Müssen Manager künftig wirklich stärker haften?

So richten Sie ein Risikoüberwachungssystem ein

15.09.2009
Dr. Peter Striewe zur Haftung der Unternehmensleitung wegen fehlerhaften Rechtsmanagements

"Manager müssen stärker haften" - so formulierte Wolfgang Schulhoff, Präsident der Handwerkskammer Düsseldorf in einem Beitrag anlässlich eines Symposiums der Handwerkskammer Düsseldorf, (Rheinische Post vom 14. August 2008). Spektakuläre Unternehmenskrisen - Philipp Holzmann, Balsam, Bremer Vulkan, Metallgesellschaft und jüngst Aufina, IKB, Hypo-Real-Estate - haben deutlich gemacht, dass die rasanten Veränderungen auf den internationalen Kapitalmärkten eine höhere Transparenz und Publizität in allen Bereichen der Kapitalgesellschaften erforderlich machen.

A. Grundlagen

Der deutsche Gesetzgeber hat hierauf nur zögerlich reagiert. Durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) vom 27. April 1998 ist § 91 AktG durch einen Abs. 2 ergänzt worden. Der Gesetzgeber verfolgte vor nunmehr zehn Jahren mit dem KonTraG vor allem die Förderung einer risikoorientierten internen Kontrolle und Transparenz. Deshalb wurde ein Teilaspekt der Leistungsaufgaben des Vorstandes aus § 76 AktG konkretisiert und in der Regel des §91 Abs. 2 AktG hervorgehoben. Hiernach ist für Aktiengesellschaften ausdrücklich die Einrichtung eines Risikoüberwachungssystems vorgeschrieben. Der Vorstand einer Aktiengesellschaft ist gehalten, geeignete Maßnahmen zur Kontrolle des Unternehmens zu treffen, insbesondere ein Überwachungssystem einzurichten, damit gefährliche Entwicklungen für den Fortbestand des Unternehmens frühzeitig erkannt werden können. Die systematische Einordnung in die Organisationsvorschriften wurde dabei bewusst gewählt. Der Gesetzgeber hat daher lediglich die Möglichkeit einer internen Schadenersatzpflicht nach § 93 Abs. 2 AktG benannt.

Für die GmbH gilt dies im Grundsatz gleichermaßen. Ausweislich der Gesetzesbegründung hat sich der Gesetzgeber eine Ausstrahlungswirkung des § 91 Abs. 2 AktG auf Gesellschaften erhofft, die sich in ihrer Größe, Komplexität und Struktur mit der Aktiengesellschaft vergleichen lassen. Dies betrifft vor allem mitbestimmte GmbHs. Zumindest für deren Geschäftsführer besteht demnach die Pflicht, ein vorsorgendes Überwachungssystem einzurichten. Normativer Ansatzpunkt hierfür ist § 43 GmbHG, wonach der Geschäftsführer die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden hat. Die Pflicht zur Einrichtung eines vorsorgenden Überwachungssystems trifft den Geschäftsführer einer konzernabhängigen GmbH neben der entsprechenden Verpflichtung des Konzernvorstandes.

Vorstand ist zur Risikoüberwachung verpflichtet

Diese Verpflichtung des Vorstandes zur Risikoüberwachung erhält ferner dadurch praktische Relevanz, dass das Risikoüberwachungssystem gemäß § 317 Abs. 4 HGB bei amtlich notierten Aktiengesellschaften Gegenstand der Wirtschaftsprüfung ist. Diese Aktiengesellschaften benötigen also ein formalisiertes Überwachungssystem, um den Bestätigungsvermerk des Wirtschaftsprüfers zu erhalten. Zudem ist die Risikoüberwachung Bestandteil der Sorgfaltspflicht des Vorstandes (§ 93 Abs. 1 Satz 1 AktG). Im Falle eines Verstoßes gegen die Überwachungspflicht besteht für den Vorstand gemäß § 93 Abs. 2 AktG die Gefahr der Haftung; gleiches gilt für den Geschäftsführer der GmbH gem. § 43 Abs. 2 GmbHG.

Diese Haftung der Unternehmensleitung besteht zunächst gegenüber der Gesellschaft, wobei die einzelnen Mitglieder als Gesamtschuldner haften, und zwar unabhängig von einer internen Ressortverantwortlichkeit. Im Haftungsprozess hat die Gesellschaft dabei lediglich darzulegen und zu beweisen, dass ihr durch ein möglicherweise pflichtwidriges Verhalten der Unternehmensführung ein Schaden adäquat kausal entstanden ist. Es ist der Vorstand, der dann insbesondere die Erfüllung seiner Pflichten und sein fehlendes Verschulden darzulegen und nachzuweisen hat. Der Vorstand kann sich auch nicht auf den Entlastungsbeschluss der Hauptversammlung der Gesellschaft berufen, weil dieser Beschluss keinen Verzicht auf die Geltendmachung von Schadenersatzansprüchen gegenüber Vorstand und Aufsichtsrat enthält (§ 120 Abs. 2 Satz 2 AktG).

Bislang höchstgerichtlich nicht geklärt ist die Frage, ob § 91 Abs. 2 AktG als Schutzgesetz i.S.d. § 823 Abs. 2 BGB zu qualifizieren ist, mit der Folge einer Haftung auch gegenüber den Gläubigern, Aktionären sowie sonstigen Dritten. Mögen die §§ 76, 93 AktG und § 43 GmbHG zwar keine Schutzgesetze sein, weil diese Vorschriften zumindest vorrangig lediglich die gesellschaftsinterne Organisation regeln, gilt dies für § 91 Abs. 2 AktG nicht ohne weiteres. Das KonTraG dient den Kapitalmärkten, die durch Transparenz und Publizität vor Unternehmenszusammenbrüchen geschützt werden sollen, auch wenn sie "nur" auf gravierendem Fehlmanagement beruhen.

Schutzgesetz

Hieraus könnte abgeleitet werden, dass es anders als bei § 93 AktG, § 43 GmbHG bei der Regelung des § 91 Abs. 2 AktG daher nicht lediglich um die gesellschaftsrechtliche Organisation geht, sondern zumindest auch um den Schutz der beteiligten Wirtschaftskreise. Dennoch überzeugt es nicht, § 91 Abs. 2 AktG als Schutzgesetz i.S.d. § 823 Abs. 2 BGB anzusehen. Für § 91 Abs. 2 AktG kann nichts anderes gelten wie für§§ 76, 93 Abs. 2 AktG. Es ist bereits problematisch, den Kapitalmarkt als abgrenzbaren schützenswerten Personenkreis anzusehen, zumal der BGH in BGHZ 125, 366 gerade einer Ausuferung der Schutzgesetze i.S.d. § 823 Abs. 2 BGB eine Absage erteilt hat. Auch hält § 91 Abs. 2 AktG dem Vergleich mit dem anerkannten Schutzgesetz § 92 Abs. 2 AktG nicht stand. Die Verzögerung des Insolvenzvertrages verringert die Aussichten der Gläubiger auf eine hinreichende Insolvenzmasse unmittelbar.

Bei den vorgeschalteten internen Maßnahmen zur frühzeitigen Erkennung bestandsgefährdender Entwicklungen steht die Verringerung der Vermögensmasse aber noch nicht konkret genug fest. Es sollen gerade erst die Risiken einer negativen Entwicklung festgelegt werden. Die Regelung des § 92 Abs. 2 AktG schützt die Gläubiger vor einer weiteren Verschlechterung der Befriedigungsaussichten, wenn "das Kind bereits in den Brunnen gefallen ist". Bei § 91 Abs. 2 AktG handelt es sich daher nicht einmal um das gesellschaftsinterne Spiegelbild des § 92 Abs. 2 AktG, sondern lediglich um ein Frühwarnsystem zum Erhalt eines leistungsfähigen Unternehmers.

Haftung der Unternehmensleitung gegenüber Dritten

Für die Haftung der Unternehmensleitung gegenüber Dritten, insbesondere gegenüber Gläubigern bietet § 91 Abs. 2 AktG keine Grundlage. Die Haftung der Unternehmensleistung gegenüber der Gesellschaft gem. §§ 93 Abs. 2 und 3 AktG, 43 Abs. 2 GmbHG ist davon unberührt.

Für die Unternehmensleitung in AG und GmbH gewinnen derartige Haftungstatbestände noch zusätzliche Brisanz, als gerade in der jüngsten Vergangenheit die persönliche Verantwortlichkeit von Unternehmensführern in strafrechtlicher, aber auch in haftungsrechtlicher Hinsicht zunehmend in den Blickpunkt des öffentlichen Interesses geraten ist, wobei allerdings die Haftung der Mitglieder des Aufsichtsrates im Vordergrund steht.

B. Inhaltliche Tragweite der Verpflichtung zur Risikoüberwachung

Es ist davon auszugehen, dass sich der Gesetzgeber bei der Einfügung der Verpflichtung von dem Ziel hat leiten lassen, die allgemeinen Pflichten des Vorstandes zu konkretisieren. Gleichwohl bleibt festzuhalten, dass kein klarer Rahmen vorgegeben wurde, in dem sich das Risikoüberwachungssystem bewegen soll und die inhaltliche Bedeutung des § 91 Abs. 2 AktG weitgehend unbestimmt bleibt.

Aufgrund der praktischen Relevanz auf der einen und der Unsicherheit bezüglich der Anforderungen an das Risikoüberwachungssystem auf der anderen Seite verwundert es kaum, dass die Verpflichtung des § 91 Abs. 2 AktG zu den am lebhaftesten diskutierten Gesetzesänderungen des KonTraG zählt und bereits Gegenstand zahlreicher Tagungen war. Zudem finden sich Veröffentlichungen, in denen die Anforderungen an das Risikoüberwachungssystem gem. §91 Abs. 2 AktG skizziert werden. Dabei stehen jedoch zumeist betriebswirtschaftliche oder versicherungstechnische Aspekte im Vordergrund.

In praxi richtet sich das Augenmerk daher auch regelmäßig auf Berichts- und Controllingsysteme. Hierbei wiederum werden etwa der leistungswirtschaftlichen Steuerung, dem Beteiligungscontrolling, dem strategischen (Konzern-) Controlling, dem Treasury Controlling und/oder der so genannten internen Revision unterschiedliche Aufgaben zugewiesen. Die beabsichtigte Änderung des § 171 AktG aufgrund des Bilanzrechtsmodernisierungsgesetzes legt dem Abschlussprüfer die Pflicht auf, über "wesentliche Schwächen des internen Risikomanagementsystems bezogen auf den Rechnungslegungsprozess" zu berichten. Spätestens damit wird der der Unternehmensleitung bislang eingeräumte Ermessens Spielraum hinsichtlich der Ausgestaltung des Risikoüberwachungssystems drastisch eingeschränkt. Dem wirtschaftsberatenden Rechtsanwalt drängt sich die Frage auf, inwieweit die Überwachung sich auch auf rechtliche Gesichtspunkte bzw. Risiken zu erstrecken hat und wie ein solches rechtliches Risikomanagement in bestehende Überwachungssysteme integriert werden kann.

Sorgsame Risikoeinschätzung mit dem Ziel der Risikominimierung

Bereits vor dem Inkrafttreten des KonTraG war anerkannt, dass den Vorstand der Aktiengesellschaft die Pflicht zu sorgsamer Risikoeinschätzung traf mit dem Ziel, Risiken nach Möglichkeit zu minimieren. Diese Obliegenheit des Vorstandes wollte der Gesetzgeber mit der Neueinfügung des § 91 Abs. 2 AktG lediglich "verdeutlichen" und eine bloße "Hervorhebung der allgemeinen Leitungsaufgabe des Vorstandes gem. § 76 AktG" erreichen. Die Überwachungspflicht sei Teil der Gesamtverantwortung des Vorstandes und umfasse auch die Verpflichtung zur Einrichtung eines Überwachungssystems, das "in § 91 Abs. 2 AktG nunmehr klarstellend erwähnt" werde.

Unter Verweis auf diesen Wortlaut wird im Schrifttum wiederholt davon ausgegangen, dass mit der Einfügung des §91 Abs. 2 AktG keinerlei Neuerungen verbunden seien und der Vorschrift insoweit kein erkennbarer Mehrwert beizumessen sei. Zu beachten ist dabei jedoch, dass durch die Hervorhebung des Risikoüberwachungssystems durch den Gesetzgeber dieses zunehmend in den Brennpunkt des Interesses geraten ist, was nicht zuletzt die zahlreichen Veröffentlichungen zu dem Thema belegen. Die fortschreitende Diskussion wird jedoch zwangsläufig zu einer Konkretisierung der Mindestanforderungen an ein Risikoüberwachungssystem führen. Somit wird faktisch der Ermessensspielraum eingeschränkt, der dem Vorstand bei der Ausgestaltung des Risikoüberwachungssystems eingeräumt war. Delegation und Outsourcing werden in Grenzen zulässig sein.

Ferner bleibt abzuwarten, wie die Rechtsprechung auf die Hervorhebung der Verpflichtung des Vorstandes reagieren wird. Dadurch, dass §91 Abs. 2 AktG das Risikoüberwachungssystem quasi als Regelbeispiel der "geeigneten Maßnahmen" erwähnt, steht zu vermuten, dass es in der Rechtsprechung einer scharfen Prüfung unterzogen wird. Auf dieser Linie zu sehen ist etwa auch das Urteil des VG Frankfurt vom 8. Juli 2004, wonach aus dem versicherungsaufsichtsrechtlichen Vieraugenprinzip, das für die VersicherungsWirtschaft in § 34 Satz 1 VAG normiert ist, die Verpflichtung des Vorstandes zur Einrichtung eines Überwachungssystems abzuleiten ist, anhand dessen sich die finanzielle Lage des Unternehmens jederzeit mit hinreichender Genauigkeit bestimmen lässt. Die durch dieses Urteil statuierte "Kontroll- und Misstrauenspflicht" sollte aber nicht vorschnell verallgemeinert werden.

Letztlich scheint durchaus die Aussage gerechtfertigt, dass das KonTraG die Bestimmungen zur Haftung des Vorstandes zwar nicht explizit verschärft, die Konkretisierung der Vorstandspflichten jedoch zu einer faktischen Verschärfung der Haftung fuhren wird.

C. Berücksichtigung rechtlicher Gesichtspunkte im Rahmen des Risikoüberwachungssystems

Kommt dem Risikoüberwachungssystem durch die Einführung des § 91 Abs. 2 AktG somit erhöhte Bedeutung zu, ist es wichtig, die konkreten Anforderungen herauszuarbeiten. In einem nächsten Schritt bleibt dann zu untersuchen, ob und gegebenenfalls in welchem Ausmaß das Risikoüberwachungssystem ein Rechtsmanagement erfordert.

1. Allgemeine Anforderungen an das Überwachungssystem

Ausgangspunkt der Überlegungen hat die Pflicht der Unternehmensführung zu sein, im Rahmen ihrer Leitungsaufgabe ein Überwachungssystem zu installieren und aufrechtzuerhalten, das geeignet ist, eine Fehlentwicklung der Gesellschaft frühzeitig zu erkennen. Der Umfang der Pflicht richtet sich nach den individuellen Unternehmensdaten d.h. nach der Größe, der Branche und Struktur des jeweiligen Unternehmens. Das Überwachungssystem hat die Aufgabe, insbesondere risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften zu erkennen, die sich auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft nachteilig auswirken können. Dabei muss die Überwachung so eingerichtet sein, dass eine Fehlentwicklung frühzeitig erkannt werden kann.

Die sich damit stellende Frage nach dem maßgeblichen Zeitpunkt hängt von den individuellen Unternehmensdaten ab. Das Überwachungssystem ist so einzurichten, dass die Unternehmensleitung noch geeignete Maßnahmen zur Sicherung des Fortbestandes der Gesellschaft ergreifen kann. Die gesetzgeberische Terminologie, wonach existenzgefährdende Entwicklungen "früh" erkannt werden sollen, legt die Auslegung nahe, dass eine ex post betrachtet gerade noch als zur Existenzsicherung rechtzeitig zu qualifizierende Maßnahme nicht ausreicht. Hierfür spricht, dass sich mit längerem Zuwarten der Entscheidungsspielraum der Unternehmensleitung zunehmend einengt und damit die zunächst lediglich drohende Unternehmenskrise die wachsende Wahrscheinlichkeit in sich birgt, den Fortbestand des Unternehmens nicht mehr sichern zu können.

Der Kapitalmarkt erwartet "frühe" Maßnahmen zur Sicherung des Fortbestandes des Unternehmens. Die Maßnahmen müssen daher so "früh" ansetzen, dass bereits eine Unternehmenskrise verhindert wird, auch wenn diese Maßnahmen objektiv geeignet sind, die Krise zu bewältigen. Ziel des KonTraG ist nicht, dass das Unternehmen aus einer Krise herausgeführt werden kann, sondern vielmehr, dass es erst gar nicht in eine solche existenzgefährdende Krise hineingerät. Ist das Überwachungssystem so eingerichtet, dass es erst greift, wenn das Unternehmen in der Krise steckt, hat die Unternehmensleitung nicht die geforderten "frühen" Maßnahmen ergriffen. Ein Rückgriff auf die Kriterien der bei der Überschuldensprüfung nach §19 Abs. 2 InsO erforderlichen Fortbestehensprognose verbietet sich daher.

Die Aufgabe des Risikomanagements ist es, sämtliche Mitarbeiter des Unternehmens zu einem verantwortungsvollen Umgang mit Risiken zu veranlassen sowie einen nachhaltigen und permanenten Prozess zur Förderung von Risikobewusstsein zu indizieren und systematisch zu begleiten. Wesentliche Voraussetzung für ein effizientes Risikoüberwachungssystem ist es, die erforderlichen organisatorischen Voraussetzungen zu treffen durch die personelle und hierarchische Festlegung von Verantwortung, treffender: von "Verantwortlichkeiten". Die bloße Festlegung und persönliche Zuweisung von Verantwortlichkeiten reicht jedoch nicht aus. Hinzu tritt die Notwendigkeit, Grundsätze und Kriterien für die betriebsinterne Kommunikation und Berichterstattung zu schaffen. So dürfte es kaum ausreichen, etwa interne Richtlinien zu schaffen, wenn den Mitarbeitern unterhalb der Ebene der Unternehmensleitung nicht konkrete Vorgaben zur Erkennung von unternehmensgefährdeten Risiken gemacht und ihnen zugleich auch kein Weg zur Kommunikation zur Berichterstattung an die Unternehmensleitung eröffnet wird, dass diese noch rechtzeitig reagieren kann. Erst durch eine gesteuerte Risikokommunikation ist sichergestellt, dass die wesentlichen Risikoinformationen der Unternehmensleitung frühzeitig zugänglich gemacht werden.

Aufgreifkriterien und Schwellenwerte

Ein effizientes Risikomanagementsystem setzt voraus, dass auf allen Ebenen den jeweils Verantwortlichen Aufgreifkriterien und Schwellenwerte vorgelegt und zum Maßstab der internen Berichterstattung an die Unternehmensleitung gemacht werden. Nur durch die Definition von Aufgreifkriterien und Schwellenwerten ist auch der Mitarbeiter auf der "untersten Ebene" in der Lage, Risiken zu erkennen und über sie zu berichten. Hier allerdings beginnt die Crux: Sind die Aufgreifkriterien etwa zu "ungenau" gefasst, kann der Mitarbeiter auf der "untersten Ebene" mit ihnen "nichts anfangen". Sind hingegen die Aufgreifkriterien sehr dezidiert "ausgefeilt", wird es dennoch immer Fälle geben, die bei "rein formaler Betrachtung" nicht erfasst sind. Dies gilt erst recht im Rahmen der hier untersuchten Fragestellung, ob und inwieweit das Risikomanagement auch ein Rechtsmanagement erfassen muss.

Insgesamt hat ein Risikomanagement i.S.v. § 91 Abs. 2 AktG daher v.a. folgende Anforderungen zu erfüllen:

- Erfassung aller Personenkreise

- Basierung auf exakter und rechtzeitiger interner Information

- Zeitgerechte Ermittlung und Bewertung der Unternehmensrisiken (d.h. im Vorfeld, sodass genügend Zeit für eine (Re-)Aktion des Unternehmens verbleibt) - Dynamische Reaktion auf sich ändernde Risikosituationen

2. Umsetzung des Risikoüberwachungssystems

Das Risikomanagement hat das Kontroll- und Informationssystem des Unternehmens zu erfassen. Es reicht von der Risiko Identifizierung über die Risikoanalyse bis hin zum Risikomanagement im eigentlichen Sinne.

Risikoidentifizierung

Auf der ersten Stufe der Risikoidentifizierung ist die sogenannte Risikoinventur durchzuführen. Im Rahmen eines aktuellen Check-up werden alle Schadensgefahren und Verlustpotenziale des Unternehmens systematisch und kontinuierlich festgestellt, sowohl vor als auch nach Eintritt entsprechender Schäden und Verluste. Insoweit ist von einem weiten Risikobegriff auszugehen, der nicht nur den Eintritt von Schäden bzw. Nachteilen, sondern auch den Nichteintritt von positiven Entwicklungen bzw. eines Vorteils erfasst. Je nach Komplexitätsgrad und Struktur des operativen Geschäfts sowie der Größe des Unternehmens lauern daher Risiken unterschiedlichster Natur, wie z.B. Betrugsrisiken, Beschaffungsrisiken, Lagerrisiken, Produktionsrisiken, Absatzrisiken, Gewährleistungsrisiken, Währungsrisiken, Länderrisiken, EDV-Risiken, Umweltrisiken usw.

Risikoanalyse

Im Rahmen der Risikomessung und -bewertung geht es darum, die ursächlichen Strukturen und Interdependenzen der Gefahrenpotentiale transparent zu machen und ihre Wirkungen quantifiziert offen zu legen. Dafür wird v.a. das durch ein Risiko ausgelöste Gefährdungspotential hinsichtlich Vorhersehbarkeit, Schadenssumme und Eintrittshäufigkeit ermittelt. Hierzu stehen verschiedene Verfahren bereit, etwa Korrekturverfahren, Sensitivitätsanalysen, Risikoanalysen oder Risiko-Chancen-Kalküle.

c. Risikomanagement (im engeren Sinn)

Schließlich gilt es, erkannte Risiken durch geeignete Bewältigungsmaßnahmen, etwa die Risiko Verminderung, Risikoüberwälzung, Risikobewältigung und Risiko Vermeidung zu beeinflussen. Ziel muss es dabei sein, das Gesamtunternehmerrisiko in tragbarem und akzeptablem Rahmen zu halten und ein ausgewogenes Verhältnis zwischen Ertrag (Chance) und Risiko (Verlustgefahr) zu erreichen. Bestandteil des Risikomanagements ist schließlich die Risikoüberwachung, mit deren Hilfe die Wirksamkeit der Risikosteuerungsmaßnahmen kontrolliert und Risikoveränderungen erfasst und beurteilt werden.

3. Risikomanagement als Rechtsmanagement

Nachdem nun die allgemeinen Anforderungen und die wesentlichen Stufen eines Risikoüberwachungssystems aufgezeigt worden sind, stellt sich die Frage, inwieweit §91 Abs. 2 AktG die Berücksichtigung rechtlicher Gesichtspunkte verlangt, inwieweit also die Durchführung eines Rechtsmanagements als Bestandteil des Risikomanagements erforderlich ist. Dabei soll die oben unter 2. vorgenommene Untergliederung des Überwachungssystems beibehalten werden und für jeden Abschnitt die Frage nach der Relevanz des Rechtsmanagements beantwortet werden.

a. Risikoidentifizierung

Ein Risikoüberwachungssystem wird nur dann den gesetzlichen Vorgaben des § 91 Abs. 2 AktG genügen können, wenn gewährleistet ist, dass auch die rechtlichen Risiken erkannt werden. Zu nennen ist dabei insbesondere die Gefahr, dass Geschäfte rechtlich nicht durchsetzbar oder vertraglich nicht korrekt dokumentiert sind, aber auch die Änderung gesetzlicher Vorschriften oder behördlicher Auflagen. Ferner ist zu prüfen, inwieweit Geschäfte nicht erlaubt sind bzw. unter Genehmigungsvorbehalt stehen.

Die rechtliche Risikoinventur hat der vollständigen Erfassung sämtlicher Rechtsrisiken zu dienen. Es handelt sich um eine reine Bestandsaufnahme, ohne dass bereits bestimmte Risiken vorab ausgenommen werden. Die Risikoinventur ist nicht an rechtlichen Parametern, also etwa gesetzlichen Vorgaben und vergleichbaren Anordnungen zu messen, sondern spielt sich auf der Tatsachenebene ab. Die erforderliche Strukturierung zur vollständigen Erfassung rechtlicher Risiken hängt von den Spezifika des Unternehmens ab. Eine Richtlinie, die auf jedes Unternehmen zur Anwendung kommen kann, gibt es nicht. Zu erfassen sind insbesondere - aber nicht ausschließlich - sämtliche gesellschaftsrechtlichen Maßnahmen, die das Unternehmen und ihre Beteiligungsgesellschaften betreffen sowie sämtliche Verträge des Unternehmens und ferner sämtliche Vorgänge und Zustände, die Einfluss auf den Fortbestand des Unternehmens haben können und damit das Unternehmen unmittelbar oder mittelbar betreffen können, so etwa auch umweltrelevante Risiken, die auch von einem weiter entfernten Nachbargrundstück ausgehen können.

Bei der rechtlichen Risikoinventur darf es in örtlicher, sachlicher und zeitlicher Hinsicht keine Grenzen geben, da anderenfalls der Sinn und Zweck der Bestandsaufnahme verfehlt wird. Eine Plausibilitätskontrolle, ob wirklich sämtliche Risiken bei der Risikoinventur erfasst sind, kann anhand vormaliger "Problemfälle" vorgenommen werden, mit denen das Unternehmen befasst war, ohne dass hier bereits eine Beschränkung auf die gerichtlichen oder außergerichtlichen Rechts Streitigkeiten erfolgt.

Erst in einem zweiten Schritt der rechtlichen Risikoinventur erfolgen eine Erfassung der einzelnen Risiken und eine Festlegung von Schwellenwerten, die die Wesentlichkeitsgrenze definieren. Auch hier ist Vorsicht geboten vor einer schematischen Festlegung von Schwellenwerten. Zum einen ist bei der Erfassung der Einzelrisiken zu berücksichtigen, dass sich Risiken wechselseitig beeinflussen können.

Verfehlt wäre es auch, auf dieser Stufe der Risikoinventur etwa Lieferverträge mit einem für das Unternehmen relativ geringen Volumen aus der Bestandsaufnahme herauszunehmen, da auch ein solcher Liefervertrag mit einem geringen Volumen unübersehbare Haftungsrisiken für das Unternehmen mit sich bringen kann. Bei der mehr sporadisch und nicht strukturell organisierten Risikoinventur einzelner Vorgänge wird in der Praxis häufig übersehen, dass auch auf den ersten Blick lediglich "unbedeutende" Vorgänge rechtliche Risiken und damit auch Unternehmenskrisen auslösen können.

Risiken auch bei weichen Faktoren

Risiken liegen nicht etwa nur in der Veränderung von Marktfaktoren und Wettbewerbssituationen und deren Einfluss auf das Unternehmensergebnis. Risiken können auch bei weniger operationalisierbaren so genannten "Softkeys" wie etwa bei der Corporate Identity oder der Corporate Culture liegen. Sämtlichen Risikofeldern sind auch Rechtsrisiken immanent. Die Unternehmensleitung wird nur dann ihrer Aufgabe, ein Risikomanagement einzurichten, gerecht, wenn bei der Risikoinventur sämtliche Aspekte berücksichtigt werden, die den Fortbestand der Gesellschaft gefährden können - und damit auch den möglichen Rechtsrisiken Rechnung trägt.

Die Erfassung der Rechtsrisiken im Rahmen der Risikoinventur kann und darf sich nicht auf aktuelle oder latente Rechtskonflikte beschränken. So hat es wenig Sinn, sich bereits bei der Risikoinventur etwa auf den Katalog der zustimmungspflichtigen Geschäftsvorfälle, so wie sie regelmäßig in der Satzung festgelegt sind, zu beschränken. Umgekehrt wäre es aber auch ein nicht zielführendes Unterfangen, einen abschließenden Katalog zu erstellen, der sämtliche denkbaren Rechtsrisiken erfasst. Dabei ist entscheidend, das Blickfeld nicht von vornherein einzuengen, sondern sämtliche Vorgänge zu erfassen, die potentiell auch Rechtsrisiken beinhalten können. Nur eine so durchgeführte Bestandsaufnahme möglicher Rechtsrisiken ermöglicht es, in einem zweiten Schritt die identifizierten Rechtsrisiken danach zu differenzieren, ob sie wesentlich sind und damit den Bestand des Unternehmens gefährden können.

Risikoanalyse

Grundlage der Risikoanalyse sind Messung und Bewertung der Risiken. Erforderlich ist also die Ermittlung der möglichen Schadenshöhe und der Eintrittswahrscheinlichkeit. In diesem Rahmen kommt dem Rechtsmanagement primär die Aufgabe zu, die Erfolgsaussichten anhängiger oder drohender Rechts Streitigkeiten zu beurteilen.

Zentraler Bestandteil der Risikoanalyse ist im Übrigen die Verbindung der in der Risikoinventur gewonnenen Erkenntnisse mit den Erfolgsfaktoren eines Unternehmens. Zentrale Frage ist dabei immer: "Was bedeutet die Realisierung eines möglichen Risikos für einen bestimmten Erfolgsfaktor des Unternehmens?". Hierbei handelt es sich um eine primär ökonomische Fragestellung, so dass dem Rechtsmanagement insoweit keine nennenswerte Bedeutung beizumessen ist.

Risikomanagement (im engeren Sinn)

Im Bereich des Risikomanagements im engeren Sinn kann durch eine Gestaltung der rechtlichen Beziehungen des Unternehmens eine Risikobewältigung erreicht werden. Risikomanagement konzentriert sich auf das Vertragsmanagement oder auch so genanntes Claim-Management. In erster Linie kommt insoweit die vertragliche Abwälzung von Risiken auf Kunden oder Lieferanten in Betracht. Angesprochen ist damit die Durchführung eines Vertragsmanagements, das sowohl Einzelverträge als auch Allgemeine Vertragsbedingungen erfasst. So kann etwa ein Maschinenbauhersteller, der als Systemlieferant Komponenten anderer Maschinenbauer in seiner Anlage integriert, die Risiken der Haftung für die Fremd-Komponenten durch eine individualvertragliche Substitution auf den Hersteller der Fremd-Komponente weitgehend verlagern. Eine am Einzelfall orientierte Vertragsgestaltung bietet ein wirksames Instrumentarium zur Erfüllung eines zielorientierten und erfolgreichen Risikomanagements, das von Unternehmen zu der Bewältigung des Tagesgeschäfts häufig nicht wahrgenommen wird.

Hierzu gehört auch - um ein weiteres Beispiel zu nennen - das häufig anzutreffende Missverständnis, dass es ausreicht, Allgemeine Geschäftsbedingungen (Allgemeine Einkaufs- und Allgemeine Verkaufsbedingungen) entwerfen zu lassen, ohne sich die in praxi relevante Frage zu stellen, ob diese auch tatsächlich zum wirksamen Vertragsbestandteil gemacht werden. Will der Unternehmer sich mit "seinen" AGB durchsetzen, muss er mehr tun, als rein formal auf seine AGB zu verweisen, denn dies wird sein Vertragspartner regelmäßig auch tun. In solchen "Kollisionsfallen" verlangt ein erfolgreiches Risikomanagement grundsätzlich nach individualvertraglichen Lösungen.

Dies gilt insbesondere auch für internationale Vertragsbeziehungen, wenn vermieden werden soll, dass Streitfalle etwa nach einer fremden Rechtsordnung und von einer ausländischen Gerichtsbarkeit entschieden werden. So wird etwa ein erfolgreiches Risikomanagement berücksichtigen müssen, dass nach italienischem Recht Haftungsbegrenzungen innerhalb von AGB schlichtweg unwirksam sind oder dass nach dem UN-Kaufrecht (ebenso wie im englischen Recht) der Schadenersatzanspruch wegen Lieferverzuges - anders als nach deutschem Recht - kein Verschulden voraussetzt. Noch ein Beispiel: Wenn sich der deutsche Lieferant auf die Geltung des französischen Rechts seines Kunden einlässt, verlangt ein erfolgreiches Risikomanagement, dass die Unternehmensleitung dafür sensibilisiert ist, dass das französische Recht bei versteckten Mängeln keine Möglichkeit der Begrenzung des Schadenersatzanspruchs zulässt -und zwar auch nicht individualvertraglich. Hier wird die Unternehmensleitung zu überlegen haben, ob dieses Risiko dadurch kanalisiert wird, dass die Lieferung über eine (evtl. französische) Tochtergesellschaft erfolgt, die im Falle der schadensbedingten Inanspruchnahme mit existenzvernichtender Wirkung "allein" haftet.

Claim-Management im Tagesgeschäft

Im Rahmen des Claim-Managements gehören folgende Aspekte auch und gerade im Tagesgeschäft in jedem Einzelfall auf den Prüfstand:

- Festlegung des Vertragspartners

- Definition der Leistungspflichten

- Preis und Zahlungsbedingungen Lieferbedingungen/Incoterms 2000

- Sicherheiten (z.B. Akkreditiv, Ausfallbürgschaft, Eigentumsvorbehalt)

- Gewährleistung und Haftung

- Laufzeit des Vertrages (bei Dauerschuldverhältnissen)

- Vertragsstrafen und pauschalisierter Schadenersatz

- Risikodeckung durch Betriebs- und Produkthaftpflichtversicherer

- Auswirkung des Vertragsverhältnisses auf andereRechtsbeziehungen (z.B.

- Handelsvertreteransprüche)

- Geltung von AGB

- Rechtswahl/Gerichtsstand/Schiedsgerichtsbarkeit

Die vorstehende Aufzählung kann nicht abschließend sein. Sämtlichen Aspekten gemeinsam - und erst recht in ihrem Zusammenwirken - ist, dass ein nachlässiges Claimmanagement durch unterlassene oder nicht ausreichende Vertragsgestaltung für das Unternehmen existenzvernichtende Wirkungen haben kann, wenn die dadurch eintretenden Verluste nicht mehr anderweitig aufgefangen werden können. Insbesondere mittel ständische Unternehmen ohne eigene Rechtsabteilung verkennen häufig, dass sie nach den gesetzlichen Regelungen und der hierzu ergangenen Rechtsprechung für Vertragspflichtverletzungen in unbegrenzter Höhe haften und auch eine Risikodeckung durch Betriebshaftpflichtversicherer nicht oder nur unzureichend besteht.

Wenn es um die Einschätzung von Risiken etwa aus dem Tagesgeschäft der Unternehmer geht, kann der Blick verklärt sein mit Rücksicht auf die Bilanzierung und insbesondere die Bildung von notwendigen Rückstellungen für ungewisse Verbindlichkeiten. Die im Rahmen der Bilanzierung auszustellende Wahrscheinlichkeitsprognose, wonach es darauf ankommt, ob mehr Gründe für als gegen das Be- oder Entstehen einer Verbindlichkeit sprechen, wird regelmäßig nur dann zu einer objektiv kaufmännisch vernünftigen Beurteilung führen, wenn das Claimmanagement ernst genommen wird. Risikomanagement und insbesondere Claimmanagement sind daher unabdingbare Voraussetzungen für einen ordnungsgemäßen Jahresabschluss, dessen Veröffentlichung dem Schutz der Gläubiger dient.

Neben dem Vertragsmanagement können weitere Aspekte als unternehmenstypische Risikofaktoren zu beachten sein. In diesem Zusammenhang zu erwähnen sind etwa Umweltgefährdungen, die produktionsbedingt sein können, aber auch von außen (z.B. von benachbarten Unternehmen) in das eigene Betriebsgrundstück "hineingetragen" werden. Dass in solchen Fällen der Eigentümer eines Grundstücks als so genannter Zustandsstörer von den zuständigen Behörden auf kostenintensive Gefahrermittlungsmaßnahmen und Beseitigung einer Gefahrdung in Anspruch genommen werden kann, auch wenn er nicht Verursacher der Umweltbelastung ist, stellt einen weiteren Ansatzpunkt eines zielorientierten Risikomanagements dar.

D. Organisation des rechtlichen Risikomanagements

Die Durchführung eines Risikomanagements gem. § 91 Abs. 2 AktG ist ohne die Berücksichtigung rechtlicher Aspekte nicht denkbar. Zu klären bleibt jedoch, wie das "rechtliche Risikomanagement" in das Gesamtrisikoüberwachungssystem zu integrieren ist. Projektverantwortlichen und Controllern kommt dabei eine Schlüsselrolle zu, weil sie es regelmäßig sind, die Risiken am frühesten erkennen können und der Geschäftsleitung zu berichten haben. In größeren Einheiten kann die Funktion auf den unmittelbar der Unternehmensleitung untergeordneten Case-Manager übertragen werden, der Mitglied der Rechtsabteilung ist. In kleineren und mittleren Unternehmen werden diese Aufgaben von einem wirtschaftsberatenden Rechtsanwalt wahrgenommen werden können. Ein Blick nach Schweden zeigt, dass dies funktioniert. Nicht zuletzt aufgrund der persönlichen Haftung der Mitglieder der Unternehmensleitung sind dort häufig in dem dem deutschen Aufsichtsrat ähnlichen Vorstand ("Styrelse") Rechtsanwälte vertreten, die im Rahmen des Rechtsmanagements den Case-Manager anleiten und überwachen.

Ausgangspunkt aller organisatorischen Überlegungen ist, dass rechtliche Risiken ohne Rechtskenntnisse nicht erkannt werden können. In diesem Zusammenhang ist zu betonen, dass die Unternehmensleitung die jeweils erforderlichen beruflichen Voraussetzungen, Fachkenntnisse und Erfahrungen mitzubringen oder sich gegebenenfalls zu verschaffen hat. Demnach kann sie in der Regel Rechtsunkenntnis auch nicht entschuldigen, da sie in diesem Fall rechtlichen Rat einzuholen hat.

Bei der Integration des Rechtsmanagements in das Risikoüberwachungssystem ist zunächst Aufgabe des Case-Managers, die für das Unternehmen typischerweise relevanten rechtlichen Vorschriften systematisch zu sammeln, für das Verständnis der Mitarbeiter auf den jeweiligen Entscheidungsstufen aufzubereiten und ihre Anwendung zu schulen. Ferner ist an die Teilnahme des Casem-Mnagers an Arbeitsgruppen im Rahmen der Risikoüberwachung zu denken. Vor allem ist dabei sicherzustellen, dass alle gesetzlichen und sonstigen rechtlichen Regeln, die die Tätigkeit des Unternehmers bestimmen, ermittelt und in der Organisation des Unternehmens berücksichtigt werden. So sind etwa die Projekte zu definieren, die zwingend der Einholung von Rechtsrat bedürfen, um Gesetzesverstöße zu vermeiden und wirtschaftliche Risiken zu minimieren, zumindest aber kalkulierbar zu machen.

Die Definition der relevanten Projekte darf dabei nicht zu eng gezogen werden und kann eine beabsichtigte Werbekampagne ebenso erfassen wie die (nur) auf ersten Blick "risikoarme" Messepräsentation eines neuen Produkts. Erforderlich wird regelmäßig auch ein Vertragsmanagement sein, welches gewährleistet, dass einzelne Verträge, aber auch in regelmäßigen Abständen die grundsätzliche Vertragsabschlußpraxis sowie AGB, Dauerschuldverhältnisse oder Vertretungsregelungen auf Risiken untersucht werden. Ein vollständiges Vertragsmanagement gliedert sich in Vertragsplanung, -design, -Verhandlung, -durchführung und -controlling.

Im Rahmen der Risikohandhabung bietet sich in rechtlicher Hinsicht einerseits die Möglichkeit der Risikoabwälzung, andererseits bieten die im Rahmen der Risikohandhabung evtl. getroffenen Verträge oder Vereinbarungen erneut Bedarf an rechtlicher Risikountersuchung.

E. Zusammenfassung und Ausblick

§ 91 Abs. 2 AktG führt zu einer faktischen Verschärfung der Haftung der Unternehmensleitung. Hohe Anforderungen werden an die Einrichtung eines Risikoüberwachungssystems gestellt, ohne freilich zu der mitunter befürchteten Publifizierung des Wirtschaftsrechts zu führen. Die Durchführung eines "rechtlichen Risikomanagements" ist erforderlich. Dieses bezieht sich vor allem auf die Identifizierung und die Handhabung der Risiken. Die Unentbehrlichkeit eines "Rechtsmanagements" ergibt sich noch daraus, dass Rechtsunkenntnis die Unternehmensführung regelmäßig nicht entlastet.

Das Rechtsmanagement muss im Wesentlichen folgende Bestandteile beinhalten:

- die Ermittlung der und die Information über die gesetzlichen und sonstigen rechtlichen Regeln, die die Tätigkeit des Unternehmens aktuell und in Zukunft bestimmen;

- die organisatorische Einbindung des verantwortlichen Funktionsträgers ("Case-Manager") in die Projekte und Entscheidungsabläufe, die typischerweise die Gefahr eines Verstoßes gegen gesetzliche Vorschriften oder die Wahrscheinlichkeit einer Verbindlichkeit mit sich bringen;

- die Sicherstellung eines umfassenden Vertragsmanagements (Vertragsplanung, Vertragsdesign, Vertragsverhandlung, Vertragsdurchführung und Vertragscontrolling), das eine ausgewogene Risikoverteilung und die zuverlässige Bewältigung von Krisensituationen gewährleistet, sowie eines sonstigen unternehmensbezogenen Risikomanagements.

Die Überwachung des Risikomanagements seitens der Kontrollorgane sowie die interne Haftung der Unternehmensleitung gegenüber dem Unternehmen kommen der Gesellschaft und damit mittelbar auch den Gesellschaftern und Gläubigern der Gesellschaft zu Gute. Diese haftungsrechtliche Konstruktion macht Sinn. Sie sorgt dafür, dass Risikomanagement und u.a. auch unternehmensbezogenes und -typisches Rechtsmanagement auch von der Unternehmensleitung ernst genommen werden. Sie schützt aber auch davor, dass einzelne Gesellschafter und Gläubiger des Unternehmens ausschließlich für sich Profit daraus schlagen, wenn die Unternehmensleitung und/oder der Aufsichtsrat versagen. (oe)

Der Autor Dr. Peter Striewe ist Rechtsanwalt und Mitglied der Deutschen Anwalts- und Steuerberatervereinigung für die mittelständische Wirtschaft e.V. (www.mittelstands-anwaelte.de).

Kontakt:

Dr. Peter Striewe, Anwaltskanzlei Simon & Partner, Königsallee 20, 40212 Düsseldorf, Tel.: 0211 866 02-0, E-Mail: on@simon-law.de, Internet: www.simon-law.de