Geschäftsführerhaftung und IT-Compliance: Hier liegen die Haftungs-Risiken
Die Gründung einer Gesellschaft mit beschränkter Haftung (GmbH) führt häufig zu dem Irrglauben, die persönliche Haftung des Geschäftsführers sei gänzlich ausgeschlossen. Dies ist jedoch weit gefehlt. Der Geschäftsführer einer GmbH hat persönlich dafür vorzusorgen, dass die Gesellschaft keinen Schaden erleidet. Dabei hat er „die Sorgfalt eines ordentlichen Geschäftsmannes“ (§ 43 Abs. 1 GmbHG) anzuwenden. Neben dieser Haftung gegenüber der Gesellschaft im Innenverhältnis tritt darüber hinaus gegebenenfalls eine Haftung gegenüber Dritten im Außenverhältnis.
Worauf Geschäftsführer und Manager ganz besonders achten sollten, erklärt heute unser Gastautor Rechtsanwalt Florian Decker der RESMEDIA Kanzlei aus Mainz.
Haftung im Innenverhältnis
Im Innenverhältnis haftet der Geschäftsführer gegenüber der Gesellschaft insbesondere „solidarisch für den entstandenen Schaden“ (§ 43 Abs. 2 GmbHG) der GmbH. Die Gesellschaft hat alle gesetzlichen Vorgaben einzuhalten, da sie ansonsten Schaden in Form von Bußgeldern oder Schadensersatzforderungen nehmen könnte („Compliance“). Tritt ein solcher Schadensfall ein, haftet der Geschäftsführer persönlich für diesen.
Im IT-Recht begegnen uns in der Praxis häufig folgende Problemfelder, die von der Geschäftsleitung gerne vernachlässigt werden:
1. Datenschutz
Personenbezogene Daten, die das Unternehmen speichert und verarbeitet, müssen umfassend geschützt werden. Dazu zählen insbesondere Kundendaten und Arbeitnehmerdaten. Häufige Probleme: Datenschutzverstöße beim Marketing (fehlende oder falsche Einwilligungen etc.), fehlende Datenschutzrichtlinien, keine vertragliche Verpflichtung von Dienstleistern im Rahmen einer ADV (Auftragsdatenverarbeitung) etc.
2. Datensicherheit
Das Thema Datenschutz umfasst auch den technischen Aspekt der Datensicherheit. Hier gibt es häufig massive Sicherheitslücken, fehlende Absicherung, fehlende Verschlüsselung, keine Zugriffskonzepte etc.
3. Schutz von Betriebsgeheimnissen
Gerade in der IT-Branche verfügen Unternehmen meist über wertvolles Know-How, z.B. selbst entwickelte Software, Beratungskonzepte etc. Diese sind als Betriebsgeheimnisse zu behandeln und zu schützen, insbesondere dürfen diese nicht in die Hände der Konkurrenz fallen. Oft werden jedoch weder Geheimhaltungsvereinbarungen mit potentiellen Vertragspartnern bei der Vertragsanbahnung geschlossen, noch werden eigene Mitarbeiter im Arbeitsvertrag entsprechend auf eine Geheimhaltung verpflichtet.
4. Risikoanalyse
Darüber hinaus folgt aus der Sorgfaltspflicht, eine Haftung für das Eingehen von unverhältnismäßigen Risiken. Hieraus folgt zwar nicht, dass der Geschäftsführer für das Übliche Risiko der Gesellschaft und ausbleibenden Erfolg haftet. Geht der Geschäftsführer jedoch Geschäfte ein, so hat er das Risiko genau zu prüfen und abzuwägen („risk assessment“). Dabei gilt: je komplizierter und risikoreicher ein Geschäft, desto genauer muss die Prüfung erfolgen. Geht der Geschäftsführer ein Risiko ein, ohne dieses vorher beachtet zu haben, so haftet er hierfür.
5. Befugnisüberschreitung
Überschreitet der Geschäftsführer seine Befugnisse in der Geschäftsleitung, so haftet er grundsätzlich auch daraus persönlich. Beschränkungen der Befugnisse können sich zum Beispiel aus dem Gesellschaftsvertrag, Anstellungsvertrag oder aus gesetzlichen Bestimmungen (§§ 45, 46, 35 GmbHG) ergeben. Dabei ist vor allem zu beachten, dass der Geschäftsführer den Weisungen der Gesellschafter unterworfen ist und sich an solche grundsätzlich halten muss.
Haftung im Außenverhältnis
Neben der Haftung im Innenverhältnis für Schäden der Gesellschaft tritt im Außenverhältnis zum Teil eine Haftung gegenüber Dritten. Der Geschäftsführer haftet persönlich gegenüber
- Sozialversicherungsträgern
- dem Finanzamt
- Bürgschaftsgläubigern.
1. Sozialversicherung
Die Arbeitnehmerbeiträge zur Sozialversicherung sind vorrangig zu leisten. Wer diese nicht rechtzeitig zahlt, haftet persönlich. Hier sieht das Gesetz also keine Haftung der GmbH, sondern direkt des Geschäftsführers vor.
2. Finanzamt
Gegenüber dem Finanzamt kommt in der Praxis vor allem eine Haftung aus „vergessenen“ Lohnsteuerabgaben der Arbeitnehmerlöhne vor. Ist die Gesellschaft zeitweise nicht liquide, neigen Geschäftsleiter dazu, Nettobeträge an den Arbeitnehmer auszuzahlen, aber führen die Lohnsteuer nicht ordnungsgemäß ab. Hierfür haftet der Geschäftsführer persönlich.
3. Gesetzwidriges Verhalten
Letztlich haftet der Geschäftsführer auch persönlich bei gesetzeswidrigem Verhalten. Hier ist insbesondere die Insolvenzverschleppung zu nennen. Meldet der Geschäftsführer die Insolvenz zu spät an, haftet er persönlich. Dafür, dass die Geschäftsleitung die Insolvenzlage früh genug bemerkt, hat sie die entsprechenden Vorkehrungen zu treffen und den Betrieb entsprechend zu organisieren.
Schnell ist man auch in einer Haftung aus Untreue oder Begünstigung von Gläubigern. Vergibt der Geschäftsführer an Angehörige oder Bekannte Kredite mit zu günstigen Zinsen, kann dies ebenfalls zu einer persönlichen Haftung führen.
Haftungsminimierung
Haftungsfälle lassen sich jedoch auch eingrenzen. Im Innenverhältnis kann beispielsweise eine Haftungsgrenze im Anstellungsvertrag festgelegt werden. Darüber hinaus empfiehlt sich eine D&O-Versicherung (Directors-and-Officers-Versicherung).
Fazit
Das Thema Compliance wird immer bedeutsamer und Geschäftsführer müssen sich damit dringend beschäftigen (ggf. aktuelles Beispiel VW). Große Unternehmen haben zu diesem Zweck teilweise sog. „Compliance Management Systeme“ aufgebaut und beschäftigen Compliance-Officer, die sich ausschließlich um dieses Thema kümmern. Die Regeln greifen aber nicht nur für große Unternehmen. Deshalb muss sich der Geschäftsführer im Zweifel selbst um Compliance Themen kümmern und diese überwachen.
Über den Autor:
Rechtsanwalt Florian Decker von der RESMEDIA Kanzlei verfügt als Fachanwalt für IT-Recht insbesondere über hervorragende Kenntnisse im IT-Projektgeschäft, dem Datenschutzrecht und dem Recht des E-Commerce. Zu den von ihm betreuten Mandanten zählen unter anderem Softwarehäuser, Agenturen und E-Commerce-Plattformen. Darüber hinaus ist er als Datenschutzbeauftragter für ein Kuratorium tätig.