Die persönliche Haftung von Geschäftsführern und Vorstandsmitgliedern für unternehmensrechtliche Verstöße war selten so präsent in der Rechtsprechung wie derzeit. Gleich mehrere aktuelle Entscheidungen und ein laufendes Vorabentscheidungsverfahren beim EuGH machen deutlich: Die Zeit, in der Unternehmensführer die Folgen von Compliance-Versäumnissen bequem „auf die Gesellschaft“ abwälzen konnten, geht zu Ende.
OLG Nürnberg: CMS ist Sorgfaltspflicht des Geschäftsführers
Das Oberlandesgericht Nürnberg hat in seinem Urteil vom 30. März 2022 (Az. 12 U 1520/19) klargestellt: Aus der allgemeinen Legalitätspflicht des Geschäftsführers nach § 43 Abs. 1 GmbHG folgt die Verpflichtung, ein Compliance-Management-System (CMS) einzurichten – und zwar unabhängig von der Unternehmensgröße. Das Gericht hat dies ausdrücklich auch für ein Unternehmen mit nur 13 Mitarbeitern bejaht. Eine Pflichtverletzung liegt demnach bereits dann vor, wenn durch unzureichende Organisation, Anleitung oder Kontrolle Mitarbeitern der Gesellschaft Rechtsverstöße ermöglicht oder erleichtert werden.
Hintergrund des Falles: Bei einer Kommanditgesellschaft im Mineralölhandel hatte ein Prokurist durch Manipulation der internen Abrechnungssoftware Kunden ermöglicht, über ihr Kreditlimit hinaus zu tanken. Nach Insolvenz dieser Kunden entstanden der KG erhebliche Forderungsausfälle. Das OLG verurteilte den Geschäftsführer der Komplementär-GmbH zu einem sechsstelligen Schadensersatz – weil er kein funktionierendes CMS, insbesondere kein Vier-Augen-Prinzip im schadensträchtigen Bereich, eingerichtet hatte.
Das Urteil formuliert wörtlich: „Aus der Legalitätspflicht folgt die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern.“
Konkret verlangt das Gericht:
- Ein dokumentiertes Überwachungssystem zur Erkennung und Kontrolle von Unternehmensrisiken
- Regelmäßige, auch unangekündigte Überprüfungen
- Das Vier-Augen-Prinzip als organisatorische Mindestmaßnahme in schadensträchtigen Bereichen
- Sofortiges Einschreiten bei Anhaltspunkten für Fehlverhalten
Wichtig zur Beweislast: Nach ständiger BGH-Rechtsprechung muss der Geschäftsführer im Streitfall nachweisen, dass er seine Sorgfaltspflichten erfüllt hat – nicht die Gesellschaft, dass er sie verletzt hat.
OLG Frankfurt: Vorstand muss BaFin-Bußgeld persönlich erstatten
Mit Urteil vom 21. Oktober 2025 (Az. 31 U 3/25) hat das OLG Frankfurt entschieden: Vorstandsmitglieder haften persönlich gegenüber ihrer Gesellschaft für Bußgelder, die wegen ihres pflichtwidrigen Verhaltens gegen das Unternehmen verhängt wurden. Im konkreten Fall hatte ein Alleinvorstand versäumt, den Bilanzeid im Halbjahresfinanzbericht abzugeben (§ 115 Abs. 2 WpHG). Die BaFin verhängte daraufhin ein Bußgeld von 290.000 Euro gegen die Gesellschaft. Das Gericht verpflichtete den ausgeschiedenen Vorstand zum Regress einschließlich Verfahrenskosten – insgesamt über 310.000 Euro. Zugleich stellte das OLG klar: Der Regress ist grundsätzlich auch durch die D&O-Versicherung gedeckt.
BGH legt EuGH vor: Ist Kartellbußgeld-Regress europarechtskonform?
Mit Beschluss vom 11. Februar 2025 hat der BGH-Kartellsenat (Az. KZR 74/23) dem EuGH die Frage zur Vorabentscheidung vorgelegt, ob Art. 101 AEUV einer nationalen Regelung entgegensteht, nach der ein Unternehmen seinen Geschäftsführer für eine verhängte Kartellbuße in Regress nehmen kann. Der BGH tendierte in seinem Vorlagebeschluss zur Bejahung der Regressfähigkeit. Das Urteil des EuGH wird voraussichtlich noch 2026 oder 2027 ergehen.
Was bedeutet das für Geschäftsführer und Vorstände?
Die Entwicklung ist eindeutig: Die persönliche Haftung von Unternehmensführern für Compliance-Versäumnisse wird ausgeweitet. Wer kein nachweisbar funktionierendes CMS unterhält, riskiert:
- Schadensersatzansprüche der Gesellschaft gem. § 43 Abs. 2 GmbHG / § 93 Abs. 2 AktG
- Persönlichen Regress für Bußgelder (Kartellrecht, Kapitalmarktrecht, Datenschutz)
- Ahndung nach § 130 OWiG bei mangelnder Aufsicht über Mitarbeiter
- Persönliche Haftung für NIS2-Verstöße gem. § 38 BSIG
Wir unterstützen Sie bei der Einrichtung und Dokumentation eines auf Ihr Unternehmen zugeschnittenen Compliance-Management-Systems – und beraten Geschäftsführer und Vorstände zur Absicherung ihrer persönlichen Haftungsrisiken.