22.09.2022

Pflicht zur Einführung von Compliance Management Systemen – Haftung der Geschäftsführung

Co-Autorin: Dr. Nathalie Alon, LL.M.

Eine kürzlich ergangene Entscheidung des OLG Nürnberg könnte auch für den österreichischen Rechtskreis von Bedeutung sein. Die Einrichtung einer funktionierenden Compliance-Organisation ist laut der Entscheidung bereits für Unternehmen mit 13 Mitarbeiter:innen verpflichtend notwendig. Die Schaffung von Compliance-Strukturen ist daher nicht mehr nur ein Problem von multinationalen Konzernen, sondern umfasst auch wesentlich kleinere Organisationsstrukturen.

1. Sachverhalt

Das OLG Nürnberg widmete sich der Frage, inwiefern der Geschäftsführer einer Komplementär GmbH, deren wesentliche Aufgabe in der Führung der Geschäfte einer Kommanditgesellschaft bestand, als Beklagter gegenüber der Klägerin, einem mittelständischen Unternehmen, deren Verwaltung lediglich 13 Mitarbeiter:innen umfasst, schadenersatzpflichtig ist.
Mit dem am 30. März 2022 ergangenen Urteil entschied das OLG Nürnberg, dass eine Pflichtverletzung eines Geschäftsführers bereits deshalb gegeben ist, weil dieser es unterlassen hat, “im Rahmen der internen Unternehmensorganisation Compliance-Strukturen zu schaffen, die ein rechtmäßiges und effektives Handeln gewährleisten und die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter:innen – auch mittels Überwachungs- und Kontrollmaßnahmen – verhindern”.

2. Wichtige Erkenntnisse

Generell ist die Geschäftsführung einer GmbH entsprechend der Sorgfalt eines ordentlichen Geschäftsmanns dem Wohl der Gesellschaft verpflichtet und hat aus diesem Grund für eine nachhaltige Rentabilität der Gesellschaft Sorge zu tragen und Verluste zu vermeiden. Um diesen Sorgfaltspflichten nachzukommen, ist ua eine interne Organisationsstruktur zu etablieren.
Die Geschäftsführung soll durch diese interne Organisationsstruktur in der Lage sein, jederzeit Überblick über die wirtschaftliche und finanzielle Lage der Gesellschaft zu haben.
Daraus folgt unter anderem die Verpflichtung der Geschäftsführung zur Einrichtung eines Compliance Management Systems, wodurch organisatorische Vorkehrungen getroffen werden, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter:innen verhindern.
Die Verpflichtung der Geschäftsführung beschränkt sich folglich nicht nur auf die Überwachung des Geschäftsgangs, sondern umfasst auch die Pflicht, unverzüglich in ein (auch nur) mögliches Fehlverhalten einzugreifen.
Zwar haftet die Geschäftsführung nicht für fremdes Verschulden. Eine Pflichtverletzung aufgrund eigenen Verschuldens liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeiter:innen der Gesellschaft, Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden.
Konsequenzen für die Einhaltung der Sorgfaltspflichten.
Überwachungsaufgaben innerhalb eines Unternehmens sollten die Grenzen der objektiven Zumutbarkeit nicht überschreiten (zB Beachtung der Würde der Unternehmensangehörigen, Wahrung des Betriebsklimas, Eigenverantwortlichkeit der Unternehmensangehörigen).
Eine Delegation der Überwachungsaufgaben an eine/n, der Geschäftsführung unmittelbaren Mitarbeiter:in reduziert lediglich die Sorgfaltspflicht. Die Geschäftsführung hat trotzdem eine sorgfältige Auswahl dieser Aufsichtspersonen vorzunehmen und diese zu kontrollieren.
Das Vier-Augen-Prinzip ist besonders zentral in der Unternehmensorganisation zu verankern und durchzusetzen.
Ein Compliance Management System ist auch für Gesellschaften mit lediglich 13 Mitarbeiter:innen relevant.

3. Mögliche Folgen für Österreich

Aufgrund der ähnlichen gesetzlichen Ausgestaltung von Pflichten einer GmbH-Geschäftsführung dürfte das Urteil des OLG Nürnberg auch für die weitere Entwicklung von Compliance-Organisationen in Österreich Relevanz entfalten.
Auch österreichische Gerichte haben sich in jüngerer Vergangenheit mit vergleichbaren Fragestellungen auseinandergesetzt. Hierbei ging es jedoch vorrangig um die Pflicht der Geschäftsführung gem § 22 Abs 1 GmbH, ein internes Kontrollsystem (“IKS”) einzuführen sowie die Einhaltung des Vier-Augen-Prinzips sicherzustellen.
Dabei wurde ua festgehalten, dass auch ein implementiertes IKS der regelmäßigen Evaluierung bedarf, um den Erfordernissen des Unternehmens weiterhin zu entsprechen. Eine grobe Pflichtverletzung der Geschäftsführung stellte der OGH auch aufgrund der Nichteinhaltung des Vier-Augen-Prinzips sowie der Unterlassung von Kontrollmaßnahmen fest.
Für Schäden, die aus solchen schuldhaften Pflichtverletzungen entstehen, besteht grundsätzlich eine Haftung der Geschäftsführung bereits gem § 25 GmbHG, wonach die Geschäftsführung einer GmbH verpflichtet ist, bei der Führung eines Unternehmens die Sorgfalt eines ordentlichen Geschäftsmannes anzulegen.
Ein IKS kann jedoch nicht mit einer Compliance-Organisation gleichgestellt werden. Vielmehr steht die Verpflichtung zur Führung eines IKS in Wechselwirkung zur Einrichtung einer Compliance-Organisation. Unter einem IKS sind sämtliche aufeinander abgestimmte Methoden und Maßnahmen in einem Unternehmen zu verstehen, die dazu dienen, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnungsdaten zu gewährleisten und die Einhaltung der vorgeschriebenen Geschäftspolitik zu unterstützen. Durch die Implementierung eines IKS wird die Erfüllung von Compliance-Verpflichtungen überhaupt erst ermöglicht. Eine genaue Vorgabe zur Ausgestaltung eines IKS Systems gab der österreichische Gesetzgeber jedoch bisher noch nicht.
Die Einführung eines Compliance Management System umfasst jedoch sowohl sämtliche internen als auch externen Prozesse eines Unternehmens. Vor allem die Einführung unternehmensweiter Verhaltensrichtlinien (bspw in Form eines “Code-of-Conduct”) sowohl für interne Prozesse (zB Auswahl von Lieferanten, Geschenkannahme, Sponsoring, Unterschriftenregelung, Freigabeprozesse) als auch zur Sicherstellung der Einhaltung dieser Verhaltensrichtlinien durch Dritte, ist das primäre Ziel einer funktionierenden Compliance Organisation innerhalb eines Unternehmens.

Es bleibt daher abzuwarten, ob sich der österreichische Gesetzgeber oder österreichische Gerichte in naher Zukunft – ebenso wie die deutschen Gerichte – detaillierter zu konkreten Maßnahmen einer Compliance Organisation äußert und vor allem auch deren Relevanz für KMUs klärt.

FB twitter Linkedin

Mag. Dr. Axel Thoß Kontakt aufnehmen

∨

© 2025 *PwC Legal Rechtsanwälte GmbH is an independent Austrian law firm and cooperates with PricewaterhouseCoopers Legal Aktiengesellschaft Rechtsanwaltsgesellschaft, Friedrich-Ebert-Anlage 35-37, 60327 Frankfurt am Main, District Court Frankfurt am Main HRB 74165. PwC Legal Rechtsanwälte GmbH does not render non-legal services, such services may be procured through member firms of the PwC network.

Privacy Overview

Diese Webseite benutzt Cookies zur Verbesserung Ihrer Nutzererfahrung und unseres Informationsangebotes. Wir verwenden verschiedene Cookie-Arten: Essenzielle Cookies zur Erreichung der Funktionen der Webseite (zB. Spracheinstellungen). Weiters nutzen...

Necessary

immer aktiv

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Functional

Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.

Cookie	Dauer	Beschreibung
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.

Analyse

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.

Cookie	Dauer	Beschreibung
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
Google Analytics MFMSWS70PX	2 Jahre	Dieser Cookie wird von Google Analytics installiert.