Legalitätspflicht, Risikofrüherkennung und Compliance entwickeln sich vom juristischen Randthema zur zentralen Führungsaufgabe. Für Geschäftsführer und Risikomanager bedeutet das: Wer Risiken nicht systematisch erkennt, bewertet, steuert und dokumentiert, gefährdet nicht nur die Organisation, sondern zunehmend auch das eigene Vermögen, den Arbeitsplatz und den Versicherungsschutz.
Die zentrale Botschaft eines aktuellen Beitrags von Josef Scherer, Rechtsanwalt und Professor an der Technischen Hochschule Deggendorf, ist deutlich: Governance ist nicht mehr nur ein Thema für Juristen, Revisoren oder Compliance-Abteilungen. Sie ist eine Kernpflicht der Unternehmensleitung. Der Autor beschreibt eine Risikolage, in der Cyberangriffe, Geschäftsunterbrechungen, Regulierung und KI zu den Top-Risiken zählen und in der zugleich die Anforderungen an Geschäftsleiter, Aufsichtsgremien, Risikomanager und weitere Lines-of-Defense-Funktionen steigen. Risikobasiertes Management soll dabei nicht vor allem "mehr Bürokratie" erzeugen, sondern helfen, die wesentlichen Risiken zu erkennen und die wirklich kritischen Entscheidungen rechtzeitig zu treffen.
Legalitätspflicht als Kardinalpflicht
Besonders brisant ist die rechtliche Einordnung der Legalitätspflicht. Der Beitrag verweist auf aktuelle Rechtsprechung, nach der ein Verstoß gegen das Legalitätsprinzip als Verletzung einer Kardinalpflicht verstanden werden kann. Damit wird Compliance nicht mehr als nachgelagerte Kontrollfunktion behandelt, sondern als wesentliche Berufspflicht von Geschäftsführern und Vorständen. Wer kein angemessenes Compliance-Managementsystem, kein funktionierendes Risikofrüherkennungssystem oder keine belastbare Delegationsstruktur vorweisen kann, riskiert persönliche Haftung.
Für Geschäftsführer ist das eine direkte Warnung. Für Risikomanager ist es zugleich ein Mandat: Risikomanagement muss so ausgestaltet sein, dass es Leitung und Überwachung tatsächlich unterstützt. Der Beitrag kritisiert, dass viele Organisationen zwar Managementsysteme, Richtlinien und Reports besitzen, aber die wesentlichen Risiken nicht konsequent risikobasiert priorisieren. Gerade in Zeiten multipler Krisen reicht es nicht, Risiken qualitativ zu beschreiben. Entscheidend ist, ob sie bewertet, aggregiert, mit der Risikotragfähigkeit abgeglichen und in konkrete Steuerungsmaßnahmen übersetzt werden.
D&O-Versicherung: Schutz mit Lücken
Ein weiteres Kernthema ist die D&O-Versicherung. Der Beitrag verdeutlicht, dass eine Managerhaftpflichtversicherung kein Freibrief ist. Zwar stellt der BGH nach der im Text dargestellten Entscheidung hohe Anforderungen an den Ausschluss des Versicherungsschutzes wegen wissentlicher Pflichtverletzung: Der Versicherer muss nachweisen, dass die versicherte Führungskraft die verletzte Pflicht positiv kannte und bewusst dagegen verstieß. Gleichzeitig bleibt das Risiko bestehen, dass Kardinalpflichtverletzungen als Indiz für eine wissentliche Pflichtverletzung gewertet werden.
Praktisch bedeutet das: Ein Geschäftsführer sollte nicht erst im Schadenfall erklären müssen, welche Pflichten ihm bekannt waren und wie deren Einhaltung organisiert wurde. Ein dokumentiertes Compliance-Managementsystem mit Rechtskataster, klaren Rollen, Prozessvorgaben und Nachweisen zur Umsetzung kann im Streitfall entscheidend sein. Der Beitrag betont, dass ein angemessenes und gegebenenfalls zertifiziertes Compliance-System es Versicherern erschweren kann, eine wissentliche Pflichtverletzung zu behaupten.
Praxisfall LAG Köln: Wenn ein Handbuch über Haftung entscheidet
Besonders anschaulich ist der Fall des "Back-to-back-Vertriebsleiters". Ein Vertriebsleiter eines kommunalen Energieversorgers hatte entgegen den Vorgaben des Beschaffungshandbuchs Strommengen nicht unverzüglich "back-to-back" abgesichert. Die Nettostrompreise der betroffenen Verträge lagen bei 6,5 Millionen Euro. Als sich die Marktlage verschlechterte, versuchte der Vertriebsleiter, die Situation später zu retten, informierte aber niemanden über die fehlende Absicherung.
Die Folge: fristlose Kündigung und eine Schadensersatzklage über drei Millionen Euro. Das LAG Köln bestätigte die Kündigung, reduzierte den Schadensersatz jedoch auf zwei Jahresgehälter, weil es nicht von Vorsatz, sondern von grober Fahrlässigkeit ausging. Für die Praxis ist weniger die genaue Summe entscheidend als die Botschaft: Interne Vorgaben, Handbücher und Kontrollmechanismen sind nicht bloß Papier. Wer sie kennt und missachtet, kann persönlich haften. Gleichzeitig zeigt der Fall, dass klare Organisationsvorgaben für Unternehmen entlastend wirken können, wenn sie eindeutig formuliert und kontrolliert werden.
Organisationsverschulden: Die Fälle Müller Brot, Love Parade, Transrapid und Kölner Stadtarchiv
Der Beitrag verweist auf mehrere Praxisbeispiele, die zeigen, dass Haftungsrisiken nicht erst auf Vorstandsebene beginnen. Im Fall Müller Brot wurden laut Text auch der Qualitätsmanagement-Beauftragte und der Produktionsverantwortliche in strafrechtliche Ermittlungen einbezogen. Im Love-Parade-Komplex wurde über Ermittlungen gegen Vorgesetzte wegen unterlassener Überwachung berichtet. Beim Transrapid-Unfall standen wegen fehlender Prozessbeschreibungen nicht nur unmittelbare Verursacher, sondern auch mehrere Verantwortliche und einfache Vorgesetzte im Fokus. Beim Einsturz des Kölner Stadtarchivs dauerte die strafrechtliche Aufarbeitung 15 Jahre; allein die Verfahrensdauer zeigt, wie belastend Ermittlungen für Betroffene sein können.
Für Risikomanager ist daraus eine klare Lehre abzuleiten: Dokumentation ist keine Formalie, sondern Teil der Verteidigungsfähigkeit einer Organisation. Prozesse, Kontrollen, Delegationen und Eskalationswege müssen so dokumentiert sein, dass im Verdachtsfall nachvollzogen werden kann, wer wofür zuständig war, welche Risiken bekannt waren und welche Maßnahmen ergriffen wurden.
Tankstellenpächter-Fall: Risikofrüherkennung gilt auch im Kleinen
Der Beitrag macht zudem deutlich, dass Governance-Pflichten nicht nur große Konzerne treffen. Im vom Text dargestellten OLG-Nürnberg-Fall ging es um eine kleine Tankstelle, bei der ein Mitarbeiter Kreditlimits von Geschäftskunden ignorierte oder umging. Der Schaden belief sich auf rund 750.000 Euro. Der Geschäftsführer wurde persönlich zum Schadensersatz verurteilt, weil er kein angemessenes und wirksames Compliance-, Risiko- und Internes Kontrollsystem eingerichtet hatte.
Die Aussage ist für Geschäftsführer mittelständischer Unternehmen besonders relevant: Fachkräftemangel, operative Belastung oder fehlende Spezialabteilungen ersetzen keine Leitungsverantwortung. Wenn keine geeigneten Funktionen vorhanden sind, muss die Geschäftsleitung selbst sicherstellen, dass Risiken erkannt und gesteuert werden.
KI als neuer Haftungsverstärker
Ein weiterer Schwerpunkt ist der KI-Einsatz. Der Beitrag verweist auf aktuelle Rechtsprechung zur Haftung bei Nutzung von KI, wenn fehlerhafter Output Dritte schädigt. Daraus folgt: Unternehmen brauchen klare Organisationsvorgaben für den Einsatz von KI – etwa Richtlinien, Freigabeprozesse, Kontrollpflichten, Dokumentationsanforderungen und Kompetenzaufbau. Ohne solche Vorgaben droht Organisationsverschulden; zugleich müssen Führungskräfte die Vorgaben einhalten, um nicht selbst in die Haftung zu geraten.
Für Risikomanager bedeutet das, KI nicht nur als Technologie- oder Datenschutzthema zu behandeln. KI-Governance muss mit Compliance, Informationssicherheit, IKS, Prozessmanagement und Business Continuity verbunden werden. Der Text weist ausdrücklich auf Nachholbedarf bei IT- und KI-Literacy hin. Das ist in der Praxis entscheidend: Wer die Funktionsweise, Grenzen und Risiken von KI nicht versteht, kann deren Einsatz auch nicht angemessen überwachen.
IDW S 16: Risikofrüherkennung wird methodischer
Der Beitrag ordnet den neuen IDW S 16 als wichtigen Referenzpunkt für Krisenfrüherkennung und Krisenmanagement nach § 1 StaRUG ein. Risiken sollen nicht nur beschrieben, sondern systematisch quantifiziert, aggregiert und unter Berücksichtigung von Interdependenzen bewertet werden. Qualitative Ausführungen reichen nach der im Text zitierten Logik nicht aus; Szenarioanalysen, Bandbreitenplanungen und bei größeren Unternehmen auch stochastische Simulationen werden als geeignete Methoden genannt.
Für die Praxis heißt das: Risikomanagement muss stärker mit Unternehmensplanung, Liquiditätsplanung und Risikotragfähigkeitsanalyse verzahnt werden. Einzelrisiken sind selten allein bestandsgefährdend; kritisch wird häufig die kumulierende Wirkung vieler Risiken. Genau deshalb reichen einfache Risikomatrizen oder rein verbale Lageeinschätzungen nicht aus, wenn Geschäftsleiter belastbare Entscheidungen treffen und ihre Pflichten nachweisen müssen.
Delegation schützt nur bei sauberer Steuerung
In arbeitsteiligen Organisationen werden Pflichten regelmäßig delegiert – an Abteilungsleiter, Stabsstellen, Beauftragte, externe Dienstleister oder Auftragsverarbeiter. Der Beitrag betont jedoch: Delegation entlastet nur, wenn Auswahl, Instruktion und Überwachung angemessen erfolgen. Fehlerhafte Pflichtendelegation kann zur Haftung des Delegationsempfängers, der Organisation, des Leitungsorgans und unter Umständen auch des Aufsichtsrats führen.
Das ist für Geschäftsführer und Risikomanager ein zentraler Punkt. Es genügt nicht, einen KI-Beauftragten, Datenschutzbeauftragten, Informationssicherheitsbeauftragten oder Risikomanager zu benennen. Entscheidend ist, ob Rollen, Kompetenzen, Ressourcen, Berichtslinien, Eskalationen und Kontrollen wirksam definiert sind. Governance bedeutet Führung und Überwachung.
Vom Risikoreport zur Managementabsicherung
Der Beitrag plädiert als Lösung für ein "Managersicherheitspaket". Gemeint ist kein einzelnes Tool, sondern ein integrierter Ansatz: angemessener Risikomanagementprozess, Risikoanalyse, Quantifizierung, Aggregation, Bewertung der Risikotragfähigkeit, Rechtskataster, Governance- und Kardinalpflicht-Compliance, Prüfung des Versicherungsschutzes, Interaktionsmanagement, klare Delegationsstrukturen und dokumentierte Prozesse.
Dazu kommen Financial Governance, IT- und KI-Governance sowie Business-Continuity- und Krisen-Governance. Ein integriertes Governance-Compliance-Managementsystem soll diese Elemente miteinander verbinden. Der Beitrag verweist zudem auf interne Audits und kombinierte Zertifizierungen, etwa im Zusammenspiel von Compliance-Management, Informationssicherheit und KI-Governance.
Fazit: Risikomanagement wird zur persönlichen Schutzfunktion
Der Beitrag ist vor allem eine Warnung vor Scheinsicherheit. Eine D&O-Police, ein Risikobericht, ein Handbuch oder ein benannter Beauftragter reichen nicht aus, wenn das System nicht wirksam ist. Entscheidend ist, ob Risiken früh erkannt, quantifiziert, aggregiert, priorisiert, gesteuert und dokumentiert werden.
Für Geschäftsführer lautet die Kernbotschaft: Governance ist nicht delegierbar im Sinne eines vollständigen Verantwortungsübergangs. Die Letztverantwortung bleibt bei der Unternehmensleitung. Für Risikomanager lautet die Botschaft: Ihre Funktion wird strategischer, aber auch anspruchsvoller. Sie müssen nicht nur Risiken erfassen, sondern Entscheidungsfähigkeit, Nachweisfähigkeit und Haftungsprävention ermöglichen.
Damit wird Risikomanagement zu mehr als einer Controlling- oder Reportingdisziplin. Es wird zum Schutzschild für Organisationen, Führungskräfte und Beschäftigte – vorausgesetzt, es ist methodisch belastbar, rechtlich anschlussfähig und in den Führungsprozessen tatsächlich wirksam verankert.
Download
Beitrag: "Legalitätspflicht als Kardinalpflicht und der Albtraum von Führungskräften, auch im Kontext von KI-Einsatz"
