Die Geschichten klingen wie aus einem Krimi, sie sind aber Realität. Durch die sogenannten „Fake President Fraud“-Fälle sind schon zahlreichen Unternehmen Schäden in empfindlichem Ausmaß entstanden. Wie funktioniert es? Betrüger geben sich gegenüber Mitarbeitern wirtschaftlich potenter Unternehmen als deren höchster Vorgesetzter aus und veranlassen die gutgläubigen Mitarbeiter geschickt zur Überweisung großer Beträge. Das Geld fließt ist in der Regel an ausländische Konten und ist nicht nachverfolgbar. Auch von den Tätern fehlt meist jede Spur.
Der Oberste Gerichtshof hatte sich in einem solchen Fall jüngst mit gesellschafts- und schadenersatzrechtlichen Fragen auseinanderzusetzen (8 ObA 109/20t). Eine GmbH wollte ihren (vormaligen) Geschäftsführer für einen Schaden von mehr als 40 Millionen Euro haftbar machen.
In dem vom OGH zu beurteilenden Fall hatte eine Mitarbeiterin darauf vertraut, per E-Mail Anweisungen „von ganz oben“ erhalten zu haben. Wegen ihrer Gutgläubigkeit und der von ihrem vermeintlichen Vorgesetzten verlangten Diskretion hat sie ihre internen Befugnisse überschritten und Millionenbeträge von einem Firmenkonto ins Ausland transferiert. Da dafür nicht genug Geld vorhanden war, hat sie zuvor sogar noch einen Kredit abgerufen.
Die GmbH wollte den Schaden von ihrem langjährigen Geschäftsführer ersetzt wissen. Dieser habe das Fehlen eines funktionierenden internen Kontrollsystems (IKS) zu verantworten, womit er seine gesetzlichen Pflichten verletzt habe. Da das Dienstnehmerhaftungsprivileg nach dem DHG (Dienstnehmerhaftpflichtgesetz) für Geschäftsführer nicht gilt, können diese grundsätzlich für den vollen entstandenen Schaden haftbar gemacht werden.
Der beklagte Geschäftsführer hatte im konkreten Fall gemeinsam mit seinen Geschäftsführerkollegen für die Etablierung eines entsprechenden IKS gesorgt. Im Unternehmen galt für Überweisungen sogar ein Vier-Augen-Prinzip. Dieses wurde von der getäuschten Mitarbeiterin aber umgangen. Für eine Nichteinhaltung des Systems durch einzelne Mitarbeiter lagen dem Geschäftsführer jedoch keine Anhaltspunkte vor. Der OGH hat daher eine Pflichtverletzung und damit eine Haftung des Geschäftsführers verneint. Dabei hat der OGH auch betont, dass in den Fällen des „Fake President Fraud“ sehr professionell unter Einsatz des „social engineering“, also mit gezielter Manipulation, vorgegangen werde und sich der Eintritt derartiger Fälle auch durch die besten Sicherheitsvorkehrungen nicht gänzlich ausschließen ließe.
Da sich derartige Fälle häufen, sollte davon ausgegangen werden, dass der Sorgfaltsmaßstab für Geschäftsführer und Vorstände im Hinblick auf die Etablierung von Vorkehrungen zur Vermeidung von Schäden durch „Fake President Fraud“ tendenziell strenger wird. Zu den erforderlichen Maßnahmen zählt dabei jedenfalls auch die entsprechende Schulung der eingesetzten Mitarbeiter. In so manchem Betrugsfall hätte sich ein Schaden wohl durch einen Anruf beim echten Vorgesetzten vermeiden lassen.