Sanktionsbewehrte Aufsichtspflichten im internationalen Konzern. Andreas Minkoff
auch deutsche Finanzinstitute mit der Implementierung von Compliance-Organisationen begannen, um die Einhaltung der für Wertpapierdienstleistungen geltenden Regelungen sicherzustellen.[6] Nach der Jahrtausendwende erlangte Compliance dann auch für Unternehmen abseits des Finanzsektors zunehmende Bedeutung. Wesentlicher Entwicklungstreiber waren dabei vor allem für Unternehmen mit Bezug zu den USA Neuregelungen des dort geltenden Kapitalmarktrechts, die in Folge aufsehenerregender Unternehmenszusammenbrüche verabschiedet wurden.[7] Spätestens mit der vielbeachteten Aufdeckung der Korruptionsaffäre um den Siemens-Konzern im Herbst 2006 und deren Folgen rückte Compliance dann auch in Deutschland auf breiter Front und unabhängig von einzelnen, speziell regulierten Branchen in den Fokus von Wissenschaft und Praxis.[8] Gleichwohl die Frage nach der Rechtspflicht zur Implementierung entsprechender Systeme nicht abschließend geklärt ist,[9] kann sich nach heute wohl allgemeiner Ansicht kein Unternehmen mehr leisten, den Themenbereich Compliance auszublenden.[10] Getrieben durch umfassende öffentliche Diskussionen und eine stetig sich intensivierende Verfolgungspraxis versuchen Unternehmen, Haftungsrisiken durch die Implementierung entsprechender Präventionsstrukturen zu minimieren.[11]
93
Eine klare Eingrenzung des mit dem Begriff Compliance umfassten Pflichtenkatalogs oder gar dessen dogmatische Verankerung ist trotz einer unübersehbaren Flut an Veröffentlichungen[12] dabei bis heute nicht gelungen, die Schaffung einer neuen und eigenständigen „Schublade“ mitunter aber auch gar nicht erforderlich. Derartige Ansätze versuchen, das Phänomen Compliance als neues Rechtsgebiet mit klar umrissener Kontur zu etablieren. Vielmehr aber muss Compliance – und dies deckt sich mit der Umsetzung in Praxis und Wissenschaft gleichermaßen – als Summe der Präventionsmaßnahmen verstanden werden, die Gesetzeskonformität mit Regelungen aus zahlreichen und bisweilen sehr unterschiedlichen Bereichen gewährleisten sollen.[13] Damit wird auch der Weg zur Ermittlung der Rechtsgrundlage von Compliance vorgezeichnet. Denn wenn es dabei um die Aufgabe geht, Gesetzeskonformität als solches herzustellen, dann ist auch „das Gesetz“ – in diesem Sinne verstanden als Summe aller Normen des kodifizierten Rechts – als Rechtsgrundlage der Compliance anzusehen.[14] Dennoch ist Compliance weitaus mehr, als das – unspektakuläre, weil selbstverständliche[15] – Gebot, nicht gegen die Rechtsordnung zu verstoßen.[16] Vielmehr gibt Corporate Compliance der Unternehmensleitung auf, durch aktive Maßnahmen eine Struktur zu etablieren, die Übertretungen verhindert oder jedenfalls erschwert.[17] Die eine Rechtsgrundlage für das Gesamtphänomen Compliance kann es aufgrund der aufzeigten Konturlosigkeit damit nicht geben. Vielmehr finden sich in verschiedenen Rechtsbereichen Regelungen, die Aufsichts- und Kontrollmaßnahmen zur Vermeidung von Rechtsverstößen – je nach Norm mehr oder minder konkret – verlangen und damit den Zweck von Compliance in kleinen oder großen Teilen decken. Diese Normen rücken richtigerweise in den Vordergrund, wenn um das dogmatische Fundament von Compliance diskutiert wird.[18] Sie finden sich in spezialgesetzlichen Regelungen gleichermaßen wie in allgemein gültigen Normen.[19]
94
Gleichwohl diese Regelungen als rechtliche Grundlage der Compliance teils seit vielen Jahren und Jahrzehnten bestehen, greift es zu kurz, Compliance als alten Wein in neuen Schläuchen zu bezeichnen.[20] Die Entwicklung der Rechtswirklichkeit und dabei vor allem der Verfolgungspraxis der – auch ausländischen – Behörden haben den genannten Normen eine neue Bedeutung verliehen und Unternehmen damit vor die Aufgabe gestellt, den vielseitigen und unterschiedlich begründeten Anforderungen erstmals durch ein gesamtkoordiniertes und systematisches Vorgehen unter Anpassung der Unternehmensprozesse zu entsprechen.[21] Compliance resultiert damit aus der Bündelung von normierten Anforderungen, denen jeweils für sich betrachtet in der Vergangenheit weitaus geringere Bedeutung zukam oder jedenfalls zugemessen wurde. Und die hieraus entstehenden und unter dem Begriff der Compliance zusammengefassten Pflichten stellen in ihrer ganzheitlichen Betrachtung in der Tat eine – nunmehr nicht mehr ganz – neue Herausforderung für Unternehmen dar, womit die gesonderte Aufarbeitung der Problematik Compliance und der sich dabei stetig neu entwickelten Problemfelder auch in dem bekannten Umfang durchaus angezeigt ist.[22] Die im weiten Sinne wirtschaftsstrafrechtlichen Komponenten haben zu der rasanten Entwicklung sicherlich entscheidend beigetragen, wenn erst durch finanziell drastische Sanktionierung auch auf gesellschaftsrechtlicher Ebene Fragen zu möglichen Kompensationen aufkamen. In diesem Zusammenhang kommt der Regelung des § 130 OWiG große Bedeutung zu. Sie stellt den Anknüpfungspunkt zur ordnungsrechtlichen Ahndung mangelnder Aufsicht im Unternehmen dar und wird daher auch als „zentrale strafrechtliche Compliance-Norm“ bezeichnet.[23] Doch auch im Gesellschaftsrecht finden sich Anknüpfungspunkte für den Bereich der Compliance. Insofern gewinnen die an dieser Stelle der Untersuchung im Fokus stehenden Überwachungs- und Kontrollpflichten an Bedeutung, die nicht nur im Einzelunternehmen, sondern auch im Konzernverbund zu berücksichtigen sind.
1. Gesellschaftsrechtliche Überwachungspflichten im Einzelunternehmen
95
Für die Begründung gesellschaftsrechtlicher Überwachungspflichten herangezogen wird auf Ebene des Einzelunternehmens etwa die allgemeine Leitungsmacht des Vorstandes gem. § 76 AktG, aus der zugleich eine Leitungspflicht entwächst.[24] Es steht dem Vorstand eines Einzelunternehmens damit nicht frei, seine Leitungsaufgaben wahrzunehmen. Hierzu ist er vielmehr verpflichtet.[25] Zu der Unternehmensleitung gehört dabei auch die Kontrolle und Überwachung.[26] Daraus wird bereits an dieser Stelle die Pflicht des Vorstandes aus § 76 Abs. 1 AktG abgeleitet, durch Wahrnehmung von – mehr oder weniger ausgeprägten – Compliance-Maßnahmen Übertretungen im eigenen Unternehmen zu verhindern oder jedenfalls zu erschweren.[27]
96
Eine besondere Konkretisierung dieser Pflichten findet sich in § 91 Abs. 2 AktG. Danach hat der Vorstand ein Überwachungssystem einzurichten, das es ermöglicht, den Fortbestand der Gesellschaft gefährdende Entwicklungen früh zu erkennen. Da die Regelung sich ihrem Wortlaut nach auf die Vermeidung existenzgefährdender Entwicklungen beschränkt, ist die Norm für sich allein allerdings nur unzureichende Rechtsgrundlage umfassender Compliance-Systeme zur Vermeidung sämtlicher – und damit auch nicht existenzgefährdender – Pflichtverstöße.[28]
97
Compliance-Pflichten ergeben sich überdies aus der Legalitätspflicht jedes Vorstandsmitglieds.[29] Danach haben die Geschäftsführungsorgane sich bei der Ausübung ihrer Tätigkeit stets gesetzestreu zu verhalten.[30] Dies gilt auch dann, wenn gesetzeswidriges Verhalten im konkreten Einzelfall scheinbar förderlich für die Gesellschaft wäre.[31] Das unternehmerische Ermessen kann damit nur innerhalb der geltenden Rechtsordnung Entfaltung finden.[32] Die Pflicht zur Rechtstreue beschränkt sich dabei nicht auf das eigene Verhalten des Vorstandes, vielmehr hat die Geschäftsleitung jedes rechtswidrige Verhalten innerhalb eines Unternehmens zu unterbinden.[33] Hierfür hat sie etwa für die ordnungsgemäße Auswahl, Einweisung und Information der nachgeordneten Mitarbeiter und zudem für die Einführung einer Überwachungsstruktur zu sorgen.[34] Die Legalitätspflicht gilt als Bestandteil der allgemeinen Sorgfaltspflichten aus § 93 Abs. 1 S. 1 AktG, wonach der Vorstand im Rahmen der Geschäftsführung die Sorgfalt eines ordentlichen und gewissenshaften Geschäftsleiters walten zu lassen hat.[35] Resultiert aus mangelhafter Aufsicht ein Vermögensschaden der Gesellschaft, droht dem Vorstandsmitglied eine Inanspruchnahme gem. § 93 Abs. 2 AktG.[36] Nach der vielbeachteten ARAG/Garmenbeck-Entscheidung des BGH ist der Aufsichtsrat dabei grundsätzlich auch verpflichtet, entsprechende Ansprüche zu prüfen und gegen den Vorstand gem. § 112 AktG durchzusetzen.[37] Bei Gesellschaften mit beschränkter Haftung ergibt sich eine entsprechende Ersatzpflicht des Geschäftsführers aus § 43 Abs. 2 GmbHG. Für die Geltendmachung ist hier gem. § 46 Nr. 8 GmbHG die Gesellschafterversammlung zuständig.[38]
98
Als weitere Grundlage für die Etablierung einer unternehmensweiten Präventionsorganisation wird schließlich die Schadensabwendungspflicht herangezogen, wobei diese nicht isoliert von der Pflicht zur sorgfältigen Geschäftsleitung aus §§ 76 Abs. 1, 93 Abs. 1 AktG gesehen werden kann, sondern dieser vielmehr entspringt.[39] Es ist danach Aufgabe des Vorstandes einer Aktiengesellschaft, jedwede Schäden von der Gesellschaft abzuwenden.[40]