Geschäftsführerhaftung bei Phishing-Angriff
Ein Organhaftungsanspruch nach § 43 Abs. 2 GmbHG scheidet aus, wenn der Geschäftsführer zwar leicht fahrlässig gehandelt, aber keine Pflicht verletzt hat, die ihn in der Eigenschaft als Geschäftsführer trifft.
Im Streitfall verneinte das OLG Zweibrücken mit rechtskräftigem Urteil vom 18.08.2022 (Az. 4 U 198/21) einen Schadensersatzanspruch gegen eine GmbH-Geschäftsführerin, die durch betrügerische E-Mails zu Geldüberweisungen zulasten der GmbH veranlasst worden war. Sie hatte Zahlungsaufforderungen aus sog. Phishing-E-Mails befolgt, deren Absenderadresse sich nur durch einen Buchstabendreher („…flim.com" statt „…film.com“) von der bekannten Adresse eines Geschäftspartners unterschied.
Das OLG Zweibrücken vermochte keinen Organhaftungsanspruch der GmbH gegen die Geschäftsführerin aus § 43 Abs. 2 GmbHG auf Erstattung der Beträge zu erkennen. Zwar habe die Geschäftsführerin leicht fahrlässig gehandelt. Sie habe dabei aber keine Pflicht verletzt, die sie gerade in ihrer Eigenschaft als Geschäftsführerin treffe. Üblicherweise sei die Überweisung Aufgabe der Buchhaltung gewesen und die Unternehmensleitung sei nicht betroffen. Für Tätigkeiten, die ebenso gut von einem Dritten hätten vorgenommen werden können und nur gelegentlich von der Geschäftsführung vorgenommen worden seien, scheide eine Organhaftung aus.
Hinweis: Weiter verneint das OLG eine Haftung der Geschäftsführerin aus § 280 Abs. 1 BGB wegen Verletzung der sie aus dem Anstellungsvertrag treffenden Dienstpflichten oder aus § 823 BGB. Zugunsten der Geschäftsführerin sei eine Haftungsmilderung in Anlehnung an die Grundsätze der Haftung von Arbeitnehmern im Rahmen des innerbetrieblichen Schadensausgleichs nach den arbeitsrechtlichen Grundsätzen der betrieblich veranlassten Tätigkeit anzunehmen, da die Entscheidungskompetenzen der Geschäftsführerin begrenzt gewesen seien und sie bei den Fehlüberweisungen bloß leicht fahrlässig gehandelt habe.