Compliance. Markus Böttcher
Zusammenhang zwei Fragen nach: Was sind die maßgeblichen rechtlichen Grundlagen der Compliance? Davon handelt der erste Abschnitt. Und: Gibt es mittlerweile Grundsätze ordnungsgemäßer Compliance, also eine Art „Best Practice“ oder Verkehrssitte, wie in einem Unternehmen Compliance grundsätzlich gestaltet werden sollte?
Davon handelt der zweite Abschnitt.
Anmerkungen
Der Begriff Compliance fand vereinzelt auch Eingang in die geschriebene Rechtsordnung, vgl. §§ 33 Abs. 1, 33b WpHG; § 12 Abs. 4 Wertpapierdienstleistungs-Verhaltens- und Organisationsverordnung – (WpDVerOV); ferner wird Compliance ausdrücklich in Ziff. 3.4, 4.1.3, 5.2 und 5.3.2 DCGK erwähnt.
Nach einer aktuellen Studie von KPMG, für die 500 ausgewählte Unternehmen Deutschlands befragt wurden, sind mehr als 30 % der Unternehmen von Wirtschaftskriminalität betroffen (vgl. KPMG Tatort Deutschland - Wirtschaftskriminalität in Deutschland 2016, S. 9, 16).
Bergmoser/Theusinger/Gushurst BB-Special Compliance, 2008, 1, 2 bezeichnen die Verankerung des Compliance-Gedankens in der Organisation eines Unternehmens als „alles andere als trivial“.
2. Kapitel Grundlagen für Compliance › A. Deutschland › I. Rechtliche Grundlagen der Compliance
I. Rechtliche Grundlagen der Compliance
2
Fragt man nach den rechtlichen Grundlagen der Compliance, begriffen als organisierte Rechtschaffenheit im Geschäftsverkehr, so versteht es sich zunächst von selbst, dass jedermann an Recht und Gesetz gebunden ist. Hierfür braucht es keine weitere Rechtsgrundlage. Bei Licht betrachtet ist die Frage nach den rechtlichen Grundlagen der Compliance gleichbedeutend mit der Frage nach rechtlichen Maßstäben für die Organisation und die organisatorische Sicherstellung der Rechtstreue und Rechtschaffenheit eines Unternehmens, seiner Organmitglieder und Mitarbeiter. Fragt man also richtigerweise nach solchermaßen rechtsverbindlichen Organisationsvorschriften, fallen drei Kategorien ins Auge: die gesellschaftsrechtliche Geschäftsleiterverantwortung (dazu Rn. 3 ff.), strafrechtliche Organisationspflichten (dazu Rn. 20 ff.) sowie spezialgesetzliche Compliance-Vorschriften (dazu Rn. 28 ff.).
1. Die Geschäftsleiterverantwortung als wesentliche Rechtsgrundlage der Compliance (§ 93 AktG, § 43 GmbHG)
3
Betrachtet man den allgemeinen Kanon der aus der Geschäftsleiterverantwortung folgenden Geschäftsleiterpflichten, stellt man fest, dass die allgemeine Legalitätspflicht verbunden mit der Pflicht zu ordnungsgemäßer Organisation und Delegation in ihrer Zusammenschau eine wesentliche Rechtsgrundlage für die organisierte Rechtschaffenheit des Unternehmens im Geschäftsverkehr darstellen.
1.1 Die Legalitätspflicht des Geschäftsleiters
4
Zu den organschaftlichen Pflichten des Geschäftsleiters – sei es das Vorstandsmitglied einer Aktiengesellschaft oder der Geschäftsführer einer GmbH – gehört zuvorderst die Legalitätspflicht. Die Legalitätspflicht verlangt vom Geschäftsleiter in einem ersten Schritt, dass er sich selbst im Rahmen seiner dienstlichen Tätigkeit in jeder Hinsicht an die einschlägigen Gesetze hält. Das betrifft nicht nur etwa das deutsche Recht, sondern sämtliches, auch ausländisches Recht, das auf das Unternehmen und die Tätigkeit des Geschäftsleiters anwendbar ist. Bei der Einhaltung des anwendbaren Rechts kommt dem Geschäftsleiter keinerlei Ermessensspielraum zu. Schon gar nicht ist es ihm erlaubt, der Entscheidung über die Einhaltung des Rechtes eine Kosten-Nutzen-Analyse voranzustellen. Auch vordergründig „nützliche“ Pflichtverletzungen bleiben Pflichtverletzungen.[1]
5
Die Legalitätspflicht endet allerdings nicht mit dem eigenen Verhalten des Geschäftsleiters. Ihm obliegt vielmehr auch, dafür Sorge zu tragen, dass sich Mitarbeiter des Unternehmens, Tochterunternehmen und deren Organmitglieder und Mitarbeiter ebenfalls rechtmäßig verhalten.[2] Negativ gewendet bedeutet dies, dass den Geschäftsleiter – selbstverständlich – keine Garantiehaftung für das rechtmäßige Verhalten von Mitarbeitern, Tochterunternehmen und deren Mitarbeitern obliegt. Aber er muss „dafür Sorge tragen“. Damit sind die Grundsätze ordnungsgemäßer Organisation und Delegation von Aufgaben im Unternehmen angesprochen. Denn es ist eine Binsenweisheit, dass der Geschäftsleiter nicht in der Lage sein wird, durch persönliche Maßnahmen und persönliches Handeln für die Rechtmäßigkeit im Unternehmen, ja im gesamten Konzern „Sorge zu tragen“. Ihm bleibt gar nichts anderes übrig, als dies durch geeignete organisatorische Maßnahmen und die Delegation von Überwachungs- und Kontrollpflichten sicherzustellen.
6
Wenngleich dem Geschäftsleiter anerkanntermaßen bei solchen Organisationsmaßnahmen ein weiter Ermessensspielraum zukommt,[3] gibt es gleichwohl einige Grundsätze ordnungsgemäßer Organisation und Delegation, die ermessensleitenden und ermessensbeschränkenden Charakter haben. So versteht es sich von selbst, dass diejenigen Aufgaben, welche dem Geschäftsleitungsorgan in seiner Gesamtheit obliegen, nicht auf nachgeordnete Stellen im Unternehmen delegiert werden können.[4] Die Sicherstellung rechtschaffenen Verhaltens im Geschäftsverkehr ist allerdings keine Maßnahme, die einem solchen vollständigen Delegationsverbot unterliegen würde. Immerhin ist umgekehrt eine vollständige Delegation von Compliance-Aufgaben ebenso unzulässig. Ein Kernbereich von Compliance-Verantwortung muss bei der Geschäftsleitung verbleiben; wäre dem nicht so, würde nicht die Geschäftsleitung, sondern eben jemand anderes „dafür Sorge tragen“, dass sich Mitarbeiter, Tochterunternehmen und deren Mitarbeiter rechtmäßig verhalten. Welche Folgerungen sich daraus für die Compliance-Organisation ergeben, werden wir sogleich sehen. Zur ordnungsgemäßen Organisation und Delegation von Pflichten gehört ferner eine präzise und nachvollziehbare Aufgabendefinition und -abgrenzung. Kompetenzkonflikte sind sowohl in positiver (Mehrfachzuständigkeit) als auch in negativer Hinsicht (fehlende Zuständigkeit) zu vermeiden. Mitarbeiter, denen Aufgaben übertragen werden, müssen sorgfältig ausgewählt, adäquat mit Ressourcen ausgestattet und in ihre Aufgaben hinreichend eingewiesen werden.[5] In der Regel ist neben der erstmaligen Einweisung auch eine regelmäßige Fortbildung erforderlich. Notwendiges Korrelat der Delegationsmöglichkeit ist die Pflicht zur angemessenen Überwachung und Kontrolle. Kontrollen sind selbstredend anlassbezogen durchzuführen. Bei besonders gefahrgeneigter Tätigkeit können auch stichprobenartige, abstrakte und unangekündigte Kontrollen angezeigt sein.[6] Werden Verstöße oder Missstände festgestellt, muss der Geschäftsleiter einschreiten, die Verstöße abstellen, die Verantwortlichen zur Rechenschaft ziehen (disziplinarische Maßnahmen, ggf. zivilrechtliche Schadensersatzansprüche, bis hin zur Strafanzeige) und sein Organisationsmodell so fortentwickeln, dass in Zukunft ähnliche Verstöße möglichst unmöglich gemacht werden.[7]
1.2 Folgerungen für die Compliance-Organisation
7
Die organschaftliche Legalitätspflicht ist mithin die Quelle gesellschaftsrechtlich fundierter Compliance-Organisationspflichten. Daraus folgt unmittelbar, dass sich nur Organisationspflichten im Hinblick auf rechtmäßiges Verhalten,