Compliance

Anmerkungen

[1]

LG München NZG 2014, 345.

[2]

BGH NJW 2013, 1958, NZG 2015, 792.

[3]

Vgl. MünchKomm/Fleischer 343 Rn. 144 m.w.N.

[4]

Hauschka/Greeve BB 2007, 165, 166.

[5]

Vgl. Rodewald/Unger BB 2007, 1629; Illing/Umnuß CCZ 2009, 1 f.

[6]

Vgl. Rodewald/Unger BB 2007, 1629.

[7]

Lorenz ZRFG 2006, 5.

[8]

Lösler NZG 2005, 104.

[9]

Vgl. auch 2. Kap. Rn. 15.

[10]

BGBl I 1998, 786.

[11]

Lorenz ZRFG 2006, 5, 8.

[12]

Lorenz ZRFG 2006, 5, 8.

[13]

Vgl. hierzu 7. Kap. Rn. 143.

[14]

RegE BT-Drucks. 16/6518 v. 24.9.2007.

[15]

Kort NZG 2008, 81, 83.

[16]

Abrufbar unter www.corporate-governance-code.de.

[17]

Vgl. dazu Bürkle BB 2007, 1797, 1798.

[18]

Vgl. hierzu auch 5. Kap. Rn. 164 ff.; 7. Kap. Rn. 147 ff.

1. Kapitel Begriffsbestimmungen Compliance: Bedeutung und Notwendigkeit › V. Bedeutung einer Compliance-Organisation

V. Bedeutung einer Compliance-Organisation

62

Unter Haftungsgesichtspunkten bietet Compliance keine Wahlmöglichkeit, sondern muss gezielt umgesetzt werden. Dabei sollte Compliance jedoch nicht nur als notwendiges Übel, sondern auch als Chance verstanden werden.

63

Als Instrument, welches das rechtskonforme Verhalten von Unternehmen und ihren Mitarbeitern sicherstellt, bedeutet Compliance in erster Linie Schadensprävention. Damit profitiert das Unternehmen in wirtschaftlicher Hinsicht letztlich von der Implementierung einer Compliance-Organisation, da durch Rechtsverstöße verursachte Kosten vermieden werden können.

64

Darüber hinaus kann Compliance auch dazu beitragen, die Qualität der Prozesse im Unternehmen zu verbessern, die Beständigkeit des Geschäftsmodells zu gewährleisten und damit zu erheblichen Wettbewerbsvorteilen führen. Dies zeigt sich an den verschiedenen Funktionen von Compliance, die deutlich machen, dass eine effektive Compliance-Organisation gerade nicht nur der Haftungsvermeidung, sondern auch dem Unternehmenserfolg dienen kann.

1. Kapitel Begriffsbestimmungen Compliance: Bedeutung und Notwendigkeit › VI. Compliance-Funktionen

VI. Compliance-Funktionen

65

Lösler hat die Funktionen von Compliance in Schutzfunktion, Beratungs- und Informationsfunktion, Qualitätssicherungs- und Innovationsfunktion, Überwachungs- und Marketingfunktion unterteilt.[1]

66

Im Vordergrund steht die Schutzfunktion, da sie dem eigentlichen Ziel der Compliance, der Vermeidung von Regelverstößen durch vorbeugende organisatorische Maßnahmen, dient. Das Unternehmen selbst, aber auch seine Mitarbeiter werden sowohl vor Haftung in Form von zu leistendem Schadensersatz als auch vor Strafen und Bußgeldern geschützt. Damit wendet das Unternehmen nicht nur finanzielle Nachteile oder Einschränkungen seiner Handlungsmöglichkeiten ab, sondern auch Reputationsschäden.

67

Ein Compliance-Programm kann das Unternehmen selbst dann schützen, wenn es bereits zu einem Normverstoß gekommen ist. In Anlehnung an das amerikanische Recht kann ein Unternehmen in den Genuss einer Milderung kommen, sofern es präventive unternehmensinterne Maßnahmen getroffen hat. Das Bestehen einer Compliance-Organisation zählt nämlich zu den sog. „militating factors“ nach den Federal Sentencing Guidelines.[2]

68

Compliance dient ferner der Beratung und Information. Durch die Einrichtung einer Compliance-Abteilung wird den Mitarbeitern eine Anlaufstelle zur Verfügung gestellt, an die sie sich in Verdachts- bzw. Zweifelsfällen wenden können. Nicht selten scheitert ein Mitarbeiter, der sich in derartigen Fragen an eine Vertrauensperson wenden will daran, dass ihm schlicht der geeignete Ansprechpartner fehlt. Aber auch die Schulung und Aufklärung der Mitarbeiter ist Aufgabe der Compliance-Organisation. Nur wenn Mitarbeiter hinreichend über bestehende Ge- und Verbote informiert sind, entwickeln sie ein Bewusstsein für Risikosituationen und können dazu beitragen, Risiken zu minimieren.

69

Compliance hat zudem auch eine Qualitätssicherungs- und Innovationsfunktion. Auf Grundlage des „Know your costumer-Grundsatzes“ muss ein Unternehmen in der Lage sein, seine Kunden unter Risikogesichtspunkten einzuschätzen. Dies kommt jedoch nicht nur dem Unternehmen selbst, sondern auch dem Kunden zu gute. Denn je besser ein Unternehmen seinen Kunden kennt, umso mehr wird es möglich sein, ihm ein Produkt oder eine Dienstleistung anbieten zu können, die individuell auf seine Bedürfnisse und Wünsche angepasst ist, was wiederum für das Unternehmen zu einem Wettbewerbsvorteil führen kann.

70

Zu einer Compliance-Organisation gehört auch die Überwachung. Obgleich der Begriff „Überwachung“ für manchen deutlich negativ klingen mag, so ist darunter nichts anderes zu verstehen, als dass überprüft und kontrolliert wird, ob Gesetze und Regeln eingehalten werden.

71

Schließlich hat eine Compliance-Organisation auch eine Marketingfunktion für das Unternehmen. Regelverstöße und damit verbundene Straf- oder Zivilprozesse gelangen unvermeidbar an die Öffentlichkeit. Dies haben die Beispiele aus der jüngsten Vergangenheit gezeigt. Wie sehr solche Negativschlagzeilen einem Unternehmen schaden können, bedarf keiner weiteren Ausführungen. Verfügt ein Unternehmen über eine Compliance-Organisation, so darf es dies auch kommunizieren und damit werben, um sein Ansehen bei Kunden, Geschäftspartnern und Aufsichtsbehörden zu erhöhen und sich positiv im Markt zu positionieren.

72

Compliance hat sich damit bereits jetzt als allgemein anerkanntes Mittel der sachgerechten Unternehmensorganisation etabliert[3] und dient nicht nur dem Risikomanagement, sondern auch dem Schutz aller Mitarbeiter, insbesondere dem der leitenden Mitarbeiter und Leitungsorgane.

Compliance kann jedoch nur dann funktionieren, wenn sie ernsthaft betrieben wird und sich der Compliance-Gedanke fest im Unternehmen verankert und durch alle Bereiche des Unternehmens zieht. Ein Unternehmen, in welchem nur deswegen eine Compliance-Organisation eingerichtet wird, weil sich die Verantwortlichen notgedrungen dazu verpflichtet fühlen, tatsächlich aber weder Interesse noch Verständnis dafür zeigen, wird keinen Erfolg damit haben.

73

Das Einrichten einer „Feigenblatt“-Compliance-Abteilung ist nicht nur wenig zielführend, sondern bewahrt die Unternehmensverantwortlichen gerade nicht vor einer Haftung. Dies hat sich bereits anhand diverser Fälle seit Beginn des „Compliance-Zeitalters“ gezeigt. Gleichgültig, ob es sich um staatsanwaltschaftliche Ermittlungsverfahren oder zivilrechtliche Haftungsprozesse handelt, das bloße „Vorzeigen“ einer Compliance-Abteilung rettet die Verantwortlichen weder vor zivilrechtlicher noch strafrechtlicher Haftung. Vielmehr müssen sich die Verantwortlichen die Frage bzw. Ermittlung gefallen lassen, inwieweit sie der Kontrollpflicht, zu der sie sich in den unternehmenseigenen Kodizes verpflichtet und bekannt haben, auch tatsächlich nachgekommen sind. Die „Feigenblatt-Compliance“ ist nicht nur gefährlich für Leitungsorgane, sondern auch für diejenigen, denen arbeitsvertraglich oder organisatorisch Compliance-Aufgaben zugewiesen werden. Mit der Berufung zum Compliance-Officer kommt nämlich auch die Garantenstellung, wie ein vieldiskutiertes, in der Sache aber kaum überraschendes Urteil des BGH[4]nochmals deutlich macht. Wer also seine ihm als Compliance-Aufgaben zugewiesenen Überwachungs- und Kontrollpflichten tatsächlich nicht wahrnehmen will oder darf, wird im Ernstfall im gleichen oder sogar größeren Umfang haften, wie der pflichtwidrig handelnde Unternehmensverantwortliche selbst.

74

Die Frage, ob und inwieweit die Compliance-Bekenntnisse der Unternehmen tatsächlich umgesetzt und gelebt werden, ist damit nicht geklärt. Klar dürfte aber sein, worin – nicht nur unter Haftungsgesichtspunkten – der bessere Weg liegt.

Anmerkungen

[1]

Vgl. Lösler NZG 2005, 104, 105 ff.

[2]

Abrufbar unter www.ussc.gov/guidelin.htm.

[3]

Bürkle BB 2007, 1797, 1801.

[4]

BGH Urteil v. 17.7.2009 – 5 StR 394/08: Der BGH beurteilt obiter dicta die Garantenpflicht des Compliance Officers als regelmäßig gegeben. Die Garantenpflicht i.S.d. § 13 Abs. 1 StGB, mit der Tätigkeit des Unternehmens in Zusammenhang stehende Straftaten zu verhindern, sei die notwendige Kehrseite der gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu unterbinden.

2. Kapitel Grundlagen für Compliance

Inhaltsverzeichnis

A. Deutschland

B. Österreich

C. Schweiz

2. Kapitel Grundlagen für Compliance › A. Deutschland

A. Deutschland

1

Compliance nimmt in der gesellschaftlichen wie juristischen Diskussion auch mehrere Jahre nach der causa Siemens weiterhin eine prominente Stellung ein.[1] Standen anfangs spektakuläre Skandale in Großunternehmen und deren Aufarbeitung im Vordergrund, sind in jüngerer Zeit der Präventionsgedanke, die Bedeutung des Themas für den Mittelstand sowie der Umgang mit Compliance im Rahmen von Unternehmenstransaktionen in den Fokus gerückt, ehe zuletzt erneut prominente Skandale wie FiFA und „Dieselgate“ die Öffentlichkeit beschäftigten. Losgelöst von aktuellen Anlässen und Individualinteressen einzelner Berufsgruppen hat die Compliance-Diskussion nichts anderes zum Gegenstand als die – längst überfällige – Wiederauferstehung des Leitbildes eines ehrbaren Kaufmanns, nur eben fortgedacht und weiterentwickelt anhand der Erfordernisse moderner, komplexer Unternehmens- und Konzernstrukturen.[2] Compliance ist letztlich nichts anderes als die organisierte Rechtschaffenheit eines Unternehmens im geschäftlichen Verkehr. Die Betonung liegt dabei auf organisiert. Moderne, komplexe Unternehmens- und Konzernstrukturen bringen es mit sich, dass Rechtstreue und Rechtschaffenheit, obgleich sie an sich für jedermann selbstverständlich sind, sich nicht immer von selbst einstellen, sondern nur durch geeignete organisatorische Maßnahmen herbeigeführt und nachhaltig sichergestellt werden können.[3] Das vorliegende Kapitel geht in diesem Zusammenhang zwei Fragen nach: Was sind die maßgeblichen rechtlichen Grundlagen der Compliance? Davon handelt der erste Abschnitt. Und: Gibt es mittlerweile Grundsätze ordnungsgemäßer Compliance, also eine Art „Best Practice“ oder Verkehrssitte, wie in einem Unternehmen Compliance grundsätzlich gestaltet werden sollte?

Davon handelt der zweite Abschnitt.

Anmerkungen

[1]

Der Begriff Compliance fand vereinzelt auch Eingang in die geschriebene Rechtsordnung, vgl. §§ 33 Abs. 1, 33b WpHG; § 12 Abs. 4 Wertpapierdienstleistungs-Verhaltens- und Organisationsverordnung – (WpDVerOV); ferner wird Compliance ausdrücklich in Ziff. 3.4, 4.1.3, 5.2 und 5.3.2 DCGK erwähnt.

[2]

Nach einer aktuellen Studie von KPMG, für die 500 ausgewählte Unternehmen Deutschlands befragt wurden, sind mehr als 30 % der Unternehmen von Wirtschaftskriminalität betroffen (vgl. KPMG Tatort Deutschland - Wirtschaftskriminalität in Deutschland 2016, S. 9, 16).

[3]

Bergmoser/Theusinger/Gushurst BB-Special Compliance, 2008, 1, 2 bezeichnen die Verankerung des Compliance-Gedankens in der Organisation eines Unternehmens als „alles andere als trivial“.

2. Kapitel Grundlagen für Compliance › A. Deutschland › I. Rechtliche Grundlagen der Compliance

I. Rechtliche Grundlagen der Compliance

2

Fragt man nach den rechtlichen Grundlagen der Compliance, begriffen als organisierte Rechtschaffenheit im Geschäftsverkehr, so versteht es sich zunächst von selbst, dass jedermann an Recht und Gesetz gebunden ist. Hierfür braucht es keine weitere Rechtsgrundlage. Bei Licht betrachtet ist die Frage nach den rechtlichen Grundlagen der Compliance gleichbedeutend mit der Frage nach rechtlichen Maßstäben für die Organisation und die organisatorische Sicherstellung der Rechtstreue und Rechtschaffenheit eines Unternehmens, seiner Organmitglieder und Mitarbeiter. Fragt man also richtigerweise nach solchermaßen rechtsverbindlichen Organisationsvorschriften, fallen drei Kategorien ins Auge: die gesellschaftsrechtliche Geschäftsleiterverantwortung (dazu Rn. 3 ff.), strafrechtliche Organisationspflichten (dazu Rn. 20 ff.) sowie spezialgesetzliche Compliance-Vorschriften (dazu Rn. 28 ff.).

1. Die Geschäftsleiterverantwortung als wesentliche Rechtsgrundlage der Compliance (§ 93 AktG, § 43 GmbHG)

3

Betrachtet man den allgemeinen Kanon der aus der Geschäftsleiterverantwortung folgenden Geschäftsleiterpflichten, stellt man fest, dass die allgemeine Legalitätspflicht verbunden mit der Pflicht zu ordnungsgemäßer Organisation und Delegation in ihrer Zusammenschau eine wesentliche Rechtsgrundlage für die organisierte Rechtschaffenheit des Unternehmens im Geschäftsverkehr darstellen.

1.1 Die Legalitätspflicht des Geschäftsleiters

4

Zu den organschaftlichen Pflichten des Geschäftsleiters – sei es das Vorstandsmitglied einer Aktiengesellschaft oder der Geschäftsführer einer GmbH – gehört zuvorderst die Legalitätspflicht. Die Legalitätspflicht verlangt vom Geschäftsleiter in einem ersten Schritt, dass er sich selbst im Rahmen seiner dienstlichen Tätigkeit in jeder Hinsicht an die einschlägigen Gesetze hält. Das betrifft nicht nur etwa das deutsche Recht, sondern sämtliches, auch ausländisches Recht, das auf das Unternehmen und die Tätigkeit des Geschäftsleiters anwendbar ist. Bei der Einhaltung des anwendbaren Rechts kommt dem Geschäftsleiter keinerlei Ermessensspielraum zu. Schon gar nicht ist es ihm erlaubt, der Entscheidung über die Einhaltung des Rechtes eine Kosten-Nutzen-Analyse voranzustellen. Auch vordergründig „nützliche“ Pflichtverletzungen bleiben Pflichtverletzungen.[1]

5

Die Legalitätspflicht endet allerdings nicht mit dem eigenen Verhalten des Geschäftsleiters. Ihm obliegt vielmehr auch, dafür Sorge zu tragen, dass sich Mitarbeiter des Unternehmens, Tochterunternehmen und deren Organmitglieder und Mitarbeiter ebenfalls rechtmäßig verhalten.[2] Negativ gewendet bedeutet dies, dass den Geschäftsleiter – selbstverständlich – keine Garantiehaftung für das rechtmäßige Verhalten von Mitarbeitern, Tochterunternehmen und deren Mitarbeitern obliegt. Aber er muss „dafür Sorge tragen“. Damit sind die Grundsätze ordnungsgemäßer Organisation und Delegation von Aufgaben im Unternehmen angesprochen. Denn es ist eine Binsenweisheit, dass der Geschäftsleiter nicht in der Lage sein wird, durch persönliche Maßnahmen und persönliches Handeln für die Rechtmäßigkeit im Unternehmen, ja im gesamten Konzern „Sorge zu tragen“. Ihm bleibt gar nichts anderes übrig, als dies durch geeignete organisatorische Maßnahmen und die Delegation von Überwachungs- und Kontrollpflichten sicherzustellen.

6

Wenngleich dem Geschäftsleiter anerkanntermaßen bei solchen Organisationsmaßnahmen ein weiter Ermessensspielraum zukommt,[3] gibt es gleichwohl einige Grundsätze ordnungsgemäßer Organisation und Delegation, die ermessensleitenden und ermessensbeschränkenden Charakter haben. So versteht es sich von selbst, dass diejenigen Aufgaben, welche dem Geschäftsleitungsorgan in seiner Gesamtheit obliegen, nicht auf nachgeordnete Stellen im Unternehmen delegiert werden können.[4] Die Sicherstellung rechtschaffenen Verhaltens im Geschäftsverkehr ist allerdings keine Maßnahme, die einem solchen vollständigen Delegationsverbot unterliegen würde. Immerhin ist umgekehrt eine vollständige Delegation von Compliance-Aufgaben ebenso unzulässig. Ein Kernbereich von Compliance-Verantwortung muss bei der Geschäftsleitung verbleiben; wäre dem nicht so, würde nicht die Geschäftsleitung, sondern eben jemand anderes „dafür Sorge tragen“, dass sich Mitarbeiter, Tochterunternehmen und deren Mitarbeiter rechtmäßig verhalten. Welche Folgerungen sich daraus für die Compliance-Organisation ergeben, werden wir sogleich sehen. Zur ordnungsgemäßen Organisation und Delegation von Pflichten gehört ferner eine präzise und nachvollziehbare Aufgabendefinition und -abgrenzung. Kompetenzkonflikte sind sowohl in positiver (Mehrfachzuständigkeit) als auch in negativer Hinsicht (fehlende Zuständigkeit) zu vermeiden. Mitarbeiter, denen Aufgaben übertragen werden, müssen sorgfältig ausgewählt, adäquat mit Ressourcen ausgestattet und in ihre Aufgaben hinreichend eingewiesen werden.[5] In der Regel ist neben der erstmaligen Einweisung auch eine regelmäßige Fortbildung erforderlich. Notwendiges Korrelat der Delegationsmöglichkeit ist die Pflicht zur angemessenen Überwachung und Kontrolle. Kontrollen sind selbstredend anlassbezogen durchzuführen. Bei besonders gefahrgeneigter Tätigkeit können auch stichprobenartige, abstrakte und unangekündigte Kontrollen angezeigt sein.[6] Werden Verstöße oder Missstände festgestellt, muss der Geschäftsleiter einschreiten, die Verstöße abstellen, die Verantwortlichen zur Rechenschaft ziehen (disziplinarische Maßnahmen, ggf. zivilrechtliche Schadensersatzansprüche, bis hin zur Strafanzeige) und sein Organisationsmodell so fortentwickeln, dass in Zukunft ähnliche Verstöße möglichst unmöglich gemacht werden.[7]

1.2 Folgerungen für die Compliance-Organisation

7

Die organschaftliche Legalitätspflicht ist mithin die Quelle gesellschaftsrechtlich fundierter Compliance-Organisationspflichten. Daraus folgt unmittelbar, dass sich nur Organisationspflichten im Hinblick auf rechtmäßiges Verhalten, nicht aber weitergehende Anforderungen an „ethisches“ oder „moralisches“ Verhalten ergeben können. Dies ist deshalb wichtig, weil in der internationalen Unternehmenspraxis, insbesondere beeinflusst durch amerikanische Vorbilder, der Brauch um sich greift, das Verhalten von Mitarbeitern durch umfassende „Codes of Ethics“ zu reglementieren.[8] Dass es dabei zu Missbräuchen und Auswüchsen kommen kann, die letztlich sogar mit verfassungsrechtlichen Garantien, insbesondere mit dem Persönlichkeitsrecht von Mitarbeitern kollidieren können, ist mittlerweile aus der Praxis hinlänglich bekannt. Einschlägiges Negativbeispiel ist der Kodex des U.S.-amerikanischen Einzelhandelskonzerns Walmart, der Liebesbeziehungen zwischen Mitarbeitern verbieten wollte.[9] In dieselbe Kategorie fällt der vor einiger Zeit bekannt gewordene Fall des Logistikunternehmens UPS, das männlichen Mitarbeitern das Tragen von Vollbärten untersagte.[10] In diesem Zusammenhang ist auf eines ganz klar hinzuweisen: (Pseudo-)ethische Vorschriften dieser Art müssen von Rechts wegen nicht sein; entscheidet sich ein Unternehmen gleichwohl dafür, erfolgt dies auf freiwilliger Basis.

8

Eine zweite Folgerung ergibt sich aus dem weiten Organisationsermessen, das dem Geschäftsleiter grundsätzlich zusteht. Nicht jeder Compliance-Verstoß, der in Unternehmen geschieht, ist zugleich ein Indiz oder gar ein Beweis für das Fehlen einer hinreichenden Compliance-Organisation.[11] Im Gegenteil: Ein Pflichtenverstoß im Hinblick auf die organisierte Rechtschaffenheit des Unternehmens kann nur dann vorliegen, wenn eine Compliance-Organisation vollständig fehlt oder die vorhandene Organisation evident unangemessen ist. Das kann etwa dann der Fall sein, wenn Compliance vollständig auf nachgeordnete Ebenen delegiert wird und keinerlei Restverantwortung für Compliance innerhalb der Geschäftsleitung verbleibt. Es ist also zumindest erforderlich, dass eine direkte, möglichst kurze Berichtslinie von dem Compliance-Verantwortlichen (Chief Compliance Officer) zu einem Mitglied der Geschäftsleitung existiert. Ein organschaftlicher Pflichtenverstoß ist ferner denkbar, wenn die Compliance-Organisation die wesentlichen Compliance-Risiken des Unternehmens nicht abdeckt. Tätigt das Unternehmen bspw. erhebliche Umsätze mit staatseigenen Unternehmen in Ländern, die für Korruption bekannt sind, werden organisatorische Maßnahmen zur Vermeidung von Korruptionsdelikten zur Pflicht.[12] Fertigt ein Unternehmen Produkte, die beim Auftreten von Produktfehlern Gefahren für Leib und Leben der Kunden bergen können, sind – unabhängig von spezialgesetzlichen Pflichten – organisatorische Maßnahmen zur Sicherstellung der Produktsicherheit unabdingbar.

9

Schließlich kann ein organschaftlicher Pflichtenverstoß vorliegen, wenn die Ausstattung der Compliance-Organisation evident ungenügend ist. Ein einzelner Compliance-Beauftragter kann bspw. nicht für die Rechtschaffenheit eines weit verzweigten, international tätigen Konzerns sorgen.

10

Liegt ein organschaftlicher Pflichtenverstoß vor, kann dies für den pflichtwidrig handelnden Geschäftsleiter zum Widerruf seiner Organbestellung, zur Kündigung seines Dienstvertrages und zur Haftung auf Schadensersatz führen.[13]