Erfolgreich mit Compliance. Barbara Neiger
Terrorismus (2000)[8] und von Korruption (2005)[9] weitere Vorschriften für die straf- oder verwaltungsrechtliche Verantwortung von juristischen Personen.
1.2.1 Verantwortung von Organisationen im internationalen Rahmen[10]
Die meisten europäischen Staaten und zahleiche Staaten außerhalb der EU haben die Verantwortlichkeit für juristische Personen in ihren Rechtsystemen umgesetzt. In Kontinentaleuropa werden rein strafrechtliche, rein verwaltungsrechtliche oder gemischte Modelle unterschieden. Angelsächsische Staaten wie UK, Irland oder Zypern kennen kein Verwaltungsstrafrecht. Der Staat und seine Gebietskörperschaften sind in einigen Ländern von der Verantwortlichkeit zur Gänze ausgenommen (z.B. Frankreich, Italien, Schweiz, Ungarn, Polen). In manchen Ländern (Frankreich, Niederlande, Kroatien, UK) gibt es eine derartige Beschränkung nur für hoheitliche Tätigkeiten. Die Verantwortung von Unternehmen, die im öffentlichen Eigentum stehen, ist grundsätzlich nicht beschränkt. In den meisten Ländern umfasst die Verantwortlichkeit von juristischen Personen alle Delikte, in manchen Ländern nur wenige, auf internationale Vereinbarungen beschränkte Delikte (z.B. in Spanien, Italien, Malta, Brasilien, Canada, China und Indien). In einigen Ländern ist für die Zurechenbarkeit der Verantwortlichkeit erforderlich, dass die Tat zu Gunsten, im Auftrag, im Namen oder im Interesse der juristischen Person erfolgte (z.B. Deutschland, Frankreich, Italien, Polen, Slowenien). In manchen Staaten ist für die Begründung der Unternehmenshaftung ein bloßer Zusammenhang mit der Geschäftstätigkeit der juristischen Person ausreichend (z.B. Schweiz, UK). In den meisten Staaten werden Delikte von einem untergeordneten Mitarbeiter nur im Zusammenhang mit mangelnder Kontrolle oder Überwachung durch eine Person in Führungsposition der Verantwortung der juristischen Person zugerechnet (z.B. Deutschland, Frankreich, Niederlande, Italien, Polen, Ungarn). In einigen Ländern reicht die Tat einer beliebigen, für die juristische Person tätigen, Person zur Auslösung der Verantwortlichkeit aus (Belgien, Schweiz, Rumänien). In fast allen Rechtsordnungen ist vorgesehen, dass die Bestrafung der juristischen Person neben der Bestrafung der natürlichen Person erfolgen kann. In Belgien sind, soweit eine natürliche Person nicht wissentlich oder nicht willentlich gehandelt hat, nicht beide zu bestrafen, sondern jene (natürliche oder juristische) Person, der größere Schuld anzulasten ist.
1.2.2 Verantwortung von Organisationen im nationalen Rahmen
Die strafrechtliche Verantwortlichkeit für juristische Personen wird in Österreich in dem am 1. Januar 2006 in Kraft getretenen Verbandsverantwortlichkeitsgesetz (VbVG)[11] begründet und findet für alle absichtlichen und unabsichtlichen Straftaten Anwendung, die strafrechtlich verfolgt werden können. Ausgenommen von der Strafbarkeit sind nur anerkannte Religionsgesellschaften in Ausübung von seelsorgerischen Tätigkeiten[12] und staatliche Einrichtungen.[13] Die Straftat muss von einem „Entscheider“ begangen worden sein oder durch einen Mitarbeiter, entweder zugunsten der juristischen Person oder in Verletzung einer für die juristische Person geltenden Pflicht. Für Straftaten begangen von Mitarbeitern ist die juristische Person grundsätzlich nur verantwortlich, wenn der Mitarbeiter vorsätzlich oder grob fahrlässig gehandelt hat und wenn ein Entscheidungsträger unter Außerachtlassen der gebotenen und zumutbaren Sorgfalt die Begehung der Tat dadurch ermöglicht oder wesentlich erleichtert hat, indem wesentliche technische, organisatorische oder personelle Maßnahmen zur Verhinderung solcher Taten unterlassen wurden. Die Strafverfolgung der natürlichen Person, die die Straftat begangen hat, ist nicht Voraussetzung für die Haftung der juristischen Person. Geldstrafen sind mit einer Höchststrafe von insg. 1,8 Mio. EUR begrenzt und bemessen sich nach Tagsätzen, deren Höhe von der Ertragslage der juristischen Person abhängt. Zusätzlich kann als Sanktion eine Schadensgutmachung angeordnet werden.
In der Schweiz ist die strafrechtliche Verantwortlichkeit von juristischen Personen in Artikel 102 des Schweizerischen Strafgesetzbuches (StGB) geregelt. Eine generelle Strafbarkeit ist gegeben, wenn die Straftat in Ausübung kommerzieller Aktivitäten begangen wird und die Straftat aufgrund der unzureichenden Organisation des Unternehmens nicht einer bestimmten Person zugeordnet werden kann. Die primäre Haftung gilt für eine begrenzte Anzahl schwerwiegender Straftaten, einschließlich Geldwäscherei, Bestechung von Schweizer und ausländischen Beamten und Finanzierung von Terrorismus, zu deren Verhinderung das Unternehmen keine angemessenen organisatorischen Maßnahmen ergriffen hat, unabhängig davon, ob diese Straftat einer bestimmten Person zugeordnet werden kann oder nicht.[14]
In Deutschland gilt das Strafgesetzbuch nur für Individuen – nicht für Unternehmen. Diese können nach dem Gesetz über Ordnungswidrigkeiten (OWiG)[15] zivilrechtlich haftbar gemacht werden. Geldstrafen sind mit 10 Mio. EUR begrenzt. Die Beschlagnahme aller durch z.B. Bestechung erlangten wirtschaftlichen Vorteile unterliegt keiner Betragsbeschränkung.[16] Mit Juni 2020 hat das Deutsche Bundesministerium für Justiz und Verbraucherschutz einen Gesetzesentwurf mit dem Titel Gesetz zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG) zur Begutachtung veröffentlicht.[17] Der Gesetzesentwurf sieht die strafrechtliche Verantwortlichkeit von Unternehmen vor und verpflichtet Strafverfolgungsbehörden, Unternehmen entsprechend zu untersuchen und strafrechtlich zu verfolgen.
1.2.3 Verantwortung für Compliance in Österreich
In Österreich gibt es – ähnlich wie in Deutschland und in der Schweiz – kein für alle Organisationen verpflichtendes Regelwerk, das die Einführung eines Compliance-Management-Systems regelt bzw. dessen Einführung fordert. In Österreich sind nur Organisationen, die dem Wertpapieraufsichtsgesetz unterliegen, gem. § 18 WAG zur Einführung einer Compliance-Organisation verpflichtet.[18] Im österreichischen Corporate Governance Kodex (dessen Geltung auf freiwilliger Basis beruht) wird festgehalten, dass der Vorstand einer börsennotierten Aktiengesellschaft geeignete Maßnahmen zur Sicherstellung der Einhaltung der für das Unternehmen relevanten Gesetze zu treffen hat. Der Prüfungsausschuss des Aufsichtsrates hat die Wirksamkeit des internen Kontrollsystems und des Risikomanagement-Systems zu überwachen. [19]
Durch die in § 76 Abs. 1 AktG[20] und § 25 Abs. 1 GmbHG[21] geforderte Sorgfaltspflicht eines ordentlichen und gewissenhaften Geschäftsführers wird eine implizite Aufsichts- und Kontrollpflicht zur Einhaltung von Gesetzen begründet. Nach § 82 AktG und § 22 (1) GmbHG haben der Vorstand bzw. die Geschäftsführung dafür zu sorgen, dass neben einem adäquaten Rechnungswesen ein den Erfordernissen der Gesellschaft entsprechendes internes Kontrollsystem eingeführt wird. Ähnliche Verpflichtungen ergeben sich aus dem Genossenschaftsgesetz (§ 22(1) GenG).[22]
1.3 Compliance als Werkzeug des strategischen Managements
Unter einem Management-System werden miteinander in Wechselwirkung stehende Elemente (Strukturen als statisches und Abläufe als dynamisches Element) verstanden, die dazu dienen, dass eine Organisation die ihr gesetzten Ziele erreicht. Da unter Strategie jener Plan verstanden wird, mit dem die Ziele einer Organisation umgesetzt werden, sind Management-Systeme Teil des strategischen Managements.[23] Dieses Kapitel gibt einen Einblick über die Entwicklung von Management-Systemen und von Compliance-Management-Systemen und ermöglicht die Einordnung des CMS nach ISO 37301 in diesem Kontext.
1.3.1 Begriffsbestimmung Management-Systeme
Entscheidend für den heute geläufigen und auch der ISO 37301 zugrundeliegenden Ansatz des systemorientierten Managements sind Entwicklungen von Lehre und Praxis in den USA und in Deutschland, die sich durch unterschiedliche Zugänge zu diesem Thema voneinander abgrenzen.
Die Geschichte der Betriebswirtschaftslehre in Deutschland geht auf die Gründung von Handelshochschulen Ende des 19. Jhdt. in Deutschland, Österreich und der Schweiz zurück. Neben der Vermittlung von Sprachkenntnissen und technologischem Wissen gewann schon bald die Systematisierung des vorhandenen Wissens an Bedeutung. Zum Zwecke der Abgrenzung zur Volkswirtschaftslehre wurde und wird bis heute intensiv die Bestimmung