Inhaltlich hat sich in der unternehmerischen Praxis im Zusammenhang mit einem Zahlungsfreigabesys tem das Vier-Augen-Prinzip" bewährt. Zahlungsvor gänge erfordern demnach die Autorisierung zweier voneinander unabhängiger Mitarbeiter. Ein Social Engineering"-Angriff bei einem FPF bezweckt es allerdings, gerade derartige Systeme zu umgehen - daher muss neben der Verpflichtung per se auch die effektive Einhaltung sichergestellt werden. In diesem Zusammenhang ist einmal mehr auf die zu letzt ergangene OGH-Entscheidung einzugehen. Nach den getroffenen Feststellungen war im betroffenen Unternehmen ein Vier-Augen-Prinzip" vorgesehen, dessen Einhaltung durch zwei voneinander getrennt aufzubewahrende PIN-Codes sichergestellt werden sollte. Dennoch gelang es einer Mitarbeiterin (Grup penleiterin der Finanzbuchhaltung), dieses System zu überwinden, da sämtliche PIN-Codes entgegen dem Gebot der räumlich getrennten Aufbewahrung bei ihr in einer Mappe gesammelt waren und sie die Zahlungen so allein durchführen konnte. Der OGH verneint im konkreten Fall zwar die Verpflichtung zur weitergehenden Kontrolle der Zahlungsprozesse - zu beachten ist aber, dass sich diese Entscheidung auf einen Geschäftsführer bezieht, der für die Finanz buchhaltung und damit die Zahlungsprozesse gar nicht ressortzuständig war.

Aufschluss darüber, wie weit Präventionsmaßnahmen in Bezug auf derartige Betrugsformen reichen müs sen, um sich noch im Rahmen der ordnungsgemäßen Geschäftsführung zu bewegen. Aufgrund der Tatsache, dass der FPF gerade das Ziel verfolgt, bestehende Kontrolleinrichtungen zu umgehen und die Betrugs methode gleichzeitig - außerhalb von Fachkreisen - in Österreich bislang nicht hinreichend bekannt ist, enthält die Entscheidung des OGH einige bemerkens werte Klarstellungen. Bei der Haftungsfrage, die sich Geschäftsführer regelmäßig stellen, ist jedenfalls Vorsicht geboten, da der FPF in den letzten Jahren an Bekanntheit gewonnen hat und die vorliegende Entscheidung - die auch medial aufgearbeitet wurde - noch weiteren Anlass zu Nachschärfungen geben dürfte. Compliance-Beauftragten, Mitarbeitern der In ternen Revision und (ressortzuständigen) Geschäfts führern ist daher zu raten, bereits bestehende IKS in ihrem Compliance-Management-System mit Blick auf diese Betrugsmethode im Bedarfsfall zu adaptieren. Im Folgenden werden daher Maßnahmen dargestellt, welche die Besonderheiten des FPF berücksichtigen.

