Kommunale Unternehmen stehen im Jahr 2026 unter einem besonderen Erwartungsdruck. Stadtwerke sollen Energie zuverlässig liefern, Verkehrsbetriebe den öffentlichen Nahverkehr sichern, Wohnungsbaugesellschaften bezahlbaren Wohnraum schaffen und kommunale Kliniken oder Entsorgungsbetriebe die Daseinsvorsorge stabil halten. Hinter diesen Aufgaben stehen jedoch nicht nur politische Zielsetzungen, sondern auch Gesellschaftsrecht, Haushaltsrecht, Vergaberecht, IT-Sicherheitsrecht und immer strengere Anforderungen an Compliance und Risikomanagement. Gerade die kommunale GmbH wirkt nach außen oft wie ein vertrautes Instrument der öffentlichen Hand. Rechtlich bleibt sie aber eine privatrechtliche Gesellschaft mit eigenen Organpflichten, eigener Verantwortung und persönlicher Haftung derjenigen, die Geschäftsführung oder Aufsicht übernehmen.
Die besondere Schärfe entsteht aus dem Zusammenspiel zweier Welten. Auf der einen Seite steht der öffentliche Auftrag. Kommunale Gesellschaften sollen Leistungen nicht allein nach kurzfristiger Rendite ausrichten, sondern Versorgungssicherheit, soziale Verantwortung, Klimaziele, Infrastrukturentwicklung und regionale Stabilität berücksichtigen. Auf der anderen Seite gelten kaufmännische Sorgfalt, ordnungsgemäße Geschäftsorganisation und eine belastbare Kontrolle der Unternehmensleitung. Wer im Aufsichtsrat einer Stadtwerke-GmbH sitzt oder als Geschäftsführer einer kommunalen Wohnungsbaugesellschaft handelt, bewegt sich daher nicht in einem haftungsfreien politischen Raum. Fehlentscheidungen, Untätigkeit oder unzureichende Überwachung können persönliche Folgen haben.
Besonders heikel ist, dass viele Mandate im kommunalen Umfeld von Amtsträgern, Ratsmitgliedern oder politisch entsandten Personen wahrgenommen werden, die nicht zwingend aus der Unternehmenspraxis kommen. Das ist demokratisch gewollt und Ausdruck kommunaler Kontrolle. Es ändert jedoch nichts daran, dass Organmitglieder ihre Aufgaben mit der gebotenen Sorgfalt erfüllen müssen. Die Erwartung an Sachkunde, Vorbereitung und kritische Nachfrage steigt spürbar, sobald Investitionen, Energiepreisrisiken, Fördermittel, Cyberangriffe oder Compliance-Verstöße im Raum stehen. Wer Entscheidungen nur abnickt, Berichte ungeprüft übernimmt oder Warnsignale ignoriert, kann sich nicht dauerhaft hinter fehlender Erfahrung verstecken.
Persönliche Haftung in der kommunalen GmbH: Warum das Risiko oft unterschätzt wird
Die kommunale GmbH besitzt eine eigene Rechtspersönlichkeit. Das verführt mitunter zu der Annahme, Schäden würden ausschließlich die Gesellschaft treffen und nicht die handelnden Personen. Diese Sicht ist gefährlich verkürzt. Geschäftsführer haften gegenüber der Gesellschaft, wenn sie ihre Pflichten verletzen und dadurch ein Schaden entsteht. Aufsichtsräte oder Beiräte mit echten Überwachungsaufgaben können ebenfalls in Anspruch genommen werden, wenn sie ihre Kontrollpflichten nicht sorgfältig wahrnehmen. Entscheidend ist nicht die politische Herkunft des Mandats, sondern die rechtliche Funktion im Unternehmen.
Die Haftung knüpft häufig nicht an eine spektakuläre Einzelentscheidung an, sondern an schleichende Pflichtverletzungen. Eine Geschäftsführung kann haftungsrechtlich in Schwierigkeiten geraten, wenn kein wirksames Risikomanagement besteht, Liquiditätsentwicklungen zu spät erkannt oder Investitionen ohne tragfähige Entscheidungsgrundlage eingegangen werden. Ein Aufsichtsrat kann sich angreifbar machen, wenn er Berichte nicht einfordert, offensichtliche Unklarheiten nicht hinterfragt oder bei Krisensignalen untätig bleibt. Gerade bei kommunalen Beteiligungen ist die Erwartung an geordnete Dokumentation hoch, weil Entscheidungen später nicht nur gesellschaftsrechtlich, sondern auch politisch und öffentlich geprüft werden.
Der Schmerz der Sorgfaltspflicht
Sorgfaltspflicht bedeutet nicht, jede wirtschaftliche Entwicklung richtig vorherzusagen. Sie verlangt aber, Entscheidungen vorbereitet, nachvollziehbar und auf Grundlage angemessener Informationen zu treffen. Dieser Unterschied ist für kommunale Unternehmen zentral. Eine Fehlinvestition ist nicht automatisch eine Pflichtverletzung. Haftungsrechtlich problematisch wird sie erst, wenn Risiken nicht geprüft, Alternativen nicht bewertet, Warnhinweise ignoriert oder Zuständigkeiten unklar gelassen wurden. Wer ein Nahwärmenetz, einen Fuhrparkwechsel, ein Bauprojekt oder eine Digitalisierungsmaßnahme verantwortet, muss zeigen können, warum die Entscheidung zum damaligen Zeitpunkt vertretbar war.
Für Aufsichtsräte liegt der Schwerpunkt weniger in der operativen Steuerung als in der Überwachung. Sie müssen Geschäftsführungen nicht ersetzen, aber sie müssen deren Handeln kritisch begleiten. Dazu gehören verständliche Berichte, aussagekräftige Kennzahlen, klare Risikodarstellungen und ein Bewusstsein für außergewöhnliche Geschäfte. Wird eine Gesellschaft durch Energiepreisrisiken, Baukostensteigerungen, Zinsänderungen oder Cybervorfälle belastet, genügt ein routinemäßiger Sitzungsablauf nicht mehr. Dann steigt die Pflicht zur Nachfrage. Schweigen kann in solchen Lagen haftungsrechtlich ähnlich schwer wiegen wie eine falsche Zustimmung.
Regulatorischer Druck 2026: NIS-2, Cyber-Sicherheit und Compliance im öffentlichen Sektor
Die Umsetzung von NIS-2 verschärft den Blick auf IT-Sicherheit und Organisationsverantwortung. Viele kommunale Unternehmen gehören zu Bereichen, die für das Gemeinwesen besonders wichtig sind. Energieversorgung, Wasser, Verkehr, Gesundheit, Abfallwirtschaft und digitale Dienste können unter neue oder ausgeweitete Anforderungen fallen. Damit wird Cyber-Sicherheit nicht mehr nur als technisches Spezialthema der IT-Abteilung behandelt, sondern als Leitungs- und Überwachungsaufgabe. Geschäftsführungen müssen Strukturen schaffen, Risiken bewerten, Meldewege organisieren und Sicherheitsmaßnahmen nachweisbar umsetzen.
Für Aufsichtsgremien verändert sich dadurch die Kontrolltiefe. Es reicht nicht, einmal jährlich einen allgemeinen IT-Bericht zur Kenntnis zu nehmen. Gefragt sind nachvollziehbare Informationen über Risikoanalysen, Notfallpläne, Wiederanlaufkonzepte, Lieferketten, Dienstleistersteuerung, Schulungen und Meldeprozesse. Gerade Stadtwerke oder Verkehrsbetriebe sind attraktive Ziele für Angriffe, weil Ausfälle schnell öffentliche Wirkung entfalten. Wird nach einem Vorfall sichtbar, dass bekannte Schwachstellen über Monate nicht bearbeitet wurden, kann die Frage nach persönlicher Verantwortung sehr konkret werden.
Compliance ist dabei breiter zu verstehen als reine Gesetzestreue. Kommunale Gesellschaften müssen Vergabevorgaben, Beihilferecht, Datenschutz, Korruptionsprävention, Hinweisgeberschutz, Nachhaltigkeitsanforderungen und interne Zuständigkeitsregeln miteinander verbinden. Ein tragfähiger Haftungsschutz für kommunale Entscheider entsteht deshalb nicht durch einzelne Schulungen oder formale Richtlinien, sondern durch ein gelebtes System aus klaren Verantwortlichkeiten, regelmäßiger Berichterstattung und prüfbarer Dokumentation.
Cyber-Risiken als Organpflicht
Cyber-Sicherheit wird 2026 zu einem Prüfstein guter Unternehmensführung. Geschäftsführungen müssen wissen, welche Systeme kritisch sind, welche Dienstleister Zugriff haben, welche Daten besonders schutzbedürftig sind und wie schnell ein Betrieb nach einem Angriff wieder arbeitsfähig wird. Aufsichtsräte müssen nicht selbst Firewalls konfigurieren können. Sie müssen aber verstehen, ob die Geschäftsführung die Lage beherrscht, ob externe Prüfungen stattfinden und ob Investitionen in Sicherheit aufgeschoben werden, obwohl die Risiken bekannt sind.
Besonders problematisch sind pauschale Aussagen wie „die IT kümmert sich darum“. Organpflichten lassen sich nicht vollständig delegieren. Delegation ist möglich, entlastet aber nur, wenn Auswahl, Anleitung und Kontrolle stimmen. Das gilt auch für externe IT-Dienstleister. Wer kritische Systeme auslagert, muss Vertragsinhalte, Leistungsnachweise, Notfallregelungen und Meldepflichten im Blick behalten. Bei kommunalen Unternehmen kommt hinzu, dass ein Ausfall nicht nur finanzielle Schäden verursacht, sondern die Versorgung der Bevölkerung treffen kann.
Wirtschaftliche Sorgfalt zwischen politischem Auftrag und kaufmännischer Vorsicht
Kommunale Unternehmen verfolgen häufig Ziele, die über Gewinnmaximierung hinausgehen. Eine Wohnungsbaugesellschaft kann sozialverträgliche Mieten sichern, ein Verkehrsbetrieb klimafreundliche Mobilität ausbauen, ein Stadtwerk regionale Infrastruktur stärken. Diese Ziele sind legitim. Sie befreien Geschäftsführung und Aufsicht aber nicht von der Pflicht, wirtschaftliche Tragfähigkeit zu prüfen. Der politische Wunsch nach schneller Umsetzung ersetzt keine Finanzierungsplanung, keine Risikoanalyse und keine Prüfung der rechtlichen Grenzen.
Die Business Judgment Rule schützt unternehmerische Entscheidungen, wenn sie auf angemessener Informationsgrundlage, ohne sachfremde Eigeninteressen und zum Wohl der Gesellschaft getroffen werden. Für kommunale GmbHs bedeutet das: Auch politisch geprägte Entscheidungen müssen unternehmerisch sauber vorbereitet werden. Die entscheidende Frage lautet nicht, ob sich im Nachhinein eine bessere Lösung finden ließe. Entscheidend ist, ob die zuständigen Organe im Moment der Entscheidung vernünftigerweise annehmen durften, verantwortbar zu handeln.
Wenn politischer Druck auf Organverantwortung trifft
Haftungsrisiken entstehen besonders dort, wo politischer Druck und wirtschaftliche Warnsignale auseinanderlaufen. Soll ein Projekt trotz steigender Kosten fortgesetzt werden, muss die Entscheidungsgrundlage aktualisiert werden. Soll eine defizitäre Leistung aus Gründen der Daseinsvorsorge erhalten bleiben, braucht es eine klare Finanzierung und eine saubere gesellschaftsrechtliche Einordnung. Soll eine kommunale Gesellschaft Aufgaben übernehmen, die wirtschaftlich kaum tragfähig sind, müssen Ausgleichsmechanismen, Zuständigkeiten und Risiken offen dokumentiert werden.
Für Geschäftsführer ist wichtig, politische Erwartungen nicht ungeprüft als Weisung zu behandeln. Selbst wenn Gesellschafterinteressen deutlich formuliert werden, bleibt die eigene Organverantwortung bestehen. Für Aufsichtsräte gilt spiegelbildlich, dass politische Nähe zur Kommune nicht zur bloßen Loyalitätsentscheidung führen darf. Das Unternehmenswohl der Gesellschaft, der öffentliche Auftrag und die kaufmännische Vorsicht müssen in eine nachvollziehbare Abwägung gebracht werden. Genau diese Abwägung ist später oft der wichtigste Schutz vor Haftung.
Der Laien-Aufsichtsrat: Verantwortung trotz fehlender Spezialkenntnisse
In kommunalen Aufsichtsräten sitzen häufig Menschen, die aus Verwaltung, Kommunalpolitik, Verbänden oder Ehrenamt kommen. Viele bringen wertvolle Ortskenntnis, demokratische Legitimation und ein gutes Verständnis für öffentliche Interessen mit. Dennoch besteht oft Unsicherheit, ob die eigene betriebswirtschaftliche Sachkunde ausreicht. Diese Sorge ist berechtigt, sollte aber nicht lähmen. Das Recht verlangt in der Regel keine Spezialkenntnisse in jedem technischen, rechtlichen oder finanziellen Detail. Es verlangt aber die Bereitschaft, sich einzuarbeiten, Unterlagen zu lesen, Fragen zu stellen und bei Bedarf fachkundigen Rat einzuholen.
Haftungsrechtlich gefährlich ist nicht das anfängliche Nichtwissen, sondern das dauerhafte Nichtwissenwollen. Wer ein Mandat annimmt, muss sich mit den Grundlagen der Gesellschaft, der Branche, der Satzung, der Geschäftsordnung, den Berichtspflichten und den wirtschaftlichen Kennzahlen vertraut machen. Bei Stadtwerken gehören Energiehandel, Netze, Regulierung und Investitionsplanung zum Pflichtprogramm. Bei Verkehrsbetrieben sind Zuschüsse, Linienkonzepte, Fahrzeugflotten und Tarifrisiken relevant. Bei Wohnungsbaugesellschaften stehen Baukosten, Finanzierung, Instandhaltung, Mietrecht und Fördermittel im Mittelpunkt.
Wie Sachkunde praktisch aufgebaut wird
Sachkunde entsteht nicht allein durch langjährige Mandatsdauer. Sie entsteht durch strukturierte Einarbeitung, regelmäßige Fortbildung und klare Informationswege. Kommunale Aufsichtsräte sollten verstehen, welche Entscheidungen zustimmungspflichtig sind, welche Berichte regelmäßig vorgelegt werden müssen und welche Kennzahlen auf eine Krise hindeuten können. Auch Schulungen zu Bilanzverständnis, Risikomanagement, Vergabe, Compliance und Cyber-Sicherheit sind mehr als Formalität. Sie zeigen, dass das Gremium seine Aufgabe ernst nimmt und seine Kontrollfähigkeit stärkt.
Ebenso wichtig ist eine Sitzungskultur, die Nachfragen nicht als Misstrauen wertet. Gute Überwachung lebt von kritischer, aber respektvoller Auseinandersetzung. Geschäftsführungen profitieren davon, wenn Risiken früh offen angesprochen werden. Aufsichtsräte gewinnen Sicherheit, wenn Beschlussvorlagen verständlich, vollständig und entscheidungsreif sind. Protokolle sollten erkennen lassen, welche Unterlagen vorlagen, welche Fragen gestellt wurden und warum eine Entscheidung getroffen wurde. Im Haftungsfall zählt nicht die innere Überzeugung, sondern der nachweisbare Entscheidungsweg.
Wirksame Begrenzung persönlicher Haftung durch Organisation und Dokumentation
Persönliche Haftung lässt sich nicht vollständig ausschließen. Sie lässt sich aber deutlich begrenzen, wenn kommunale Gesellschaften ihre Leitungs- und Überwachungsstrukturen sauber aufstellen. Dazu gehört eine klare Geschäftsordnung für Geschäftsführung und Aufsichtsrat, ein Katalog zustimmungspflichtiger Geschäfte, ein aktuelles Risikomanagement, eine belastbare Compliance-Struktur und ein Berichtswesen, das nicht nur Zahlen liefert, sondern Entwicklungen erklärt. Je komplexer das Unternehmen, desto wichtiger wird eine professionelle Organarchitektur.
Für Geschäftsführer bedeutet Haftungsbegrenzung vor allem: Entscheidungen müssen vorbereitet, Risiken sichtbar gemacht und Zuständigkeiten eindeutig geregelt werden. Bei größeren Investitionen sollten Wirtschaftlichkeitsberechnungen, Szenarien, Finanzierungsannahmen und rechtliche Prüfungen dokumentiert werden. Bei Krisen müssen Liquidität, Fortbestehensprognose und Sanierungsmaßnahmen eng überwacht werden. Bei Cyber- und Compliance-Risiken sollte der Stand der Umsetzung nicht nur mündlich berichtet, sondern mit Maßnahmenplan, Fristen und Verantwortlichen hinterlegt werden.
Für Aufsichtsräte liegt der Schwerpunkt auf aktiver Kontrolle. Sie sollten Unterlagen rechtzeitig erhalten, Unklarheiten ansprechen, ergänzende Informationen verlangen und bei komplexen Themen externe Expertise zulassen. Die persönliche Haftung wird nicht dadurch begrenzt, dass möglichst wenig entschieden wird. Sie wird dadurch begrenzt, dass Entscheidungen nachvollziehbar, informiert und im Rahmen der eigenen Zuständigkeit getroffen werden. Auch D&O-Versicherungen können sinnvoll sein, ersetzen aber keine ordnungsgemäße Amtsführung. Versicherungsschutz hilft nur innerhalb seiner Bedingungen und schützt nicht vor Reputationsschäden, strafrechtlichen Risiken oder politischen Folgen.
Fazit: Verantwortliche Kontrolle ist der beste Schutz
Die kommunale GmbH bleibt auch 2026 ein wichtiges Instrument der öffentlichen Hand. Sie ermöglicht flexible Organisation, fachliche Spezialisierung und wirtschaftliches Handeln im Dienst der Allgemeinheit. Gerade deshalb darf ihre rechtliche Eigenständigkeit nicht unterschätzt werden. Geschäftsführer und Aufsichtsräte tragen persönliche Verantwortung dafür, dass öffentliche Aufgaben mit kaufmännischer Sorgfalt, rechtlicher Verlässlichkeit und organisatorischer Stabilität erfüllt werden. Die größte Haftungsgefahr entsteht nicht aus mutigen, gut vorbereiteten Entscheidungen, sondern aus unklaren Zuständigkeiten, fehlender Kontrolle, unzureichender Dokumentation und verdrängten Risiken.
NIS-2, Cyber-Sicherheit und Compliance erhöhen den Druck zusätzlich. Sie machen sichtbar, dass moderne Daseinsvorsorge ohne belastbare Informationssicherheit und klare Leitungsstrukturen nicht mehr denkbar ist. Kommunale Unternehmen müssen deshalb ihre Schutzmechanismen nicht nur technisch, sondern auch organisatorisch weiterentwickeln. Geschäftsführungen brauchen klare Prozesse, Aufsichtsräte brauchen verständliche Berichte und beide Seiten benötigen eine Kultur, in der Risiken frühzeitig benannt werden dürfen.
Der politische Auftrag bleibt ein prägendes Merkmal kommunaler Unternehmen. Er rechtfertigt besondere Ziele, aber keine unsorgfältige Unternehmensführung. Wer soziale, ökologische oder infrastrukturelle Aufgaben verfolgt, muss die wirtschaftlichen Folgen kennen und tragfähige Entscheidungsgrundlagen schaffen. Die Business Judgment Rule bietet Schutz, wenn Entscheidungen informiert, frei von sachfremden Interessen und nachvollziehbar zum Wohl der Gesellschaft getroffen werden. Sie schützt jedoch nicht vor Nachlässigkeit, Blindflug oder reiner Gefolgschaft gegenüber politischen Erwartungen.
Für Amtsträger und Aufsichtsräte liegt der wirksamste Weg zur Haftungsbegrenzung daher in professioneller Vorbereitung. Sachkunde muss aufgebaut, Beratung genutzt, Berichterstattung eingefordert und Dokumentation ernst genommen werden. Wer seine Kontrollaufgabe aktiv wahrnimmt, muss nicht jede spätere Fehlentwicklung fürchten. Entscheidend ist, dass der Weg zur Entscheidung stimmt. In einer kommunalen GmbH bedeutet verantwortliche Amtsführung deshalb mehr als Anwesenheit in Sitzungen. Sie bedeutet, öffentliche Verantwortung, rechtliche Pflicht und wirtschaftliche Vernunft so miteinander zu verbinden, dass die Gesellschaft handlungsfähig bleibt und persönliche Haftungsrisiken beherrschbar werden.
