Von Philipp Tamussino und Dr. Henning Bloss *)Seit der Caremark-Entscheidung Mitte der 1990er Jahre ist in den USA – jedenfalls in Delaware, wo die meisten US-Großunternehmen gegründet wurden – geklärt, dass der Vorstand (Board of Directors) nicht nur dazu berufen ist, Managemententscheidungen zu treffen. Er hat unter anderem auch dafür zu sorgen, dass geeignete Systeme vorhanden sind, um den Ablauf des Geschäftsbetriebs zu überwachen, und er muss sich bemühen, das Funktionieren dieser Systeme im Auge zu behalten, um sich über die Entwicklung des Unternehmens informiert zu halten. In Deutschland wird die Entwicklung sowohl vor allem im Ordnungswidrigkeitsrecht als auch zivilrechtlich vorangetrieben und ist in mancher Hinsicht den USA schon voraus. Ziemlich begrenztDie daraus erwachsenden Haftungsrisiken sind in den USA eigentlich recht begrenzt. Welche Systeme bei einem bestimmten Unternehmen angebracht sind, unterliegt der Business Judgment Rule und somit dem großzügigen Ermessen des Vorstands. Nur eine andauernde oder systemhafte Missachtung der Überwachungspflicht begründet eine Verletzung der Treuepflicht und damit eine mögliche Haftung des Vorstands. Die Gerichte verstehen sehr wohl, dass Vorstände nicht alles wissen können, was sich in einem Unternehmen abspielt; die Haftung greift nur dann, wenn die Vorstände bewusst ihren Pflichten nicht nachgekommen sind. In den Worten der Delaware-Gerichte ist eine Verletzung der Überwachungspflicht “womöglich die schwierigste” Grundlage für einen Kläger, um eine Haftung des Vorstands zu begründen.Doch ganz so einfach ist es auch wieder nicht. In Marchand v. Barnhill, vor wenigen Wochen vom Delaware Supreme Court entschieden, hatte ein Aktionär (ein Herr Marchand) den Vorstand (darunter ein Herr Barnhill) einer Delaware-Corporation wegen einer Verletzung der Überwachungspflicht im Sinne von Caremark auf zivilrechtliche Haftung geklagt.Der Fall betraf das Unternehmen Blue Bell Creameries, einen der größten Eishersteller in den USA. Das Unternehmen bestand seit mehr als 100 Jahren, und die Geschäfte liefen offenbar gut. Seit 2009 hatten sich jedoch bei Routinekontrollen der Produktionsstätten durch die amerikanischen Gesundheitsbehörden zunehmend Sicherheitsmängel gezeigt. Auch selbst veranlasste Überprüfungen durch externe Labors förderten zutage, dass die Produktionsstätten vermehrt von Listeria-Bakterien betroffen waren. Diese Vorfälle wurden vom nachgeordneten operativen Management behandelt und offenbar nicht dem Vorstand gemeldet.Anfang 2015 kam es dann zur Katastrophe. Die Listeria-Verseuchung der Blue-Bell-Eisprodukte wurde mit Krankheitsfällen in Verbindung gebracht. Blue Bell startete einen Rückruf für eine begrenzte Zahl von Produkten, der dann zunächst etwas erweitert, aber bald auf alle Blue-Bell-Produkte erstreckt wurde. Acht Personen erkrankten schwer; und in drei Fällen führte dies zum Tode der Betroffenen. Das Unternehmen geriet bald in eine bedrohliche Liquiditätskrise, aus der es nur durch eine Private-Equity-Finanzierung mit hartem Kapitalschnitt gerettet werden konnte. Die Anteile der Altaktionäre wurden dabei stark verwässert. Zunächst zurückgewiesen Selbstverständlich wurde geklagt. Der Vorstand verteidigte sich damit, die regulatorisch vorgeschriebenen Kontrollsysteme zur Lebensmittelsicherheit seien vorhanden gewesen, dem Personal hätten entsprechende Betriebsanleitungen zur Verfügung gestanden, und es seien regelmäßig externe Gutachten eingeholt worden. Das erstinstanzliche Gericht wies die Klage, gestützt auf diese Argumentation, zurück.Der Delaware Supreme Court jedoch hielt eine Haftung des Vorstands für möglich und ordnete die Fortsetzung des Klageverfahrens an. Trotz der offensichtlich zentralen Bedeutung der Lebensmittelsicherheit für ein Unternehmen wie Blue Bell habe der Vorstand sich in keiner Weise damit beschäftigt, und es habe keine Prozesse oder Richtlinien im Unternehmen gegeben, wonach “Red Flags” an den Vorstand gemeldet werden mussten.Compliance-Fragen, die ein zentrales Risiko für ein Unternehmen betreffen, dürfen nicht vollständig an das operative Management delegiert werden. Der Vorstand darf sich nicht passiv verhalten, sondern muss sich ernsthaft bemühen, ein angemessenes Monitoring und Reporting System auf Ebene des Vorstands einzurichten.Für die USA ist die Lehre aus Marchand v. Barnhill und Caremark die, dass der Vorstand alles daran setzen sollte, die zentralen Risiken für ein Unternehmen zu identifizieren und Systeme zu schaffen, die dann entsprechende Informationen dem Vorstand zur Kenntnis bringen. Wenn Probleme gemeldet werden, sollte der Vorstand ernsthafte Schritte unternehmen, um Schäden zu vermeiden oder zu minimieren. Diese Schritte sollten unbedingt in Vorstandsprotokollen dokumentiert werden, damit sie nachweisbar sind.In Deutschland ist im Ordnungswidrigkeitenrecht ein schuldhaftes Unterlassen von Aufsichtsmaßnahmen nach § 130 OWiG schon lange bußgeldbewehrt, wenn durch das Versäumnis Straftaten oder Ordnungswidrigkeiten ermöglicht werden, die aus dem Unternehmen heraus begangen werden. “Erlaubte Passivität”Für das Zivilrecht zieht § 91 Abs. 2 AktG eine ausdrückliche Grenze “erlaubter Passivität” von Vorstandsmitgliedern einer Aktiengesellschaft. Danach hat der Vorstand ein Überwachungssystem zur Risikofrüherkennung einzurichten, um die rechtzeitige Aufdeckung von Zuständen und Ereignissen zu ermöglichen, die den Fortbestand der Gesellschaft gefährden. Soweit der Vorstand diese Aufgaben auf eine untere Ebene delegiert, verbleiben umfassende Organisations- und Überwachungspflichten. Darüber hinaus hat sich eine lebhafte Diskussion entwickelt, die nicht zuletzt durch die Gesetzgebung in der Europäischen Union vorangetrieben wird und die Tendenz erkennen lässt, die Haftungsmaßstäbe für das Management immer weiter zu verschärfen. Den Anlass geben zumeist spektakuläre Unfälle oder Versäumnisse auf dem Gebiet der Produktentwicklung und -herstellung, durch die Beschäftigte des Unternehmens oder dessen Kunden Schäden erleiden oder die generell geeignet sind, die Reputation des Unternehmens zu schädigen.In den allermeisten Fällen werden sich die Vorstände damit verteidigen, dass sie nicht über jedes Detail im Betriebsablauf informiert sein können. Daher wird versucht, dem Management weitreichende Organisationspflichten aufzuerlegen, die darauf abzielen, Fehlentwicklungen in Herstellung, im Vertrieb und auch im Dienstleistungssektor zu unterbinden (“Absichern, Aufdecken und Ahnden”). All dies soll mit dem heute gebräuchlichen Schlagwort “Compliance-Verpflichtung des Managements” zum Ausdruck gebracht werden. Zu einer “risikofesten” Unternehmensorganisation kann es danach auch gehören, Verdachtsfällen durch ein mehr oder weniger aufwendiges internes Ermittlungssystem nachzugehen, um möglicherweise entstandene Schäden nicht noch größer werden zu lassen und künftigen Rechtsverletzungen vorzubeugen (Monitoring).Ob sich derartige Verschärfungstendenzen in Zukunft festsetzen werden, ist eine offene Frage. Sollte es dazu kommen, so wird künftig jeder Vorstand haftungsrechtlich belangt werden können, der es versäumt hat, im Rahmen des ihm zugeteilten Aufgabenfeldes für ein angemessenes und funktionsfähiges Riskmanagement zu sorgen. Der haftungsrechtliche Vorwurf zielt also weniger auf die Verursachung des Schadensfalles im Einzelfall als vielmehr auf die Unterlassung der Schadensvorbeugung.Die zusätzliche Kostenbelastung, welche ein solches Risiko-Management verursacht, kann erheblich sein. Die Gefahr einer Überregulierung auf diesem Gebiet kann sich vor allem dann realisieren, wenn künftige Compliance-Standards zu wenig differenziert ausfallen, mit der Folge, dass vor allem kleinere Unternehmen durch das Ausmaß der Sicherungsanforderungen überfordert werden. Hier steht die Rechtsentwicklung noch ganz am Anfang. *) Philipp Tamussino und Dr. Henning Bloss sind Partner von Covington & Burling in Frankfurt.