Wann haftet der CFO?

Mit den wachsenden Anforderungen an den CFO nehmen auch die potenziellen Haftungsrisiken zu. Das gilt nicht nur in dessen Kernbereich, dem Management der finanziellen Risiken des Unternehmens, der Finanzplanung und dem Controlling. Auch in den weiteren Bereichen, die häufig ebenfalls zum Aufgabenbereich eines CFOs gehören wie Governance und Compliance sowie die IT im Unternehmen, wachsen die Herausforderungen und werden aufgrund der sich rasch entwickelnden wirtschaftlichen, technischen, sozialen, politischen und rechtlichen Verhältnisse immer komplexer. Es ist daher darauf zu achten, dass die persönliche Verantwortung des CFOs und das damit verbundene Haftungs­risiko trotzdem noch in einem beherrschbaren Rahmen bleiben. Dies erfordert Massnahmen, die entsprechend den sich wandelnden Rahmenbedingungen, in denen sich das Unternehmen bewegt, regelmässig zu überprüfen und  nötigenfalls anzupassen sind.

Grundsätzlich haftet der CFO in zwei unterschiedlichen Funktionen:  Haftung als Arbeitnehmer: Auf der Grundlage des Arbeitsvertrags haftet der CFO für den Schaden, den er absichtlich oder fahrlässig dem Unternehmen als Arbeitgeber zufügt. Fahrlässig heisst: in Verletzung der gebotenen Sorgfalt. Das geforderte Mass der Sorgfalt bestimmt sich gemäss Obligationenrecht unter Berücksichtigung des  Berufsrisikos, des Bildungsgrads oder der Fachkenntnisse, die für die Erfüllung der arbeitsvertraglichen Pflichten verlangt werden, sowie der persönlichen Fähigkeiten und Eigenschaften, soweit sie dem Arbeitgeber bekannt sind oder bekannt sein sollten. Die gleichen Kriterien sind auch bei der Bestimmung der Höhe einer allfälligen Schaden­ersatzpflicht anwendbar. Eine Haftung besteht auch dann, wenn von einem Arbeitnehmer Aufgaben übernommen werden, für die er nicht über die erforderlichen Fähig­keiten und Qualifikationen verfügt. Man spricht hier von einem Übernahmeverschulden. Ein solches könnte etwa dann vorliegen, wenn dem CFO neue Aufgabenbereiche zugewiesen werden, für die ihm die fachtechnischen Kenntnisse fehlen. In solchen Fällen sind die Aufgaben und damit die Verantwortung des CFOs auf die Leitungsfunktion zu beschränken.  Haftung als Organ: Als Mitglied der Geschäftsleitung unterliegt der CFO auch der gesellschaftsrechtlichen  Organhaftung. Diese gilt für die Mitglieder des Verwaltungsrats sowie für alle mit der Geschäftsführung oder Liquidation einer Aktiengesellschaft befassten Personen für den Schaden, den sie durch absichtliche oder fahrlässige Verletzung der mit der Organstellung verbundenen Pflichten verursachen. Während die arbeitsrechtliche Haftung ausschliesslich gegenüber dem Unternehmen gilt, ist die Organhaftung weiter gefasst. Sie besteht auch gegenüber den Aktionären und Gläubigern der Gesellschaft. Diese aktienrechtliche Regelung gilt sinngemäss auch für die GmbH.   Lesen Sie auf der nächsten Seite: Management des Haftungsrisikos

Die arbeitsrechtliche Haftung lässt sich durch Verein­barung auf die Punkte Absicht und grobe Fahrlässigkeit beschränken, sodass die Haftung für Schäden aus leichter Fahrlässigkeit ausgeschlossen werden kann. In der Praxis ist dies jedoch selten. Bei der gesetzlich definierten Organhaftung ist ein derartiger vertraglicher Haftungsausschluss nicht möglich. Üblich ist die Absicherung von Organpersonen gegen Schadenersatzansprüche aus persönlicher Verantwortung durch entsprechende Versicherungen (Directors & Officers Liability Insurance). Allerdings decken derartige Policen in der Regel nicht alle denkbaren Haftungssituationen ab, etwa wegen Haftungsausschlüssen oder aufgrund summenmässiger Limite.  Entscheidend für die Beherrschung des Haftungsrisikos eines CFOs ist daher die schriftlich festgelegte Definition von Umfang und Inhalt seiner Aufgaben. Denn nur innerhalb des so festgelegten Verantwortungsbereichs ist er haftbar. Für die arbeitsvertragliche Haftung ergibt sich dies daraus, dass im Rahmen eines Vertrags die Haftung immer nur für die ordnungsgemässe Erfüllung der vertraglich übernommenen Aufgaben besteht. Was die Haftung als Organ anbelangt, kann diese nicht durch eine vertragliche Vereinbarung eingeschränkt werden. Das Gesetz sieht jedoch die Möglichkeit der Delegation vor, das heisst, die Übertragung von Aufgaben eines Organs an ein anderes, mit dem Effekt, dass das delegierende Organ nur noch für die Auswahl, Unterrichtung und Überwachung desjenigen Organs haftbar ist, an das die betreffenden Aufgaben delegiert wurden.  Für die Haftung des CFOs ist somit die Abgrenzung seines Verantwortungsbereichs gegenüber demjenigen der an ihn rapportierenden weiteren Funktionsträger des Unternehmens, wie zum Beispiel dem CIO, zentral. Insoweit dem CFO unterstellten weiteren Funktionsträgern Aufgaben zur selbstständigen Erfüllung übertragen werden, beschränkt sich die Verantwortung des CFOs entsprechend den erwähnten Grundsätzen der Delegation. Massgeblich für die Umschreibung des Haftungsbereichs des CFOs sind somit die unternehmensinterne Organisationsstruktur und die damit verbundene schriftliche Definition der jeweiligen Funktionen. Ein weiterer wesentlicher Gesichtspunkt eines erfolgreichen Managements der Haftungsrisiken ist die Dokumentation der Entscheidungsabläufe. Denn oft ermöglicht allein diese den Nachweis, dass trotz Eintritt eines Schadens keine Verletzung der Sorgfaltspflicht bzw. kein Verschulden vorliegt. Aus der Dokumentation haben die massgeblichen Entscheidgrundlagen, das Vorgehen bei deren Aufbereitung, die möglichen Entscheidoptionen mit ihren Vor- und Nachteilen sowie die Begründung für die schlussendlich getroffene Entscheidung nachvollziehbar hervorzugehen.  

Der CFO hat auch bei einer klar formulierten Delegationsregelung in Bezug auf die delegierten Aufgaben immer eine Restverantwortung. Dies zeigen die nachfolgenden Beispiele aus dem IT-Bereich: In erster Linie ist der CFO dafür verantwortlich, dass die IT über eine zweckmässige, an die Gegebenheiten seines Unternehmens angepasste Organisation verfügt. Hierzu gehört eine klare Definition der Verantwortlichkeiten und der Abläufe innerhalb der IT, ein effizientes Reporting sowie die Sicherstellung hinreichender finanzieller und personeller Ressourcen.  Bei Entscheiden und Projekten mit strategischer oder für das Unternehmen kritischer Bedeutung hat der CFO zu kontrollieren, dass die Entscheidgrundlagen hinreichend abgeklärt sind, gegebenenfalls unter Beizug von externen Experten, wenn das notwendige Fachwissen (so zum Beispiel auch das rechtliche) im Unternehmen selbst nicht ausreichend vorhanden ist. Ebenso hat er sicherzustellen, dass die für eine korrekte Umsetzung bezüglich Kosten, Termine und Qualität notwendigen Massnahmen auch tatsächlich ergriffen werden. Lesen Sie auf der nächsten Seite: Vertragsmanagement

Von zentraler Bedeutung ist auch das Vertragsmanagement. Verträge zur Beschaffung und Einführung von unternehmenskritischen IT-Anwendungen sind so zu formulieren, dass sie der Absicherung gegen die jedem IT-Projekt immanenten Risiken dienen. Hierzu gehören die Verein­barung von Fixpreisen oder Kostendächern, die Festlegung eines detaillierten Terminplans mit rechtlich verbindlichen Meilensteinen, die Gliederung des Projekts in überschau- und beherrschbare Teilprojekte im Rahmen einer sinnvollen und risikoadäquaten Projektabfolge, die Regelung der Projektorganisation mit der Definition von Verantwortlichkeiten und Rollen sowie die Fixierung des Test- und Abnahmeprozederes. Verträge über Support und Wartung, Outsourcing oder Cloud Computing müssen so ausgestaltet sein, dass sie die Anforderungen des Unternehmens bezüglich der Verfügbarkeit und Sicherheit bestmöglich absichern. Wichtig sind hier die Service Level Agreements (SLA) mit Festlegung von adäquaten Betriebs- und Reaktionszeiten, Verfügbarkeit, maximale oder durchschnittliche Reparaturzeit, Qualitätsstandards wie Antwortzeiten oder minimale Bandbreite, kombiniert mit Sanktionen (Penalties) bei Nichteinhaltung der vereinbarten Service Level. Wesentlich sind ferner die Fixierung der Anforderungen an die Verantwortlichkeit, das Zugriffsmanagement, die Datenintegrität, aber auch von Mindestlaufzeiten (Investitionsschutz) und die Festlegung ausreichend langer Kündigungsfristen im Hinblick auf die Einführung eines neuen IT-Systems oder die Migration zu einem anderen Anbieter.  Bei Lizenzverträgen ist die Einhaltung des vertraglich vereinbarten Nutzungsumfangs (bezüglich Anzahl User, Transaktionen etc.) und sonstiger Nutzungsbedingungen (z.B. in Bezug auf die technischen Einsatzbedingungen) sicherzustellen. Der CFO hat dafür zu sorgen, dass entsprechende Massnahmen technischer und organisatorischer Art (etwa durch Beschränkung der Zugriffsrechte, Anweisungen an die Benutzer etc.) definiert und deren Beachtung, wo notwendig, regelmässig durch unternehmens­interne Audits überprüft werden. Zum Vertragsmanagement gehört schliesslich auch, dass der CFO dafür besorgt ist, dass den zuständigen Funktionsträgern entsprechende Hilfsmittel wie Checklisten, Mustervorlagen und Standardtexte zur Verfügung gestellt werden. 

Der CFO ist dafür verantwortlich, dass die unter dem Gesichtspunkt der Governance erforderlichen, unternehmensinternen Weisungen und Reglemente, die für die IT relevant sind, erarbeitet und umgesetzt werden. Dazu gehören Policies über die Nutzung der IT-Systeme durch die Mitarbeiter, die Überwachung von deren IT-Nutzung, die Aufbewahrung und Archivierung von geschäftsrelevanten elektronischen Dokumenten sowie die Sicherheit der IT-Infrastruktur und der Unternehmensdaten.  Die Compliance verlangt zudem aktualisierte, datenschutzrechtskonform aufzusetzende Reglemente für die elektronische Bearbeitung von Personendaten, die Anmeldung von Datensammlungen zur Registrierung beim EDÖB, die rechtliche Absicherung der Weitergabe von Daten ins Ausland, insbesondere mittels sogenannter Transborder Data Transfer Agreements, und die Vorgaben für den rechtmässigen Betrieb von Videoüberwachungsanlagen. Zur Compliance gehört etwa auch die rechtskonforme Ausgestaltung der Unternehmenswebseite, zum Beispiel bezüglich der korrekten Integration von Allgemeinen Geschäftsbedingungen für das E-Business, der Berücksichtigung der Vorschriften betreffend der Preisbekanntgabepflicht oder der in diesem Jahr in Kraft tretenden Impressumspflicht gemäss des eben revidierten Lauterkeitsrechts. 

Zusammenfassend ist festzuhalten, dass der CFO fachtechnisch nicht dafür verantwortlich ist, welche Entscheide und Massnahmen und in welcher inhaltlichen Ausgestaltung konkret im IT-Bereich getroffen werden. Er ist jedoch dafür verantwortlich, dass durch die entsprechend der unternehmensinternen Organisation zuständigen Funktionsträger innerhalb des jeweiligen, an sie übertragenen Verantwortungsbereichs, eine systematische Prüfung im Hinblick darauf erfolgt, welche Massnahmen notwendig sind, und dass diese dann auch effizient umgesetzt werden. 

Dr. Ursula Widmer: Die Berner Rechtsanwältin hat über Haftungsfragen bei grossen IT-Projekten promoviert. Sie ist Lehrbeauftragte für Informatikrecht an der Universität Bern und Recht der Informationssicherheit an der ETH Zürich. Ihre Anwaltskanzlei, Dr. Widmer & Partner, ist seit 30 Jahren spe­zialisiert auf IT- und Tele- kommuni­kationsrecht mit nationalen und internationalen Mandanten. Die Anwältin ist Past President von ItechLaw und Vizepräsidentin von ISSS.