Kapitalmarkt Compliance. Karl Richter
des Deutschen Corporate Governance Kodex
18
Dem Thema Compliance kam in den ersten Fassungen des DCGK keine besondere Bedeutung zu. Erst mit der Neufassung des DCGK vom 14.6.2007 wurde der Begriff „Compliance“ ausdrücklich im DCGK erwähnt. Seither enthält Ziff. 4.1.3 des DCGK folgende Definition: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance)“. Aus der Aufnahme des Begriffs Compliance in den DCGK ergibt sich, dass das Thema Compliance auch zur Corporate Governance gehört und damit zum international und national anerkannten Standard einer guten und verantwortungsvollen Unternehmensführung zählt.[19] Obwohl jedoch damit das Thema Compliance offiziell Eingang in den DCGK erhalten hat, enthält der DCGK sowohl für den Vorstand als auch für den Aufsichtsrat nur wenige konkrete Empfehlungen in Bezug auf Compliance. Gleichwohl ergeben sich aus dem DCGK diverse organisatorische Vorgaben für die Unternehmensführung durch Vorstand und Aufsichtsrat.
I. Vorstand
19
In Ziff. 4.1.3 enthält der DCGK eine Legaldefinition des Wortes Compliance. Hiernach hat der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin. Nach Ziff. 3.8 DCGK muss der Vorstand außerdem die Regeln ordnungsgemäßer Unternehmensführung beachten. Eine weitergehende Konkretisierung dieser Vorschriften enthält der DCGK hingegen nicht. Durch welche Maßnahmen die Einhaltung der gesetzlichen Bestimmungen gewährleistet werden soll, bleibt offen. Die oben genannten Vorschriften des DCGK enthalten jedoch den Kerngedanken des § 93 AktG. Hierin wird die Sorgfaltspflicht und Verantwortlichkeit von Vorstandsmitgliedern geregelt. Aus dieser allgemeinen Sorgfaltspflicht lassen sich die organisatorische Pflichten des Vorstands in Bezug auf die Unternehmenscompliance als Konkretisierung der Leitungsverantwortung des § 76 Abs. 1 AktG ableiten.
1. Einrichtung einer Compliance-Organisation
20
Dem Vorstand obliegt die Verantwortung für die Organisation des Unternehmens. Er ist verpflichtet, eine klare und funktionale Aufteilung zwischen den verschiedenen Aufgabenbereichen des Unternehmens vorzunehmen.[20] Hierbei kann er Aufgaben im Wege der horizontalen Delegation auf verschiedene Vorstandsmitglieder verteilen oder Aufgaben auf nachgelagerte Ebenen im Unternehmen auslagern (vertikale Delegation).
21
Weiterhin ist der Vorstand verpflichtet, für die Einhaltung von Recht und Gesetz zu sorgen. Das sog. Legalitätsprinzip verpflichtet den Vorstand, die Beachtung der gesetzlichen Regelungen sowie auch der unternehmensinternen Vorschriften sicherzustellen.[21] Das bedeutet, dass nicht nur der Vorstand selbst sich im Rahmen seiner dienstlichen Tätigkeit in jeder Hinsicht an die einschlägigen Gesetze halten muss, sondern er darüber hinaus grundsätzlich auch dafür Sorge tragen muss, dass sich die Mitarbeiter der Gesellschaft gesetzestreu verhalten.
Bei Konzernen erstreckt sich die Legalitätspflicht auch auf das Handeln der Organmitglieder und Mitarbeiter der Konzernunternehmen. Der zweite HS von Ziff. 4.1.3 stellt insofern allerdings klar, dass der Vorstand bezüglich der Konzernunternehmen nur verpflichtet ist darauf hinzuwirken, dass die gesetzlichen Bestimmungen beachtet werden. Er hat also nicht für den Erfolg seiner Bemühungen einzustehen.[22] Nach hM gibt es keine Konzernleitungspflicht.[23]
22
Der DCGK verzichtet bewusst darauf, bestimmte Gebote oder Verbote aufzulisten, die aus Compliance-Gesichtspunkten typischerweise eine besondere Bedeutung haben, wie bspw. das Bestechungsverbot oder das Kartellverbot.[24] Damit wird verhindert, dass aus der Erwähnung bzw. Nichterwähnung Rückschlüsse auf die Bedeutung von bestimmten gesetzlichen Ge- und Verboten gezogen werden.
23
Soweit der Vorstand von der Delegation von Aufgaben Gebrauch macht, obliegt ihm eine Kontroll- und Überwachungspflicht. Diese Pflicht bezieht sich sowohl auf die Vorgänge im Vorstand als auch auf die nachgelagerten Ebenen. Zu diesem Zweck hat er ein effizientes Überwachungssystem einzurichten.[25]
24
Es besteht Einigkeit darüber, dass eine Compliance-Verpflichtung des Vorstandes existiert. Die Rechtsgrundlage ist jedoch unklar, da das Aktiengesetz die Compliance-Pflicht nicht explizit aufführt.[26] Auch der DCGK spricht diesbezüglich keine Empfehlung aus.[27] Die neueste Fassung der Ziff. 4.1.3[28] sieht vor, dass der Vorstand für ein angemessenes, an der Risikolage des Unternehmens ausgerichtetes Compliance-Management-System sorgt. Die Formulierung als „Muss-Vorschrift“ ist jedoch problematisch, da diese Pflicht nicht ausdrücklich gesetzlich geregelt ist. Vielmehr ist in der juristischen Literatur umstritten, wie weit die Legalitäts- und die Legalitätskontrollpflicht des Vorstands reicht.[29] Überwiegend wird vertreten, dem Vorstand auch weiterhin einen Ermessenspielraum einzuräumen.[30] Auch die Soll-Vorschrift zur Einführung eines Hinweisgebersystems („whistle blower hotline“) für Beschäftigte und Dritte wird kritisiert; vorrangig mit dem Hinweis auf eine gesteigerte Missbrauchsgefahr durch Einbeziehung unternehmensexterner.[31] In der Praxis haben die meisten Emittenten inzwischen ausgefeilte Compliance-Systeme installiert, welche die gängigen Basiselemente einer funktionstüchtigen Compliance-Organisation beinhalten.[32] Ein effektives und effizientes Compliance-Programm sollte individuell auf die konkrete Situation des jeweiligen Unternehmens und die dort bereits bestehenden komplementären System wie insbesondere das Risikomanagement-System abgestimmt sein.
2. Erlass und Überwachung von Compliance-Richtlinien
25
In Ziff. 4.1.3 erwähnt der DCGK die Möglichkeit, unternehmensinterne Richtlinien aufzustellen. In der Praxis begegnet man immer öfter auch solchen unternehmensinternen Richtlinien, die das Thema Compliance betreffen. Die Vorschriften dieser Richtlinie können durch die Geschäftsordnung des Unternehmens, aber auch durch die Anstellungsverträge der Mitarbeiter für diese verbindlich gemacht werden.[33] Gleichwohl besteht keine Verpflichtung des Vorstands zum Erlass solcher unternehmensinterner Compliance-Richtlinien.[34]
26
Sofern Compliance-Richtlinien erlassen werden stellt sich die Frage, ob der Vorstand verpflichtet ist, die Einhaltung dieser Richtlinien zu überwachen. Ziff. 4.1.3 stellt aufgrund der Verwendung des Wortes „hat“ eine Gesetzeswidergabe dar. Hinsichtlich der in Ziff. 4.1.3 geregelten Pflicht des Vorstandes zur Überwachung der Einhaltung der gesetzlichen Bestimmungen ist dies auch unproblematisch, da sich eine solche Legalitätspflicht bereits aus den zwingenden aktienrechtlichen Vorschriften ergibt (vgl. Rn. 20 ff.). Der Vorstand ist jedoch nicht in gleicher Weise gehalten interne Richtlinien durchzusetzen.[35] Die für die Praxis zentrale Frage lautet wohl vielmehr, ob der Vorstand die internen Richtlinien umsetzen kann, d.h. in welchem Umfang die Arbeitnehmer an den Inhalt derartiger Ethik-Kodizes gebunden sind. Hierbei handelt es sich vorrangig um ein arbeitsrechtliches Problem.[36]
3. Information des Aufsichtsrates
27
Eine weitere organisatorische Pflicht des Vorstands im Zusammenhang mit der Compliance ergibt sich aus Ziff. 3.4 Abs. 2 DCGK. Danach hat der Vorstand den Aufsichtsrat regelmäßig, zeitnah und umfassend über die Compliance zu informieren. Der Vorstand hat insofern darüber zu berichten, ob und wie die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien sichergestellt ist.[37]
II. Aufsichtsrat
28