen bis hin zur kompletten Plünderung von Bankkonten oder gar dem beunruhigenden Identitätsdiebstahl.
Urteil des Oberlandesgerichts Zweibrücken
In einem Urteil vom 18. August 2022 unter dem Aktenzeichen 4 U 198/21 verhandelte das Oberlandesgericht Zweibrücken einen solchen Fall und wies eine Klage auf Schadensersatz gegen eine GmbH-Geschäftsführerin schließlich zurück. Diese war durch betrügerische E-Mails dazu verleitet worden, Geldüberweisungen zu Lasten der GmbH zu tätigen. Die Phishing-E-Mails wiesen eine subtile Abweichung in der Absenderadresse auf – ein Buchstabendreher, der die Adresse des Geschäftspartners leicht verfälschte.
Der Gerichtssenat verneinte zunächst eine Haftung der Geschäftsführerin gemäß § 43 Abs. 2 GmbHG, der vorsieht, dass ein Geschäftsführer für Schäden haftet, die durch die Verletzung seiner Sorgfaltspflichten entstehen. Der Senat argumentierte, dass die Geschäftsführerin zwar leicht fahrlässig gehandelt habe, jedoch keine spezifischen Pflichten verletzt habe, die ausschließlich ihrer Rolle als Geschäftsführerin zuzuordnen seien. Die Durchführung von Überweisungen sei üblicherweise Aufgabe der Buchhaltung gewesen, wodurch die Unternehmensleitung nicht unmittelbar betroffen war. Für derartige Tätigkeiten, die gelegentlich von der Geschäftsführung übernommen wurden und auch von Dritten ausgeführt werden könnten, bestehe keine Organhaftung.
Ein Schadensersatzanspruch gemäß § 280 Abs. 1 BGB wegen Verletzung des Anstellungsvertrags oder gemäß § 823 Abs. 1 BGB wurde ebenfalls ausgeschlossen. In diesem Zusammenhang griff zugunsten der Geschäftsführerin eine Haftungsmilderung nach den Grundsätzen der Arbeitnehmerhaftung im Rahmen des innerbetrieblichen Schadensausgleichs. Diese Milderung sei zwar normalerweise bei der Organhaftung nicht anwendbar, könne jedoch unter bestimmten Umständen gerechtfertigt sein, insbesondere wenn der Geschäftsführer wie ein beliebiger Dritter am Rechtsverkehr teilnimmt und stark an Weisungen gebunden ist.
Des Weiteren wurde eine Haftung aufgrund der Kenntnis der GmbH durch den Alleingesellschafter und Mitgeschäftsführer ausgeschlossen. Obwohl der Alleingesellschafter in den E-Mail-Kommunikationen jeweils im „Cc“-Feld eingebunden war und nicht eingriff, wurde dies als informelles Einverständnis interpretiert, das die Haftung der Geschäftsführerin entfallen ließ. Das Handeln der Geschäftsführerin ohne förmliche Beschlussfassung wurde daher als stillschweigendes Einverständnis aller Gesellschafter betrachtet. Angesichts der grundlegenden Fragen zur Reichweite der Organpflichten und zur Anwendung des innerbetrieblichen Schadensausgleichs wurde die Revision zugelassen.
Cyber-Sicherheit in Unternehmen
Eine weltweite Umfrage aus dem Jahr 2023 hat herausgefunden, dass ungefähr 58 Prozent der befragten Unternehmen in Deutschland schon einmal Opfer einer Cyber-Attacke wurden. Im Durchschnitt haben rund 53 Prozent der befragten Unternehmen aus verschiedenen Ländern in den letzten 12 Monaten mindestens eine Cyber-Attacke erlebt. Und die Gefahr durch den Missbrauch von KI in diesem Kontext steigt ebenfalls rasant. Dabei sind nicht nur Geschäftsführer, sondern entsprechend auch Mitarbeitende zu sensibilisieren, damit ein unachtsam geöffneter Link nicht in eine Katastrophe mündet.
Zusammenfassung: Kernpunkte des Urteils und der Cyber-Sicherheit
- Phishing-Angriffe: Eine Methode, bei der Cyberkriminelle versuchen, an persönliche Daten zu gelangen.
- Urteil des OLG Zweibrücken: Klage auf Schadensersatz gegen eine GmbH-Geschäftsführerin wurde zurückgewiesen.
- Haftungsmilderung: Grundsätze der Arbeitnehmerhaftung finden Anwendung.
- Informelles Einverständnis: Das Nichteingreifen des Alleingesellschafters entlastet die Geschäftsführerin.
- Cyber-Sicherheit in Unternehmen: Ein signifikanter Anteil der Unternehmen wurde bereits Opfer von Cyber-Attacken.