28 Feb Stiftungsvorstände leben gefährlich
Last Updated on 2019-02-28
LGT Jubiläumsausgabe zum 25-jährigen Bestehen „Die österreichische Privatstiftung“ (Stand 2018) / Dr. Brigitta Schwarzer
Stiftungsvorstände sind bei der Erfüllung ihrer Aufgaben zahlreichen Risiken ausgesetzt. Zu jenen Gefahren, die in den vergangenen Jahren deutlich zugenommen haben, zählen Cyberkriminalität und Datenschutzvorfälle. Wenn etwas „passiert“ sei es ein Hackerangriff oder eine Datenpanne drohen hohe Schadenersatzforderungen.
„Weltweit ist der durch Cyberkriminelle verursachte wirtschaftliche Schaden auf umgerechnet fast 500 Milliarden Euro jährlich gestiegen.“
Statistiken zeigen, dass es bei der „Gefahr aus dem Netz“ um beachtliche Summen geht. Weltweit ist der durch Cyberkriminelle verursachte wirtschaftliche Schaden auf umgerechnet fast 500 Milliarden Euro jährlich gestiegen, so das Ergebnis einer im Februar 2018 veröffentlichten Studie der Computer-Sicherheitsfirma McAfee und des Zentrums für Strategische und Internationale Studien (CSIS). Allein innerhalb der Europäischen Union gibt es Tausende Angriffsversuche pro Tag. Am schnellsten wächst die Erpressung mit Schadsoftware. Auch in Österreich waren laut einer KPMG-Untersuchung fast drei Viertel aller Unternehmen in den letzten zwölf Monaten Opfer einer Cyberattacke. „Es kann und wird jeden treffen“, so das Fazit der Studienautoren.
Stiftungsvorstände: perfektes Ziel für Hacker
Hackerangriffe kommen in allen Wirtschaftsbereichen vor, auch Stiftungen sind davor nicht gefeit. Daher sollten sich Stiftungsvorstände rasch und intensiv mit dem Thema Cyberkriminalität befassen. Warum Hacker, die eine Stiftung ins Visier nehmen, gerne bei den Vorständen ansetzen, ist leicht zu erklären. Bei ihnen laufen ebenso wie bei Aufsichtsräten von Kapitalgesellschaften alle Informationen zusammen, sie haben ein breit gefächertes Insiderwissen, verfügen auch über vertrauliche Daten und sind deshalb ein perfektes Ziel für Angriffe. Dies umso mehr, als Firmennetzwerke heute meist gut gesichert sind, die Stiftungen insbesondere kleinere, rein vermögensverwaltende bzw. ihre Vorstände bei ihren Accounts hingegen oft relativ sorglos agieren. Hier einige Beispiele für gefährliche Schwachstellen: Da wird der Virenschutz nicht regelmäßig aktualisiert, man verzichtet auf Back-ups, verwendet unsichere Passwörter bzw. ein Passwort für alle Geräte oder versendet auch sensible Daten unverschlüsselt. In all diesen Fällen haben Kriminelle natürlich leichtes Spiel.
„Daten sind heute bereits wertvoller als so mancher Rohstoff.“
Daten sind heute bereits wertvoller als so mancher Rohstoff, in vielen Fällen haben sie eine geschäftskritische Bedeutung. Deshalb gehört es zum Schutz des Stiftungsvermögens, sich auch intensiv um die Datensicherheit zu kümmern. Angesichts des enormen Bedrohungspotenzials muss für die IT-Security, die ja einen wichtigen Teil des Risikomanagements darstellt, der Stiftungsvorstand proaktiv die Verantwortung übernehmen. Er hat sich also selbst damit zu befassen und darf sich nicht nur auf externe IT-Experten verlassen.
Verschärft wird die Situation noch durch die seit Mai 2018 wirksam gewordene EU-Datenschutzgrundverordnung (EU-DSGVO). Sie sieht unter anderem eine Meldepflicht für Hackerangriffe und Datenpannen vor. Wer sich nicht daran hält, dem drohen à la longue saftige Strafen. Deshalb dürfen Attacken aus dem Netz jetzt nicht mehr verschwiegen werden auch nicht von Stiftungen.
Klagsbereitschaft steigt
Führungskräfte leben heute gefährlicher als noch vor wenigen Jahren, weil die Bedeutung von Corporate Governance und Compliance wächst und sich die Rechtsnormen immer wieder ändern. Durch zunehmenden Aktivismus von Aktionären und Regulatoren sowie den Einfluss von Prozessfinanzierungsgesellschaften steigt das Risiko, für unternehmerische Entscheidungen persönlich haftbar gemacht zu werden, so das Ergebnis einer D&O-Studie des Allianz Industrieversicherers Allianz Global Corporate & Specialty. Davon sind auch Stiftungsvorstände betroffen, vor allem jene von großen Stiftungen mit Unternehmensbeteiligungen.
Erschwert wird die Tätigkeit des Stiftungsvorstands dadurch, dass er fremdes Vermögen verwaltet und sich – bildlich gesprochen – in einer „Sandwich-Position“ zwischen dem Stifter und den Begünstigten befindet. Anfangs mischen die Stifter in „ihrer“ Stiftung oft weiter eifrig mit. Vorstände sollten daher unbedingt dafür sorgen, dass alle wesentlichen Vorgänge, welche die Stiftung betreffen, exakt dokumentiert werden. Sie müssen sicherstellen, dass sie über alles informiert werden und weder der Stifter noch die Begünstigten „Alleingänge“ unternehmen, ohne dass sie davon in Kenntnis gesetzt werden. Natürlich muss in jeder Stiftung festgehalten werden, wo welche Unterlagen aufbewahrt werden, sodass deren Auffindbarkeit jederzeit sichergestellt ist. Ein weiteres wichtiges Thema ist die Einhaltung von Verschwiegenheits- und Vertraulichkeitspflichten bzw. wie man Verstöße dagegen rasch erkennen und abstellen kann.
Nur “betriebsnotwendige” Ausgaben
Der Stiftungsvorstand ist dafür verantwortlich, dass die Stiftung nur mit „betriebsnotwendigen Kosten und Spesen“ belastet wird. Welche Kosten tatsächlich wirtschaftlich gerechtfertigt sind, ist oft Auslegungssache. Bei einer rein vermögensverwaltenden Stiftung sind etwa Firmenautos anders zu bewerten als bei einer großen Stiftung mit mehreren Beteiligungsfirmen an verschiedenen Standorten. Der Vorstand muss jedenfalls alle Ausgaben sowohl gegenüber dem Stiftungsprüfer als auch dem Betriebsprüfer nachvollziehbar begründen können
„Der Stiftungsvorstand ist dafür verantwortlich, dass die Stiftung nur mit ,betriebsnotwendigen Kosten und Spesen‘ belastet wird.“
Erhöhte Vorsicht ist bei „Friends-&-Family-Geschäften“ geboten. Alle Vorgänge in der Stiftung sollen „drittvergleichsfähig“ sein, also zu Konditionen abgeschlossen werden, die man auch Fremden einräumen würde. Vergibt eine Stiftung Mandate an Berater wie Banken, Steuerberater, Rechtsanwälte etc., dann müssen mehrere Angebote eingeholt und verglichen werden.
Bei vielen Stiftungen geht derzeit oder in naher Zukunft der Generationenwechsel über die Bühne. Auch das kann Probleme mit sich bringen. Stiftungsvorstände der älteren Generation, denen der ebenfalls ältere Stifter abhandenkommt und die dann durch jüngere Vorstände ersetzt werden, aufgepasst: Um nicht selbst in ein Haftungsrisiko zu schlittern, suchen viele neue Stiftungsvorstände zunächst einmal nach heiklen oder ungeklärten Causen, die ihre Vorgänger hinterlassen haben. Besonders kritisch kann es werden, wenn die alten Stiftungsvorstände gleichzeitig als Berater der Stiftung bzw. des Stifters agierten und die Rollen nicht eindeutig abgrenzbar waren.
Um die Unabhängigkeit gefährdende Interessenkonflikte überhaupt zu vermeiden, wäre es für Stiftungsvorstände am besten, gar keine Beratungsmandate zu übernehmen. Andererseits kann es aber durchaus von Vorteil sein, wenn ein Stiftungsvorstand auch Berater ist, denn dadurch ist sichergestellt, dass der Beratende die Stiftung gut kennt. Manche Vorstände meinen sogar, sie würden ein Mandat gar nicht annehmen, wenn sie nicht Anwalt oder Steuerberater der Stiftung wären. Entscheidend ist immer, dass genau dokumentiert und damit auch nachvollziehbar ist, was zur Vorstandstätigkeit gehört und was zur Beratertätigkeit. Bei jeder Interessenabwägung muss für den Vorstand immer das Wohl der Stiftung im Vordergrund stehen.
Haftung bis in alle Ewigkeit
Aufsichtsräte von Kapitalgesellschaften werden alljährlich durch die Hauptversammlung entlastet, Stiftungsvorstände hingegen nicht. Sie haften somit quasi bis in alle Ewigkeit. Um sich einigermaßen abzusichern, sollte alles dokumentiert werden, und zwar nicht nur die aktuellen Vorkommnisse, sondern soweit möglich nachträglich auch vergangenes Geschehen. Unterlagen über Jahre hinweg aufzuheben, kann sich bei Streitigkeiten durchaus bezahlt machen. Hat die Stiftung einen Beirat, sollte sich der Vorstand so viel wie möglich von diesem absegnen lassen bzw. dem Beirat zumindest alles zur Kenntnis bringen und sich auch bestätigen lassen, dass dieser informiert wurde.
Was eine D&O-Versicherung bringt
In Kapitalgesellschaften sind Managerhaftpflichtversicherungen heute Standard. Weil sich Vorstände und Aufsichtsräte der mit ihrer Tätigkeit verbundenen Risiken immer stärker bewusst werden, steigen sowohl die Zahlen der D&O-Neuabschlüsse als auch die Versicherungssummen. Auch Stiftungsvorstände sollten sich gegen die zahlreichen Risiken, denen sie ausgesetzt sind, durch den Abschluss einer Versicherung über die Stiftung als Versicherungsnehmerin wappnen. Eine D&O-Versicherung die Abkürzung steht für Directors and Officers hat sowohl eine Abwehr- als auch eine Leistungsfunktion und steht dafür ein, wenn ein Dritter oder die Stiftung selbst aufgrund eines Pflichtverstoßes des Vorstands einen Vermögensschaden erleidet. Nicht gedeckt sind Schäden infolge strafrechtlicher Vorsatzdelikte oder unbedingt vorsätzlicher Pflichtverletzungen.
„In Kapitalgesellschaften sind Managerhaftpflichtversicherungen heute Standard.“
Die D&O-Versicherung deckt einerseits die Außenhaftung ab, bei der Stiftungsorgane von einem Dritten in Anspruch genommen werden. Beispiele wären etwa die Verletzung der Ausschüttungssperre oder die Insolvenzverschleppung. Ebenfalls abgedeckt sind die – in der Praxis weit häufigeren – Fälle der Innenhaftung, also Ansprüche der Stiftung gegen den Stiftungsvorstand. Das können z.B. schuldhafte Verstöße gegen den Stiftungszweck oder interne Veranlagungsrichtlinien sein. Viele D&O-Fälle werden zwar außergerichtlich durch einen Vergleich beigelegt, doch seit einigen Jahren steigt auch die Zahl der Gerichtsfälle. Einen größeren Schadenfall abzuwickeln dauert oft Jahre. Da laufen allein für die Rechtsvertretung hohe Kosten an, die man als Stiftungsvorstand ohne D&O-Schutz aus dem Privatvermögen bezahlen muss.
Die D&O-Versicherung ist eine Versicherung für fremde Rechnung. Der Vertrag wird zwischen der Stiftung und dem Versicherer abgeschlossen, versicherte Personen sind jedoch die einzelnen Mitglieder des Stiftungsvorstands. Sowohl für Stiftungen als auch für Vorstandsmitglieder gibt es am Markt ein breites D&O-Angebot.
Zu achten ist bei jeder D&O-Versicherung u.a. auf eine ausreichende Versicherungssumme, erstklassige Bonität und ausreichende Erfahrung der Versicherungsgesellschaft sowie österreichisches Recht und Gerichtsstand Österreich. Die D&O-Versicherung ist besonders beratungsintensiv, daher sollte man nicht bloß nach der billigsten Prämie Ausschau halten und unbedingt einen erfahrenen Berater beiziehen. Sonst sind genau jene Risiken, auf die es ankommt, durch die Polizze nicht abgesichert und der Stiftungsvorstand
bleibt im Ernstfall im Regen stehen.
LGT Bank AG, Zweigniederlassung Österreich, Website: www.lgt.at