Die gesetzliche Pflicht zur Risikoanalyse

Jeder der im Folgenden aufgelisteten Pflichten zur Risikoanalyse basiert auf einer Einzelfallentscheidung. Wenn sich der gleiche Fall wiederholt und das bereits entschiedene Risiko nicht abgewendet wird, begründet die Verkehrssicherungspflicht und die Haftung für ihre Verletzung den bereits entschiedenen Fall der Rechtsprechung. Um Wiederholungsfälle zu vermeiden, müssen die Pflichten zur Risikoanalyse und zur Risikoabwehr aus der Rechtsprechung beachtet werden.

• Erstens sind Vorstände / Geschäftsführer danach verpflichtet, sich aktiv Informationen über Risikofaktoren durch Meldesysteme selbst zu beschaffen, auch bei latenten und nicht offensichtlichen Risikofaktoren, die auf Grund von Erfahrung auf drohende Schäden schließen lassen.

• Zweitens sind alle Risiken und Gefahrenquellen im Unternehmen zu erfassen, und zwar unverzüglich, sobald ein Indiz auf einen drohenden Schadensverlauf schließen lässt.

• Drittens sind die Betriebsgröße und die Unübersichtlichkeit eines Unternehmens als besonderes Risiko zu erfassen.

• Viertens sind immer alle Erfahrungen heranzuziehen, die eine Schadensprognose rechtfertigen.

• Fünftens kann für die Annahme von Risiken auf die allgemeine Lebenserfahrung als Erkenntnisquelle zurückgegriffen werden. Alle Erfahrungen aus dem regelmäßigen und gewöhnlichen Verlauf der Dinge sind heranzuziehen.

• Sechstens müssen die Größe eines Betriebes und der Massenverkehr an sich als Risiko gelten.

• Siebtens sind Risiken bei drohenden Schäden auch für immaterielle Rechtsgüter, wie Reputation, Image und Kreditwürdigkeit zu berücksichtigen.

• Achtens ist mit dem Risiko kriminellen Fehlverhaltens in Großbetrieben auf Grund allgemeiner Lebenserfahrung immer zu rechnen.

• Neuntens sind zur Risikoanalyse Gebrauchsanweisungen auf Hinweise zu denkbaren Schadensverläufen zu berücksichtigen.

• Zehntens sind die Erfahrungen aus Herstellerhinweisen zu berücksichtigen.

• Elftens sind bei fehlenden Fachkenntnissen externe Experten zur Ermittlung aller Erfahrungen heranzuziehen, wenn Fachkenntnisse und fachliche Erfahrungen fehlen.

• Die Risikofrüherkennungspflicht setzt bereits ein, bevor Missstände bekannt und öffentlich erörtert werden. Auch bei latenten, nicht offensichtlichen und versteckten Risikofaktoren besteht die Pflicht zur Risikofrüherkennung.

• Bei der Risikoanalyse muss beachtet werden, dass Prognosen als Mittel zur Selbstkontrolle dienen und nicht zur Wahrheitsfindung. Prognosen werden danach beurteilt, ob sie an den tatsächlichen Erfahrungen gescheitert sind und nicht bestätigt wurden. In einem solchen Fall wäre die Prognose falsifiziert und würde ihre Geltung verlieren. Mit einem widerlegten Erfahrungssatz kann keine Prognose begründet werden.

• Vierzehntens ergibt sich zur Konkretisierung der Risikoanalysepflicht, dass ein Geschäftsleiter zur eigenen Risikoanalyse verpflichtet ist. Die Pflicht zur Risikoanalyse beinhaltet die Pflicht zur eigenen Informationsbeschaffung und die Pflicht, alle verfügbaren Erkenntnisquellen auszuschöpfen und sich eine eigene Meinung zu bilden. Die Risikoanalyse beantwortet die Frage, ob ein Schaden vorhersehbar und vermeidbar ist, und zwar im Zeitpunkt der Entscheidung, noch bevor ein Schaden eintritt. Die Fälle mit latentem Risiko verdeutlichen, dass ein Risiko nicht erkennbar, sondern nur denkbar ist. Man kann Risiken nicht erkennen, man muss sie sich vorstellen. Bei latenten Risikofaktoren ist vor allem die Risikofantasie gefordert sowie die Erfahrung über bereits bekannte Schadensverläufe. Risiken sind keine Fakten, sondern Fiktionen. Die Annahme eines Risikos resultiert nicht aus einem Erkenntnisverfahren, sondern aus einem Entscheidungsverfahren, bei dem mehrere Möglichkeiten eines Schadensverlaufs alternativ in Betracht gezogen werden müssen. Die Entscheidung zwischen den Alternativen muss getroffen werden, und das gewählte Szenario muss schließlich als Risiko angenommen werden.

• Fünfzehntens hat der BGH die Pflichten von Vorständen bei fehlender eigener Rechtskenntnis konkretisiert. Ein Schuldner trägt grundsätzlich das Risiko, die Rechtslage zu verkennen. Vorstände müssen bei fehlender eigener Sachkunde grundsätzlich Expertenrat einholen. Um einen verschuldeten Rechtsirrtum zu vermeiden, muss ein Vorstand erstens die Rechtslage sorgfältig prüfen, zweitens bei Bedarf Rechtsrat einholen, drittens die höchstrichterliche Rechtsprechung sorgfältig beachten, viertens den Sachverhalt und die erforderlichen Unterlagen offenlegen, fünftens sich von einem unabhängigen, für die zu klärende Frage fachlich qualifizierten Rechtsanwalt beraten lassen und sechstens die erteilte Rechtsauskunft einer sorgfältigen persönlichen Plausibilitätskontrolle unterziehen.

Die Pflicht zur Risikoanalyse ergibt sich aus Folgeerwägungen. Wer kein Risiko annimmt, sieht keinen Anlass, Rechtspflichten zur Risikoabwehr in Form von Verkehrssicherungspflichten zu definieren. Ohne Schadensprognosen verzichtet ein Unternehmen auf präventive Schadensabwehr. Prognosen basieren auf geltenden Erfahrungssätzen, die nicht widerlegt sind. Um ihre fortlaufende Gültigkeit zu überprüfen, ist es notwendig, die Erwartungen aus den Prognosen ständig mit dem tatsächlichen Geschehensverlauf zu vergleichen. Bestätigt sich eine Erwartung nicht, sind Prognosen umgehend zu korrigieren. Diese Methode der Erfolgskontrolle von Prognosen findet Anwendung im Lagebericht, zu dem Unternehmen gemäß 289 Abs. 1 S. 4 HGB verpflichtet sind. Beim Risikomanagement muss der Confirmation-bias (Bestätigungsfehler) vermieden werden, der sich als der erfolglose Versuch zeigt, Prognosen zu bestätigen anstatt sie zu widerlegen.

Seit 1911 fordert die Rechtsprechung, dass Vorstände sich über die Risikolage im Unternehmen informieren. Sie müssen insbesondere Kenntnis von Risikofaktoren erhalten, die als Indikatoren für einen drohenden Schaden dienen. Zu den zu meldenden Faktoren gehören besondere Vorkommnisse, Abweichungen vom Normalbetrieb und Änderungen von Sachverhalten im Unternehmen, die ein Schadensrisiko darstellen können.

Häufig richtet sich der Vorwurf des Organisationsverschuldens gegen Vorstände, obwohl der Schaden von Mitarbeitern auf niedrigeren Hierarchieebenen verursacht wurde. Gerichte legen im Nachhinein fest, durch welche organisatorischen Maßnahmen der Schaden hätte vermieden werden können. Oft besteht eine Informationslücke über Risiken zwischen Vorständen und ihren Mitarbeitern. Vorstände versuchen, sich durch Unkenntnis der Risikolage zu entlasten.

Doch diese Entlastungsversuche stoßen auf das wiederkehrende Argument der Rechtsprechung: Der Vorstand hätte sich informieren müssen. Der Vorstand kann seiner Informationspflicht nachkommen, indem er eine Meldepflicht für alle Mitarbeiter im Unternehmen anordnet. Jeder Mitarbeiter muss Risikoanalysen in seinem Zuständigkeitsbereich durchführen und die Ergebnisse entweder an den Geschäftsführer oder an dafür vorgesehene Personen weitergeben. Dabei sind internes und externes Erfahrungswissen zu nutzen. Kann die Ursache eines Problems nicht ermittelt werden, muss der Vorstand koordinieren und Krisenmanagement betreiben.

Zur Begründung der Meldepflichten müssen die Mitarbeiter auf ihre arbeitsvertraglichen Treuepflichten zur Risikoabwehr hingewiesen werden. Sie sind verpflichtet, jederzeit Risiken aus dem Betrieb zur Schadensabwehr zu melden. Für die Risikoanalyse müssen alle Sachverhalte im Unternehmen systematisch und vollständig geprüft werden. Dabei darf kein Sachverhalt mit einem potenziellen Risiko übersehen werden. Die umfassende Risikoanalyse ist verpflichtend. Wenn sich bei der Risikoanalyse Unternehmenssachverhalte ergeben, die zu einem Schaden an einem geschützten Rechtsgut führen könnten, müssen diese Risiken durch Rechtspflichten abgewendet werden. Entweder sind diese Rechtspflichten bereits gesetzlich geregelt, oder das Unternehmen muss selbst Sicherheitspflichten zur Abwehr formulieren.

Alle einschlägigen Rechtspflichten im Unternehmen sind lückenlos zu ermitteln. "Unkenntnis schützt nicht vor Strafe" zählt als Grundsatz zum Allgemeingut. Der vermeidbare Verbotsirrtum ist nach 17 StGB gesetzlich geregelt.

Der BGH hat zuletzt die Pflichten von Vorständen bei fehlender eigener Rechtskenntnis entschieden. Geschäftsleiter sind danach verpflichtet, grundsätzlich für einen Rechtsirrtum einzustehen, wenn sie dabei schuldhaft gehandelt haben. Geschäftsleiter müssen das Risiko abwenden, die Rechtslage zu verkennen.

Dass alle Rechtsvorschriften im Unternehmen eingehalten werden müssen, gilt als Selbstverständlichkeit.

Ausdrücklich formuliert ist dies in den freiwilligen Selbstregelungsvorschriften des Deutschen Corporate Governance Kodex wonach der Vorstand auf die Einhaltung der gesetzlichen Bestimmungen hinzuwirken hat.

Nach DIN ISO 14001 (Umweltmanagement) sind die Pflichten im Unternehmen zu ermitteln.

Das Gleiche gilt nach EMAS (Umweltmanagement). Gemäß Anhang B.2. "Einhaltung von Rechtsvorschriften", muss die Organisation nachweisen, dass sie "alle" geltenden rechtlichen Verpflichtungen im Umweltbereich ermittelt hat und muss für die Einhaltung der Umweltvorschriften, einschließlich Genehmigungen, sorgen. Im Übrigen muss sie diesen Verpflichtungen dauerhaft nachkommen.

Nach ISO 45001 (Arbeitsschutzmanagementsysteme) muss die Organisation ein Verfahren einführen, verwirklichen und aufrechterhalten, um geltende rechtliche Verpflichtungen und andere Anforderungen, zu denen sich die Organisation verpflichtet hat, zu ermitteln und zugänglich zu machen.

Nach ISO 50001 (Energiemanagement) müssen ebenfalls durch die Organisation die geltenden rechtlichen Vorschriften ermittelt, umgesetzt und zugänglich gehalten werden.

Der Leitfaden zu Arbeitsschutzmanagementsystemen enthält in 2.10 unter dem Titel "Ermittlung von Verpflichtungen" die Pflicht der Organisation, Verfahren einzuführen und aufrecht zu erhalten, um relevante Rechtsvorschriften regelmäßig zu ermitteln und umzusetzen.

Die gleiche Pflicht enthält ISO 9001 zur Qualitätssicherung. Es sind gesetzliche und behördliche Anforderungen, die auf das Produkt zutreffen, zu ermitteln.

Sämtliche Zertifizierungsvorschriften für Managementsysteme enthalten durchgehend die Pflicht zur Ermittlung der einschlägigen Rechtspflichten im Unternehmen.