IT-Projekte: Welche Risiken trägt die Geschäftsführung? Teil 2: Gesetzlicher Haftungsrahmen
Die IT-Landschaft gewinnt durch die Digitalisierung eine immer größere Bedeutung für den Geschäftserfolg. Allerdings werden viele IT-Projekte entweder gar nicht oder nicht vertragsgemäß abgeschlossen. Damit wachsen die Risiken insbesondere für die Geschäftsführung. In diesem zweiten Teil unserer Serie werfen wir einen Blick auf den gesetzlichen Haftungsrahmen, stellen die relevanten Vorschriften vor und geben Hinweise für deren Auslegung.
Sorgfaltspflichten der Geschäftsführung
Sowohl für Aktiengesellschaften als auch für GmbHs ist der Haftungsmaßstab der Geschäftsführung geregelt. Im Aktiengesetz heißt es dazu: „Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden“ (§ 93 Abs. 1 Satz 1 AktG). Eine entsprechende Formulierung findet sich im GmbH-Gesetz: „Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden“ (§ 43 Abs. 1 GmbHG).
In beiden Fällen ist die Sorgfaltspflicht des Geschäftsführers als Treuhänder fremder Vermögensinteressen gefordert. Die Interessen der Gesellschafter, Gläubiger, Arbeitnehmer und der Allgemeinheit müssen berücksichtigt werden. Der Maßstab für die Sorgfalt ist unabhängig von den persönlichen Stärken und Schwächen der jeweiligen Geschäftsführung. Das heißt, die Geschäftsführung muss zwingend über die Fähigkeiten und Kenntnisse verfügen, die zur Wahrnehmung der Leitung erforderlich sind. Wenn ein Geschäftsführer ein solches Projekt verantwortet, braucht er zwar kein vertieften IT-Kenntnisse, aber er muss sich intern oder extern des erforderlichen IT-Sachverstandes bedienen.
Legalitätspflicht und Compliance
Die Geschäftsführung ist verpflichtet, Recht und Gesetz einzuhalten. Das besagt die Legalitätspflicht. Sie ist eine höchstpersönliche Verpflichtung, die nicht delegiert werden kann. Die Erfüllung einzelner Verpflichtungen lässt sich hingegen delegieren, wenn sich die Geschäftsführung unterrichtet hält und die Einhaltung von Recht und Gesetz kontrolliert und überwacht.
Für die Einhaltung von Recht und Gesetz ist die gesamte Geschäftsführung verantwortlich. Ein Mitglied der Geschäftsführung kann sich zwar nach dem Ressortprinzip grundsätzlich auf die Einhaltung von Recht und Gesetz in anderen Ressorts verlassen, solange ihm nichts Gegenteiliges bekannt ist. Allerdings sind Entscheidungen, die für das Unternehmen besonders relevant sind, nicht Gegenstand des Ressortprinzips und müssen gemeinsam von allen Mitgliedern der Geschäftsführung getroffen werden.
Business Judgement Rule
Bei unternehmerischen Entscheidungen haftet die Geschäftsführung zwar nicht für den Erfolg eines Projekts. Sie steht allerdings dafür ein, dass der Prozess der unternehmerischen Entscheidung ordnungsgemäß war. Im Aktiengesetz ist dies folgendermaßen formuliert: „Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen dürfte, auf der Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln “ (§ 93 Abs. 1 Satz 2 AktG).
Voraussetzung dafür ist eine ausreichende Informationsgrundlage. Die Geschäftsführung hat die ihr zur Verfügung stehenden Erkenntnisquellen unter Abwägung von Kosten und Nutzen auszuschöpfen, um die Tatsachengrundlage der unternehmerischen Entscheidung zu ermitteln.
Falls sich die an das Projekt geknüpften Erwartungen nicht realisieren, haftet die Geschäftsführung somit grundsätzlich nicht, wenn sie die Tatsachengrundlage ordnungsgemäß ermittelt hat und sich von unternehmerisch nachvollziehbaren Gesichtspunkten für ein IT-Projekt hat leiten lassen.
Risikomanagement für IT-Projekte
Das Unternehmensstabilisierungs- und Restrukturierungsgesetzes (StaRUG) schreibt ein Krisenmanagement bei allen haftungsbeschränkten Gesellschaften vor (AG, GmbH, GmbH & Co. KG, etc.). Dort heißt es: „Die Mitglieder des zur Geschäftsführung berufenen Organs einer juristischen Person (Geschäftsleiter) wachen fortlaufend über Entwicklungen, welche den Fortbestand der juristischen Person gefährden können. Erkennen sie solche Entwicklungen, ergreifen sie geeignete Gegenmaßnahmen und erstatten den zur Überwachung der Geschäftsleitung berufenen Organen (Überwachungsorganen) unverzüglich Bericht“ (§ 1 Abs. 1 StaRUG).
Die Maßstäbe dieses Krisenmanagements sind bei den meisten - zumal größeren - IT-Projekten anzulegen, insbesondere wenn sie unternehmenskritische Anwendungen betreffen und im Fall des Scheiterns das Potenzial haben, den Fortbestand der Gesellschaft zu gefährden. Aber auch unterhalb dieser Schwelle sind die Kriterien des Krisenmanagements geeignet, den Umfang und Inhalt der Geschäftsführungspflichten bzgl. des jeweiligen IT-Projekts zu bestimmen.
Der Vorstand einer AG hat beim Management der Risiken auch die Pflicht zur Risikofrüherkennung und die Pflicht zur Risikobewältigung. Andere Gesellschaften wie die GmbH enthalten keine vergleichbar expliziten Vorgaben. Allerdings kann auch dort von der allgemeinen Auffassung ausgegangen werden, dass Risikofrüherkennung ein Teil der Sorgfaltspflicht ist, die jede Unternehmensleitung trifft.
Spezielle Vorgaben des IT-Rechts
In den vergangenen Jahren hat die europäische und nationale Gesetzgebung zahlreiche Vorgaben zur Erhöhung der IT-Sicherheit gemacht. All diese Normen richten sich daher mittelbar auch an die Geschäftsführung der Unternehmen und müssen von ihr beachtet und umgesetzt werden.
Davon sind besonders Unternehmen in bestimmten Sektoren betroffen - etwa Betreiber kritischer Infrastrukturen oder Anbieter digitaler Dienste (BSI-Gesetz). Die Vorgaben enthalten auch Leitplanken für das Risikomanagement, in deren Rahmen etwa Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen müssen, um die Risiken für die Sicherheit der von ihnen genutzten Netz- und Informationssysteme zu bewältigen.
Dabei fehlen allerdings spezifische Regelungen gerade zum Haftungsmaßstab und zur Verantwortlichkeit der Geschäftsführung. Es gibt keine einschlägige Rechtsprechung, die die Verantwortlichkeiten der Geschäftsführung gerade im Hinblick auf die Konzeptionierung und Durchführung von IT-Projekten kommentiert. Es bleibt daher bei den dargelegten allgemeinen Haftungsregeln. Wesentliche Vorgaben und Implikationen für das Unternehmen mit unmittelbarem Bezug auch auf die meisten IT-Projekte folgen aus diversen aktuellen und künftigen regulatorischen Vorhaben, auf die wir in einer der nächsten Folgen der Serie näher eingehen.