Allgemein

Warum immer mehr Unternehmen ihre Manager verklagen

Führungskräften schlägt ein rauer Wind entgegen, denn Unternehmen klagen immer häufiger gegen ihre Topmanager. Solche Klagen waren bis vor einigen Jahren in Deutschland noch eher ungewöhnlich, doch die Lage hat sich verändert.

Das Gesetz sieht seit jeher Schadenersatzansprüche gegen Geschäftsführer und Vorstände vor, wenn Managementfehler zu Schäden beim Unternehmen führen. Schließlich sind Manager ja auch Treuhänder fremden Vermögens.

Gleichwohl gab es bis in die 1990er-Jahre bei den deutschen Konzernen ein eigenartiges Gesinnungskartell. Die damalige Beteiligungs- und Interessenverflechtung „Deutschland AG“ schützte Manager vor Klagen und Unternehmen vor schlechter Presse.

Heute herrscht für die Geschäftsführer eine andere Realität. Wirtschaftsmedien berichten laufend über neue Unternehmensklagen gegen Ex-Manager. Spektakuläre Fälle, wie VW-Dieselaffäre, Siemens-Korruptionsskandal oder die Verfahren gegen den Arcandor-Manager Thomas Middelhoff und Top-Banker, beschäftigen nun Gerichte und Tagespresse.

Heute gilt: Wer als Führungskraft fehlerhaft handelt, muss mit einer Schadenersatzklage seines Unternehmens und eventuell auch mit dem Besuch des Staatsanwalts rechnen.

Dies bekommen auch die D&O-Versicherer zu spüren.

Die Abkürzung D&O steht für „Directors and Officers“. Bei den sogenannten D&O-Policen handelt es sich um Vermögensschadens-Haftpflichtversicherungen für Manager. Die Spezialversicherungen melden stark gestiegene Kompensationszahlungen.

Die Unternehmen führen gegen Geschäftsführer und Vorstände so viele Klagen, dass sich sogar die Frage stellt, ob die D&O-Versicherungen noch gewinnbringend arbeiten können. Jedenfalls haben sich die Prozessrisiken für Geschäftsführer in den letzten Dekaden radikal erhöht.

Gründe für die wachsende Managerhaftung

Weshalb werden die Manager heute gerichtlich zur Verantwortung gezogen?

Verantwortlich sind dafür mehrere Entwicklungen: Nach der Demontage der Deutschland-AG hat sich eine funktionierende Corporate-Governance in Großkonzernen und im Nachgang auch bei mittelständischen Unternehmen durchgesetzt.

Nach einer Grundsatzentscheidung des Bundesgerichtshofs aus dem Jahr 1997 müssen heute Aufsichtsräte rechtliche Schritte gegen illegal handelnde Manager ergreifen, ansonsten drohen ihnen selbst Schadenersatzklagen. Überdies hat sich der Einsatz der D&O-Versicherungen in den letzten Dekaden in Deutschland durchgesetzt.

Unternehmen verzichten heute nicht auf eine Schadenskompensation, wenn die Managementfehler von einer D&O-Police gedeckt werden. Opportunität weicht also harten finanziellen Unternehmensinteressen.

Schließlich besitzen größere Gesellschaften ein Compliance-System mit oft unabhängigen Compliance-Officern, denen die Aufgabe zukommt, Gesetzesverstöße zu identifizieren und zu dokumentieren. Bei solchen professionellen Unternehmensstrukturen können entdeckte Managementfehler nicht mehr mit leichter Hand unter den Teppich gekehrt werden.

Haftungsreichweite und Dimensionen

Wenn man sich die spektakulären Fälle der Managerhaftung der ersten Unternehmensliga anschaut, geht es oft um Klagen im mehrstelligen Millionenbereich. Die Dimensionen sind gewaltig.

Letztes Jahr kündigte etwa der Industriekonzern Bilfinger an, von seinen Ex-Managern der letzten zehn Jahre Millionensummen zu fordern. Hintergrund sind der Vorwurf von schweren Pflichtverletzungen und diverse Korruptionsfälle.

Auch der ehemalige hessische Ministerpräsident Roland Koch, der mehrere Jahre Vorstandsvorsitzender von Bilfinger war, wird zur Kasse gebeten. Die Geschäftsführer und Vorstände haften grundsätzlich unbegrenzt mit ihrem gesamten Privatvermögen.

Besteht keine Managerhaftpflichtversicherung oder greift sie nicht für den gesamten Schaden, geht es bei dem Schadenersatzprozess sehr oft um die finanzielle Existenz der Geschäftsleiter.

Im Risiko sind allerdings nicht nur Fremdgeschäftsführer. Auch Gesellschafter-Geschäftsführer von mittelständischen Unternehmen, die im Gesellschafterkreis Rückendeckung erhalten, sind Haftungsgefahren ausgesetzt. Im Rahmen einer Krise eines inhabergeführten Unternehmens nützt einem Gesellschafter-Geschäftsführer die Unterstützung weiterer Gesellschafter gar nichts, wenn die Gesellschaft in die Insolvenz geht.

Die Insolvenzverschleppung begründet für das Leitungsorgan immer noch mit das höchste Haftungsrisiko. Der Insolvenzverwalter ist zur Klage verpflichtet, wenn der Geschäftsführer nicht ordnungsgemäß gehandelt hat. Für nicht abgeführte Abgaben und Steuern kann jeder Geschäftsführer auch direkt gegenüber dem Fiskus haften.

Cyberschäden können Manager den Job kosten

Vor externen Hackerangriffen und internem IT-Missbrauch können Manager ihre Unternehmen nur schwer schützen.

Dabei steigt mit den Cybergefahren auch ihr persönliches Haftungsrisiko.

Das kann Folgen für den D&O-Schutz haben, wie Theodoros Bitis erläutert, Director Cyber & Crime Unit bei der Howden Germany GmbH.

Von Mitte Mai bis Juli 2017 wilderten Hacker unbemerkt beim US-Finanzdienstleister Equifax und stahlen die persönlichen Daten von fast 143 Millionen US-Kunden: Kreditkarten- und Sozialversicherungsnummern, Adresse, Geburtsdatum und Namen. Genug Daten für Betrüger, um Käufe oder Kreditanträge mit den gestohlenen Identitäten zu tätigen. Das Datenleck kostete zwei Monate später den damaligen Equifax-Chef Richard Smith den Job, der IT- und der Sicherheitschef waren zuvor schon in den Zwangsruhestand geschickt worden. Neben dem Imageverlust musste die Auskunftei einen Schaden von weit mehr als 300 Mio. US-Dollar hinnehmen.

Alles kann gehackt werden

Equifax ist überall. Regierungen, Behörden, Konzerne, Mittelständler, selbst die Kioskbetriebe von nebenan können Opfer eines Hackerangriffs werden. Die Täter machen schnelle Beute, oft in Millionenhöhe, und hinterlassen schwere Schäden. Einen absolut sicheren Schutz gibt es nicht. „Alles kann gehackt werden“, warnt Sandro Gaycken, Leiter des Digital Society Institute an der ESMT Berlin, der auch die Bundesregierung berät. Dabei muss es sich noch nicht einmal um gezielte Hackerangriffe handeln. Locky, WannaCry oder NotPetya – immer häufiger werden Unternehmen eher zufällig Opfer einer Ransomware-Attacke, bei der Hacker im breiten Stil Verschlüsselungstrojaner in Umlauf bringen. Schäden können auch eigene Mitarbeiter anrichten, die von innen heraus die IT manipulieren.

Cyberrisiken erfordern ein Krisenmanagement

Für Manager bedeuten diese Cyberrisiken eine Herausforderung: Sie müssen mit einem maßgeschneiderten Krisenmanagement einen möglichen Schaden bei Verdachtsfällen abwenden oder bei einem ernsten Vorfall eventuelle Folgeschäden minimieren. Manager sind dazu verpflichtet, ein – ganz wichtig – konzernweites Cyberrisikomanagement einzurichten, aufrechtzuerhalten und stets neuen Gegebenheiten anzupassen. Eine Chef-Aufgabe, die sie zwar delegieren können, aber persönlich überwachen müssen. Dabei reicht es nicht, der dann zuständigen Abteilung die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hinzulegen, sondern es gilt immer die Einzelfallprüfung. Eine Dokumentation hilft, im Falle von Schadensersatzklagen oder behördlichen Prüfungen die getroffenen Maßnahmen zu belegen.

Manager haften, wenn das Cyberrisikomanagement nicht stimmt

An diesem Punkt kann der Manager schnell in eine Haftungsfalle tappen. Hat er intern noch keine Maßnahmen angestoßen oder erweisen sich die bereits getroffenen Risikomaßnahmen als lückenhaft, droht den Unternehmensleitern der Vorwurf des Organisationsverschuldens. Das kann schnell zu Innenhaftungsfällen führen, also Schadensersatzansprüche des Arbeitgebers gegen die eigenen Führungskräfte auslösen, genauso wie Außenhaftungsfälle begründen, bei denen externe Dritte Ansprüche geltend machen, etwa Kunden, die wegen Datenschutzverstößen Schadensersatz fordern.

Bestandsversicherungen decken Cyberrisiken nicht ausreichend ab

Da selbst das beste Cyberrisikomanagement weder 100%-igen Schutz vor Kriminellen bietet, die heutzutage sehr kleine und zeitlich eng begrenzte Einfallstore nutzen, noch dem statistisch größten Risiko entgegenwirkt, dass Täter aus der eigenen Belegschaft kommen, verlassen sich viele Manager darauf, dass bei Schäden die Bestandsversicherungen des Unternehmens greifen. Was sie dabei außer Acht lassen: Herkömmliche Sachversicherungen decken lediglich Ertragsausfälle ab, die aufgrund einer sachschadenbedingten Betriebsunterbrechung entstehen. Das Problem: Die allermeisten Cyberattacken führen nur sehr selten zu einem Sachschaden. Ransomware-Erpresser blockieren durch Viren den Rechnerzugriff, sodass der Betrieb ohne Entschlüsselungscode nicht mehr in Gang kommen kann. Der Betriebsunterbrechungsschaden entsteht folglich ohne Sachschaden. Im Schadenfall lehnen daher die Sachversicherer die Deckung mangels substanzieller Einwirkung auf die IT-Systeme ab.

Herkömmlicher Schutz gilt nur für gezielte Attacken

Die Praxis hat auch gezeigt, dass Cyberausschnittsdeckungen, die im Rahmen von Sachversicherungs- oder Vertrauensschadenversicherungspolicen optional oder zum Teil sogar standardmäßig erhältlich sind, den Firmen ebenfalls keinen hinreichenden Schutz bieten. Derartige Bausteine greifen meist nur bei zielgerichteten Eingriffen in die EDV. Als zielgerichtet gilt jedoch ein Eingriff nur dann, wenn Kriminelle das Unternehmen als konkretes Angriffsziel ausgemacht haben. Bei einem Großteil der Ransomware-Attacken handelt es sich bei den Firmen jedoch ja eher um Zufallsopfer.

Cyberschäden stellen D&O-Versicherung vor Herausforderungen

Als Folge des nicht hinreichenden Versicherungsschutzes herkömmlicher Policen wenden sich Unternehmen und deren Manager bei Cyberschäden dann für die Schadenregulierung an den D&O-Versicherer. Aber: Der D&O-Versicherer bietet zunächst Deckung für die Abwehr der im Raume stehenden Schadensersatzansprüche, braucht aber viel Zeit. Diese Verzögerungen können in schwerwiegenden Fällen sogar die Liquidität einer Firma gefährden, weil die Schadenregulierung auf sich warten lässt. Hinzu kommt, dass sich Manager mit jahrelangen Rechtsstreitigkeiten auseinandersetzen müssen und bei diesem hochsensiblen Thema langfristig unter dem Druck der Öffentlichkeit stehen. Die D&O-Praxiserfahrung zeigt zudem, dass langwierige Streitigkeiten häufig in Vergleiche mit sehr überschaubaren Beträgen münden. Die Vergleichsbeträge stellen in der Regel nur einen sehr kleinen Bruchteil des Gesamtschadens für das Unternehmen dar, die kaum weiterhelfen. Manager laufen zudem Gefahr, dass Versicherer anlässlich der offenkundigen Sicherheitslücken in der Unternehmens-IT ihren D&O-Versicherungsschutz mit gravierenden Deckungseinschränkungen versehen, etwa durch Bedingungsausschlüsse oder Deckungssummenreduzierungen. Im Worst Case kann sogar die Kündigung der D&O-Unternehmenspolice drohen.

Individuelle Cyberrisiken genau analysieren und gezielt versichern

Wer sich als Manager vor Cyberrisiken umfassend schützen möchte, sollte von einem Spezialmakler genau analysieren lassen, welche Cyberschäden die konventionellen Bestandsversicherungen tatsächlich abdecken und, um Lücken zu schließen, eine Cyberversicherung abschließen. Selbst für nicht zielgerichtete Attacken und daraus resultierende Ertragsausfälle gibt es gute Cyberschutzkonzepte. Sie tragen auch dafür Sorge, dass Manager bei der Entwicklung eines optimalen Krisenmanagements von IT-Experten unterstützt werden und im Ernstfall sofortigen Deckungsschutz erhalten. Zu ihrem eigenen Schutz sollten Manager zudem ihr Unternehmen dazu auffordern, die D&O-Deckungssumme zu erhöhen oder aber zusätzlich zur firmenfinanzierten D&O-Police eine persönliche Managerhaftpflichtversicherung auf eigene Rechnung abschließen.

Kurzum, Managerhaftung ist Modethema dank der Nachrichtenmedien sowie kalte Wirklichkeit für die betroffenen Geschäftsleiter und Aufsichtsräte.

 

Ähnliche Beiträge
Allgemein

Buchrezension: Redesign im Kopf

In meinem heutigen Artikel habe ich eine kleine Rezension für dich vorbereitet. Es geht um…
Mehr lesen
Newsletter
Bleiben Sie informiert
Abonnieren Sie unseren Newsletter und erhalten nur die Infos, die für Sie wichtig sind! [mc4wp_form id="729"]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.