Compliance

1.3 Enthaftung durch Zertifizierung?

11

Die Diskussion um das Thema Compliance hat eine Vielzahl unterschiedlicher Compliance-Standards hervorgebracht, die als Grundlage für die Entwicklung unternehmensspezifischer Compliance-Programme und damit der Erfüllung der entsprechenden Geschäftsleiterpflichten dienen.[14] Neben der Einrichtung eines Compliance-Programms zählt dessen laufende Überprüfung auf Geeignetheit und Effektivität zu den wesentlichen Pflichten der Geschäftsleitung. Mit dem Prüfungsstandard PS 980 „Prüfung von Compliance-Management-Systemen“ vom 11.3.2011 stellt das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) einen Rahmen zur Verfügung, der den Inhalt freiwilliger Prüfungen von Compliance-Programmen und die diesbezügliche Berufsauffassung der Wirtschaftsprüfer darlegt. Ob mit einer derartigen Prüfung und einer Bescheinigung der Effektivität des Compliance-Programms jedoch auch eine Enthaftung der Geschäftsleitung einhergeht, ist unter zwei Gesichtspunkten sehr zweifelhaft.[15]

12

Erstens verkennt die Fokussierung auf eine betriebswirtschaftliche Prüfung, dass die Erfüllung der gesellschafts- und strafrechtlichen Organisationspflichten eine Rechtsfrage darstellt, die mit entsprechender juristischer Expertise und unter Nutzung praktischen juristischen Erfahrungswissens zu prüfen ist. Soll eine Wirksamkeitsprüfung tatsächlich einem „objektivierten Nachweis der ermessensfehlerfreien Ausübung [der] Leitungspflicht dienen“,[16] so ist die Prüfung in erster Linie von juristischen Beratern durchzuführen, die über einschlägige Erfahrungen und Spezialwissen bei der Einordnung bestimmter Verhaltensweisen etwa in Fragen des Antikorruptionsrechts oder des Wettbewerbsrechts verfügen.

13

Zweitens geht das vorgesehene Prüfungsprogramm mit seiner Fokussierung auf die Beschreibung des Compliance-Programms[17] am Kern des Prüfungszwecks vorbei – der Sicherstellung der praktischen Wirksamkeit des Programms. Dies wird besonders evident durch die Vorgabe eines Hinweises in den Auftragsbedingungen, „dass keine Prüfungssicherheit über die tatsächliche Einhaltung von Regeln erlangt wird, sondern ausschließlich die in der CMS-Beschreibung getroffenen Aussagen zum CMS beurteilt werden“.[18] Ein effektives Compliance-Programm, das zu einer Enthaftung der Geschäftsleitung im Hinblick auf deren Organisationspflichten führen kann, erfordert mehr als nur die Existenz des Programms auf dem Papier. Dies haben insbesondere die großen Compliance-Skandale der jüngeren Zeit gezeigt. Neben der sogenannten „CMS-Beschreibung“ i.S.d. IDW PS 980 kann das Unternehmen zusätzlich Standards zur Einrichtung von CMS heranziehen, wie z.B. den ISO 19600.[19]

14

Die von Rechtsprechung und Literatur aufgestellten Anforderungen an eine Enthaftung durch Einholung professionellen Rats[20] werden daher durch eine Zertifizierung nach IDW PS 980 in aller Regel nicht erfüllt.[21]

1.4 Rechtsformspezifische Besonderheiten

15

Besonderheiten für die Ausgestaltung der Compliance-Organsiation können sich aus der Rechtsform und der Konzernstruktur eines Unternehmens bzw. Unternehmensverbundes ergeben. Die strengsten Anforderungen gelten in der Aktiengesellschaft. Dort sind die Vorstandsmitglieder zur eigenverantwortlichen Leitung der Gesellschaft verpflichtet (§ 76 Abs. 1 AktG). Sie unterliegen im Grundsatz nicht den Weisungen der Gesellschafter (Aktionäre) oder des Aufsichtsrates. Korrelat dieser Freiheit ist die besondere Verantwortung für die Sicherstellung der Rechtschaffenheit im Unternehmen.[22] Die Pflicht zur Einrichtung eines Überwachungssystems für bestandsgefährdende Entwicklungen, § 91 Abs. 2 AktG, normiert nur einen engen Ausschnitt hinsichtlich der diesbezüglichen Organisationspflichten des Vorstands einer Aktiengesellschaft.[23] Im Gegensatz zum Verständnis der Betriebswirtschaftslehre und Prüfungspraxis umfasst § 91 Abs. 2 AktG nach der herrschenden gesellschaftsrechtlichen Auffassung gerade nicht den Aufbau eines umfassenden Risikomanagementsystems.[24]

16

Im Vertragskonzern bezieht sich diese Verantwortung ohne Weiteres auch auf die Tochterunternehmen. Die konzernrechtlichen Instrumentarien, insbesondere das Weisungsrecht gegenüber der Geschäftsleitung eines konzernierten Tochterunternehmens erleichtern einerseits eine konzernweite durchgehende Compliance-Organisation. Sie führen andererseits dazu, dass diese konzernrechtlichen Gestaltungsmöglichkeiten auch genutzt werden müssen, um eine möglichst effiziente Compliance-Organisation auf die Beine zu stellen.[25]

17

Im faktischen Konzern besteht, falls die beherrschte Gesellschaft in der Rechtsform der Aktiengesellschaft existiert, ein solches Weisungsrecht nicht. Dort ist aber immerhin eine faktische Möglichkeit der Einflussnahme regelmäßig gegeben. Diese Einflussmöglichkeit ist auch zu nutzen, um die organisierte Rechtschaffenheit der beherrschten Tochterunternehmen sicherzustellen. Zumindest insoweit dürfte eine gewisse Konzernleitungspflicht heute anzuerkennen sein.[26]

18

Häufig werden dieser Betrachtungsweise in der Praxis die Haftungsrisiken entgegengehalten, die bei Einflussnahmen im faktischen Konzern bestehen (§§ 311, 317 AktG). Dabei handelt es sich um eine Scheindiskussion. Denn Voraussetzung für eine Haftung des herrschenden Unternehmens ist, dass sich die Einflussnahme nachteilig auf das beherrschte Unternehmen auswirkt. Weshalb und unter welchen Umständen es für ein beherrschtes Unternehmen nachteilig sein soll, wenn das herrschende Unternehmen organisatorische Maßnahmen ergreift, um die Rechtschaffenheit im Handeln des Tochterunternehmens, ihrer Organmitglieder und Mitarbeiter herzustellen, lässt sich jedenfalls im Grundsatz nicht erkennen.

19

Bei der GmbH gelten im Ansatz vergleichbare Grundsätze wie in der Aktiengesellschaft. Die Geschäftsleiterverantwortung ist dort insoweit abgemildert, als eine (wirksame und rechtmäßige) Weisung der Gesellschafter zur Enthaftung der Geschäftsführung führt.[27] Gleichwohl tut auch ein Unternehmen in der Rechtsform der GmbH gut daran, eine Compliance-Organisation einzurichten, die der nationalen und internationalen Verkehrssitte (best practice) entspricht. Die Pflicht zur Einrichtung eines Risikomanagementsystems i.S.d. § 91 Abs. 2 AktG gilt (analog) auch für die GmbH.[28]

2. Strafrechtliche Organisationspflichten

20

Neben dem Gesellschaftsrecht enthält das Strafrecht, namentlich das Ordnungswidrigkeitenrecht, Rechtsquellen für Organisationspflichten, die sich auf die Compliance-Organisation im Unternehmen unmittelbar auswirken.[29] Einschlägig sind insoweit insbesondere die §§ 9, 30 und 130 OWiG.

21

§ 30 OWiG eröffnet die Möglichkeit, Geldbußen gegen juristische Personen und Personenvereinigungen zu verhängen. Voraussetzung dafür ist, dass Organmitglieder oder bestimmte weitere Personen in leitender Stellung eine Straftat oder Ordnungswidrigkeit begehen, durch die Pflichten verletzt werden, welche die juristische Person treffen oder durch die die juristische Person bereichert wird oder werden soll. In einem solchen Fall kann gegen die juristische Person eine Geldbuße festgesetzt werden, die bei Vorsatztaten bis zu 10 Mio. EUR und bei fahrlässigen Straftaten bis zu 5 Mio EUR beträgt (§ 30 Abs. 2 OWiG). Dieser Rahmen kann aber leicht überschritten werden, denn die Geldbuße soll auch den wirtschaftlichen Vorteil, den der Täter aus der Tat gezogen hat, übersteigen (§ 30 Abs. 3 i.V.m. § 17 Abs. 4 OWiG).

22

Ein Beispiel aus der jüngeren Vergangenheit zeigt dies anschaulich: § 30 OWiG ist bspw. einschlägig bei Korruptionstaten und ihren typischen Begleitdelikten wie etwa Steuerhinterziehung. Im Fall Siemens führte dies im Jahr 2007 im Hinblick auf einen bestimmten Tatkomplex zu einer Sanktion nach § 30 OWiG in Höhe von insgesamt 201 Mio. EUR. Davon entfielen 1 Mio. EUR auf die reine Geldbuße nach § 30 Abs. 2 S. 1 Nr. 1 OWiG und 200 Mio. EUR auf die Gewinnabschöpfung nach § 30 Abs. 3 i.V.m. § 17 Abs. 4 OWiG.[30]

23

Das Beispiel zeigt: Rechtsverstöße, auch wenn sie im vermeintlichen Interesse des Unternehmens begangen werden, können drastische Sanktionen nicht nur für den einzelnen Täter, sondern für das ganze Unternehmen nach sich ziehen. Daher ist es geboten, durch organisatorische Maßnahmen sicherzustellen, dass solche Rechtsverstöße möglichst nicht vorkommen. § 30 OWiG flankiert damit die bereits aus der allgemeinen Geschäftsleiterverantwortung folgende Pflicht zur Einrichtung einer Compliance-Organisation.

24

§ 130 OWiG wird im Hinblick auf Organisationspflichten noch konkreter: Ordnungswidrig handelt danach, wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig diejenigen Aufsichtsmaßnahmen unterlässt, welche erforderlich sind, um im Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber als solchen treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen zählen nach § 130 Abs. 1 S. 2 OWiG insbesondere die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.[31] Auch hier ist der Sanktionsrahmen grundsätzlich Geldbuße bis zu 1 Mio. EUR (§ 130 Abs. 3 S. 1 OWiG). Eine höhere Geldbuße ist möglich, wenn die begangene Pflichtverletzung, die durch gehörige Aufsicht hätte vermieden werden sollen, mit höheren Sanktionen belegt ist (§ 130 Abs. 3 S. 2 und 3 OWiG).[32] § 130 OWiG ist daher das direkte strafrechtliche Analogon zur gesellschaftsrechtlichen Organisationspflicht im Hinblick auf die Rechtschaffenheit im Unternehmen.

25

Schließlich ist noch auf § 9 OWiG hinzuweisen. Die Vorschrift betrifft Delikte, für deren Tatbestandsmäßigkeit besondere persönliche Merkmale erforderlich sind, wie bspw. die Institutseigenschaft im Bereich der Pflicht zur Identifizierung von Personen nach dem Geldwäschegesetz, §§ 17 Abs. 1 Nr. 1, 2 Abs. 1–3, 1 Abs. 4 GwG. In diesem Fall reicht es gem. § 9 Abs. 1 OWiG, dass dieses Merkmal beim Unternehmen vorliegt. Ist das der Fall, handelt der Vertreter des Unternehmens selbst ordnungswidrig, auch wenn bei ihm persönlich dieses Merkmal nicht vorliegt. Gleiches kann nach der Rechtsprechung des BGH auch im Bereich einer möglichen Strafbarkeit nach dem StGB gelten. Die Strafbarkeit einer Führungskraft setzt nicht zwingend voraus, dass diese ein Delikt eigenhändig begangen hat.[33] Daraus wird deutlich, dass Geschäftsleiter nicht nur in der Pflicht stehen, für die Einhaltung der das Unternehmen treffenden Pflichten zu sorgen. Sie werden strafrechtlich letztlich mit dem Unternehmen gleichgestellt und tragen damit ein nicht unerhebliches persönliches Risiko der Strafbarkeit für unternehmensbezogene Delikte.[34]

26

Aus alledem wird deutlich, dass die im Ordnungswidrigkeitenrecht enthaltenen Organisationspflichten die gesellschaftsrechtlichen Organisationspflichten hinsichtlich der Sicherstellung organisierter Rechtschaffenheit im Unternehmen ergänzen und flankieren. Gleichwohl ist es wichtig, hierbei das richtige Rangverhältnis im Auge zu behalten. An erster Stelle stehen die gesellschaftsrechtlichen Pflichten; denn sie begründen eine allgemeine Legalitätspflicht, aus der entsprechende Organisationspflichten erwachsen. Die Pflichten des Ordnungswidrigkeitenrechtes setzen dagegen stets einen strafbaren oder zumindest ordnungswidrigen Compliance-Verstoß voraus und sind daher im Ausgangspunkt enger als die gesellschaftsrechtliche Legalitätspflicht. In praktischer Hinsicht darf allerdings nicht übersehen werden, dass die im täglichen Leben besonders relevanten Compliance-Felder durchgängig straf- bzw. bußgeldbewehrt sind, wie nicht zuletzt ein Blick auf die Bereiche Korruption,[35] Geldwäsche, Steuerhinterziehung, Insiderrecht, Kapitalmarktpublizität, Kartellrecht und Produktsicherheit zeigt. Insoweit treten die ordnungswidrigkeitenrechtlichen Organisationspflichten gleichberechtigt neben die diesbezüglichen gesellschaftsrechtlichen Pflichten.

27

Auf Ebene des Strafrechts ist schließlich im Hinblick auf Compliance-Pflichten die mögliche Geschäftsleiterhaftung wegen Unterlassens zu beachten, auch soweit es um Straftaten aus dem Unternehmen heraus gegenüber Dritten geht. Eine derartige Garantenpflicht gegenüber unternehmensexternen Dritten hat der BGH für den Leiter der Rechtsabteilung und Innenrevision einer Anstalt des öffentlichen Rechts angenommen und in einem obiter dictum ausdrücklich eine regelmäßige Garantenstellung von Compliance Officern für die Verhinderung von aus dem Unternehmen heraus begangenen Straftaten postuliert.[36]

3. Spezialgesetzliche Compliance-Pflichten

28

Neben den allgemeinen gesellschaftsrechtlichen und ordnungswidrigkeitenrechtlichen Grundlagen einer Compliance-Organisation existieren spezialgesetzliche Compliance-Vorschriften. Einige dieser Vorschriften, wie z.B. § 12 Abs. 1 AGG,[37] sind grundsätzlich auf alle Unternehmen anwendbar, andere Vorschriften hingegen lediglich branchen- oder tätigkeitsspezifisch. Letzteres gilt bspw. für die besonderen Compliance-Pflichten von Finanzdienstleistern,[38] Banken und Versicherungen oder die zusätzlichen Organisationspflichten, denen börsennotierte Unternehmen im Hinblick auf die Vermeidung von Insiderhandel und zur Sicherstellung der Ad-hoc-Publizität unterliegen.[39] Historisch handelt es sich dabei um die vermeintlich älteren, jedenfalls früher entdeckten Compliance-Pflichten. Vermeintlich älter deshalb, weil die aus dem Gesellschafts- und dem Ordnungswidrigkeitenrecht fließenden Organisationspflichten ihrerseits seit viel längerer Zeit existieren, nur wurden sie erst in jüngerer Zeit als allgemeine Rechtsquellen der Compliance-Organisation entdeckt.[40]

29

Daraus erklärt sich auch die vor einigen Jahren geführte Debatte, ob sich aus den spezialgesetzlichen Compliance-Pflichten im Wege einer Gesamtanalogie eine allgemeine rechtliche Grundlage für Compliance ableiten lasse.[41] Dies war eine letztlich nicht erforderliche Diskussion; denn wie wir heute wissen, folgen Compliance-Pflichten bereits aus dem Gesellschaftsrecht und dem Ordnungswidrigkeitenrecht, wie oben ausführlich dargelegt wurde. Insbesondere in Konzernen können spezialgesetzliche Organisationspflichten denn auch nur innerhalb der gesellschaftsrechtlich gesetzten Grenzen bestehen.[42]

4. Rechtsvergleichender Ausblick: Die USA als „Mutterland“ der Compliance?

30

Die USA werden nach wie vor vielfach als das Mutterland der modernen Compliance-Bewegung angesehen. Wie dargelegt, ist dies jedenfalls im grundsätzlichen Ausgangspunkt so nicht zutreffend. Compliance verstanden als organisierte Rechtschaffenheit des Unternehmens im Geschäftsverkehr ist eine moderne Ausprägung des seit langem bekannten Leitbildes eines ehrbaren Kaufmanns. Nichtsdestotrotz ist nicht zu übersehen, dass die daraus für den modernen Geschäftsverkehr und moderne, komplexe Unternehmens- und Konzernstrukturen abzuleitenden konkreten Folgerungen in den USA viel früher diskutiert wurden als in Europa und auch in Deutschland, und dass uns daher die USA nach wie vor in der konkreten Umsetzung der Anforderungen an eine ordnungsgemäße Compliance weit voraus sind. Rechtliche Grundlage der Compliance in den USA sind insbesondere die „US Federal Sentencing Guidelines“, und dort namentlich der Abschnitt über die Unternehmensstrafe.[43] Flankiert und verschärft wurde das Recht der Compliance für börsennotierte Unternehmen zuletzt maßgeblich durch den Sarbanes Oxley Act.[44] Die Aufdeckung von Verstößen durch Unternehmensmitarbeiter wurde ferner durch den Dodd-Frank-Act[45] deutlich incentiviert, der eine Belohnung für originäre Hinweise auf den Behörden bislang nicht bekannte Umstände im Hinblick auf die Verletzung von U.S. wertpapierrechtlichen Vorschriften in Höhe von insgesamt 10 % bis 30 % einer erfolgreich verhängten Strafe vorsieht. Unter die Kategorie wertpapierrechtlicher Vorschriften fällt dabei auch der US Foreign Corrupt Practices Act (FCPA),[46] der u.a. die Bestechung ausländischer Amtsträger sanktioniert.

4.1 Kapitel 8 der US Federal Sentencing Guidelines

31

Die USA kennen seit langem, anders als bspw. Deutschland, die Unternehmensstrafe. Wenngleich auch in Deutschland seit einiger Zeit Diskussionen darüber geführt werden, ob neben § 30 OWiG auch eine Kriminalstrafe für Unternehmen eingeführt werden soll,[47] ist es in anderen Ländern, einschließlich den USA schon lange anerkannt, dass auch juristische Personen und sonstige Personenvereinigungen als solche „bestraft“ werden können und sollen. Bekanntlich ist das Recht der Strafzumessung in den USA, anders als in Deutschland, sehr detailliert geregelt. Wesentliche Rechtsgrundlage sind die besagten „US Federal Sentencing Guidelines“, die regelmäßig überarbeitet und aktualisiert werden. Kap. 8 der „US Federal Sentencing Guidelines“ enthält demgemäß ausführliche und spezielle Strafzumessungserwägungen für Unternehmen.

32

Das Unternehmen soll zur Wiedergutmachung des von ihm verursachten Schadens verurteilt werden. Die Strafhöhe soll sich an der Schwere der Tat orientieren. Diese wird entweder über die Höhe des erlangten Vorteils, die Höhe des verursachten Schadens oder über eine Schadenstabelle bestimmt, je nachdem, welcher Betrag höher ist. Die Schwere der Schuld wird durch sechs Faktoren konkretisiert, von denen vier strafverschärfend und zwei strafmildernd sind.[48] Diese Faktoren werden in einer konkreten Handlungsanweisung ausgewertet, um die Schwere der Schuld („Culpability Score“) zu bestimmen. Strafschärfend wirken sich aus:

33

Strafmindernd wirken sich aus:

34

Schließlich ist auch für Unternehmen vorgesehen, dass die Strafe zur Bewährung ausgesetzt werden kann.

35

Insbesondere hinsichtlich eines effektiven Compliance-Programms enthalten die „US Federal Sentencing Guidelines“ in § 8 B 2.1 konkrete Vorgaben und verpflichten die Geschäftsleitung, für die Einrichtung eines Compliance-Programms sowie einer Compliance-Organisation zu sorgen und sicherzustellen, dass die Vorgaben im Unternehmen von allen Mitarbeitern eingehalten werden. Das Unternehmen hat darüber hinaus regelmäßig mögliche Compliance-Risiken zu evaluieren und das Compliance-Programm entsprechend fortzuentwickeln. Gleiches gilt für den Fall, dass strafbare Handlungen aufgedeckt werden.

36

Daraus wird ersichtlich, dass das amerikanische Recht – entsprechend der kasuistisch veranlagten angloamerikanischen Rechtstradition – sehr konkrete Vorgaben und Vorschläge für die Ausgestaltung der Compliance-Organisation eines Unternehmens enthält. Sofern deutsche Unternehmen dem internationalen Anwendungsbereich des amerikanischen Strafrechts unterliegen, sind diese Vorgaben für sie ohnehin verbindlich. Dies betrifft bspw. deutsche Unternehmen, die in den USA als Wertpapieremittent registriert sind und deren Wertpapiere an den Börsen in den USA gehandelt werden, die damit bspw. auch dem FCPA unterliegen. Sie müssen damit rechnen, bei Verstößen gegen dieses Gesetz nach amerikanischem Recht bestraft zu werden und ein Strafmaß zugemessen zu bekommen, welches den Vorgaben von Kap. 8 der US Federal Sentencing Guidelines folgt.

37

Bisweilen wird die Auffassung vertreten, damit habe es aber auch sein Bewenden. Im Übrigen seien die amerikanischen Compliance-Vorstellungen kaum geeignet, Vorbild für die Ausgestaltung des Compliance-Programms in deutschen oder europäischen Unternehmen zu sein.[49] Das überzeugt nicht. Die zur Begründung dieser Ansicht üblicherweise herangezogenen Erwägungen, insbesondere zu den vermeintlich grundsätzlichen Unterschieden zwischen der kontinentaleuropäischen und der angloamerikanischen Rechtstradition und der jeweiligen Rechtssysteme, gehen fehl. Denn die grundsätzlichen Unterschiede zwischen Civil Law und Common Law spielen keine Rolle, wenn es um die konkrete Ausgestaltung von Compliance-Programmen im Einzelnen geht. Im Gegenteil: Die von der konkreten Fallanschauung geprägte, kasuistisch veranlagte US-amerikanische Denkweise ist in besonderer Weise hilfreich, um die sehr abstrakten Organisationsvorgaben, welche das deutsche Gesellschaftsrecht und Ordnungswidrigkeitenrecht für Compliance-Programme enthalten, zu konkretisieren. Wir können daher in diesem Bereich von den Erfahrungen in den USA sehr viel lernen. Als Nebeneffekt kommt noch hinzu, dass die USA ohnehin rein praktisch eine Schrittmacherfunktion im internationalen Geschäftsverkehr innehaben, was die Fortentwicklung von Compliance Standards und Compliance-„Best Practices“ betrifft. Es wäre daher geradezu töricht, diesen Erfahrungsschatz zu ignorieren.