Buch lesen: «Compliance», Seite 17
4. Konzeption und Gliederung des SCC 2008
258
Die Idee der Gliederung des SCC 2008 war, mit den Grundsätzen ordnungsgemäßer Compliance als eine Art übergeordneter Regelung zu beginnen und danach einzelne „Bücher“ oder Module fertig zu stellen. Der SCC 2008 ist somit wie folgt aufgebaut bzw. enthält die folgenden Regelungen:
259
Überbau und Modul 1 sind die „Grundsätze ordnungsgemäßer Compliance“.
260
Modul 2 zuletzt geändert im Jahr 2010, enthält jeweils einen ausführlichen Teil zu „Insiderrecht“ und „Marktmanipulation“ und einen dritten Abschnitt zu „Meldepflichten“. Im ersten Abschnitt wird auf den Begriff der „compliance-relevanten Informationen“, die Insidertatbestände des § 48a und b BörseG, die Finanzinstrumente des WAG 2007 und auch auf die drei Eckpfeiler des ursprünglichen SCC, sprich die Vertraulichkeitsbereiche, die Beobachtungsliste und die Sperrliste näher eingegangen. Zusätzlich wird die Handels- und Beratungsbeschränkung bei Sperrlistennotizen behandelt.
Jedes Kreditinstitut muss für sich organisatorisch Vertraulichkeitsbereiche (auch Chinese Walls genannt) definieren. Als „klassische Vertraulichkeitsbereiche“ wurden neben Wertpapierhandel auch Emission und Research, natürlich Vermögensverwaltung und Fonds- bzw. Portfoliomanagement, aber auch die Beratung genannt. U.U. müssen aber auch andere Geschäftsbereiche, so etwa die Kreditabteilung, einen Vertraulichkeitsbereich darstellen.
Die innerhalb eines Vertraulichkeitsbereiches angefallenen compliance-relevanten Informationen dürfen diesen Bereich grundsätzlich nicht verlassen. Da es zu betriebsnotwendigen Weitergaben kommen kann oder muss, dürfen compliance-relevante Informationen nur mit Wissen des Bereichsleiters und des Compliance Officers weitergegeben werden, wobei eine diesbezügliche Dokumentationspflicht besteht. Weiterhin ist es unbedingt erforderlich, das Zusammenwirken kreditinstitutsinterner Stellen bei der Bearbeitung von Geschäftsfällen festzulegen. Mitarbeiter müssen ex ante wissen, mit wem sie bedenkenlos kommunizieren dürfen. Grundsätzlich wird auf die betriebsgrößenspezifischen Erfordernisse des Bankbetriebs abgestellt.
Der Kontrolle, ob die Vertraulichkeitsbereiche „dicht halten“, dient das Instrument der Beobachtungsliste (Watch List). Dabei handelt es sich um eine interne, nur Compliance bekannte Liste, auf die Finanzinstrumente gesetzt werden, bei denen compliance-relevante Informationen anfallen können, oder schon angefallen sind. Die Eintragung auf der Beobachtungsliste hat keine rechtlichen Folgen, vor allem gibt es keine Handels- und Beratungsbeschränkungen. Die Eintragung dient lediglich der Beobachtung von Eigenhandels- und Mitarbeitergeschäften, die den Verdacht nahelegen, dass compliance-relevante Information unfair ausgenützt worden sind.
Im Gegensatz dazu stehen auf der Sperrliste (Restricted List) Finanzinstrumente, bei deren Emittenten sich Informationen verdichten oder über die neue Information in das Kreditinstitut dringen, aufgrund derer sofortige wesentliche Kursänderungen bei Bekanntwerden zu erwarten sind. Diese Sperrliste kann kreditinstitutsweit bekannt gemacht werden oder nur bestimmten Abteilungen bzw. Vertraulichkeitsbereichen (man spricht dann von einer selektiven Sperrliste). Die Entscheidung darüber trifft Compliance. Finanzinstrumente sollen nur kurz, bis zum Bekanntwerden, auf der Sperrliste stehen. In Finanzinstrumenten der Sperrliste darf nicht aktiv gehandelt bzw. nicht aktiv beraten werden. Der zweite Abschnitt dieses Moduls beschäftigt sich mit der Marktmanipulation. Behandelt werden insbesondere jene Praktiken, welche mit den börsengesetzlichen Marktmanipulationsverboten gem. § 48a Abs. 1 Z 2 BörseG unvereinbar sind. In einem weiteren Teil werden die sogenannten „Safe Harbours“, nämlich der Handel mit eigenen Aktien im Rahmen von Rückkaufprogrammen sowie die Maßnahmen zur Stabilisierung des Preises von Finanzinstrumenten nach § 48e Abs. 6 BörseG i.V.m. der VO (EG) 2273/2003 zur Durchführung der Richtlinie 2003/06/EG behandelt. In zwei weiteren Punkten wird näher auf die Meldepflicht eines Verdachts auf Marktmanipulation und den Vorbehalt eines Kreditinstitutes, Mitarbeitergeschäfte zu beschränken oder ex post zu stornieren, eingegangen.
Der dritte und letzte Abschnitt geht näher auf die Meldepflichten ein und beschäftigt sich insbesondere mit internen Meldungen und den Meldungen an die FMA.
261
Modul 3 beinhaltet die „Richtlinien für Geschäfte von Mitarbeitern in Kreditinstituten“. Diese Richtlinien werden entweder Teil einer allgemeinen Betriebsvereinbarung oder direkt Bestandteil eines Arbeitsvertrages.
262
Modul 4 regelt „Interessenkonflikte und Vorteile“ und wurde durch die Vorgaben der MiFID notwendig und behandelt die schwierige Frage der Inducements, also grundsätzlich verbotener Vorteile, die ein Kreditinstitut (und nicht der Kunde) erhält. Dieses Modul gibt auch Hinweise auf organisatorische Maßnahmen, wie Konfliktregister oder Konfliktbeobachtungsliste.
263
Modul 5 enthält Ausführungen zum Thema „Orderdurchführung“ und umfasst auch die Thematik der „Best Execution“.
264
Modul 6 beinhaltet die „Österreichischen Analysestandards“ aus 2010. Die bisherigen Analysestandards aus dem Jahr 2005, welche von der FMA mit Rundschreiben v. 6.5.2005 als Markstandard anerkannt und mit minimalen Modifikationen aufgenommen wurden, wurden im Jahr 2010 in engster Abstimmung einer Adaption unterworfen.
265
Modul 7 enthält Sondervorschriften für Kapitalanlagegesellschaften, da diese ja nur Sondervermögen verwalten und vom Wirkungsbereich der MiFID weitestgehend ausgenommen sind.
5. Standard Compliance Code der Österreichischen Versicherungswirtschaft (SCCV)
266
Versicherungsunternehmen sind nach § 82 Abs. 5 BörseG verpflichtet, zur Hintanhaltung von Insider-Geschäften die in den §§ 82 Abs. 5 Z. 1–3 BörseG genannten Maßnahmen zu treffen, also auch dann, wenn sie selbst nicht als Emittent auftreten. In diesem Lichte, sowie basierend auf § 16 WAG hat der Verband der Versicherungsunternehmen Österreichs einen Standard Compliance Code der Österreichischen Versicherungswirtschaft verabschiedet,[8] mit dem die Versicherungsunternehmen einen unzulässigen Umgang mit noch nicht öffentlich zugänglichen Informationen, die anlage- bzw. preisrelevant sind, verhindern, Verstöße aufdecken und ggf. Sanktionen verhängen, die von eingeschränkten Geschäftsmöglichkeiten des Mitarbeiters bis zu arbeitsrechtlichen Konsequenzen reichen. Dieser SCCV bezieht sich auf die Bereiche Vermögensveranlagung und -verwaltung, inklusive Beteiligungsverwaltung und Elementar- und Vermögensschadenversicherung von börsenotierten Unternehmen.
Der SCCV ist ein Mindeststandard, den jedes Versicherungsunternehmen seinen unternehmensinternen Richtlinien zugrunde legt. Diese beschreiben jedenfalls die Vertraulichkeitsbereiche, den Compliance-Beauftragten, die Form der Mitarbeiterinformation und bei Emittenten die Vorgangsweise bei Geschäften mit Wertpapieren des eigenen Unternehmens.
Anmerkungen
[1]
Kalss/Oppitz/Zollner Kapitalmarktrecht, 2005, Band I, S. 522.
[2]
Oppitz ÖBA 2007, 954.
[3]
BGBl I Nr. 107/2007; BGBl I Nr. 108/2007.
[4]
Gilt auch für die Sparkassen gem. § 17 SpG.
[5]
Betrifft gem. § 28a Abs. 5 BWG Kreditinstitute mit Bilanzsumme zum Zeitpunkt der Wahl über 750 Mio. EUR; gem. § 11a Abs. 5 VAG Versicherungsunternehmen, deren verrechnete Prämien zum Zeitpunkt der Wahl 500 Mio. EUR übersteigen.
[6]
Schmidbauer ecolex 2008, 234 ff.
[7]
Gilt für Wahl nach 1.1.2008; bei bereits angenommenen Vorsitzmandaten gilt der Fit-and-Proper Test bis zum Ablauf der Funktionsperiode, längstens bis 31.12.2010 nicht.
[8]
Abrufbar im Internet unter www.fma.gv.at/cms/site/DE/einzel.html?channel=CH0387.
2. Kapitel Grundlagen für Compliance › C. Schweiz
C. Schweiz[1]
Anmerkungen
[1]
Herrn Michele Vitali, MLAW, BSc in BWL, sowie Frau Marianne Müller, M.A. HSG, sei für ihre Unterstützung bei Literatur- und Rechtsprechungsrecherchen im Zusammenhang mit der Aktualisierung des Texts herzlich gedankt.
2. Kapitel Grundlagen für Compliance › C. Schweiz › I. Einführung
I. Einführung
267
Unter dem Begriff Compliance wird im schweizerischen Recht die Gesamtheit der Regeln und organisatorischen Maßnahmen verstanden, die darauf gerichtet sind, die Einhaltung aller für eine Organisation einschlägigen Gesetzesvorschriften, regulatorischen Standards und Selbstregulierungsnormen sicherzustellen, kritische Vorfälle frühzeitig aufzudecken und im Fall von relevanten Regelverstößen geeignete Maßnahmen zur Herstellung eines regelkonformen Zustands und zur Vermeidung von Wiederholungen zu treffen. Es liegt in der Natur der Sache, dass es sich bei den relevanten Vorschriften in Abhängigkeit von der Branche, dem geografischen Tätigkeitsgebiet und der Struktur des Unternehmens um ganz unterschiedliche Regeln handeln kann. Gewisse Branchen, insbesondere der Finanz- und Pharmasektor, unterliegen einer engmaschigen staatlichen Regulierung und Aufsicht. In nicht-regulierten Industrien ergeben sich die gesetzlichen Anforderungen an die Geschäftstätigkeit des Unternehmens demgegenüber aus allgemeinen Regeln und Standards, z.B. hinsichtlich der Vermeidung strafrechtlich relevanten Verhaltens. Unternehmen in nicht regulierten Wirtschaftsbereichen verfügen folglich über einen erheblich größeren Spielraum in der Ausgestaltung ihrer Compliance-Organisation; gleichzeitig kann es das Fehlen verbindlicher gesetzlicher Vorgaben aber auch schwieriger machen, die adäquaten Maßnahmen und Vorkehrungen zu bestimmen.
268
Im schweizerischen Recht haben sich die Anforderungen an die unternehmensinterne Compliance im Wesentlichen aus der Rechtsprechung zur zivilrechtlichen Organhaftung sowie zur strafrechtlichen Geschäftsherrenhaftung entwickelt. Aufbau und Durchsetzung adäquater Strukturen und Maßnahmen zur Einhaltung aller Rechtsvorschriften gehören zu den nicht-delegierbaren Aufgaben des Verwaltungsrats von Aktiengesellschaften (Art. 716a Abs. 1 Ziff. 1, 2 und 5 OR) bzw. der Geschäftsführung einer GmbH (vgl. Art. 810 Abs. 2 Ziff. 1, 2 und 4 OR).
Außerdem hat das Bundesgericht schon früh festgehalten, dass die obersten Leitungsorgane für Gesetzesverletzungen im Machtbereich des Unternehmens einzustehen haben, wenn ihnen eine Garantenstellung zukommt. Der „Tone from the top“ (BGE 96 IV 155); die Notwendigkeit einer unternehmensspezifischen Risikoerfassung, risikoadäquater interner Kontrollen (BGE 122 IV 103; 125 IV 9; 6, S.447/2003) und klarer Verhaltensweisungen (BGE 96 IV 155, 125 IV 9); einer klaren und straffen Organisation mit Verantwortlichkeits- und Vertretungsregelungen (BGE 125 IV 9); das Erfordernis eines ausreichenden Informationsmanagements und der Dokumentation des betrieblich wichtigen Knowhows (BGE 125 IV 9) gehören damit bereits seit Langem zum Kanon der richterlichen Anforderungen an ein adäquates Compliance-Management. Im Licht der heutigen Unternehmenspraxis und der Erwartungen in- und ausländischer Behörden sind darüber hinaus, jedenfalls für große, international tätige Unternehmen, weiter der Betrieb einer Whistleblower-Hotline und, im Fall vermuteter Regelverstöße, die Durchführung von internen Untersuchungen dazu zu rechnen.
Auf Gesetzesebene wurde die Notwendigkeit risikoadäquater Compliancemaßnahmen sodann vor allem für den Finanzsektor durch das Geldwäschereigesetz (GwG) und eine Reihe von Ausführungsverordnungen sowie Rundschreiben der Finanzmarktaufsichtsbehörde (FINMA) konkretisiert. Es folgte 2003 die Bestimmung zur Unternehmensstrafbarkeit im Strafgesetzbuch (Art. 102 StGB). Danach kann das Fehlen adäquater Maßnahmen zur Verhinderung von Verbrechen oder Vergehen im Rahmen des Unternehmenszwecks dazu führen, dass sich das Unternehmen selbst – ggf. neben einzelnen Mitarbeitern oder Leitungsorganen – strafbar macht. Neben einer bloß subsidiären Strafbarkeit für allgemeine Delikte besteht dabei eine generelle Strafbarkeit des Unternehmens für das Unterlassen adäquater organisatorischer Maßnahmen zur Verhinderung von Geldwäscherei, aktiver Bestechung, Terrorismusfinanzierung sowie der Beteiligung an (bzw. Unterstützung von) kriminellen Organisationen.
269
Rechtstatsächlich wurde die Bedeutung der Compliance zunächst vor allem von größeren und international tätigen Gesellschaften erkannt; inzwischen hat sich aber die Überzeugung durchgesetzt, dass risikoadäquate Compliance-Maßnahmen in Unternehmen jeglicher Größe erforderlich sind. Die Unternehmensorganisationen werden durch entsprechende Abteilungen ergänzt, entweder separat oder – seltener – als Teil der Rechtsabteilung, wobei große Unterschiede hinsichtlich der verfügbaren Ressourcen bestehen. Fachverbände wie Ethics and Compliance Switzerland (ECS) oder die Swiss Association of Compliance Officers (SACO) fördern den Erfahrungsaustausch, insbesondere auch hinsichtlich der Strukturierung und laufenden Überprüfung adäquater Compliance-Management-Systeme.
270
Im Sinne des für dieses Handbuch geltenden Compliance-Begriffs soll nicht auf die gesamte Gesetzgebung eingegangen werden – denn grundsätzlich verpflichtet jeder Gesetzesartikel des zwingenden Rechts zur Compliance –, viel mehr soll spezifisch im Hinblick auf die regulatorische Entwicklung der letzten Jahre und der diesbezüglichen Praxis von Behörden und behördenähnlichen Institutionen berichtet werden. Dies geschieht immer unter dem Blickwinkel, dass sich eine ausländische Gesellschaft in der Schweiz ansiedeln will, sei es mit ihrem Headquarter oder aber – was häufiger der Fall ist – durch ihre Tochtergesellschaft.
271
Auf zwei Besonderheiten des Schweizer Rechts ist dabei vorweg noch einzugehen:
– | In der Schweiz hat sich das föderalistische Prinzip bis heute bewährt, so dass viele Behörden nicht auf Bundesebene, sondern auf Kantonsebene, manchmal sogar auch auf Gemeindeebene angesiedelt sind. Dabei kann es sich bei den Kantonsbehörden sowohl um Behörden mit selbstständigen Kompetenzen als auch um Ausführungsorgane von Bundesbehörden handeln. |
– | Die Schweiz hat in einem beachtlichen Ausmaß staatliche Compliance-Regelungen durch Selbstregulierung ersetzt. Es sind in diesen Fällen nicht staatliche Behörden, sondern private Institutionen, wie die Börse oder die Selbstregulierungsorganisationen im Bereich der Geldwäscherei, welche die Regeln setzen. Dies bedeutet aber nicht, dass sie deswegen einen minderen Durchsetzungsgrad hätten. Wer sich nicht an die Regeln der Selbstregulierungsorganisation hält, verletzt ebenso staatliches Recht wie derjenige, der eine staatliche Weisung missachtet. |
272
Hinzu kommt ein kulturelles Element: Schweizerische Behörden, selbst solche mit Untersuchungsaufgaben – wie z.B. die Wettbewerbskommission, die Finanzmarktaufsicht (FINMA) und Steuerämter – verhalten sich in der Regel bürgernah und kundenfreundlich. Wer mit ihnen in Kontakt tritt, wird nicht a priori als Gegner empfunden. Mit den meisten Behörden besteht die Möglichkeit, Vorhaben oder offene Fragen zu diskutieren. Oft zeigen die Behörden auch einen Weg auf, um ein Problem zu lösen. Dies bedeutet nicht, dass schweizerische Behörden keine harten Sanktionen aussprechen oder das Recht nicht effektiv und unter Wahrung rechtsstaatlicher Garantien durchsetzen. Dennoch ist die Beziehung zwischen Unternehmen und Behörden stärker durch Kooperation geprägt, als dies in Deutschland der Fall ist.
2. Kapitel Grundlagen für Compliance › C. Schweiz › II. Unternehmensstrafrecht und Compliance-Management
II. Unternehmensstrafrecht und Compliance-Management
1. Unternehmensstrafrecht
273
Seit dem 1.10.2003 besteht in der Schweiz ein Unternehmensstrafrecht, d.h. Unternehmen können strafrechtlich mit einer Buße bis zu 5 Mio. CHF belangt werden. Unter gewissen Voraussetzungen kann das Fehlen einer adäquaten Compliance-Organisation damit auch strafrechtlich sanktioniert werden. Die entsprechende Regelung in Art. 102 Strafgesetzbuch (StGB) umfasst zwei Sachverhalte:
– | Generell untersteht das Unternehmen einer subsidiären Haftung für Verbrechen oder Vergehen im typischen Risikobereich des Betriebes (nicht aber für Übertretungen, also bloß mit Buße bedrohte Straftatbestände), die wegen mangelhafter Organisation keiner natürlichen Person im Unternehmen zugerechnet werden können. |
– | Bei spezifischen Tatbeständen, nämlich bei aktiver Bestechung im öffentlichen und privaten Sektor, bei Geldwäscherei, Terrorismusfinanzierung und Beteiligung an bzw. Unterstützung einer kriminellen Organisation, besteht eine direkte Strafbarkeit des Unternehmens, soweit organisatorisch nicht alles Zumutbare und Notwendige vorgekehrt wurde, um die Straftat zu verhindern (Art. 102 Abs. 2 StGB). Voraussetzung ist allerdings, dass sowohl die objektiven als auch die subjektiven Tatbestandsmerkmale der fraglichen Straftat durch eine oder mehrere Personen im Verantwortungsbereich des Unternehmens realisiert wurden (vgl. dazu BGer 6B_124/2016 vom 11.10.2016). |
Bemessungsgrundlage für die Buße sind sowohl die wirtschaftliche Leistungsfähigkeit des Unternehmens als auch die Schwere der Tat, die Größe des Schadens und die Schwere des Organisationsverschuldens (Art. 102 Abs. 3 StGB).
274
Daneben bestehen in einzelnen Gesetzen Bestimmungen über die Strafbarkeit des Unternehmens, wie etwa im Bundesgesetz über die direkte Bundessteuer (DBG) oder im Steuerharmonisierungsgesetz (StHG), je im Zusammenhang mit Steuerhinterziehung durch das Unternehmen. Im Verwaltungsstrafrecht (also bei strafbewehrten Verstößen gegen Verwaltungsgesetze) des Bundes können die strafverfolgenden Behörden nach dem sog. Opportunitätsprinzip auf die Fahndung nach verantwortlichen Einzelpersonen verzichten und stattdessen das Unternehmen büßen; Voraussetzung ist allerdings, dass eine Buße von maximal 5 000 CHF in Betracht fällt (Art. 7 des Bundesgesetzes über Verwaltungsstrafrecht, VStrR). Außerhalb dieser Spezialbestimmungen und der generellen Norm zur strafrechtlichen Haftung von Unternehmen (Art. 102 StGB) können juristische Personen nicht strafrechtlich wegen Gesetzesverletzungen in ihrem Machbereich verfolgt werden. Allerdings können im typischen Risikobereich des Unternehmens begangene Straftaten nach den Regeln der Geschäftsherrenhaftung unter bestimmten Voraussetzungen den Leitungspersonen mit beherrschender Stellung zugerechnet werden. Rechtsgrundlage ist in diesem Fall Art. 11 StGB bzw. im Verwaltungsstrafrecht Art. 6 VStrR. Weiter kann ein Unternehmen ungeachtet seiner Strafbarkeit den Zugriff auf Erlöse verlieren, die als Deliktserlöse zu qualifizieren sind (Art. 70–73 StGB). Die letztgenannten Sanktionen sind, obschon keine Kriminalstrafen, häufig für Unternehmen ungleich schmerzlicher (da in der Regel mehrfach höher) als die eigentlichen Unternehmensbußen nach den Bestimmungen über die Unternehmensstrafbarkeit. Trotz verbreiteter Kritik werden schließlich Kartellrechtsverstöße nach den besonderen Verfahrensnormen des KG untersucht und geahndet. Prozessual unterliegen kartellrechtliche Sanktionen gem. Art. 49a KG nicht den Regeln des Unternehmensstrafrechts, womit sich betroffene Unternehmen nicht auf den Schutz strafprozessualer Grundsätze berufen können.
275
Mit Ausnahme der vorgenannten spezialgesetzlichen Bestimmungen ist somit für das Unternehmensstrafrecht die Bestimmung von Art. 102 StGB zur Strafbarkeit für mangelhafte Organisation zentral. Die subsidiäre Haftung für Nichtauffinden eines Individualtäters im Unternehmen gem. Abs. 1 der Bestimmung hat in der Praxis kaum Bedeutung erlangt, wie auch durch einen kürzlich ergangenen Entscheid zu Compliance-Verstößen bei PostFinance bestätigt wird (vgl. dazu, allerdings stark einschränkend, BGer 6B_124/2016 vom 11.10.2016). Sehr wohl relevant ist aber die zweite Variante: Die Unternehmenshaftung für mangelhafte Compliance zur Verhinderung von aktiver Korruption, Geldwäscherei, etc. Die für die Vermeidung der Unternehmensstrafbarkeit notwendigen Compliance-Maßnahmen knüpfen im Wesentlichen an die Compliance-Prinzipien an, die das Bundesgericht im Zusammenhang mit der strafrechtlichen Geschäftsherrenhaftung von Verwaltungsrats- und Geschäftsführungsmitgliedern entwickelt hat.