§ 1 StaRUG führt nun auch für (haftungsbeschränkte ) KMU ein obligatorisches Risikomanagement ein, was mittelbar eine Verpflichtung zur Finanzplanung nach sich zieht.
1. Einleitung
Zum 01.01.2021 trat das Stabilisierungs- und restrukturierungsgesetz (StaRUG) in Kraft.
An prominenter Stelle (§ 1 StaRUG) wird für Geschäftsleiter haftungsbeschränkter Rechtsträger (z. B. GmbH oder auch GmbH & Co. KG) die Pflicht festgeschrieben, mögliche Krisenursachen zu überwachen (Krisenfrüherkennung) und Gegenmaßnahmen zu ergreifen (Krisenmanagement). Damit sind künftig auch kleine und mittlere Unternehmen (KMU) zum Risikomanagement verpflichtet. Auch sie müssen nun zwingend eine fortlaufende Unternehmens- und Finanzplanung betreiben, um ihre Risiken einschätzen zu können. Diese Pflichten gelten über das StaRUG hinaus – also unabhängig davon, ob eine Restrukturierung erfolgt oder nicht.
2. Der hohe Anspruch des Gesetzes
Dem Gesetz zur Folge „wachen (Geschäftsleiter) fortlaufend über Entwicklungen, welche den Fortbestand der juristischen Person gefährden können. Erkennen sie solche Entwicklungen, ergreifen sie geeignete Gegenmaßnahmen und erstatten den … (Überwachungsorgangen) unverzüglich Bericht.“
Bereits seit 1998 verpflichtet das Aktiengesetz in § 91 Abs. 2 (eingeführt durch das KonTraG) Vorstände einer Aktiengesellschaft zur Einrichtung eines „Überwachungssystems … damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Auch wenn die Anforderungen des § 91 Abs. 2 AktG scheinbar hinter denen des § 1 StaRUG zurückbleibt (nunmehr wird nicht mehr nur das Erkennen, sondern auch das Ergreifen von Gegenmaßnahmen sowie die Berichterstattung an die Aufsichtsorgane explizit in den Gesetzestext aufgenommen) hat sich in der Praxis die Einrichtung eines Risikomanagementsystems herauskristallisiert. Die zugrunde liegenden Managementsysteme sind nach der Logik eines kybernetischen Regelkreises aufgebaut, in dem sich die vier aufeinander folgenden Haupttätigkeiten kurz mit den Begriffen „Plan-Do-Check-Act“ auf den Punkt bringen lassen. Was dadurch sehr anschaulich erscheinen mag, ist in der Praxis ein durchaus aufwändiges Unterfangen, das hinsichtlich seines Umfangs weder nach oben noch nach unten klaren Grenzen kennt. Die aktienrechtliche Vorschrift des § 91 Abs. 2 stahlt auch teilweise auf andere Rechtsformen aus. Inwieweit sie für KMU anzuwenden ist, war bislang strittig – ist aber nunmehr durch § 1 StaRUG klar.
3. Die Relativierung für KMU durch die Gesetzesesbegründung[1]
Zur Frage nach der Ausgestaltung eines Risikomanagementsystems gibt das Gesetz keine Hinweise. In der Gesetzesbegründung wird jedoch darauf hingewiesen, dass die „konkrete Ausformung und Reichsweite … von der Größe, Branche, Struktur und auch der Rechtsform des jeweiligen Unternehmens“ abhinge. Des Weiteren stellt die Begründung klar, „dass es sich namentlich bei kleineren Unternehmen verbietet, übermäßige Organisationspflichten zu statuieren.“
Damit ist klar, dass ein Risikomanagementsystem für KMU nicht notwendigerweise den Ansprüchen der ISO 31000 entsprechen muss und deutlich einfacher gehalten sein kann. Für die Krisenfrüherkennung sollen als Mindestanforderung aber die „Geschäftsleiter gehalten sein, die Verhältnisse des Unternehmensträgers und die Entwicklungen, die für die Tätigkeit des Unternehmensträgers relevant sind, laufend daraufhin zu beobachten, und zu überprüfen, ob sie das Potenzial haben, bei ungehindertem Fortgang den Fortbestand des Unternehmens zu gefährden.“
Zum Krisenmanagement verweist die Gesetzesbegründung auf die Business Judgment Rule und führt dazu aus: “Hinsichtlich der Auswahl der zu treffenden Gegenmaßnahmen und deren Durchführung steht den Geschäftsleiter der Beurteilungsspielraum zu, der ihnen nach Maßgabe der spezialgesetzlichen Regelungen für Maßnahmen der Geschäftsführung zuzubilligen ist.“
Das wohl entscheidende Kriterium der Business Judgement Rule ist das Abstellen von unternehmerischen Entscheidungen „auf der Grundlage angemessener Information“ (§ 93 Abs. 1 S. 2 AktG).
Wenn angemessene Informationen für die Maßnahmen des Krisenmanagement vorliegen müssen, muss das Managementsystem soweit es der Krisenfrüherkennung dient, genau diese (angemessenen Informationen) sicherstellen und bereithalten. Von der Angemessenheit einer Information darf dann ausgegangen werden, wenn der Einschätzung eines vernünftig urteilender Geschäftsleiters zur Folge die Verbesserung der Informationsqualität den dafür erforderlichen Aufwand an Zeit bzw. Geld nicht mehr rechtfertigt.[2]
4. Zwischenergebnis
Die Frage, ob ein Risikomanagementsystem auch von KMU einzuführen ist, bejaht das Gesetz unmissverständlich. Hinsichtlich des Zeitpunkts also (bis wann) schweigt sich das Gesetz aus. Es trat mit Wirkung zum 01.01.2021 in Kraft, Übergangsvorschriften gibt es diesbezüglich nicht, also damit wohl sofort – sportlich! Bei der Frage, wie das Risikomanagementsystem auszugestalten ist, nimmt die Gesetzesbegründung hinsichtlich der Anforderungen an die Geschäftsleiter von KMU dem Gesetz einiges an Schärfe, bleibt jedoch unkonkret. Jedenfalls hat es sich flexibel an den Gegebenheiten des Unternehmens auszurichten und dabei den allgemeinen Anforderungen der Business Judgemt Rule zu genügen.
5. Warnung vor Resignation und Aufschub
Viele Geschäftsleiter von KMU mögen obige Ausführungen mangels konkreter Handlungsempfehlung eher abstoßen. Findet dann noch der Umstand Berücksichtigung, dass eine Pflichtverletzung durch Nichtumsetzung des § 1 StaRUG weder eine Straftat noch eine Ordnungswidrigkeit darstellt, stehen resignierte oder prokrastinierende Reaktionen zu befürchten:
„Das ist nicht so einfach, das ist nicht so eindeutig, das machen wir dann mal,
wenn wir Zeit dazu haben und bis dahin machen wir mal nichts.“
Doch davor sei ausdrücklich gewarnt, denn diese Sorgfaltspflichtverletzung könnte den Geschäftsleiter im Schadensfall sehr teuer zu stehen kommen! Eine Verletzung des § 1 Abs. 1 StaRUG könnte nach § 43 Abs. 2 GmbHG zu einer Innenhaftung für daraus entstandene Schäden führen.
6. Kurzfristige Handlungsempfehlung
- Setzen Sie sich unverzüglich einen wöchentlichen Jour-Fix, den Sie dazu nutzen, Ihr spezifisches Risiko-Managementsystem aufzubauen.
- Setzen Sie Ihre Ansprüche zumindest zu Beginn nicht zu hoch – fangen Sie mit einer einfachen Lösung an und verbessern Sie Ihr System kontinuierlich, Stück für Stück.
- Schaffen Sie kurzfristig eine Aktenlage, mit der Sie dokumentieren, dass Sie sich mit folgenden Fragen beschäftigen:
a) Welche Risiken haben das Potenzial, den Fortbestand des Unternehmen zu gefährden?
(Identifikation von Risiken)
b) Wie hoch schätzen Sie das Schadenspotenzial der einzelnen identifizierten Risiken ein?
(Bewertung von Risiken)
c) Wie gehen Sie mit den Risiken um?
(Steuerung von Risiken durch konkrete Maßnahmen wie z. B.
Vermeiden/Vermindern/Transferieren/Akzeptieren)
d) Wie messen Sie die Wirksamkeit Ihrer Maßnahmen? / Wann und wie oft bewerten Sie diese?
(Regelmäßige Überwachung von Risiken)
e) Wie stellen Sie die Risikosituation übersichtlich dar und zeigen die Wirksamkeit Ihrer Maßnahmen auf?
(Bericht der Risiken)
7. Hinweise zu den Handlungsempfehlungen
1. Anwendung des Business Judgment im Rahmen des Risikomanagementprozesses
Sowohl beim Aufbau wie auch beim Betrieb des Risikomanagementsystems stellt sich immer wieder die Frage nach dem Aufwand, den Sie unter Berücksichtigung von Größe, Branche und Komplexität Ihres Unternehmens betreiben wollen bzw. müssen. Ich empfehle Ihnen, Ihren Aufwand an Zeit und Geld so zu bemessen, dass zusätzlicher Aufwand, den Sie für ein „Mehr“ an Informationsqualität investieren, durch ein entsprechendes „Mehr“ an Entscheidungsqualität gedeckt ist, die Sie durch die verbesserten Informationen erreichen können. Stehen Grenzaufwand und Grenznutzen in einem angemessenen Verhältnis zueinander, gilt Ihre Informationsbasis als angemessen im Sinne der Business Judment Rule. Dabei wird Ihnen ein großer Ermessensspielraum zugestanden, zumal eine intersubjektiv nachvollziehbare Beurteilung sehr schwer ist.
So lange Sie also nicht mit leeren Händen dastehen und Ihr Risikomanagementsystem nicht in auffälliger Weise der Einschätzung eines vernünftig urteilender Geschäftsleiters zuwiderläuft, dürfte sich Ihr Risiko als Geschäftsleiter weitgehend reduzieren lassen.
2. Risikobewertung und -aggregation
Die Bewertung erfolgt zunächst auf der Ebene einzelner Risiken. Es empfiehlt sich, das mögliche Schadensausmaß jedes Risikos als €-Betrag abzuschätzen, um den das Betriebsergebnis oder die Liquidität des Unternehmens bei Schadenseintritt belastet werden könnte (S=Schadenspotenzial). Anschließend wird eine Eintrittswahrscheinlichkeit (E) abgeschätzt, mit der das Schadenspotenzial (S) zu Risikos-Wert (R) multipliziert wird:
(R = S x E).
Nun erfolgt die Aggregation der einzelnen Risikowerte zu einem Gesamtrisiko (S R), dem das Unternehmen ausgesetzt ist. Eine Gegenüberstellung der Risikoexposition (S R) mit der Risikotragfähigkeit, wie sie sich aus der integrierten Finanzplanung ergibt, macht den Grad der Existenzgefährdung deutlich und zeigt damit einen möglichen Handlungsbedarf auf.
Konkret: Wenn sich aus der Risikobewertung ergibt, dass das Gesamtunternehmen einem Gesamtrisiko von 1. Mio. € ausgesetzt ist, mag das für ein Unternehmen mit 5 Mio. Liquiditätsreserve und einem jährlichen positiven Cash Flow in Millionenhöhe, vielleicht keine weiteren Maßnahmen erforderlich machen. Wären die Liquiditätsreserven hingegen knapp, die Cash Flows eher ausgeglichen oder gar negativ, so läge wohl eine existenzgefährdende Risikoexposition vor, die durch entsprechende Maßnahmen der Risikosteuerung dringend zu entschärfen wäre.
3. Mittelbare Pflicht aus § 1 StaRUG zur Unternehmens- und Finanzplanung
Aus den Ausführungen zur kumulativen Risikobewertung dürfte klar werden, dass ein Risikomanagement ohne eine integrierte Finanzplanung grundsätzlich nicht den Anforderungen des § 1 Abs. 1 StaRUG gerecht werden kann. Vorgeschrieben ist die Überwachung von Entwicklungen (=Risiken), die den „Fortbestand der juristischen Person gefährden“. Die Beurteilung einer Bestandsgefährdung kann per se nur durch eine Gegenüberstellung, von Risikoexposition und Risikotragfähigkeit erfolgen, wie sie sich aus einer integrierten Finanzplanung ergibt. Aus diesem Grund, ist von einer mittelbaren Verpflichtung aller KMU haftungsbeschränkter Rechtsträger auszugehen,[3] ab sofort integrierte Finanzplanungen zu erstellen, die als geschlossenes und schlüssiges Zahlenwerkt ein Risikomanagement ermöglichen, das den Anforderungen des § 1 Abs. 1 StaRUG genügt.
4. Risikomanagement im Angesicht einer Liquiditätskrise
Sollte Ihr Unternehmen bereits in eine Liquiditätskrise geraten sein, ist der Eintritt der Zahlungsunfähigkeit i. S. d. §17 InsO das dominante Risiko. Eine kurzfristige Liquiditätsplanung sollte dann der erste Baustein Ihres Risikomanagementsystems sein, anhand der sich das Vorliegen einer Insolvenzantragspflicht prüfen lässt. Bitte beachten Sie, dass der insolvenzrechtliche Tatbestand der Zahlungsunfähigkeit nicht voraussetzt, dass bereits sämtliche Liquiditätsreserven aufgebraucht und alle Kreditlinien voll ausgeschöpft sind. In der Regel tritt die Insolvenzantragspflicht bereits vorher ein, weshalb in Insolvenznähe die Zahlungsfähigkeit durch eine entsprechende kurzfristige Liquiditätsrechnung fortlaufend zu überwachen ist.
Wichtig:
Die Missachtung der Insolvenzantragspflicht nach § 15a Abs. 1 InsO kann für den Geschäftsleiter nach § 15b InsO eine unbegrenzte, persönliche Schadensersatzpflicht für alle Zahlungen zur Folge haben, die nach Eintritt der Insolvenzantragspflicht erfolgt sind.
Sollten Sie weitergehende Fragen zu den Themen Risikomanagement, Restrukturierung oder Insolvenzvermeidung haben, stehen wir Ihnen gerne persönlich zur Seite.
[1] BT-Drucks. 19/24181, S. 104.
[2] Matthias Graumann: „Angemessene Informationsgrundlage von Prognosen bei unternehmerischen Entscheidungen“, 15. Januar 2021, ZIP 2021, S. 69.
[3] Matthias Kühne und Frank Lienhard, „Ausgestaltung eines Risikofrüherkennungssystems gemäß § 1 StaRUG und die Haftungsfolgen für die Geschäftsleitung“, SanB 2020, S. 144.
