Immer häufiger werden Unternehmen und deren Geschäftsführer von kriminellen Betrügern heimgesucht. Oft trifft es dabei größere Unternehmen, deren Größe und Anonymität den Betrügern in die Hände spielen. Aus diesem Grund sind Geschäftsführer von Gesetzes wegen verpflichtet, ein funktionierendes internes Kontrollsystem einzurichten, das im Wesentlichen das Vermögen der Gesellschaft schützt. Wie dieses Kontrollsystem ausgestaltet sein muss, war zuletzt Gegenstand einer Entscheidung des Obersten Gerichtshofes (OGH 03.08.2021, 8 ObA 109/20t).
Eine Gruppenleiterin der Finanzbuchhaltung eines großen Unternehmens erhielt vermeintliche, vom Beklagten, einem Vorstandsmitglied, stammende E-Mails, die sie zur Überweisung von sehr hohen Geldbeträgen auf das Konto von Betrügern veranlasste. Da die Gruppenleiterin der Finanzbuchhaltung entgegen den unternehmensinternen Sicherungsvorkehrungen allein über eigentlich von zwei Personen getrennt zu verwahrende TAN-Karten verfügte, konnte sie, gestützt auch auf eine von den Betrügern kopierte Unterschrift des Beklagten, die Überweisungen alleine tätigen. In Summe entstand dadurch ein Schaden von über € 40 Millionen, dessen Ersatz die Gesellschaft vom zwischenzeitig ausgeschiedenen Vorstandsmitglied in der Folge verlangte.
Diesem Vorstandsmitglied gelang es jedoch, das Gericht von der Einhaltung der gebotenen Sorgfalt (Überprüfung des Vier-Augen-Prinzips, Warnung der Mitarbeiter vor betrügerischen E-Mails, etc.) zu überzeugen. Die Klage des Unternehmens wurde daraufhin von allen Instanzen abgewiesen.
Tipps für die Praxis
Die oben genannte Entscheidung ist zwar auf den konkreten Einzelfall zugeschnitten. Dennoch können daraus Rückschlüsse darüber gezogen werden, welche Maßnahmen der Geschäftsführer im Rahmen eines internen Kontrollsystems zur Betrugsprävention und zur Vermeidung einer eigenen Haftung unbedingt ergreifen sollte:
Unter einem internen Kontrollsystem versteht man zunächst sämtliche aufeinander abgestimmte Methoden und Maßnahmen in einem Unternehmen, die dazu dienen, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnungsdaten zu gewährleisten und die Einhaltung der Geschäftspolitik zu unterstützen.
Bei der konkreten Ausgestaltung dieses internen Kontrollsystems ist es wesentlich, dass sich der Geschäftsführer mit den möglichen Bedrohungen seines Unternehmens auseinandersetzt. Darauf aufbauend hat der Geschäftsführer – ausgehend vom Risikopotential und der Größe des Unternehmens – angemessene Anordnungen zu treffen bzw. Abläufe vorzugeben. Entscheidend ist dabei auch, dass die Anordnungen laufend evaluiert werden und die tatsächliche Einhaltung der Vorgaben regelmäßig kontrolliert wird.
Bezogen auf den obigen Fall, und zwar, dass ein weisungsabhängiger Mitarbeiter durch Vortäuschung falscher Identitäten zur Überweisung veranlasst wird (sogenanntes „fake-president-fraud“), kommen etwa folgende Sicherheitsmaßnahmen in Betracht:
Lückenlose Einhaltung des Vier-Augen-Prinzips bei Überweisungen und Einsatz von besonders geeignetem Personal in diesem Bereich
Schaffung von technischen Barrieren, die die Umgehung des Vier-Augen-Prinzips verunmöglichen
Einrichtung einer vorgeschalteten Rechnungsprüfung durch den Besteller der Lieferung bzw. Leistung im Vier-Augen-Prinzip
Regelmäßige Überprüfungen der IT-Sicherheit auch durch externe Fachleute
Schulung der Mitarbeiter in Bezug auf aktuelle Bedrohungen und Betrugsformen.
Prompte Reaktion auf Hinweise, die auf ein erhöhtes Risiko hinweisen, wie etwa fehlgeschlagene Betrugsversuche der Cyberangriffe, beispielsweise durch Rundschreiben oder zusätzliche Sicherheitsmaßnahmen
Schaffung eines Problembewusstseins bei den Mitarbeitern
Laufende Kontrolle und Dokumentation der Maßnahmen
Ob diese Maßnahmen ausreichend sind oder aufgrund der Größe und des Risikopotentials des Unternehmens noch weitergehende Maßnahmen ergriffen werden müssen, ist im jeweiligen Einzelfall – gegebenenfalls nach Beiziehung von externen Beratern – zu entscheiden. Letztendlich ist aber jeder Geschäftsführer gut beraten, möglichst strenge Sicherheitsvorkehrungen zu treffen.