Haftet ein GmbH-Geschäftsführer persönlich bei fehlendem Risikomanagement?

Ja. §43 GmbHG (AT und DE) verpflichtet Geschäftsführer zur Sorgfalt eines ordentlichen Geschäftsmannes. Fehlt ein dokumentiertes Risikomanagement und entsteht ein Schaden, der hätte verhindert werden können, haftet der GF mit seinem Privatvermögen. Die Beweislast liegt beim Geschäftsführer.

Welche Sorgfaltspflichten hat ein Geschäftsführer beim Risikomanagement?

Die Rechtsprechung verlangt drei Nachweise: 1) Risikoidentifikation – alle wesentlichen Unternehmensrisiken müssen dokumentiert sein. 2) Risikobewertung – jedes Risiko muss nach Eintrittswahrscheinlichkeit und Schadensausmaß bewertet sein. 3) Risikosteuerung – für wesentliche Risiken müssen Maßnahmen definiert oder eine dokumentierte Akzeptanz-Entscheidung vorliegen.

Was passiert wenn ein Geschäftsführer kein Risikomanagement hat?

Ohne dokumentiertes Risikomanagement hat der Geschäftsführer im Streitfall keine Verteidigung. Bei der Beweislastumkehr muss der GF nachweisen, dass er sorgfältig gehandelt hat. Rund 80% der DACH-Mittelständler mit 20-500 Mitarbeitern haben kein strukturiertes ERM – und gehen damit ein erhebliches persönliches Haftungsrisiko ein.

Warum fordern Banken zunehmend ein Risikomanagementsystem?

Seit Basel III/IV müssen Banken die Risikokultur ihrer Kreditnehmer bewerten. Unternehmen mit nachweislichem Enterprise Risk Management erhalten bessere Ratings und niedrigere Zinsen. Ohne ERM riskieren Unternehmen schlechtere Konditionen, höhere Sicherheitsanforderungen oder im Extremfall eine Kreditkündigung.

Wie baue ich als Geschäftsführer ein rechtssicheres Risikomanagement auf?

Ein pragmatischer Ansatz nach ISO 31000 umfasst vier Schritte: 1) Dokumentierter Risikokatalog mit branchenspezifischen Risiken. 2) Quantitative Bewertung mit einer 5x5-Risikomatrix. 3) Maßnahmenplan mit konkreten Steuerungsmaßnahmen (Vermeiden, Mindern, Transferieren, Akzeptieren). 4) Quartalsweise Reviews zur Aktualisierung des Risikoprofils.

Geschäftsführerhaftung: Warum fehlendes Risikomanagement Sie persönlich treffen kann

Die Rechtslage ist eindeutig

In Österreich verpflichtet §43 GmbHG Geschäftsführer, die „Sorgfalt eines ordentlichen Geschäftsmannes" anzuwenden. In Deutschland formuliert §93 AktG eine nahezu identische Anforderung für Vorstände, und §43 GmbHG (DE) überträgt dies auf GmbH-Geschäftsführer.

Was bedeutet das konkret? Wenn Ihr Unternehmen einen Schaden erleidet, der durch ein funktionierendes Risikomanagement hätte verhindert oder gemindert werden können, haften Sie persönlich. Nicht die GmbH, nicht die Versicherung – Sie als natürliche Person, mit Ihrem Privatvermögen.

Das Entscheidende: Die Beweislast liegt bei Ihnen. Im Streitfall müssen Sie nachweisen, dass Sie Ihre Sorgfaltspflichten erfüllt haben – nicht umgekehrt. Ohne dokumentiertes Risikomanagement haben Sie im Ernstfall nichts in der Hand.

Welche Sorgfaltspflichten bestehen?

Die Rechtsprechung hat über die Jahre konkretisiert, was „Sorgfalt eines ordentlichen Geschäftsmannes" im Kontext Risikomanagement bedeutet. Im Wesentlichen müssen Geschäftsführer drei Dinge nachweisen können:

Risikoidentifikation: Sie müssen die wesentlichen Risiken Ihres Unternehmens kennen und dokumentiert haben. „Ich wusste nicht, dass es dieses Risiko gibt" ist keine Verteidigung – es ist der Beweis mangelnder Sorgfalt.
Risikobewertung: Jedes identifizierte Risiko muss nach Eintrittswahrscheinlichkeit und potenziellem Schadensausmaß bewertet sein. Eine Risikomatrix ist das Minimum.
Risikosteuerung: Für wesentliche Risiken müssen angemessene Maßnahmen definiert und umgesetzt sein – oder es muss eine bewusste, dokumentierte Entscheidung vorliegen, das Risiko zu akzeptieren.

Was in der Praxis passiert

Die Realität im DACH-Mittelstand sieht anders aus. Rund 80% der Unternehmen mit 20 bis 500 Mitarbeitern haben kein strukturiertes Risikomanagement. Was sie stattdessen haben: eine Excel-Liste, die der Steuerberater einmal jährlich aktualisiert, oder ein PDF im Ordner, das seit drei Jahren nicht angerührt wurde.

Das funktioniert – bis es nicht mehr funktioniert. Ein Großkunde fällt aus und reißt 40% des Umsatzes mit. Ein Cyberangriff legt die Produktion zwei Wochen lahm. Eine Lieferkette bricht zusammen. In jedem dieser Fälle wird die Frage gestellt: Hätte die Geschäftsführung das kommen sehen müssen?

Praxisbeispiel: Ein mittelständischer Zulieferer in Oberösterreich verliert seinen größten Kunden (Umsatzanteil: 35%). Die Bank kürzt die Kreditlinie. Im folgenden Rechtsstreit argumentiert der Gesellschafter, dass eine Kundenkonzentration über 30% ein offensichtliches Risiko sei, das der GF hätte adressieren müssen. Ohne dokumentierte Risikoanalyse hat der GF keine Verteidigung.

Warum Banken ERM zunehmend einfordern

Seit Basel III und den Verschärfungen unter Basel IV sind Banken verpflichtet, die Risikokultur ihrer Kreditnehmer zu bewerten. Das hat direkte Konsequenzen für Ihre Kreditkonditionen. Unternehmen mit nachweislichem Enterprise Risk Management erhalten bessere Ratings – und damit niedrigere Zinsen.

Umgekehrt gilt: Wenn Ihre Bank bei der nächsten Kreditprüfung nach Ihrem Risikomanagement fragt und Sie nur eine veraltete Excel-Tabelle vorzeigen können, signalisiert das fehlende Governance. Das kostet Sie bares Geld: schlechtere Konditionen, höheren Sicherheitsanforderungen oder im Extremfall einer Kreditkündigung.

Wie Sie sich absichern

Ein rechtssicheres Risikomanagement aufzubauen ist kein Mammutprojekt. Für mittelständische Unternehmen reicht ein pragmatischer Ansatz, der vier Kernelemente abdeckt:

1. Dokumentierter Risikokatalog

Identifizieren und dokumentieren Sie alle wesentlichen Risiken Ihres Unternehmens – strategische, operationelle, finanzielle und Compliance-Risiken. Branchenspezifisch, nicht aus einer Vorlage abgeschrieben.

2. Quantitative Bewertung

Bewerten Sie jedes Risiko nach Eintrittswahrscheinlichkeit und Schadensausmaß. Eine 5x5-Risikomatrix nach ISO 31000 ist der Standard, den auch Banken und Wirtschaftsprüfer anerkennen.

3. Maßnahmenplan

Definieren Sie für jedes wesentliche Risiko konkrete Maßnahmen: Vermeiden, Mindern, Transferieren (z.B. Versicherung) oder bewusst Akzeptieren. Jede Entscheidung dokumentieren.

4. Regelmäßiger Review

Risikomanagement ist kein Einmal-Projekt. Quartalsweise Reviews stellen sicher, dass Ihr Risikoprofil aktuell bleibt und neue Risiken rechtzeitig erkannt werden.

Tipp: Dieser vierstufige Prozess entspricht dem ISO 31000 Framework – dem international anerkannten Standard für Risikomanagement. Wenn Sie diesen Prozess dokumentiert nachweisen können, sind Sie auf der sicheren Seite.

Fazit

Geschäftsführerhaftung bei fehlendem Risikomanagement ist kein theoretisches Konstrukt. Die Rechtsprechung ist klar, die Beweislast liegt bei Ihnen, und Banken fordern zunehmend Nachweise. Wer als GF im Mittelstand kein strukturiertes ERM betreibt, geht ein persönliches Risiko ein, das mit relativ wenig Aufwand vermeidbar wäre.

Der erste Schritt ist der wichtigste: Ihre Risiken zu kennen und zu dokumentieren. Alles Weitere baut darauf auf.

Kennen Sie Ihre Risiken?

riskki erstellt Ihre erste Risikoanalyse in 10 Minuten – KI-gestützt, ISO 31000 konform, bankentauglich.

Kostenlos starten →