Das Bundeskabinett hat das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) verabschiedet.
Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastrukturen, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen.
In Folge des völkerrechtswidrigen russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicherheit in Deutschland 2022 die IT-Sicherheitslage insgesamt zugespitzt. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rahmen des Krieges. Zudem haben auch Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren der digitalen Welt ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Dieser Entwurf steht im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.
B. Lösung, Nutzen
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:
– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro und im Jahr 2023 voraussichtlich bei 205,9 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigten. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.
Das OLG Zweibrücken hat entschieden, dass keine Haftung des GmbH-Geschäftsführers gem. § 43 Abs. 2 GmbHG bei Schaden durch eine Phishing-Mail vorliegt, wenn die Überweisung auf das in der Phishing-Mail genannte Konto mit Einverständnis des Alleingesellschafters erfolgte.
Aus den Entscheidungsgründen: Das verfahrensrechtlich bedenkenfreie und somit zulässige Rechtsmittel der Klägerin hat in der Sache keinen Erfolg. Die Entscheidung des Erstgerichts ist im Ergebnis richtig. Es fehlt bereits an der Verletzung einer Pflicht, die eine Organwalterhaftung der Beklagten nach § 43 Abs. 2 GmbHG zu begründen vermöchte.
Zutreffend ist das Erstgericht im Ausgangspunkt von der Doppelfunktion des § 43 Abs. 1 GmbHG als Verschuldensmaßstab und Pflichtenquelle ausgegangen (ganz h.M.: vgl. nur MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43 Rn. 10).
Die Beklagte hat keine sie gerade aus ihrer Stellung als Geschäftsführerin der Klägerin treffende (spezifische) Pflicht als Organwalterin der Gesellschaft verletzt. Zwar hat die Beklagte bei den Überweisungen (leicht) fahrlässig gehandelt, da ihr bei Wahrung der im geschäftlichen Zahlungsverkehr bei der Überweisung höherer Geldbeträge erforderlichen Sorgfalt der „Buchstabendreher“ in den zu den jeweiligen Geldüberweisungen auffordernden Phishing-Mails hätte auffallen können und müssen. Dies führt jedoch nicht zu der Annahme einer Pflichtverletzung im Sinne von § 43 Abs. 2 GmbHG (1.). Die Beklagte haftet der Klägerin auch nicht aus § 280 Abs. 1 BGB oder nach § 823 BGB (2.).
Im Einzelnen gilt dazu Folgendes:
1. Für eine Haftung des Organwalters nach § 43 Abs. 2 GmbHG ist nach Auffassung des Senats eine Verletzung einer - hier nicht zu bejahenden - spezifisch organschaftlichen Pflicht erforderlich.
Was unter den „Pflichten“ im Sinne des § 43 Abs. 2 GmbHG im Einzelnen zu verstehen ist, wird in der Rechtsprechung und im Schrifttum unterschiedlich beurteilt.
a. Eine eindeutige Rechtsprechung des Bundesgerichtshofs zu der konkreten Fragestellung des § 43 Abs. 2 GmbHG besteht nach dem Verständnis des erkennenden Senats nicht. Die Entscheidungen des Bundesgerichtshofs (Urteil vom 28.4.2008 – II ZR 264/06, BGHZ 176, 204 Rn. 38 = NJW 2008, 2437; Urteil vom 27.9.1956 – II ZR 144/55, BGHZ 21, 354 (357) (AG) = NJW 1956, 1753; so beispielhaft: MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43) verhalten sich jeweils nicht zu § 43 GmbHG, sondern betreffen eine Haftung nach § 826 BGB oder Spezialregelungen aus dem AktG.
b. Auch die obergerichtliche Rechtsprechung dazu ist nicht eindeutig.
aa. So hat sich der 8. Zivilsenat des Pfälzischen Oberlandesgerichts Zweibrücken zu einer Fallgestaltung wie der hier vorliegenden letztlich nicht äußern müssen. Er konnte es insoweit dabei belassen, dass „bei der Bestimmung und Abgrenzung der einem Geschäftsführer obliegenden Pflichten … sich insoweit Schwierigkeiten (ergeben), als das Gesetz einerseits den Umfang dieser Pflichten nicht abschließend regelt, andererseits diese Pflichten grundsätzlich durch den Gesellschaftsvertrag, den Anstellungsvertrag oder durch einzelne Gesellschafterbeschlüsse erweitert bzw. eingeschränkt werden“ (PfOLG Zweibrücken, Urteil vom 22.12.1998, 8 U 98/98, NZG 1999, 506). Für die dortige Fallgestaltung (sog. Risikogeschäft) ist die Meinung in der Rechsprechung und Literatur auch einhellig (vgl. BGHZ 135, 244, 253; ThürOLG DStR 2001, 863, beck-online).
Um ein solches Risikogeschäft handelte es sich bei den Geldüberweisungen der Beklagten zum Zwecke der Bezahlung von Lieferantenrechnungen indes nicht.
bb. Das OLG Koblenz hat – ohne nähere Ausführungen zu der Problematik der Verletzung einer organschaftlichen Pflicht – eine Haftung gemäß § 43 Abs. 2 GmbHG für einen Fall eines durch einen Geschäftsführer grob fahrlässig verursachten Verkehrsunfalls bejaht. Der Geschäftsführer habe in Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden (OLG Koblenz, Urteil vom 14. Mai 1998 – 5 U 1639/97 –, Rn. 14, juris).
Ein Fall grob fahrlässigen Handelns der Beklagten ist vorliegend jedoch zu verneinen.
c. Im Schrifttum zu § 43 GmbHG wird die Frage unterschiedlich beantwortet.
aa. Teilweise wird vertreten, der Geschäftsführer hafte dafür, dass er „die allgemeinen Verhaltensanforderungen aus Abs. 1 verletzt hat, also seine Sorgfaltspflicht i.e.S. oder seine Legalitätspflicht - jeweils einschließlich der damit verbundenen Pflichten zur Überwachung der Geschäftsführerkollegen und nachgeordneten Mitarbeiter - oder auch seine organschaftliche Treuepflicht. Sie kann sich ferner aus der Verletzung spezieller Pflichten des Geschäftsführers ergeben, die das Gesetz dem Geschäftsführer in gesonderten Vorschriften zuweist“ (Verse in: Scholz, GmbHG, 12. Aufl. 2018 ff., § 43 GmbHG, Rn. 257). Für den Fall einer sich nicht aus der organschaftlichen Stellung ergebenden Pflichtverletzung schließe dies „aber nicht aus, dass sie auch bei Schädigungen eingreift, die in gleicher Weise von einer Person verursacht werden könnten, die nicht Geschäftsführer ist (z.B. Verkehrsunfall mit dem Dienstwagen). Im Schrifttum wird jedoch meist betont, dass in diesem Fall nicht der organspezifische Sorgfaltsmaßstab des § 43 Abs. 1, sondern der allgemeine Sorgfaltsmaßstab des § 276 BGB gelte. Zu demselben Ergebnis gelangt man indes auch, wenn man Abs. 1 anwendet und in diesem Rahmen anerkennt, dass von einem ordentlichen Geschäftsleiter bei der Teilnahme am Straßenverkehr oder vergleichbaren nicht organspezifischen Tätigkeiten keine Anforderungen erwartet werden, die über den allgemeinen Maßstab des § 276 Abs. 1 BGB hinausgehen. Für eine Haftungsprivilegierung entsprechend den arbeitsrechtlichen Grundsätzen zum innerbetrieblichen Schadensausgleich ist auch bei solchen nicht organspezifischen Handlungen kein Raum.“ (Verse in: Scholz, GmbHG, 12. Aufl. 2018 ff., § 43 GmbHG, Rn. 259).
Nach dieser Auffassung wäre hier eine Pflichtverletzung unter Anwendung der allgemeinen Sorgfaltspflichten (§ 276 BGB) zu bejahen.
bb. Nach anderer, wohl überwiegender Auffassung, der sich der erkennende Senat anschließt, sind „vier größere Pflichtenkreise zu unterscheiden: Erstens ist jeder Geschäftsführer gehalten, die im GmbH-Gesetz, der Satzung und der Geschäftsordnung niedergelegten Organpflichten zu erfüllen und die das Unternehmen betreffenden Rechtsvorschriften des allgemeinen Zivilrechts, des Straf- und Ordnungswidrigkeitenrechts und des öffentlichen Rechts zu beachten (sog. Legalitätspflicht). Zweitens muss ein Geschäftsführer die ihm übertragene Unternehmensleitung innerhalb des gesetzlich vorgegebenen Pflichtenrahmens umfänglich wahrnehmen und sein Amt mit der erforderlichen Sorgfalt führen (sog. Sorgfaltspflicht im engeren Sinne). Drittens obliegt es dem Geschäftsführer, sich in geeigneter Weise von dem recht- und zweckmäßigen Verhalten nachgeordneter Unternehmensangehöriger und seiner Geschäftsführerkollegen zu überzeugen (sog. Überwachungspflicht). Viertens hat sich in jüngerer Zeit aus der allgemeinen Überwachungspflicht eine besondere Pflicht herausgebildet, Gesetzesverstöße von Unternehmensangehörigen schon im Vorfeld durch geeignete und zumutbare Schutzvorkehrungen zu verhindern (sog. Compliance-Pflicht ; MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43 Rn. 12).
In diese Richtung argumentiert auch Kleindiek, nach welchem § 43 Abs. 1 GmbHG „einen Verschuldensmaßstab (umschreibt), aber zugleich den Maßstab für die Konkretisierung der dem Geschäftsführer obliegenden Organpflichten (liefert), soweit sie nicht schon gesetzlich ausformuliert sind. Denn die Verhaltenspflichten gegenüber der Gesellschaft (§ 43 Abs. 2 spricht von „Obliegenheiten“) lassen sich nur vor dem Hintergrund des in § 43 Abs. 1 umschriebenen Sorgfaltsmaßstabs eingrenzen. Auch wenn man § 43 Abs. 1 nicht schon unmittelbar die Funktion einer Pflichtenquelle zubilligen mag, wird in der Systematik des Gesetzes die Pflicht des Geschäftsführers zur ordnungsgemäßen (dem Standard der „Sorgfalt eines ordentlichen Geschäftsmannes“ entsprechenden) Unternehmensleitung doch vorausgesetzt.“ (Kleindiek in: Lutter/Hommelhoff, GmbH-Gesetz Kommentar, 20. Aufl. 2020, § 43 GmbHG, Rn. 10).
Danach gelten für Tätigkeiten, die lediglich bei Gelegenheit der Geschäftsführung vorgenommen werden (zB das Fahren eines Geschäfts-Pkw) der Pflichten-, Sorgfalts- und Haftungsmaßstab aus den allgemeinen Regeln. Das Verhalten des Geschäftsführers ist in solchen Fällen „an §§ 280 ff., 823 BGB und am Sorgfaltsmaßstab des § 276 II BGB zu messen“ (Noack/Servatius/Haas/Beurskens, 23. Aufl. 2022, GmbHG § 43 Rn. 6; ebenso: MHLS/Ziemons, 3. Aufl. 2017, GmbHG § 43 Rn. 57; Henssler/Strohn GesR/Oetker, 5. Aufl. 2021, GmbHG § 43 Rn. 3).
Ähnlich sieht es wohl Wicke, wenn er ausführt, der Anstellungsvertrag könne besondere Bedeutung „erlangen, wenn Vertragspflichten verletzt werden, die in keinem Zusammenhang zur Organstellung stehen, oder wenn der Anstellungsvertrag mit einem Dritten geschlossen wurde oder drittschützende Wirkung entfaltet (MüKoGmbHG/Fleischer Rn. 8; Henssler/Strohn/Oetker Rn. 3).“ (Wicke, 4. Aufl. 2020, GmbHG § 43 Rn. 2), wenn er auch - inkonsequent - Haftungsmilderungen erwägt bei einer Tätigkeit, die nicht die Erfüllung typischer Geschäftsführerpflichten zum Gegenstand hat wie, zB bei einer Fahrt mit dem Dienst-PKW (Wicke, 4. Aufl. 2020, GmbHG § 43 Rn. 4).
Der erkennende Senat entscheidet dahin, dass der Sorgfaltspflichtverstoß der Beklagten, der in der Beauftragung von Geldüberweisungen aufgrund einer (gefälschten) Mitteilung einer geänderten Kontoverbindung des Empfängers W. bestand, nicht als Verletzung einer spezifisch organschaftlichen Pflicht anzusehen ist. Denn diese Tätigkeit wäre üblicherweise eine solche der Buchhaltung gewesen. Die der Beklagten als Geschäftsführerin übertragene Unternehmensleitung als solche ist hiervon nicht berührt, auch nicht in Form einer Verletzung von Überwachungspflichten.
Dieses Ergebnis findet nach Auffassung des Senats Bestätigung in § 93 AktG, dem § 43 Abs.2 GmbHG nachgebildet ist. Denn bei der Beurteilung der Verantwortlichkeit von Vorstandsmitgliedern nach § 93 AktG wird die vom Senat für zutreffend erachtete Auffassung übereinstimmend geteilt:
„Als Pflichtverletzungen iSd § 93 Abs. 2 kommen nur organbezogene Tätigkeiten in Betracht. Wo das Verhalten eines Vorstandsmitglieds in keinem Sachzusammenhang mit seinen dienstlichen Pflichten steht, scheidet eine Organhaftung aus. Dies gilt insbesondere für Tätigkeiten „bei Gelegenheit“ der Geschäftsführung, die ebenso gut von einem Dritten hätten vorgenommen werden können. Paradigmatisches Beispiel ist die Fahrt mit dem Dienstwagen. In solchen Fällen greift statt § 93 Abs. 1 der allgemeine Sorgfaltsmaßstab des § 276 BGB ein.“ (BeckOGK/Fleischer, 1.9.2021, AktG § 93 Rn. 240 mit weiteren Nachweisen).
Sonach scheidet eine Haftung der Beklagten auf Schadensersatz aus § 43 Abs. 2 GmbHG aus.
2. Auch eine Haftung der Beklagten aus § 280 Abs. 1 BGB wegen Verletzung der sie aus dem Anstellungsvertrag als Geschäftsführerin treffenden Dienstpflichten oder aus § 823 BGB besteht nicht.
Dabei kann dahinstehen, ob von der Beklagten nach dem Anstellungsvertrag die Sorgfalt verlangt werden kann, die ein ordentlicher Geschäftsmann in verantwortlich leitender Position bei selbstständiger Wahrnehmung fremder Vermögensinteressen zu beachten hat (Altmeppen, 10. Aufl. 2021, GmbHG § 43 Rn. 3 mit weiteren Nachweisen), was über den von jedermann zu beachtenden Sorgfaltsmaßstab in § 276 BGB hinaus geht (BeckOK GmbHG/Pöschke, 49. Ed. 1.8.2021, GmbHG § 43 Rn. 287 unter Verweis auf OLG Koblenz aaO).
Denn die (wenn auch geringfügige) Abweichung der Absenderadresse bei den Phishing-Mails („film.com“ zu „flim.com“) hätte von der Beklagten bei einem höheren Maß an Aufmerksamkeit durchaus bemerkt werden können.
Unabhängig von der Verneinung einer spezifisch organschaftlichen Pflichtverletzung der Beklagten greift aber - die Klageabweisung selbständig tragend - im vorliegenden Fall zu Gunsten der Beklagten eine Haftungsmilderung in Anlehnung an die Grundsätze der Haftung von Arbeitnehmern im Rahmen des innerbetrieblichen Schadensausgleichs nach den arbeitsrechtlichen Grundsätzen der betrieblich veranlassten Tätigkeit (dazu Wilhelmi, NZG 2017, 681, 686f; Fritz, NZA 2017, 673, 678f). Danach ist hier - unter weiterer Berücksichtigung gerade auch der von dem Senat als glaubhaft erachteten Angaben der Beklagten in ihrer formlosen Parteianhörung zu ihren faktisch beschränkten Entscheidungskompetenzen in dem Unternehmen der Klägerin - sowohl eine Haftung der Beklagten aus § 280 Abs. 1 BGB i.V.m. dem Anstellungsvertrag als auch nach § 823 BGB und auch eine solche nach § 43 Abs. 2 GmbHG ausgeschlossen.
Eine Haftungsmilderung kommt nach herrschender Meinung im Bereich der Organfunktion zwar nicht in Betracht (Altmeppen, 10. Aufl. 2021, GmbHG § 43 Rn. 5 mit Darstellung des Streitstandes). Eine Ausnahme wird teilweise als möglich erachtet, wenn der Geschäftsführer wie jeder beliebige Dritte am Rechtsverkehr teilnimmt. In diesen Fällen sei eine analoge Anwendung der arbeitsrechtlichen Grundsätze zur innerbetrieblichen Schadensteilung je nach Umständen des Einzelfalls möglich, die umso eher ausscheidet, je autonomer der Geschäftsführer handeln kann, und umso mehr in Betracht kommt, je mehr er in seinem Handeln – etwa als Geschäftsführer einer konzernabhängigen GmbH – gebunden ist (vgl. Lutter, GmbHR 2000, 301, 312, juris). Klassischer Beispielsfall ist die Beschädigung eines gesellschaftseigenen Dienstwagens durch den Geschäftsführer (Lutter, GmbHR 2000, 301, 312; aA OLG Koblenz, aaO).
Legt man - wie nach Auffassung des Senats geboten - diesen Maßstab an das Handeln der Beklagten an, scheidet ihre Haftung auf Schadensersatz aus, weil sie bei den Fehlüberweisungen bloß leicht fahrlässig gehandelt hat (vgl. auch BAG NZA 1999, 263):
So wurden bei den Phishing-Mails, mit welchen die Beklagte getäuscht wurde, lediglich eine geringfügige Änderung der korrekten E-Mail-Adresse des langjährigen Geschäftspartners der Klägerin W. vorgenommen. Es wurden von dem oder den Tätern keine Änderung von Namen bei den (angeblich) für W. handelnden Personen vorgenommen und zudem war zeitlich vor den Überweisungen in Betrugsabsicht eine Änderung von Kontoverbindungen angekündigt worden. Die übersandten Rechnungen in den E-Mails waren plausibel sowohl nach der Art der Darstellung als auch in ihrer Höhe. Hinzu kommt die Art des Phishing-Angriffs, der nicht einmalig, sondern durch fortgesetzten E-Mail-Kontakt erfolgte, wobei jeweils Bezug auf die bestehende Kommunikation genommen wurde (auch auf solche vor Beginn der Phishing-Attacke). Insgesamt ergibt sich daraus das Bild eines sehr professionellen Handelns durch den oder die Phishing-Täter, auf welches die Beklagte als Betrugsopfer „hereingefallen“ ist.
Hiergegen ließe sich letztlich nur einwenden, dass Summen ab einer bestimmten Größenordnung nur nach intensiver Überprüfung und unter Wahrung des Vier-Augen-Prinzips überwiesen werden sollten. Angesichts der von der Beklagten glaubhaft geschilderten Ausgestaltung der (von dem Alleingesellschafter vorgegebenen) tatsächlichen Abläufe im Unternehmen der Klägerin war eine solche Gegenkontrolle für die Beklagte allerdings nicht leistbar. Die im Einzelnen überwiesenen Summen waren zudem nach im Prozess vorgelegten Kontoauszügen nicht außergewöhnlich, sondern alltäglich.
Damit scheidet in Übertragung der Grundsätze der Haftungsprivilegierung für Arbeitnehmer auf die Haftung des GmbH-Geschäftsführers eine Haftung der Beklagten hier insgesamt aus.
3. Damit kann dahinstehen, ob einer Haftung der Beklagten weiter auch die Berücksichtigung des relativen Verschuldensmaßstabes des § 43 GmbHG entgegen steht.
Die Ausgestaltung des anzulegenden Verschuldensmaßstabes ist durch die besondere Lage des Einzelfalles geprägt (so BGHZ 129, 30 = NJW 1995, 1290 – offenlassend, ob die arbeitsrechtlichen Grundsätze gelten; BeckOK GmbHG/Pöschke, 49. Ed. 1.8.2021, GmbHG § 43 Rn. 290). Bei der gebotenen Berücksichtigung des Einzelfalls müssten die oben genannten Argumente Berücksichtigung finden. Danach wäre eine Haftung der Beklagten zu verneinen.
4. Letztlich scheidet eine Haftung der Beklagten auch wegen Kenntnis der Klägerin in der Person ihres Alleingesellschafters und Mitgeschäftsführers R. von den tatsächlichen Geschehnissen im Zusammenhang mit den durch Betrugshandlungen Dritter veranlassten Geldüberweisungen aus.
Aus den im Prozess vorgelegten E-Mails wird deutlich, dass der Alleingesellschafter R. von der Beklagten in deren Email-Kommunikation mit (vermeintlich) W. jeweils in CC gesetzt bzw. ausdrücklich über die (angeblich) geänderten Kontoverbindungen informiert wurde. Dennoch unterblieb – entgegen dem Vorbringen der Klägerin – eine ausdrückliche Anweisung, keine Gelder zu überweisen oder die Geschäftsbeziehungen mit W. zu beenden. Anderes ergibt sich auch nicht aus der von der Klägerin vorgelegten Whatsapp-Nachricht (Blatt 233 der eAkte erster Instanz). Damit liegt ein sog. informelles Einverständnis der Klägerin mit der Handlungsweise der Beklagten vor, das die Haftung der Beklagten entfallen lässt. Denn der Befolgung eines Gesellschafterbeschlusses steht es gleich, wenn Geschäftsführer ohne förmliche Beschlussfassung im - auch stillschweigenden - Einverständnis aller Gesellschafter handeln (Verse in: Scholz, GmbHG, 12. Aufl. 2018 ff., § 43 GmbHG, Rn. 265).
Auch danach ist eine Haftung der Beklagten zu verneinen, da die Überweisungen auf eine geänderte Kontoverbindung (insoweit nicht wegen Übersehen der veränderten E-Mail-Adresse) mit dem zumindest informellen Einverständnis des Allein-Gesellschafters erfolgten.
Die EU-Kommission hat ihren Entwurf für den EU Cyber Resilience Act vorgelegt. Dieser soll die Cybersicherheit von Produkten mit digitalen Elementen erhöhen.
The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.
EU Cyber Resilience Act - For safer and more secure digital products
Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021.
Such products suffer from two major problems adding costs for users and the society:
a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.
While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs.
Two main objectives were identified aiming to ensure the proper functioning of the internal market:
1.create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and
2. create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements.
Four specific objectives were set out:
1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle;
2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers;
3. enhance the transparency of security properties of products with digital elements, and
4. enable businesses and consumers to use products with digital elements securely.
Das Bundeskabinett hat das Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) beschlossen.
Die Pressemitteilung des BMI:
"Bundesregierung stärkt Cybersicherheit
Kabinett beschließt Gesetz zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit
Digitale binäre Daten geschützt durch das Sicherheitssystem (Quelle: Netzwerk- und Informationssystemsicherheit)
Das Kabinett hat heute den vom Bundesminister des Innern vorgelegten Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 (NIS-Richtlinie) beschlossen.
Hierzu erklärt der Bundesinnenminister Dr. Thomas de Maizière: "Die NIS-Richtlinie ist ein wichtiger Schritt für mehr Cyber-Sicherheit auch in Europa. Die Bundesregierung hat nun die Voraussetzungen dafür geschaffen, die europäischen Vorgaben rechtzeitig und zeitnah auch in nationales Recht umzusetzen. Dabei war die Ausgangsposition hierfür denkbar gut: In Deutschland haben wir mit dem IT-Sicherheitsgesetz, das bereits im Juli 2015 in Kraft getreten ist, schon einen einheitlichen Rechtsrahmen, bei dem Staat und betroffene Wirtschaft für mehr Cyber-Sicherheit der Kritischen Infrastrukturen in Deutschland zusammenarbeiten. Wir setzen uns dafür ein, dass der im IT-Sicherheitsgesetz verankerte kooperative Ansatz EU-weit als Vorbild für die Umsetzung der NIS-Richtlinie genutzt werden kann. Damit werden wir unserer Vorreiterrolle in Europa auf dem Gebiet der Cyber-Sicherheit gerecht."
Mit dem Gesetzentwurf wird zudem die Umsetzung der Cybersicherheitsstrategie vorangebracht: "Wir schaffen mit dem Gesetz eine Rechtsgrundlage für den Einsatz so genannter Mobiler Incident Response Teams („MIRTs“). Das Bundesamt für Sicherheit in der Informationstechnik wird zukünftig die Verwaltung und Betreiber kritischer Infrastrukturen auf deren Ersuchen hin bei herausgehobenen Sicherheitsvorfällen unterstützen können. Der Schutz von Staat, Wirtschaft und der Bevölkerung vor erheblichen Cyber-Sicherheits-Vorfällen wird damit weiter verbessert."
Die Richtlinie (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union sieht den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit (nationale Strategien, Behörden und CERTs), eine stärkere Zusammenarbeit der Mitgliedstaaten und Mindestanforderungen sowie Meldepflichten vergleichbar zum nationalen IT-Sicherheitsgesetz vor. Viele Maßnahmen aus der NIS-Richtlinie sind in Deutschland in dem bereits im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz enthalten. Insofern besteht in Deutschland relativ geringer zusätzlicher Umsetzungsbedarf. Sie ist bis spätestens zum 9. Mai 2018 in nationales Recht umzusetzen."