Compliance

3. Compliance als Organisationsaufgabe

51

Sind die einschlägigen Risikobereiche eines Unternehmens identifiziert, müssen in einem nächsten Schritt diejenigen Organisationsmaßnahmen ergriffen werden, die sicherstellen sollen, dass in den identifizierten Risikobereichen Rechtsverstöße möglichst vermieden werden. Die Erfahrung hat gezeigt, dass es in der Regel nicht ausreicht, den Ressortzuständigen für einzelne Geschäftsbereiche Rechtstreue und Rechtschaffenheit besonders ans Herz zu legen. Vielmehr ist eine spezifische Compliance-Organisation erforderlich, an deren Spitze ein Compliance-Verantwortlicher für das gesamte Unternehmen steht, in der Regel Chief Compliance Officer genannt. Der Chief Compliance Officer muss eine möglichst kurze Berichtslinie zur Geschäftsleitung haben. Entweder sollte er direkt darunter oder mit nur einer weiteren Hierarchiestufe dazwischen angesiedelt sein. Vielfach ist der Chief Compliance Officer Jurist und als solcher in die Rechtsabteilung eines Unternehmens integriert. Andere Unternehmen setzen auf eine organisatorisch verselbstständigte Compliance-Abteilung außerhalb bzw. neben der Rechtsabteilung.[4] Das eine wie das andere Modell kann zweckmäßig sein. Einen eindeutigen Best Practice-Standard gibt es insoweit bislang nicht.

52

Der Chief Compliance Officer benötigt in der Regel einen organisatorischen Unterbau mit sachlichen und personellen Ressourcen. Dies müssen nicht notwendigerweise ausschließlich Vollzeitkräfte sein. Auch in einem mittelständischen Unternehmen empfiehlt es sich, die Compliance-Verantwortung nicht auf den Schultern einer einzelnen Person lasten zu lassen. Für Tochtergesellschaften und Niederlassungen sollten bestimmte Mitarbeiter – neben ihren sonstigen Aufgaben – zumindest auch für Compliance-Aufgaben mit zuständig sein.

53

Wesentlich ist dabei, dass ein zentrales Reporting zum Chief Compliance Officer des Unternehmens bzw. des Konzerns eingerichtet wird. Der Chief Compliance Officer muss also auf seine Compliance-Beauftragten in Tochtergesellschaften und Niederlassungen „durchregieren“ können. Wären die Compliance-Beauftragten ausschließlich dem jeweiligen lokalen Management unterstellt, wären Interessenkonflikte und eine wenig effektive Compliance-Arbeit nahezu zwangsläufig die Folge. Einzelheiten zur Ausgestaltung einer Compliance-Organisation finden sich im 3. Kap. Rn. 1 ff., 42 ff.

4. Grundsatz der Ausdrücklichkeit und der Schriftlichkeit

54

Es versteht sich von selbst, dass die wesentlichen Compliance-relevanten Informationen in einem Unternehmen schriftlich niedergelegt sein müssen und dass die wichtigsten Compliance-kritischen Situationen in diesen schriftlichen Unterlagen ausdrücklich adressiert werden müssen, um den Mitarbeitern konkrete Handreichungen für ihr tägliches Tun zu geben. So hat es sich eingebürgert, allgemeine und grundsätzliche Bekenntnisse des Unternehmens zur Rechtschaffenheit im Geschäftsverkehr in einem schriftlichen Regelwerk, einem Code of Conduct oder Code of Ethics niederzulegen, der mit spezifischem Fokus auf die Risikobereiche des betroffenen Unternehmens die wesentlichen Compliance-Bereiche abdeckt. Flankiert werden Codes of Conduct regelmäßig durch bereichsspezifische Compliance-Richtlinien, bspw. für die Themen Korruption, Kartellrecht, Diskriminierungsfreiheit und vieles andere mehr. Diese schriftlichen Unterlagen schaffen vor allem dann Mehrwert für die tägliche Unternehmenspraxis, wenn sie nicht lediglich Verbote aufstellen, sondern zugleich Hilfestellungen enthalten, welche Verhaltensweisen in kritischen Situationen erlaubt bzw. empfehlenswert sind. Es nützt bspw. wenig, ein Verbot unangemessen hoher Bewirtungsaufwendungen zu erlassen, ohne gleichzeitig zu sagen, bis zu welchen Grenzen die Bewirtung von Geschäftspartnern grundsätzlich zulässig und unproblematisch ist.

55

Zum Schriftlichkeitsgrundsatz gehört auch die Verwendung von alltagstauglichen Mustern und Formularen. So sollte bspw. im Bereich der Korruptionsbekämpfung die Einbindung von Vertriebsmittlern und Intermediären auf Basis standardisierter „Due Diligence“-Fragebögen bewertet werden.[5] Kommt es zum Vertragsschluss mit einem solchen Vertriebsmittler, sollten standardmäßige Compliance-Klauseln verwendet werden.[6] Für Einzelheiten s. auch 5. Kap. Rn. 323 ff.

5. Compliance als Schulungsaufgabe

56

Rechtstreues Verhalten fällt nicht vom Himmel und auch der Erlass von Compliance-Richtlinien allein bietet noch wenig Gewähr dafür, dass sich sämtliche Führungskräfte und Mitarbeiter in kritischen Situationen richtig verhalten. Führungskräfte und Mitarbeiter müssen daher in den wesentlichen Compliance-Bereichen des Unternehmens regelmäßig geschult werden. Hinsichtlich der Ausgestaltung des Compliance-Trainings bestehen vielfältige Möglichkeiten und keine hiervon ist absolut zwingend. Zweckmäßig ist in der Regel eine Kombination aus Unterricht und Selbststudium. Schulungen in Unterrichtsform bieten sich vor allem für Führungskräfte des Unternehmens an, die die Aufgabe haben, gleichsam kaskadenartig über die Hierarchieebenen des Unternehmens hinab die „Compliance-Botschaft“ zu verbreiten. Selbststudium findet heutzutage regelmäßig in Form von E-Learning am Computerarbeitsplatz statt. Hierfür gibt es eine Reihe hervorragend geeigneter und didaktisch bestens aufbereiteter Lernprogramme, die ein Unternehmen einsetzen kann.

57

Unabhängig vom Einzelfall sind bei Compliance-Schulungen vier Punkte von allgemeiner Bedeutung:

58

Erstens gilt auch hier der Grundsatz der Risikoadäquanz. Schulungsmaßnahmen sollten speziell auf die Risikobereiche zugeschnitten sein, die für das Unternehmen besonders relevant sind. Nicht zu empfehlen ist dagegen der Einkauf von Schulungs-Komplettpaketen, die bisweilen am Markt angeboten werden. Der dabei zwangsläufig praktizierte „one size fits all“-Ansatz widerspricht dem Grundsatz, dass jedes Unternehmen für sich und anhand der Umstände des Einzelfalles entscheiden muss, welche Schulungsschwerpunkte es setzen will.

59

Zweitens sind bei Konzeption der Schulungsmaßnahmen insbesondere interkulturelle Unterschiede und Spezifika zu beachten. Dies gilt nicht nur im Hinblick auf unterschiedliche Rechtstraditionen, sondern insbesondere auch kulturelle Unterschiede. Es empfiehlt sich daher, für Schulungen im Ausland lokale Expertise in Form von lokalen externen Beratern oder lokalen internen Mitarbeitern hinzuzuziehen, um unnötige Missverständnisse und deren ggf. kostspielige Folgen zu vermeiden.

60

Drittens ist das Entscheidende an einer Schulung nicht die Tatsache, dass sie stattfindet, sondern der Schulungserfolg. Der Erfolg einer Schulung kann nur festgestellt werden, wenn er – gleichsam wie in der Schule oder der Hochschule – getestet wird. Eine geeignete und dokumentierte Erfolgskontrolle sollte daher jede Schulungsmaßnahme abschließen.

61

Viertens ist Schulung eine Daueraufgabe. Es ist nicht damit getan, einmalig alle Führungskräfte und Mitarbeiter in Compliance-Fragen zu schulen. Vielmehr ist eine Auffrischung oder Wiederholung, ggf. auch die Vermittlung neu hinzugekommenen Compliance-Wissens, in regelmäßigen Abständen erforderlich.

62

Das 3. Kap. enthält weitere ausführliche Informationen zum Thema Compliance-Training.

6. Überwachung und Kontrolle

63

Der sechste und letzte Grundsatz ordnungsgemäßer Compliance ist der Grundsatz der Überwachung und Kontrolle. Sowohl die Rechtstreue der Mitarbeiter als solche als auch die Einhaltung der organisatorischen Vorgaben eines Compliance-Programms bedürfen der kontinuierlichen Überwachung und Verbesserung. Unternehmen sollten ihr Augenmerk in diesem Zusammenhang insbesondere auf die folgenden fünf Aspekte richten:

64

Erstens empfiehlt es sich, organisatorische Maßnahmen zu ergreifen, um Mitarbeitern die Anzeige von Compliance-Verstößen zu erleichtern. Im anglo-amerikanischen Bereich haben sich hierfür sog. Whistleblower Hotlines eingebürgert,[7] vom Sarbanes Oxley Act werden sie sogar für diejenigen Unternehmen, welche dem Anwendungsbereich dieses Gesetzes unterliegen, zwingend verlangt.[8] Whistleblower Hotlines ermöglichen es Mitarbeitern, anonym und vertraulich Compliance-Verstöße anderer Mitarbeiter und Führungskräfte zu melden. Im kontinentaleuropäischen Rechtskreis begegnen Whistleblower Hotlines, jedenfalls soweit sie die anonyme Anzeige von Mitarbeitern und Führungskräften ermöglichen, nach wie vor grundsätzlichen Bedenken.[9] Es besteht die Befürchtung, dass das Unternehmen mit einer solchen Einrichtung einem ungehemmten Denunziantentum Vorschub leistet. Namentlich in Frankreich wird diese Sorge – auch bedingt durch historische Erfahrungen – besonders groß geschrieben. Ausgehend von Frankreich hat sich daher eine datenschutzrechtliche Diskussion entsponnen, deren Kernthese lautet, anonyme Whistleblower Hotlines könnten einen Verstoß gegen das Persönlichkeitsrecht des Angezeigten insoweit darstellen, als dieser sich nicht dadurch verteidigen kann, dass er den Anzeigenden unmittelbar konfrontiert.[10] Diese Bedenken erscheinen überzogen. Anonyme Anzeigemöglichkeiten sind ein besonders wichtiges Mittel zur Aufdeckung innerbetrieblicher Missstände. Statistische Erhebungen haben ergeben, dass ein erheblicher Anteil aller Compliance-Verstöße ausschließlich durch Whistleblower Hotlines und ähnliche Einrichtungen überhaupt ans Tageslicht gelangen. Ein Mitarbeiter, der seinen Vorgesetzten bei Compliance-Verstößen beobachtet, wird sich nur dann zu einer Anzeige durchringen, wenn er sicher sein kann, dadurch nicht seinen Arbeitsplatz zu gefährden. Dem zweifelsohne vorhandenen Missbrauchspotential von anonymen Whistleblower Hotlines muss anders begegnet werden als durch eine pauschale Ablehnung solcher Einrichtungen. Vielmehr ist es erforderlich, dass die mit der Bearbeitung von Whistleblower-Anzeigen betrauten Mitarbeiter oder externen Berater eine besondere Sensibilität für die Möglichkeit denunziatorischer Anzeigen aufbringen. Nichts anderes muss im Übrigen auch jeder Staatsanwalt und im weiteren Sinne jede Behörde bei anonymen Anzeigen leisten.

65

Für weitere Einzelheiten zu Whistleblower Hotlines s. 5. Kap. Rn. 173.

66

Zweitens gehört zur Überwachung und Kontrolle die Aufnahme von Ermittlungen bei dem Verdacht von Compliance-Verstößen. Ermittlungen müssen umfassend, rückhaltlos und ohne Rücksicht auf das Ansehen einzelner Personen durchgeführt werden. Die in erster Linie berufene Stelle für die Aufdeckung unternehmensinterner Missstände ist die interne Revision. Ggf. können auch externe Berater, bspw. Rechtsanwälte oder forensisch versierte Wirtschaftsprüfer, hinzugezogen werden. Werden Compliance-Verstöße festgestellt, stellt sich stets auch die Frage, ob Berichtspflichten gegenüber der Öffentlichkeit, insbesondere bei kapitalmarktorientierten Unternehmen, oder Selbstanzeigepflichten gegenüber Behörden bestehen. Auch wenn keine solche Rechtspflicht existiert, ist zu erwägen, ob eine proaktive Kommunikation und ggf. eine Kooperation mit Ermittlungsbehörden aus Sicht des Unternehmens zweckmäßig sein könnte. Der Trend geht in den letzten Jahren verstärkt in Richtung offener Kooperation mit Ermittlungsbehörden. Dies ist auch richtig. Das Unternehmen hat keinen Grund, sich schützend vor einen Mitarbeiter zu stellen, der durch Compliance-Verstöße, und seien sie auch im vermeintlichen Interesse des Unternehmens geschehen, den Kreis der Rechtstreuen und Rechtschaffenen verlassen hat. Compliance-Verstöße sind nie im richtig verstandenen Interesse des Unternehmens.

67

Werden Compliance-Verstöße identifiziert, müssen die Rechtsverstöße in einem dritten Schritt umfassend abgestellt werden. Dies kann auch die Korrektur von Handels- und Steuerbilanzen implizieren, und zwar nicht nur der laufenden Bücher, sondern ggf. auch historischer Abschlüsse.

68

Viertens müssen Compliance-Verstöße effektiv sanktioniert werden. Gegen die Verantwortlichen sind disziplinarische Maßnahmen zu ergreifen, von der Compliance-Schulung als dem mildesten Mittel über Abmahnungen, Versetzung bis hin zur ordentlichen und außerordentlichen Kündigung des Arbeitsverhältnisses (bzw. Beendigung des Organverhältnisses). Soweit ein Compliance-Verstoß Schäden verursacht hat, sind Schadenersatzansprüche gegen die Verantwortlichen grundsätzlich durchzusetzen.[11] Eine Pflicht zur Strafanzeige besteht allerdings nicht; zweckmäßig kann dies gleichwohl sein, wenn die offene Kooperation mit Ermittlungsbehörden Teil der Unternehmensphilosophie ist oder nur mithilfe staatsanwaltlicher Ermittlungsmaßnahmen der relevante Sachverhalt aufgedeckt und nachgewiesen werden kann.

69

Fünftens ist das Compliance-Programm selbst ständig zu evaluieren und fortzuentwickeln. Sind Compliance-Verstöße vorgekommen, ist das Compliance-System anlassbezogen dahingehend zu überprüfen, ob es so verbessert werden kann, dass die eingetretenen Verstöße in Zukunft möglichst unterbunden werden. Auch ohne Compliance-Verstöße sollte die Compliance-Organisation regelmäßigen Überprüfungen unterzogen werden, bspw. um sie im Hinblick auf neu hinzugekommene Risikobereiche, etwa im Zuge einer Unternehmensakquisition, fortzuentwickeln.

Anmerkungen

[1]

In diesem Zusammenhang verbieten sich schematische Lösungen. Vor kommerziell angebotenen Compliance-Komplettlösungen kann nur gewarnt werden.

[2]

MünchKomm AktG/Spindler § 76 Rn. 16; Hüffer § 76 Rn. 11 ff.; Reichert/Ott ZIP 2009, 2173 f.; Roxin Strafrecht Allgemeiner Teil Band II, 2003, § 32 Rn. 134 ff.; vgl. auch BGH ZIP 2009, 1867, 1869.

[3]

Vgl. zur Begrifflichkeit Wolf DStR 2006, 2000; Bantleon/Thomann/Bühner DStR 2007, 1983.

[4]

Vgl. auch Rodewald/Unger BB 2007, 1630.

[5]

Vgl. etwa Münchener Vertragshandbuch/Rieder Band 4, 8. Aufl. 2017, Form X.2.

[6]

Vgl. etwa Münchener Vertragshandbuch/Rieder Band 4, 8. Aufl. 2017, Form X.3.

[7]

In Deutschland sind mehrere Gesetzesentwürfe, die eine Neufassung und Ergänzung des § 612a BGB zum Ziel hatten gescheitert. Zuletzt BT-Drucks. 18/3039. Nach allen Gesetzesentwürfen sollte im Wesentlichen die bisherige Rspr. des BAG in gesetzliche Regelungen überführt werden (vgl. hierzu auch Sasse NZA 2008, 990). Demnach sollte sich ein Arbeitnehmer, der konkrete Anhaltspunkte für das Vorliegen einer Pflichtverletzung im Betrieb hat, an eine zuständige Stelle zur innerbetrieblichen Klärung und Abhilfe wenden dürfen. Eine Anzeige bei einer außerbetrieblichen Stelle sollte grundsätzlich erst nach Nichtabhilfe des Arbeitgebers erfolgen, es sei denn ein vorheriges Abhilfeverlangen wäre dem Arbeitnehmer unzumutbar, z.B. bei Vorliegen einer Gesundheitsgefahr („Gammelfleischfälle“) oder Straftat.

[8]

Sec. 301 SOX; vgl. Berndt/Hoppler BB 2005, 2624.

[9]

Vgl. Wisskirchen/Körber/Bissels BB 2006, 1567; Berndt/Hoppler BB 2005, 2628.

[10]

Von Zimmermann WM 2007, 1060; Wisskirchen/Körber/Bissels BB 2006, 1567.

[11]

Hinsichtlich Arbeitnehmern: Großkommentar AktG/Hopt § 93 Rn. 199; Kölner Komm. AktG/Mertens § 93 Rn. 51; für die GmbH: Hachenburg/Mertens § 43 Rn. 26; Ebenroth/Lange GmbHR 1992, 69, 72; hinsichtlich Vorstandsmitgliedern: BGHZ 135, 252 – ARAG/Garmenbeck; Hüffer § 111 Rn. 7 ff.; Henze NJW 1998, 3311 f.; zur Zuständigkeit des Aufsichtsrats auch für ehemalige Vorstandsmitglieder s. BGHZ 157, 153 f.; 130, 111 ff.; BGH AG 1991, 269; NJW 1997, 2324; NJW 1999, 3263; NZG 2004, 327.

2. Kapitel Grundlagen für Compliance › A. Deutschland › III. Ausblick

III. Ausblick

70

Die vorstehenden Ausführungen haben gezeigt, dass Compliance im Grundsatz nichts Neues ist, dass die Pflicht zur Compliance sich bereits aus allgemeinen gesellschafts- und ordnungswidrigkeitenrechtlichen Grundsätzen ergibt und dass mittlerweile ein Kanon von Grundsätzen ordnungsgemäßer Compliance existiert, an denen sich jedes Unternehmen orientieren kann, das seine Compliance-Situation bewerten und ggf. verbessern möchte.

71

Der Trend zur Internationalisierung und zur internationalen Harmonisierung schreitet im Bereich Compliance unaufhaltsam voran. International tätige Unternehmen orientieren sich immer weniger an den Details einschlägiger nationaler Rechtsordnungen. Sie sind vielmehr darauf angewiesen, international möglichst einheitliche Standards durchzusetzen und zu praktizieren. Diese Standards müssen selbstverständlich alle anwendbaren lokalen Rechtsvorschriften i.S.v. Mindeststandards mitberücksichtigen und einhalten. Sie gehen aber oft weit über das hinaus, was nach nationalem Recht erforderlich wäre. Die Ausnutzung nationaler und lokaler Compliance-Spielräume muss daher oftmals zugunsten einer international einheitlichen Vorgehensweise des Unternehmens geopfert werden. Die sich dabei entwickelnden internationalen „Best Practice“-Standards wirken wiederum teilweise auf das nationale Recht als sich verfestigende Verkehrssitte zurück, die ihrerseits das Geschäftsleiter-Ermessen in Compliance-Organisationsfragen zunehmend einschränkt.

2. Kapitel Grundlagen für Compliance › B. Österreich

B. Österreich

2. Kapitel Grundlagen für Compliance › B. Österreich › I. Einführung

I. Einführung

72

„Compliance“ stammt von der englischen Wortfolge „to comply with“ ab und bedeutet in diesem Zusammenhang das Handeln in Übereinstimmung mit bestimmten Regeln. Der Begriff Compliance wird im österreichischen Wirtschaftsrecht in den letzten Jahren sehr häufig verwendet. Es gibt kaum ein Unternehmen oder eine Organisation, die sich noch nicht mit dem Thema Compliance auseinandergesetzt hat. Neben unzähliger Literatur werden auch vermehrt Seminare, Arbeitskreise und Fortbildungs- bzw. Ausbildungsveranstaltungen angeboten.

73

Hat man in Österreich noch vor einigen Jahren bei dem Begriff Compliance primär an die Emittenten-Compliance oder die Compliance im Wertpapierbereich gedacht, so hat in den letzten Jahren ein umfassendes Compliance-Verständnis Einzug in die Wirtschaftswelt gehalten. Insb. die immer strengeren Bestimmungen des Korruptionsstrafrechts – zuletzt geändert mit dem Korruptionsstrafrechtsänderungsgesetz 2012 – der letzten Jahre zeigen, dass das Risiko einer Gesetzesverletzung und der damit verbundenen weitreichenden Folgen nur mit entsprechenden organisatorischen Maßnahmen reduziert werden kann. Das gleiche gilt für die wettbewerbsrechtliche Compliance, die helfen soll, folgenschwere Verstöße zu vermeiden und bei deren internen oder externen Entdeckung, richtig zu reagieren.

74

Dennoch gibt es in Österreich für Compliance nach wie vor weder eine gesetzliche Begriffsbestimmung, noch eine allgemeine einheitliche Definition.[1] In der Literatur wird Compliance zumeist als umfassende Aufgabe definiert, die nicht nur das rechtmäßige Verhalten im Unternehmen, seiner Organe und Mitarbeiter umfasst, sondern darüber hinaus die Gesamtheit aller Maßnahmen in Unternehmen, um rechtmäßiges Verhalten der Organmitglieder, ihnen nahestehender Personen sowie der Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote zu gewährleisten.[2]

75

Die Einführung einer Compliance in Unternehmen erfolgt üblicherweise in verschiedenen Phasen, beginnend mit einer Analysephase, die von der Umsetzungs- und Konsolidierungsphase gefolgt wird. Durch eine den Bedürfnissen des Unternehmens angepasste Compliance-Organisation werden Verantwortlichkeiten und Zuständigkeiten („Compliance-Officer“) festgelegt. Die erforderlichen unternehmensinternen Regelungen, welche die gesetzlichen Bestimmungen ergänzen bzw. wiederholen, werden dann in Verhaltens- bzw. Compliance-Richtlinien und Kodices definiert.