Dr. Matthias Heiden, Dr. Christian F. Bosse
I. Allgemeines und Überblick
Rn. 145
Stand: EL 42 – ET: 05/2024
Die Regelung des § 91 Abs. 3 AktG wurde mit dem FISG (vgl. hierzu auch Fischer/Schuck, NZG 2021, S. 534ff.; HdR-E, AktG § 91, Rn. 2a) neu eingeführt. Der Schwerpunkt dieser Gesetzesreform lag dabei auf der Stärkung der Kontrolle der RL und AP.
Rn. 146
Stand: EL 42 – ET: 05/2024
Die neu eingeführte Vorschrift richtet sich an börsennotierte AG. Zuständig ist der Vorstand als gesamtes Organ (vgl. BT-Drs. 19/26966, S. 114f.; Hüffer-AktG (2024), § 91, Rn. 15). Nach der Ergänzung von § 91 AktG um einen dritten Abs. besteht eine ausdrückliche Verpflichtung des Vorstands, ein IKS und ein Risikomanagementsystem einzurichten. Damit sind aber nur zwei der vier anerkannten betriebswirtschaftlichen Kontrollsysteme angesprochen. Offen (und umstritten) bleibt, ob auch die Einrichtung von Systemen im Bereich der internen Revision und Compliance Management vorgeschrieben ist (vgl. zum Meinungsstand Hüffer-AktG (2024), § 91, Rn. 24ff.; im Übrigen HdR-E, AktG § 91, Rn. 155ff.).
Rn. 147
Stand: EL 42 – ET: 05/2024
Systematisch erfolgt dies durch eine Ergänzung von § 91 AktG, der die Organisation und Buchführung der AG betrifft. Im RefE zum FISG war die Regelung noch als Ergänzung von § 93 AktG und damit als Erweiterung der Sorgfaltspflicht des Vorstands vorgesehen. Im weiteren Gesetzgebungsverfahren wurde dann die (systematisch zutreffende) Verortung der Regelung in § 91AktG beschlossen (vgl. BT-Drs. 19/26966, S. 114f.). Auch ohne explizite Erwähnung in § 93 AktG können Verstöße gegen die Verpflichtung aus Abs. 3 als Pflichtverletzung im dortigen Sinne schadensersatzbegründend sein. Damit wird erstmals eine explizite gesetzliche Pflicht zur Einrichtung eines angemessenen und wirksamen IKS als auch eines entsprechenden Risikomanagementsystems für börsennotierte AG eingeführt. Der Gesetzgeber hat dabei die (umstrittene) Frage aufgegriffen, inwieweit eine solche Verpflichtung bereits de lege lata aus den §§ 91 Abs. 2, 93 AktG abzuleiten war (vgl. zum Meinungsstand Fischer/Schuck, NZG 2021, S. 534 (535)).
Rn. 148
Stand: EL 42 – ET: 05/2024
So war nach Ansicht des Gesetzgebers schon nach bisheriger Rechtslage davon auszugehen, dass die in § 93 Abs. 1 Satz 1 verorteten Organisationspflichten der Vorstandsmitglieder die Einrichtung von Kontroll- und Risikomanagementsystemen verlangen (vgl. BT-Drs. 19/26966, S. 115; MünchKomm. AktG (2023), § 107, Rn. 116). Richtigerweise konnte man dies aber nicht für sämtliche AG kraft Rechtsform annehmen. Bei kap.-marktorientierten AG setzen die gesetzlichen Regelungen zur Beschreibung dieser Systeme eine bereits existierende Verpflichtung zur Einrichtung voraus. Dies gilt entsprechend für alle nicht kap.-marktorientierten Gesellschaften, bei denen die Geschäfts- und Risikolage ebenfalls systematische Vorkehrungen gegen Risiken erfordern. Für alle anderen AG gilt auch künftig der Grundsatz, dass Kontrollen und Risikomanagement entsprechend dem jeweiligen Geschäftsumfang und Risikoprofil einzurichten sind, ohne dass hier in jedem Fall umfangreiche Systeme gefordert sind (vgl. Fischer/Schuck, NZG 2021, S. 534 (536), unter Hinweis auf das unternehmerische Ermessen des Vorstands; im Übrigen HdR-E, AktG § 91, Rn. 135ff.).
Rn. 149
Stand: EL 42 – ET: 05/2024
Für kap.-marktorientierte KapG soll mit der Neuregelung die bereits existierende Pflicht flankiert werden, im Lagebericht die wesentlichen Merkmale des IKS und Risikomanagementsystems im Hinblick auf den RL-Prozess zu beschreiben (vgl. § 289 Abs. 4; HdR-E, HGB §§ 289, 289a–f, Rn. 167ff.). Dies gilt auch für die Verpflichtung des AP, dem AR (bzw. Prüfungsausschuss) über wesentliche Schwächen dieser Systeme gemäß § 171 Abs. 1 Satz 2 AktG zu berichten (vgl. BT-Drs. 19/26966, S. 115; zudem § 107 Abs. 3 AktG). Die gesetzliche Festlegung der Pflicht zur Einrichtung beider Systeme soll deren Bedeutung insbesondere für die erfassten UN unterstreichen (vgl. BT-Drs. 19/26966, S. 115; überdies HdR-E, AktG § 91, Rn. 68).
Rn. 150
Stand: EL 42 – ET: 05/2024
Die Entscheidung, Risikomanagement- oder IKS einzuführen, steht also bei diesen UN weiterhin im Leitungsermessen des Vorstands. Dieses Leitungsermessen wird für börsennotierte UN durch die Neuregelung des § 93 Abs. 3 insoweit eingeschränkt, dass hier im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des UN angemessene und wirksame IKS und Risikomanagementsysteme verpflichtend werden sollen (vgl. BT-Drs. 19/26966, S. 115). Damit ist die Frage des "Ob" entschieden, bei der konkreten Ausgestaltung angemessener und wirksamer IKS und Risikomanagementsysteme bleibt es beim Leitungsermessen des Vorstands. Dieser muss bei seiner Entscheidung den Umfang der Geschäftstätigkeit und die Risikolage des UN berücksichtigen (vgl. BT-Drs. 19/26966, S. 115). Letztlich wird damit der Handlungsspielraum des Vorstands hierdurch insoweit begrenzt, als die Frage des "Ob" der Einrichtung dieser Systeme nicht zur Disposition steht (vgl. auch Fischer/Schuck, NZG 2021, S. 534 (539)). Nach richtiger...