[34] Die Revision ist entgegen dem das Höchstgericht nicht bindenden Ausspruch des Berufungsgerichts mangels der Voraussetzungen des § 502 Abs 1 ZPO nicht zulässig. Der vom Berufungsgericht für die Zulassung aufgeworfenen Frage zu § 22 Abs 1 GmbHG mangelt es schon deshalb an Relevanz, weil das Berufungsgericht einen allfälligen Verstoß dagegen ohnehin ausgehend vom weiteren Verständnis der Berufung geprüft hat.Die Revision ist entgegen dem das Höchstgericht nicht bindenden Ausspruch des Berufungsgerichts mangels der Voraussetzungen des Paragraph 502, Absatz eins, ZPO nicht zulässig. Der vom Berufungsgericht für die Zulassung aufgeworfenen Frage zu Paragraph 22, Absatz eins, GmbHG mangelt es schon deshalb an Relevanz, weil das Berufungsgericht einen allfälligen Verstoß dagegen ohnehin ausgehend vom weiteren Verständnis der Berufung geprüft hat.
[35] 1. Aktenwidrigkeit:
[36] 1.1. Die Revision macht geltend, das Berufungsgericht habe bei der Wiedergabe des Sachverhalts festgehalten, dass die von der IT-Abteilung an die Mitarbeiter ausgesandte Warnung vom 17. 11. 2015 als Reaktion auf die ersten an die Nebenintervenientin gerichteten E-Mails mit Überweisungsaufforderungen ergangen seien. Tatsächlich habe das Erstgericht aber festgestellt, dass der Anlass dieses E-Mails die Warnung vor einer damals im Umlauf befindlichen Verschlüsselungssoftware war.
[37] Es trifft zu, dass die bekämpfte Formulierung die erstgerichtliche Feststellung missverständlich verkürzt. Eine in der unrichtigen Wiedergabe der Feststellungen des Erstgerichts begründete Aktenwidrigkeit der Berufungsentscheidung ist dadurch zu bereinigen, dass das Revisionsgericht die tatsächlichen Feststellungen einer rechtlichen Beurteilung unterzieht. Hat das Berufungsgericht die übernommenen Feststellungen des Erstgerichts abweichend von ihrem eindeutigen Sinngehalt interpretiert, beurteilt es den Sachverhalt rechtlich unrichtig. Auf die Bedenken der Revision gegen die genannte Feststellung wird daher anhand der tatsächlichen Feststellungen des Erstgerichts bei Behandlung der Rechtsrüge eingegangen (RIS-Justiz RS0116014 [T4]).
[38] 1.2. In der Übernahme einer vom Erstgericht getroffenen Feststellung zum Umfang und zur Frequenz der Prüfung des internen Kontrollsystems der Beklagten durch eine Wirtschaftsprüfungsgesellschaft liegt begrifflich keine Aktenwidrigkeit.
[39] 2. Verfahrensmängel:
[40] 2.1. Die Revision führt aus, das Berufungsgericht habe den Unmittelbarkeitsgrundsatz missachtet, indem es über den vom Erstgericht festgestellten Sachverhalt hinaus eigene Tatsachenfeststellungen ohne Beweisaufnahme getroffen habe.
[41] Dieser Mangel liegt nicht vor. Die in der Revision genannten Passagen der angefochtenen Entscheidung beinhalten keine (neuen) Feststellungen, sondern sind Teil der Behandlung der im Berufungsverfahren erhobenen Beweis- und Rechtsrüge und bringen die angestellten Überlegungen und Wertungen des Sachverhalts durch das Berufungsgerichts zum Ausdruck. Sie verlassen als solche nicht den Rahmen der erstgerichtlichen Feststellungen, auf die sie sich beziehen und auf die mit Klammerzitaten jeweils ausdrücklich hingewiesen wird.
[42] Ob eine vom Berufungsgericht gezogene beweiswürdigende Schlussfolgerung richtig oder fehlerhaft ist, hat das Revisionsgericht nicht mehr zu überprüfen (RS0043150 [T4, T5, T7]).
[43] 2.2. Auch soweit in der Revision die unterbliebene Behandlung der Tatsachenrüge bezüglich der Frequenz und des Umfangs der IKS-Überprüfungen durch die Wirtschaftsprüfungsgesellschaft moniert, ist ihr nicht zu folgen. Die Revision übersieht, dass das Erstgericht die Feststellung, dass das IKS „laufend“ überprüft wurde und es zu keinen Beanstandungen gekommen ist, auch dem eigenen Vorbringen der Klägerin (Klage S 17, AS 21) entnommen hat.
[44] Die in der Revision zur Darlegung des behaupteten Verfahrensmangels zitierten Passagen der Berufung haben nicht die genannte Feststellung bekämpft, sondern eine zusätzliche Feststellung aus dem Jahresbericht 2014/15 gefordert, in welchem auf eine beschränkte Prüfung des IKS in diesem Geschäftsjahr verwiesen worden sei.
[45] 3. Rechtsrüge:
[46] Die Revision stützt sich auf den zentralen Vorwurf, der Beklagte habe seine in § 22 Abs 1 GmbHG normierte Verpflichtung verletzt, für die Führung eines den Anforderungen des Unternehmens entsprechenden internen Kontrollsystems zu sorgen.Die Revision stützt sich auf den zentralen Vorwurf, der Beklagte habe seine in Paragraph 22, Absatz eins, GmbHG normierte Verpflichtung verletzt, für die Führung eines den Anforderungen des Unternehmens entsprechenden internen Kontrollsystems zu sorgen.
[47] 3.1. Die Geschäftsführer sind nach § 25 Abs 1 GmbHG verpflichtet, bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Geschäftsführer, die ihre Obliegenheiten verletzen, haften der Gesellschaft zur ungeteilten Hand für den daraus entstandenen Schaden. Diese Haftung ist, wovon die Vorinstanzen zutreffend ausgegangen sind, eine Verschuldenshaftung. Eine Erfolgshaftung trifft den Geschäftsführer nach dieser Gesetzesstelle nicht (RS0049459), denn das Unternehmensrisiko trägt die Gesellschaft. Der Geschäftsführer haftet nur für eigenes Verschulden. Arbeitnehmer der Gesellschaft sind nicht seine Erfüllungs- oder Besorgungsgehilfen, sondern Gehilfen der Gesellschaft. Eine Eigenhaftung des Geschäftsführers kommt allerdings in Betracht, wenn er seine Organisations- und Überwachungspflichten schuldhaft verletzt hat (RS0059528; 6 Ob 84/16w = RdW 2017/347, 493; Die Geschäftsführer sind nach Paragraph 25, Absatz eins, GmbHG verpflichtet, bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Geschäftsführer, die ihre Obliegenheiten verletzen, haften der Gesellschaft zur ungeteilten Hand für den daraus entstandenen Schaden. Diese Haftung ist, wovon die Vorinstanzen zutreffend ausgegangen sind, eine Verschuldenshaftung. Eine Erfolgshaftung trifft den Geschäftsführer nach dieser Gesetzesstelle nicht (RS0049459), denn das Unternehmensrisiko trägt die Gesellschaft. Der Geschäftsführer haftet nur für eigenes Verschulden. Arbeitnehmer der Gesellschaft sind nicht seine Erfüllungs- oder Besorgungsgehilfen, sondern Gehilfen der Gesellschaft. Eine Eigenhaftung des Geschäftsführers kommt allerdings in Betracht, wenn er seine Organisations- und Überwachungspflichten schuldhaft verletzt hat (RS0059528; 6 Ob 84/16w = RdW 2017/347, 493; J. Reich-Rohrwig in Straube/Ratka/Rauter, WK-GmbHG § 25 Rz 31; GmbHG Paragraph 25, Rz 31; Feltl/Told in Gruber/Harrer, GmbHG § 25 Rz 72; , GmbHG Paragraph 25, Rz 72; Ratka/Rauter, Geschäftsführerhaftung² Rz 2/75).
[48] Bei größeren Gesellschaften ist die Entwicklung sachgerechter Grundsätze der Geschäftspolitik und die Organisation des Unternehmens dergestalt, dass die Realisierung des Gesellschaftszwecks optimal gefördert wird, dass der Informationsfluss im Unternehmen so gestaltet wird, dass sich die Geschäftsleitung stets über betriebswirtschaftlich relevante Daten Gewissheit verschaffen kann und nicht riskiert, über Fehlentwicklungen erheblichen Ausmaßes nicht unterrichtet zu werden, Aufgabe der Geschäftsführer. Geschäftsführer schulden aber nicht einen bestimmten Erfolg, sondern nur eine branchen-, größen- und situationsadäquate Bemühung (RS0118177 [T1]; 6 Ob 198/15h; 9 ObA 136/19v; Koppensteiner/Rüffler, GmbH-Gesetz3 § 25 Rz 10 ff mwN). Paragraph 25, Rz 10 ff mwN).
[49] Haftungsvoraussetzung ist die adäquat kausale Verursachung des Schadens durch den Geschäftsführer. Sein Verhalten ist nach der Äquivalenz- oder Bedingungstheorie ursächlich für einen Erfolg, wenn es nicht weggedacht werden kann, ohne dass der Erfolg entfiele. Die Adäquanz ist eine Rechtsfrage, die Kausalität muss von der Gesellschaft behauptet und bewiesen werden (Hörlsberger in Foglar-Deinhardstein/Aburumieh/Hoffenscher-Summer, GmbHG, § 25 Rz 8)., GmbHG, Paragraph 25, Rz 8).
[50] Unter der Sorgfalt eines ordentlichen Geschäftsmannes sind die Sorgfalt, die Fähigkeiten und die Kenntnisse zu verstehen, die von einem Geschäftsführer in dem betreffenden Geschäftszweig und nach der Größe des Unternehmens üblicherweise erwartet werden können. Der Sorgfaltsmaßstab darf nicht überspannt werden (RS0118177).
[51] Die Gesellschaft hat eine adäquat kausale Schadensverursachung darzulegen (RS0121916 [T5]; RS0059608 [T4]). Den Geschäftsführer trifft die Beweislast, dass er die ihm nach § 25 GmbHG obliegende Sorgfalt angewendet hat. Es ist seine Sache zu behaupten und zu beweisen, dass sein Verhalten weder subjektiv noch objektiv sorgfaltswidrig war. Er hat sich sowohl hinsichtlich der Rechtswidrigkeit seines Verhaltens als auch hinsichtlich des Verschuldens zu entlasten (RS0059608 [T5]) und nachzuweisen, dass er bei Ermessensentscheidungen betreffend verschiedene Möglichkeiten der Ausgestaltung von Kontrollsystemen die ihm gemäß § 25 GmbHG obliegende Sorgfalt angewendet hat (RS0059608).Die Gesellschaft hat eine adäquat kausale Schadensverursachung darzulegen (RS0121916 [T5]; RS0059608 [T4]). Den Geschäftsführer trifft die Beweislast, dass er die ihm nach Paragraph 25, GmbHG obliegende Sorgfalt angewendet hat. Es ist seine Sache zu behaupten und zu beweisen, dass sein Verhalten weder subjektiv noch objektiv sorgfaltswidrig war. Er hat sich sowohl hinsichtlich der Rechtswidrigkeit seines Verhaltens als auch hinsichtlich des Verschuldens zu entlasten (RS0059608 [T5]) und nachzuweisen, dass er bei Ermessensentscheidungen betreffend verschiedene Möglichkeiten der Ausgestaltung von Kontrollsystemen die ihm gemäß Paragraph 25, GmbHG obliegende Sorgfalt angewendet hat (RS0059608).
[52] Zum Sorgfaltsmaßstab eines Geschäftsführers bei Ermessensentscheidungen betreffend verschiedene Möglichkeiten der Ausgestaltung von Kontrollsystemen ist die Orientierung an der „Business Judgment Rule“ angebracht (vgl § 84 Abs 1a AktG). Bei unternehmerischen Entscheidungen darf sich danach der Geschäftsführer nicht von sachfremden Interessen leiten lassen, Entscheidungen müssen auf Grundlage angemessener Information, wie beispielsweise schlüssiger Expertengutachten getroffen werden, sie müssen ex ante betrachtet offenkundig dem Wohl der juristischen Person dienen und der Geschäftsführer muss vernünftigerweise annehmen dürfen, dass er zum Wohle der juristischen Person handelt, er muss also hinsichtlich der übrigen Kriterien gutgläubig sein. Sind diese Voraussetzungen innerhalb des eingeräumten Ermessensspielraums kumulativ erfüllt, so ist er haftungsfrei. Entscheidungen dürfen nicht schon deshalb haftungsbegründend sein, weil sie sich ex post als nachteilig herausgestellt haben (RS0130656; RS0130657 ua; Zum Sorgfaltsmaßstab eines Geschäftsführers bei Ermessensentscheidungen betreffend verschiedene Möglichkeiten der Ausgestaltung von Kontrollsystemen ist die Orientierung an der „Business Judgment Rule“ angebracht vergleiche Paragraph 84, Absatz eins a, AktG). Bei unternehmerischen Entscheidungen darf sich danach der Geschäftsführer nicht von sachfremden Interessen leiten lassen, Entscheidungen müssen auf Grundlage angemessener Information, wie beispielsweise schlüssiger Expertengutachten getroffen werden, sie müssen ex ante betrachtet offenkundig dem Wohl der juristischen Person dienen und der Geschäftsführer muss vernünftigerweise annehmen dürfen, dass er zum Wohle der juristischen Person handelt, er muss also hinsichtlich der übrigen Kriterien gutgläubig sein. Sind diese Voraussetzungen innerhalb des eingeräumten Ermessensspielraums kumulativ erfüllt, so ist er haftungsfrei. Entscheidungen dürfen nicht schon deshalb haftungsbegründend sein, weil sie sich ex post als nachteilig herausgestellt haben (RS0130656; RS0130657 ua; Torggler, Business Judgment Rule und unternehmerische Ermessensentscheidungen, ZfRV 2002/9, 133; vgl BGH II ZR 175/95, vergleiche BGH römisch II ZR 175/95, BGHZ 135, 244, 253 f).
[53] Der Geschäftsführer einer Kapitalgesellschaft hat nur für ein ex ante pflichtwidriges Verhalten einzustehen. Eine Haftung des Gesellschaftsorgans setzt insoweit voraus, dass es seinen Ermessensspielraum überschreitet, eine evident unrichtige Sachentscheidung oder eine geradezu unvertretbare Entscheidung trifft. Es gibt dabei in einer Entscheidungssituation nicht zwingend nur eine richtige Entscheidungsalternative, sondern es können auch mehrere gegenteilige Handlungsalternativen sorgfaltskonform sein (RS0049459 [T3] = 6 Ob 150/15w). Eine Pflichtwidrigkeit liegt aber jedenfalls in der Verletzung rechtlicher Vorgaben (RS0130657 [T3]).
[54] 3.2. Die rechtliche Beurteilung, ob gesetzlichen Präventions-, Prüfungs- und Sorgfaltspflichten ausreichend nachgekommen wurde, ist grundsätzlich eine Frage des Einzelfalls (vgl RS0130434; RS0110202; RS0098750). Eine Einzelfallentscheidung ist nur dann im Revisionsverfahren überprüfbar, wenn im Interesse der Rechtssicherheit ein grober Fehler bei der Auslegung der anzuwendenden Rechtsnorm korrigiert werden müsste. Bewegt sich das Berufungsgericht, wie hier, im Rahmen der Grundsätze einer ständigen Rechtsprechung des Obersten Gerichtshofs und trifft es seine Entscheidung ohne krasse Fehlbeurteilung aufgrund der besonderen Umstände des Einzelfalls, so liegt eine erhebliche Rechtsfrage nicht vor (RS0044088 [T8, T9]).Die rechtliche Beurteilung, ob gesetzlichen Präventions-, Prüfungs- und Sorgfaltspflichten ausreichend nachgekommen wurde, ist grundsätzlich eine Frage des Einzelfalls vergleiche RS0130434; RS0110202; RS0098750). Eine Einzelfallentscheidung ist nur dann im Revisionsverfahren überprüfbar, wenn im Interesse der Rechtssicherheit ein grober Fehler bei der Auslegung der anzuwendenden Rechtsnorm korrigiert werden müsste. Bewegt sich das Berufungsgericht, wie hier, im Rahmen der Grundsätze einer ständigen Rechtsprechung des Obersten Gerichtshofs und trifft es seine Entscheidung ohne krasse Fehlbeurteilung aufgrund der besonderen Umstände des Einzelfalls, so liegt eine erhebliche Rechtsfrage nicht vor (RS0044088 [T8, T9]).
[55] Entgegen den Revisionsausführungen liegen auch nicht deswegen erhebliche Rechtsfragen im Sinn des § 502 Abs 1 ZPO vor, weil der zugrunde liegende Schadensfall für die klagende Partei (zweifellos) große wirtschaftliche Bedeutung hat. Die rechtliche Beurteilung der Haftungsvoraussetzungen ist nicht von der Höhe der letztlich betrügerisch herausgelockten Summe abhängig.Entgegen den Revisionsausführungen liegen auch nicht deswegen erhebliche Rechtsfragen im Sinn des Paragraph 502, Absatz eins, ZPO vor, weil der zugrunde liegende Schadensfall für die klagende Partei (zweifellos) große wirtschaftliche Bedeutung hat. Die rechtliche Beurteilung der Haftungsvoraussetzungen ist nicht von der Höhe der letztlich betrügerisch herausgelockten Summe abhängig.
[56] Eine erhebliche Rechtsfrage ergibt sich auch nicht daraus, dass aufgrund des selben Ereignisses auch eine Schadenersatzklage gegen die Nebenintervenientin anhängig ist, zumal wegen der festgestellten Ressortverteilung unterschiedliche sachliche und rechtliche Voraussetzungen bestehen. Darüber hinaus ist dieses Verfahren im Ausland und daher außerhalb des Einflussbereichs der Leitfunktion des Obersten Gerichtshofs anhängig.
[57] 3.3. Zu den in der Revision aufrecht erhaltenen Vorwürfen, aus denen die Haftung des Beklagten abgeleitet wird, ist im Einzelnen wie folgt Stellung zu nehmen:
[58] Die Revision erachtet die berufungsgerichtliche Auslegung der gesetzlichen Verpflichtung des Geschäftsführers nach § 22 Abs 1 GmbHG zur Führung eines den Anforderungen des Unternehmens entsprechenden internen Kontrollsystems für zu eng. Der Zweck dieser Norm beschränke sich keineswegs auf das Rechnungswesen und die Insolvenzprophylaxe. Die Anforderungen, denen das interne Kontrollsystem der Klägerin zu genügen habe, seien die eines börsennotierten, global tätigen Unternehmens mit rund 3.000 Mitarbeitern. Die Verpflichtung des Geschäftsführers eines derartigen Unternehmens ende nicht mit der Einrichtung eines Kontrollsystems auf dem Papier, sondern umfasse auch die Kontrolle seines Funktionierens, das Abstellen von erkannten Missständen und eine laufende Weiterentwicklung und Anpassung.Die Revision erachtet die berufungsgerichtliche Auslegung der gesetzlichen Verpflichtung des Geschäftsführers nach Paragraph 22, Absatz eins, GmbHG zur Führung eines den Anforderungen des Unternehmens entsprechenden internen Kontrollsystems für zu eng. Der Zweck dieser Norm beschränke sich keineswegs auf das Rechnungswesen und die Insolvenzprophylaxe. Die Anforderungen, denen das interne Kontrollsystem der Klägerin zu genügen habe, seien die eines börsennotierten, global tätigen Unternehmens mit rund 3.000 Mitarbeitern. Die Verpflichtung des Geschäftsführers eines derartigen Unternehmens ende nicht mit der Einrichtung eines Kontrollsystems auf dem Papier, sondern umfasse auch die Kontrolle seines Funktionierens, das Abstellen von erkannten Missständen und eine laufende Weiterentwicklung und Anpassung.
[59] Die so dargestellten abstrakten Anforderungen an die nach § 22 Abs 1 GmbHG zu beobachtende Sorgfalt eines Geschäftsführers haben in der Rechtsprechung des Obersten Gerichtshofs bereits Eingang und Anerkennung gefunden.Die so dargestellten abstrakten Anforderungen an die nach Paragraph 22, Absatz eins, GmbHG zu beobachtende Sorgfalt eines Geschäftsführers haben in der Rechtsprechung des Obersten Gerichtshofs bereits Eingang und Anerkennung gefunden.
[60] In der Entscheidung 9 ObA 136/19v wurde die Haftung eines Geschäftsführers eines Tochterunternehmens eines Konzerns gemäß § 25 GmbHG für einen deliktischen Schaden bejaht, dessen Eintritt durch das Fehlen eines angemessenen internen Kontrollsystems ermöglicht worden war. Nach dem Sachverhalt dieser Entscheidung hatte sich eine Buchhaltungskraft durch eigenmächtige Überweisungen und Kassamanipulationen selbst bereichert. Der Geschäftsführer wurde zum Schadenersatz verpflichtet, weil er trotz Kenntnis massiver Beschwerden über die fehlerhafte Arbeit der Mitarbeiterin sowie unter Missachtung einer ausdrücklichen Aufforderung der Gesellschafterin sowohl die Nichteinhaltung des Vier-Augen-Prinzips bei Überweisungen bewusst geduldet, als auch jede andere Überwachung und Kontrolle der Mitarbeiterin unterlassen hatte.In der Entscheidung 9 ObA 136/19v wurde die Haftung eines Geschäftsführers eines Tochterunternehmens eines Konzerns gemäß Paragraph 25, GmbHG für einen deliktischen Schaden bejaht, dessen Eintritt durch das Fehlen eines angemessenen internen Kontrollsystems ermöglicht worden war. Nach dem Sachverhalt dieser Entscheidung hatte sich eine Buchhaltungskraft durch eigenmächtige Überweisungen und Kassamanipulationen selbst bereichert. Der Geschäftsführer wurde zum Schadenersatz verpflichtet, weil er trotz Kenntnis massiver Beschwerden über die fehlerhafte Arbeit der Mitarbeiterin sowie unter Missachtung einer ausdrücklichen Aufforderung der Gesellschafterin sowohl die Nichteinhaltung des Vier-Augen-Prinzips bei Überweisungen bewusst geduldet, als auch jede andere Überwachung und Kontrolle der Mitarbeiterin unterlassen hatte.
[61] Der hier zu beurteilende Sachverhalt ist jedoch in wesentlichen Teilen anders gelagert.
[62] Der in erster Instanz von der Klägerin noch erhobene Vorwurf, bei der Klägerin sei überhaupt kein internes Kontrollsystem mit Vier-Augen-Prinzip etabliert gewesen und der Kläger habe keine Kontrollen und Interventionen unternommen, obwohl ihm Missstände und eine Machtkonzentration in der Finanzbuchhaltungsabteilung bekannt gewesen seien und er die unmittelbar ressortzuständige Mitgeschäftsführerin für unfähig gehalten habe, konnte im Beweisverfahren nicht erhärtet werden.
[63] Das Ziel eines internen Kontrollsystems ist es, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnung zu gewährleisten und die Einhaltung der Geschäftspolitik zu unterstützen (Unger in WK-GmbHG § 22 Rz 23 unter Hinweis auf 734 BlgNR 20. GP 63; ebenso GmbHG Paragraph 22, Rz 23 unter Hinweis auf 734 BlgNR 20. GP 63; ebenso Mollnhuber/Suesserott in U. Torggler, GmbHG § 22 Rz 8). Ziel sind die Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit (, GmbHG Paragraph 22, Rz 8). Ziel sind die Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit (Mollnhuber/Suesserott aaO mwN). Regelmäßig basiert es wohl auf Überwachungsmaßnahmen organisatorischer und EDV-technischer Art, wie Unterschriftenregelungen, EDV-Zugriffsbeschränkungen oder Arbeitsanweisungen und Kontrollmaßnahmen, die manuell oder automatisationsunterstützt, etwa Plausibilitätsprüfungen in der Buchhaltungssoftware, durchgeführt werden. Hinzu kommen Richtlinien und Regelwerke zur Definition von Standardprozessen sowie deren Dokumentation und eine interne Revision, die in diesem Zusammenhang die Aufgabe hat, bei wiederkehrenden Prüfungen die Effizienz eines IKS zu kontrollieren.
[64] Ein Kontrollsystem in diesem Sinn bestand nach den Feststellungen bei der Klägerin. Es liegt aber auch auf der Hand, dass ein Fake President Fraud, der auf Methoden des „social engineering“ beruht und die angesprochenen Mitarbeiter gerade zur Umgehung der Kontrolleinrichtungen verleiten will, damit allein nicht verhindert werden kann.
[65] Die Revision hält die in der Klage erhobenen Vorwürfe zusammengefasst insoweit noch aufrecht, als sie eine Vernachlässigung der laufenden Evaluierung und Überwachung des an sich bestehenden Kontrollsystems erblickt und dem Beklagten insbesondere vorhält, auf die im Herbst 2015 bekannt gewordenen Bedrohungen durch Spoofing-E-Mails mit betrügerischen Zahlungsaufforderungen nicht adäquat reagiert zu haben. Eine Unkenntnis von bestehenden Missständen des Kontrollsystems, die auf eine mit der Sorgfaltspflicht des ordentlichen Kaufmanns nicht vereinbare Gleichgültigkeit zurückgehe, könne auch nicht ressortzuständige Geschäftsführer nicht exkulpieren. Der Beklagte hätte sich nicht nur auf das Fehlen von Warnungen der externen Prüfungsorganisationen und auf die Berichte der Nebenintervenientin verlassen dürfen.
[66] Diese Ausführungen verlassen unzulässig den Boden des festgestellten Sachverhalts. Danach unterlag die Zahlungsfreigabe bei der Klägerin durchaus genau definierten, automatisierten Prozessen mit mehrfachen unabhängig voneinander erforderlichen Autorisierungen unter Einhaltung des Mehraugenprinzips. Auch der letzte Schritt der Kette, die Erteilung des Überweisungsauftrags an die Bank, war dahingehend geregelt, dass zwei verschiedene Bankkarten zu verwenden waren, die von zwei verschiedenen Angestellten der Finanzbuchhaltungsabteilung zu verwahren und zu verwenden gewesen wären.
[67] Aus dem Sachverhalt geht nicht hervor, woraus sich für den Beklagten vor dem gegenständlichen Schadensfall ein Verdacht ergeben hätte können, dass es in der so organisierten Finanzbuchhaltung dennoch zur Schwachstelle einer Missachtung der Anweisung zur getrennten Verwahrung von TAN-Karten gekommen war. Es steht fest, dass die für die Finanzbuchhaltung ressortzuständige Nebenintervenientin dem Geschäftsführergremium über die Zahlungsabläufe und die Etablierung des Vier-Augen-Prinzips berichtet hat. Der von der Revision erhobene Vorwurf eines mangelnden ressortübergreifenden Interesses geht daher ins Leere. Eine Verpflichtung zur Nachfrage hätte den Beklagten vielmehr dann treffen können, wenn die Nebenintervenientin diese Informationen nicht von sich aus an die Kollegen herangetragen hätte, oder wenn konkrete Bedenken gegen die Richtigkeit und Vollständigkeit ihrer Auskünfte aufgetreten wären. Die Rechtsansicht des Berufungsgerichts, dass eine anlasslose, lediglich auf prinzipiellem Misstrauen beruhende Obliegenheit, die anderen Ressorts noch weiter zu prüfen, eine Überspannung der Sorgfaltspflicht eines Geschäftsführers bedeuten würde, ist nicht korrekturbedürftig.
[68] Nach dem bindend festgestellten Sachverhalt gab es vor dem Schadensfall für den Beklagten keinen Anhaltspunkt für eine regelwidrige Praxis bei den Banküberweisungen, den er als sorgfältiger Geschäftsführer zum Anlass für Maßnahmen nehmen hätte müssen.
[69] Die in der Revision in diesem Zusammenhang behaupteten rechtlichen Feststellungsmängel liegen nicht vor. Dieser Rechtsmittelgrund ist nicht geeignet, die in dritter Instanz nicht mehr zulässige Überprüfung der Beweiswürdigung der Vorinstanzen zu unterlaufen. Die Revisionsausführungen zielen teilweise nicht darauf ab, für die rechtliche Beurteilung wesentliche, fehlende Feststellungen zu ergänzen, sondern darauf, unter Bezugnahme auf einzelne Beweisergebnisse andere als die vom Erstgericht getroffenen Feststellungen zum Wissensstand des Beklagten zu gewinnen.
[70] Die Revisionswerberin führt aus, die Betrugsform des Fake President Fraud sei im Jahr 2015 bereits allgemein bekannte Bedrohung gewesen. Dennoch habe der Beklagte auf die drei einschlägigen Mails an die Nebenintervenientin sowie auf die als Anfrage der US-Steuerbehörden getarnte, teilweise sogar erfolgreiche Phishingattacke nicht ausreichend reagiert.
[71] Auch diese Ausführungen verlassen großteils den Boden des Sachverhalts. Es ist weder den Feststellungen zu entnehmen, noch allgemein notorisches Wissen, dass jene höchst professionell organisierte, mit offenkundig erheblichem Rechercheaufwand ausgeklügelte und auf mehreren kommunikativen Ebenen ausgeführte Angriffsmethode, die zum Schadensfall geführt hat, vor Ende 2015 im deutschsprachigen Raum bereits bekannt war.
[72] Die angewandte Methode geht über die herkömmlichen, durch ihre zahlreichen Fehler und plumpen Formulierungen leicht als Betrugsversuch erkennbaren E-Mails, wie sie im Herbst 2015 an die Nebenintervenientin gerichtet wurden, erheblich hinaus. Die Strategie dieser speziellen Form des FPF ist nicht auf eine Täuschung entscheidungsbefugter Personen ausgelegt, sondern auf die Umgehung oder unautorisierte Nutzung von vorhandenen Prozessen durch geschickte Manipulation und Täuschung eines weisungsabhängigen Mitarbeiters der Abteilung Finanzen oder der Buchhaltung.
[73] Dabei ist die Ausnutzung menschlicher Eigenschaften ein zentrales Element der technologisch und psychologisch versierten bis hochprofessionellen Angreifer. Dem Mitarbeiter wird durch Vertrauensbezeugungen und Lob geschmeichelt, eine Vertrauensbasis hergestellt, die durch telefonische Kontakte und vorgebliche Beteiligung seriöser Autoritäten (hier: Finanzmarktaufsicht) verstärkt wird. Vorhandene Zweifel werden zerstreut, falsche Urkunden eingesetzt, alles mit dem Ziel, dass der Mitarbeiter die bestehenden Sicherungssysteme bewusst, vermeintlich im Auftrag des Vorstands und im Interesse des Unternehmens ausnahmsweise zu umgehen bereit ist (vgl Dabei ist die Ausnutzung menschlicher Eigenschaften ein zentrales Element der technologisch und psychologisch versierten bis hochprofessionellen Angreifer. Dem Mitarbeiter wird durch Vertrauensbezeugungen und Lob geschmeichelt, eine Vertrauensbasis hergestellt, die durch telefonische Kontakte und vorgebliche Beteiligung seriöser Autoritäten (hier: Finanzmarktaufsicht) verstärkt wird. Vorhandene Zweifel werden zerstreut, falsche Urkunden eingesetzt, alles mit dem Ziel, dass der Mitarbeiter die bestehenden Sicherungssysteme bewusst, vermeintlich im Auftrag des Vorstands und im Interesse des Unternehmens ausnahmsweise zu umgehen bereit ist vergleiche Fritzsche, Eigenschaften von Fake President Fraud – Grundlagen zur Risikobeurteilung, Maßnahmenableitung und Reaktion im Einzelfall, Compliance-Berater 11/2017).
[74] Aufgrund welcher Anhaltspunkte der Beklagte damit rechnen hätte müssen, dass nach einem Vorstandsmitglied, das die an sie gerichteten E-Mails sofort als Betrugsversuch erkannte und reagierte, eine hierarchisch zwei Ebenen darunter rangierende Angestellte der Finanzbuchhaltung Ziel eines ungleich komplexer angelegten Fake President Fraud werden könnte, vermag die Revision nicht zu begründen.
[75] Es trifft nach den Feststellungen auch nicht zu, dass aus den an die IT-Abteilung weitergeleiteten E-Mails keine Konsequenzen gezogen wurden, weil alle Mitarbeiter auf mehreren Informationswegen – und daher auch mit Kenntnis des Beklagten – vor erkannten Gefahren gewarnt wurden. Auch ein Social Engineering-Test wurde durchgeführt, um vorhandene Schwachstellen beim Sicherheitsbewusstsein der Mitarbeiter zu entdecken und zu entschärfen.
[76] Wenngleich, wie die Revision aufzeigt, die Anweisung, bei verdächtigen E-Mails auf allenfalls unterlegte Absenderadressen zu achten, richtigerweise nicht als Reaktion auf die im September und Oktober 2015 bei der Nebenintervenientin eingegangenen E-Mails, sondern aus Anlass einer Warnung vor Schadsoftware erfolgt ist, ändert sich nichts an der maßgeblichen Tatsache, dass es diese Anweisung gegeben hat. Fest steht auch, dass die vom Fake President angesprochene Gruppenleiterin der Finanzbuchhaltung diese Anweisung tatsächlich befolgt und die E-Mailadresse kontrolliert hat. Ihre dabei aufgetretenen Bedenken wurden jedoch von den Tätern mittels vorgetäuschter Behördenadresse und geschickten Argumentierens zerstreut.
[77] Auch soweit die Revision dem Beklagten vorwirft, seine TAN-Karte sorglos weitergegeben zu haben, setzt sie sich nicht mit dem festgestellten Sachverhalt auseinander, wonach die TAN-Karte gar nicht die Konten der Klägerin betraf. Sie führt nicht weiter aus, inwieweit das Verhalten des Beklagten insoweit kausal für den eingetretenen Schaden war. Die Ausführungen zu den fehlenden Überweisungslimits bzw -beschränkungen stellen keinen allgemeinen Standard dar, von dem im Verantwortungsbereich des Beklagten abgewichen wurde.
[78] 3.3.3. Beweislast
[79] Die Revision führt unter Hinweis auf Literatur (Lehner, GesRZ 2005, 128 [133]) und Rechtsprechung (6 Ob 11/18p) aus, dass der belangte Geschäftsführer zu behaupten und zu beweisen habe, dass sein Verhalten weder subjektiv noch objektiv sorgfaltswidrig war, er sich also sowohl hinsichtlich der Rechtswidrigkeit als auch des Verschuldens zu entlasten habe. Das Berufungsgericht habe diese Rechtslage verkannt, weil es nicht beachtet habe, dass ein ordentlicher Geschäftsmann dafür Sorge tragen hätte müssen, dass in jeder Phase des Zahlungsprozesses zumindest das Vier-Augen-Prinzip eingehalten wird. Dem Beklagten sei der ihm obliegende Entlastungsbeweis daher nicht gelungen.
[80] Das Berufungsgericht ist zutreffend davon ausgegangen, dass den Geschäftsführer nach der Rechtsprechung die Beweislast trifft, dass er die ihm nach § 25 GmbHG obliegende Sorgfalt angewandt hat; eine Missachtung des Sorgfaltsmaßstabs indiziert dabei in der Regel auch ein subjektives Verschulden (RS0059608; RS0059556).Das Berufungsgericht ist zutreffend davon ausgegangen, dass den Geschäftsführer nach der Rechtsprechung die Beweislast trifft, dass er die ihm nach Paragraph 25, GmbHG obliegende Sorgfalt angewandt hat; eine Missachtung des Sorgfaltsmaßstabs indiziert dabei in der Regel auch ein subjektives Verschulden (RS0059608; RS0059556).
[81] Grundlage der Haftung nach § 25 GmbHG ist aber immer eine individuelle, schuldhafte Pflichtverletzung. Für das Fehlverhalten von Angestellten haften Geschäftsführer nicht schon dann, wenn es möglich war und ein Schaden eingetreten ist, sondern nur, wenn sie ihre Organisations- und Überwachungspflichten schuldhaft verletzt haben und dieses Versäumnis schadenskausal war (RS0059608 [T4]; Grundlage der Haftung nach Paragraph 25, GmbHG ist aber immer eine individuelle, schuldhafte Pflichtverletzung. Für das Fehlverhalten von Angestellten haften Geschäftsführer nicht schon dann, wenn es möglich war und ein Schaden eingetreten ist, sondern nur, wenn sie ihre Organisations- und Überwachungspflichten schuldhaft verletzt haben und dieses Versäumnis schadenskausal war (RS0059608 [T4]; Reich-Rohrwig in Straube/Ratka/Rauter, WK-GmbHG § 25 Rz 171; GmbHG Paragraph 25, Rz 171; S.-F.Kraus/U.Torggler in U. Torggler [Hrsg], GmbHG § 25 Rz 8).[Hrsg], GmbHG Paragraph 25, Rz 8).
[82] Von den maßgeblichen Feststellungen und dem 2015 bestehenden Wissensstand ausgehend verlässt die Rechtsansicht des Berufungsgerichts, der Beklagte habe nachgewiesen, dass er die Sorgfalt eines ordentlichen Kaufmanns nicht verletzt hat, insbesondere nicht durch Unterlassung von objektiv gebotenen Überwachungs- und Kontrollmaßnahmen oder Warnpflichten, den Rahmen des bei dieser Beurteilung im Einzelfall offen stehenden Bewertungsspielraums nicht.
[83] 4. Die Kostenentscheidung gründet sich auf §§ 41, 50 ZPO. In beiden Revisionsbeantwortungen wurde auf das Fehlen der Voraussetzungen des § 502 Abs 1 ZPO hingewiesen.Die Kostenentscheidung gründet sich auf Paragraphen 41,, 50 ZPO. In beiden Revisionsbeantwortungen wurde auf das Fehlen der Voraussetzungen des Paragraph 502, Absatz eins, ZPO hingewiesen.