Compliance, speziell IT-Compliance, ist kein wirklich neues Thema. Seit über einem Jahrzehnt finden sich Vorträge und Veröffentlichungen zur Haftung von Vorständen, wenn es an der Einrichtung eines funktionierenden Compliance-Systems fehlt.

Einrichtung einer Compliance-Organisation

Diese zumindest teilweise im Bewusstsein von Vorständen und Geschäftsführern verankerte Thematik erfährt indes besondere Aktualität durch eine Entscheidung des Landgerichts München vom 01.12.2013 (Az.: 5 HKO 1387/10 – nicht rechtskräftig).
In diesem konkreten Verfahren wurde ein Vorstand wegen des Fehlens eines funktionierenden Compliance-Systems zu 15 Millionen Euro Schadensersatz verurteilt.

Das LG München urteilte, dass ein Vorstandsmitglied seiner Organisationspflicht nur dann genügt, wenn es bei entsprechender Gefährdungslage eine auf Schadensprävention und Risikokontrolle angelegtes Compliance-Organisation einrichtet, da die Einhaltung des Legalitätsprinzips und demgemäß die Einrichtung eines funktionierenden Compliance-Systems zur Gesamtverantwortung des Vorstands gehört.

Zudem urteilten die Richter:

Diese Überwachungspflicht wird namentlich durch § 91 Abs. 2 AktG dadurch konkretisiert, dass ein Überwachungssystem installiert wird, das geeignet ist, bestandsgefährdende Entwicklungen frühzeitig zu erkennen, wovon auch Verstöße gegen gesetzliche Vorschriften umfasst sind (vgl. BT-Drucks.13/9712 S. 15; Mertens/Cahn in : Kölner Kommentar zum AktG, a.a.O., Rdn. 34 f. zu § 91; Spindler in: Münchener Kommentar zum AktG, 3. Aufl., Rdn. 38 zu § 91; Bayer in: Festschrift für Karsten Schmidt, 2009, S. 85, 89 f.). Einer derartigen Organisationspflicht genügt der Vorstand bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet, ohne dass es entscheidungserheblich darauf ankäme, ob diese Pflicht bereits unmittelbar aus § 91 Abs. 2 AktG oder aus der allgemeinen Leitungspflicht der §§ 76 Abs. 1, 93 Abs. 1 AktG herzuleiten ist (vgl. Fleischer AG 2003, 291, 299; Bicker AG 2012, 542, 543 f.; Hauschka AG 2004, 461 ff., insb. 465 ff.; Mertens/Cahn in : Kölner Kommentar zum AktG, a.a.O., Rdn. 35 zu § 91; Lutter in: Festschrift Goette, 2011, S. 289, 291). Entscheidend für den Umfang im Einzelnen sind dabei Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch die Verdachtsfälle aus der Vergangenheit (vgl. Spindler in: Münchener Kommentar zum AktG, a.a.O., Rdn. 36 zu § 91).

Vorstand trägt Beweislast

Des Weiteren stellte das Gericht auf die gesetzliche Regelung des Entlastungsbeweises ab.

Das Vorstandsmitglied hat dagegen nach § 93 Abs. 2 Satz 2 AktG darzulegen und zu beweisen, dass es seine Pflichten nicht verletzt oder jedenfalls schuldlos gehandelt hat oder dass der Schaden auch bei einem rechtmäßigen Alternativverhalten eingetreten wäre (vgl. BGH ZIP 2011, 766, 767 = AG 2011, 378, 379; NJW 2013, 1958, 1959 = NZG 2013, 293, 294 = AG 2013, 259 = ZIP 2013, 455, 456 = DB 2013, 507, 508 = MDR 2013, 472; Fleischer in: Spindler/Stilz, AktG, a.a.O., Rdn. 221 zu § 93; Spindler in: Münchener Kommentar zum AktG, a.a.O., Rdn. 167 zu § 93; Hüffer, AktG, 10. Aufl., Rdn. 16 zu § 93; Bürgers/Israel in: Bürgers/Körber, a.a.O., Rdn. 26 zu § 93; Eckert in: Wachter, AktG, 1. Aufl., Rdn. 31 zu § 93).

Wenngleich die persönliche Haftung von Organen regelmäßig durch Directors & Officers-Versicherungen (D&O-Versicherungen) abgedeckt sein dürfte, gibt unser Video-Blog doch aus Anlass dieses Urteils einige Hinweise, wie sich Verantwortliche vor einer entsprechenden Haftung schützen können.