Die Geschäftsführerhaftung im Mittelstand ist kein theoretisches Risiko, sondern eine Größe, die zunehmend in den operativen Alltag hineinwirkt. § 43 GmbHG verlangt von Geschäftsführerinnen und Geschäftsführern die Sorgfalt eines ordentlichen Geschäftsmanns – ein Maßstab, der über die Jahre durch Rechtsprechung immer weiter konkretisiert wurde. Pflichtverletzungen können zur persönlichen Inanspruchnahme mit dem Privatvermögen führen. Anders als angestellte Mitarbeitende profitieren Organe nicht vom abgeschwächten Haftungsmaßstab des Arbeitsrechts. Dieser Beitrag beschreibt die wichtigsten Pflichtfelder, die typischen Haftungsrisiken im Mittelstand und die Schutzmechanismen, die Organe und Gesellschaften aufbauen sollten – von der D&O-Versicherung über Compliance-Strukturen bis zur belastbaren Dokumentation operativer Entscheidungen.
Rechtsrahmen: § 43 GmbHG, § 93 AktG und Spezialgesetze
Die zentrale Norm für GmbH-Geschäftsführer ist § 43 GmbHG. Sie verlangt die Sorgfalt eines ordentlichen Geschäftsmanns und macht den Geschäftsführer bei Verletzung dieser Pflicht ersatzpflichtig. Parallel dazu regelt § 93 AktG die Vorstandshaftung in der Aktiengesellschaft mit der berühmten Business Judgment Rule, die unternehmerische Entscheidungen unter bestimmten Voraussetzungen vor späterer richterlicher Überprüfung schützt. Hinzu treten Spezialgesetze, die eigenständige Haftungstatbestände begründen: das Insolvenzrecht, das Steuerrecht (§ 69 AO), das Sozialversicherungsrecht (§ 266a StGB), das Umweltrecht und – zunehmend bedeutsam – das Datenschutz- und Lieferkettenrecht.
Die fünf zentralen Pflichtfelder
Die juristische Literatur unterscheidet zahlreiche Pflichten; aus operativer Sicht lassen sich fünf Felder identifizieren, in denen die meisten Haftungsfälle ihren Ursprung haben.
Legalitätspflicht
Die Legalitätspflicht verlangt, dass Geschäftsführer die geltenden Gesetze einhalten und für deren Einhaltung im Unternehmen sorgen. Sie umfasst zwei Dimensionen: die persönliche Rechtstreue im eigenen Handeln und die Verantwortung für ein System, das Rechtsverstöße im Unternehmen verhindert. Wer steuerliche Pflichten verletzt, Sozialversicherungsbeiträge nicht abführt oder Compliance-Risiken ignoriert, haftet auch dann, wenn die operative Umsetzung an Dritte delegiert war – sofern die Auswahl, Anleitung und Überwachung nicht ordnungsgemäß erfolgt sind.
Sorgfaltspflicht bei unternehmerischen Entscheidungen
Unternehmerische Entscheidungen sind in Deutschland durch die Business Judgment Rule grundsätzlich vor späterer Inanspruchnahme geschützt – wenn vier Voraussetzungen erfüllt sind: Handeln in gutem Glauben zum Wohl der Gesellschaft, ohne Sonderinteressen, auf Grundlage angemessener Information und im Rahmen der Befugnisse. Wer eine Investitionsentscheidung ohne fundierte Entscheidungsgrundlage trifft, kann sich später nicht auf den unternehmerischen Ermessensspielraum berufen.
Treuepflicht
Die Treuepflicht verlangt, die Interessen der Gesellschaft über eigene Interessen zu stellen. Sie verbietet Eigengeschäfte zulasten der Gesellschaft, die Nutzung von Geschäftschancen für eigene Rechnung und Insichgeschäfte ohne Befreiung vom Verbot des § 181 BGB. Im Mittelstand sind familiäre Verflechtungen und Beteiligungen an Lieferanten oder Kunden häufige Quellen unbewusster Treuepflichtverletzungen.
Verschwiegenheitspflicht
Vertrauliche Informationen über die Gesellschaft dürfen nicht an Dritte weitergegeben werden, auch nicht nach Ausscheiden aus dem Amt. Die Reichweite umfasst Geschäfts- und Betriebsgeheimnisse, strategische Informationen und Daten, deren Bekanntwerden der Gesellschaft schaden könnte.
Pflicht zur Krisenfrüherkennung und Insolvenzantrag
Geschäftsführer sind verpflichtet, die wirtschaftliche Lage der Gesellschaft fortlaufend zu überwachen und bei Anzeichen einer Krise gegenzusteuern. Tritt Zahlungsunfähigkeit oder Überschuldung ein, besteht eine Antragspflicht nach § 15a InsO – grundsätzlich ohne schuldhaftes Zögern, spätestens drei Wochen nach Eintritt der Zahlungsunfähigkeit. Wer diese Frist versäumt, haftet persönlich für Zahlungen nach Insolvenzreife und kann strafrechtlich belangt werden.
Typische Haftungsfallen im Mittelstand
Aus der Praxis lassen sich Konstellationen identifizieren, die im Mittelstand regelmäßig zu Haftungsfällen führen.
Steuern und Sozialversicherung
§ 69 AO begründet eine persönliche Haftung des Geschäftsführers für Steuern, die infolge vorsätzlicher oder grob fahrlässiger Pflichtverletzung nicht oder nicht rechtzeitig festgesetzt oder entrichtet wurden. § 266a StGB sanktioniert die Nichtabführung von Arbeitnehmeranteilen zur Sozialversicherung mit Geld- oder Freiheitsstrafe. Beides sind echte persönliche Risiken, die in Liquiditätsengpässen schnell aktuell werden.
Insolvenzverschleppung
Die Pflicht zur rechtzeitigen Insolvenzantragstellung wird in der Krise häufig unterschätzt. Viele Geschäftsführer hoffen auf eine Wende und übersehen, dass die Drei-Wochen-Frist nicht erst mit der Erkenntnis, sondern mit dem objektiven Eintritt der Zahlungsunfähigkeit zu laufen beginnt. Zahlungen nach Insolvenzreife, die nicht mit der Sorgfalt eines ordentlichen Geschäftsmanns vereinbar sind, sind zu erstatten – auch wenn sie der Gesellschaft objektiv genutzt haben.
Vergaberecht und Korruption
Bei öffentlichen Aufträgen sind Vergabeverstöße, unzulässige Zuwendungen und Compliance-Versäumnisse haftungsträchtig. Auch im rein privatwirtschaftlichen Verkehr können Bestechungsdelikte (§§ 299 ff. StGB) einschlägig werden. Eine wirksame Compliance-Struktur senkt die persönliche Haftung – ein fehlendes oder nur formal vorhandenes System erhöht sie.
Arbeitsschutz und Produktverantwortung
Die Verantwortung für Arbeitssicherheit kann zwar delegiert werden, die organisatorische Letztverantwortung verbleibt jedoch bei der Geschäftsführung. Unzureichende Auswahl, Anweisung und Überwachung der beauftragten Personen begründen eine Organisationspflichtverletzung. Im Bereich Produktverantwortung – Produktsicherheit, Rückrufmanagement, Konformitätsbewertung – gelten ähnliche Strukturen.
IT- und Datenschutzhaftung
Datenschutzverstöße können nach Art. 83 DSGVO mit erheblichen Bußgeldern geahndet werden. Die DSGVO selbst richtet sich an die Gesellschaft, nicht direkt an den Geschäftsführer; im Innenverhältnis kann eine Pflichtverletzung jedoch zur Inanspruchnahme führen, wenn das Unternehmen keine angemessenen Maßnahmen ergriffen hat. Vergleichbares gilt für IT-Sicherheit, deren Bedeutung mit zunehmender Regulierung (NIS2, KRITIS) wächst.
Beweislast: warum Dokumentation entscheidend ist
Die Beweislast im Haftungsprozess wirkt zugunsten der Gesellschaft. Steht eine Pflichtverletzung im Raum, muss der Geschäftsführer darlegen und beweisen, dass er sorgfältig gehandelt hat. Diese Beweislastverteilung erhöht den Stellenwert sauberer Dokumentation erheblich.
Was nicht dokumentiert ist, gilt vor Gericht regelmäßig als nicht geschehen. Eine Geschäftsführung, die wesentliche Entscheidungen nicht protokolliert, beraubt sich der eigenen Verteidigungslinie.
Konkret sollten dokumentiert werden: die Entscheidungsgrundlagen wesentlicher unternehmerischer Entscheidungen (Risikoanalysen, Marktstudien, externe Gutachten), Geschäftsführungssitzungen und ihre Beschlüsse, Aufsichtsratsbeschlüsse und Gesellschafterweisungen, Compliance-Schulungen und ihre Teilnahme, Whistleblower-Meldungen und ihre Bearbeitung sowie Ad-hoc-Entscheidungen in Krisensituationen.
Schutzmechanismus 1: Compliance-Management-System
Ein Compliance-Management-System ist die organisatorische Antwort auf die Legalitätspflicht. Es senkt das Risiko von Rechtsverstößen und – wenn es trotzdem zu Verstößen kommt – die persönliche Haftung der Geschäftsführung. Anerkannte Rahmenwerke sind der IDW PS 980 sowie die ISO 37301.
Mindestbausteine
- Schriftliche Compliance-Richtlinien und Verhaltenskodex
- Risikoanalyse und Schwerpunktbildung nach Branche und Tätigkeit
- Regelmäßige Schulungen mit dokumentiertem Lernerfolg
- Hinweisgebersystem nach Hinweisgeberschutzgesetz (HinSchG)
- Untersuchungsmechanismen und dokumentierte Reaktion auf Verstöße
- Regelmäßige Wirksamkeitsprüfung durch unabhängige Stellen
Im Mittelstand ist eine vollständige Abbildung großkonzern-ähnlicher Strukturen weder erforderlich noch wirtschaftlich. Die Tiefe des Systems muss zum Risikoprofil der Gesellschaft passen.
Schutzmechanismus 2: D&O-Versicherung
Eine Directors-and-Officers-Versicherung (D&O) schützt Organe vor finanziellen Folgen aus Haftungsfällen. Sie wird von der Gesellschaft abgeschlossen, versichert aber die persönliche Haftung der versicherten Personen. Wichtige Gestaltungsmerkmale:
| Aspekt | Worauf zu achten ist |
|---|---|
| Deckungssumme | Orientierung am Geschäftsvolumen und Risikoprofil, häufig im einstelligen Millionenbereich |
| Versicherte Personen | Aktuelle und ehemalige Geschäftsführer, ggf. Prokuristen und leitende Angestellte |
| Innen- und Außenhaftung | Deckung sowohl für Ansprüche der Gesellschaft selbst als auch von Dritten |
| Selbstbehalt | Bei Vorstand AG nach § 93 Abs. 2 AktG Pflicht, sonst verhandelbar |
| Nachmeldefrist | Mehrjährige Frist zur Geltendmachung nach Ausscheiden aus dem Amt |
| Ausschlüsse | Vorsatz, Strafdelikte, wissentliche Pflichtverletzung – Kernrisiko meist nicht versicherbar |
Eine D&O ist kein Ersatz für ordnungsgemäßes Verhalten – sie schützt vor finanziellen Folgen vorwerfbaren, aber nicht vorsätzlichen Handelns. Vorsätzliche Pflichtverletzungen sind regelmäßig ausgeschlossen.
Schutzmechanismus 3: Geschäftsverteilung und Ressortprinzip
Bei mehrköpfigen Geschäftsführungen lässt sich die Haftung durch klare Geschäftsverteilung strukturieren. Jedes Geschäftsführungsmitglied verantwortet primär sein Ressort; die übrigen tragen eine reduzierte, aber nicht aufgehobene Überwachungspflicht. Voraussetzungen für die haftungsbegrenzende Wirkung sind:
- Schriftliche Geschäftsordnung mit klarer Zuständigkeitsabgrenzung
- Tatsächliche Beachtung der Aufgabenverteilung im Tagesgeschäft
- Regelmäßige gegenseitige Information über die Ressortverantwortlichkeiten
- Existenz von Rückholrechten und Eskalationswegen für nicht-ressortverantwortliche Geschäftsführer
Eine Geschäftsverteilung, die in der Geschäftsordnung steht, aber in der Praxis nicht gelebt wird, schützt nicht. Gleichzeitig führt eine zu kleinteilige Ressortbildung zu Lücken in der Gesamtverantwortung – mit der Folge, dass am Ende alle haften, weil niemand zuständig war.
Schutzmechanismus 4: Gesellschafterweisung und Entlastung
Eine ordnungsgemäß erteilte Gesellschafterweisung kann die Geschäftsführungspflicht überlagern und das Pflichtwidrigkeitsurteil entkräften – sofern die Weisung nicht ihrerseits rechtswidrig ist. Geschäftsführer, die eine grenzwertige Entscheidung zu treffen haben, sollten daher in geeigneten Fällen vor der Umsetzung eine Weisung der Gesellschafter einholen. Die Entlastung in der Gesellschafterversammlung wirkt zudem für die Geschäftsführung präklusiv: Sachverhalte, die bei der Entlastung bekannt waren oder erkennbar waren, können später nur eingeschränkt zur Inanspruchnahme herangezogen werden.
Schritt-für-Schritt: Reduktion der persönlichen Haftungsrisiken
- Bestandsaufnahme der Pflichtenfelder anhand der Branche und Unternehmensgröße.
- Aufbau eines verschriftlichten Compliance-Management-Systems – Tiefe nach Risikoprofil.
- Geschäftsordnung mit klarer Ressortverteilung für mehrköpfige Geschäftsführungen.
- Dokumentationsstandards für Entscheidungen und Sitzungen festlegen.
- D&O-Versicherung mit angemessener Deckungssumme und sauberer Personenliste.
- Hinweisgebersystem nach HinSchG implementieren, Bearbeitungsprozess festlegen.
- Krisenfrüherkennung in das Controlling integrieren, Liquiditätsplanung rollierend.
- Steuer- und Sozialversicherungspflichten in einen Compliance-Check einbeziehen.
- Datenschutz- und IT-Sicherheits-Governance an die Geschäftsführung anbinden.
- Schulungen für die Geschäftsführung selbst – nicht nur für die Mitarbeitenden.
Haftungsrisiken aus dem Lieferkettensorgfaltspflichtengesetz
Mit dem Lieferkettensorgfaltspflichtengesetz (LkSG) und der europäischen Lieferkettenrichtlinie ist ein neues Pflichtenfeld entstanden, das auch zunehmend mittelständische Zulieferer trifft. Die Pflichten umfassen Risikoanalyse, Präventionsmaßnahmen, Beschwerdeverfahren und Berichtspflichten in Bezug auf Menschenrechts- und Umweltrisiken in der eigenen Lieferkette. Die Verantwortung liegt bei der Geschäftsführung – Delegation entlastet nur, wenn Auswahl, Anleitung und Überwachung dokumentiert sind.
Selbst Unternehmen, die nicht unmittelbar in den Anwendungsbereich fallen, sind oft mittelbar betroffen: als Zulieferer großer Kunden, die ihre Sorgfaltspflichten vertraglich auf die Lieferkette weiterreichen. Auch in solchen Konstellationen führen Versäumnisse zu Vertragsverletzungen, Schadensersatz und Reputationsrisiken, die wiederum Haftungsrisiken für die Geschäftsführung begründen.
Krisenfrüherkennung als Pflicht
Mit dem Gesetz zur Stabilisierung und Restrukturierung von Unternehmen (StaRUG) wurde die Pflicht zur Krisenfrüherkennung gesetzlich konkretisiert. Geschäftsführer haben fortlaufend Entwicklungen zu beobachten, die den Fortbestand der Gesellschaft gefährden können, und geeignete Gegenmaßnahmen einzuleiten. In der Praxis bedeutet das: rollierende Liquiditätsplanung, regelmäßige Soll-Ist-Vergleiche, Frühwarnindikatoren in Branchen, Märkten und der Kundenbasis. Wer hier nur rückblickend arbeitet, gerät leicht in die Lage, eine Krise erst zu erkennen, wenn sie nicht mehr vermeidbar ist.
Besondere Konstellation: Familienunternehmen
In Familienunternehmen treten zusätzliche Komplexitätsschichten hinzu. Geschäftsführende Gesellschafter sind häufig zugleich Familienmitglieder; Treuepflichten gegenüber der Gesellschaft kollidieren gelegentlich mit familiären Erwartungen. Sinnvoll ist eine Familienverfassung, die zwischen geschäftlichen Entscheidungen, Eigentümerentscheidungen und familiären Belangen trennt. Beirat oder Aufsichtsrat – auch in Rechtsformen, die ihn nicht zwingend vorsehen – kann eine ordnende und beratende Funktion übernehmen und entlastet die Geschäftsführung in strittigen Fragen.
Nach dem Schadensfall: Verhalten in der Krise
Tritt ein Haftungsfall ein, ist diszipliniertes Verhalten gefragt. Erste Schritte: Information der Versicherung innerhalb der vorgegebenen Frist, anwaltliche Beratung mit Spezialisierung auf Haftungsrecht, Sicherung der relevanten Unterlagen, interne Aufklärung ohne vorschnelle Geständnisse. Aussagen gegenüber Ermittlungsbehörden ohne anwaltliche Begleitung sind in der Regel zu vermeiden. Die Kommunikation mit Gesellschaftern, Aufsichtsrat und gegebenenfalls Geschäftspartnern sollte abgestimmt erfolgen, um nicht durch unkoordinierte Schritte das Verfahren zu erschweren.
FAQ
Haftet ein Geschäftsführer auch nach Ausscheiden aus dem Amt?
Ja. Die Haftung für während der Amtszeit begangene Pflichtverletzungen besteht fort. Verjährungsfristen betragen je nach Norm zwischen drei und zehn Jahren. Eine D&O-Versicherung sollte daher eine ausreichende Nachmeldefrist vorsehen, um Ansprüche zu erfassen, die erst Jahre nach dem Ausscheiden geltend gemacht werden.
Schützt eine Entlastung durch die Gesellschafterversammlung umfassend?
Nur eingeschränkt. Die Entlastung wirkt für Sachverhalte präklusiv, die bei der Entlastung erkennbar waren. Verborgene oder bewusst verschwiegene Pflichtverletzungen sind nicht erfasst. Außenhaftung gegenüber Dritten – etwa aus Steuer- oder Strafrecht – wird durch die Entlastung ohnehin nicht berührt.
Ist eine D&O-Versicherung steuerlich abzugsfähig?
Wenn die Versicherung von der Gesellschaft im überwiegenden Eigeninteresse abgeschlossen wird, ist die Prämie regelmäßig Betriebsausgabe. Bei Vereinbarung eines angemessenen Selbstbehalts beim Versicherten entsteht in der Regel auch kein lohnsteuerpflichtiger Vorteil. Die Details sollten mit dem Steuerberater abgestimmt werden.
Wie weit reicht die Überwachungspflicht bei delegierten Aufgaben?
Aufgaben dürfen delegiert werden, die Auswahl, Anleitung und Überwachung der beauftragten Person ist jedoch Geschäftsführungspflicht. Je sensibler die Aufgabe – etwa Steuer, Compliance, IT-Sicherheit – desto enger die Überwachung. Stichprobenhafte Kontrollen, regelmäßige Berichte und definierte Eskalationswege sind Mindeststandard.
Welche Rolle spielt die Business Judgment Rule für Mittelstands-Geschäftsführer?
Die Rule ist im Aktiengesetz kodifiziert und wird in der Rechtsprechung analog auch für GmbH-Geschäftsführer angewendet. Sie schützt unternehmerische Entscheidungen, die auf angemessener Informationsgrundlage, in gutem Glauben zum Wohl der Gesellschaft und ohne Interessenkonflikt getroffen wurden. Wer diese Voraussetzungen dokumentieren kann, hat eine starke Verteidigungslinie gegen spätere Inanspruchnahme.
Was sollte ein Geschäftsführer bei Verdacht auf eine Unternehmenskrise tun?
Sofortige Liquiditätsplanung über mindestens 13 Wochen, Überschuldungsprüfung mit Fortbestehensprognose, Einbindung eines spezialisierten Sanierungs- oder Insolvenzanwalts. Die Drei-Wochen-Frist nach § 15a InsO beginnt mit dem objektiven Eintritt der Zahlungsunfähigkeit – sie ist eine Höchstfrist, keine Mindestfrist. Wer die Lage falsch einschätzt, riskiert persönliche Haftung und strafrechtliche Folgen.
Hinweis: Dieser Beitrag gibt ausschließlich die redaktionellen Ansichten der Redaktion von rechtimunternehmen.de wieder. Er stellt keine Rechtsberatung dar und ersetzt nicht die Beratung durch eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt. Für rechtlich verbindliche Auskünfte zu Ihrem konkreten Fall wenden Sie sich bitte an einen zugelassenen Rechtsbeistand.
