Compliance. Markus Böttcher
der internationalen Unternehmenspraxis, insbesondere beeinflusst durch amerikanische Vorbilder, der Brauch um sich greift, das Verhalten von Mitarbeitern durch umfassende „Codes of Ethics“ zu reglementieren.[8] Dass es dabei zu Missbräuchen und Auswüchsen kommen kann, die letztlich sogar mit verfassungsrechtlichen Garantien, insbesondere mit dem Persönlichkeitsrecht von Mitarbeitern kollidieren können, ist mittlerweile aus der Praxis hinlänglich bekannt. Einschlägiges Negativbeispiel ist der Kodex des U.S.-amerikanischen Einzelhandelskonzerns Walmart, der Liebesbeziehungen zwischen Mitarbeitern verbieten wollte.[9] In dieselbe Kategorie fällt der vor einiger Zeit bekannt gewordene Fall des Logistikunternehmens UPS, das männlichen Mitarbeitern das Tragen von Vollbärten untersagte.[10] In diesem Zusammenhang ist auf eines ganz klar hinzuweisen: (Pseudo-)ethische Vorschriften dieser Art müssen von Rechts wegen nicht sein; entscheidet sich ein Unternehmen gleichwohl dafür, erfolgt dies auf freiwilliger Basis.
8
Eine zweite Folgerung ergibt sich aus dem weiten Organisationsermessen, das dem Geschäftsleiter grundsätzlich zusteht. Nicht jeder Compliance-Verstoß, der in Unternehmen geschieht, ist zugleich ein Indiz oder gar ein Beweis für das Fehlen einer hinreichenden Compliance-Organisation.[11] Im Gegenteil: Ein Pflichtenverstoß im Hinblick auf die organisierte Rechtschaffenheit des Unternehmens kann nur dann vorliegen, wenn eine Compliance-Organisation vollständig fehlt oder die vorhandene Organisation evident unangemessen ist. Das kann etwa dann der Fall sein, wenn Compliance vollständig auf nachgeordnete Ebenen delegiert wird und keinerlei Restverantwortung für Compliance innerhalb der Geschäftsleitung verbleibt. Es ist also zumindest erforderlich, dass eine direkte, möglichst kurze Berichtslinie von dem Compliance-Verantwortlichen (Chief Compliance Officer) zu einem Mitglied der Geschäftsleitung existiert. Ein organschaftlicher Pflichtenverstoß ist ferner denkbar, wenn die Compliance-Organisation die wesentlichen Compliance-Risiken des Unternehmens nicht abdeckt. Tätigt das Unternehmen bspw. erhebliche Umsätze mit staatseigenen Unternehmen in Ländern, die für Korruption bekannt sind, werden organisatorische Maßnahmen zur Vermeidung von Korruptionsdelikten zur Pflicht.[12] Fertigt ein Unternehmen Produkte, die beim Auftreten von Produktfehlern Gefahren für Leib und Leben der Kunden bergen können, sind – unabhängig von spezialgesetzlichen Pflichten – organisatorische Maßnahmen zur Sicherstellung der Produktsicherheit unabdingbar.
9
Schließlich kann ein organschaftlicher Pflichtenverstoß vorliegen, wenn die Ausstattung der Compliance-Organisation evident ungenügend ist. Ein einzelner Compliance-Beauftragter kann bspw. nicht für die Rechtschaffenheit eines weit verzweigten, international tätigen Konzerns sorgen.
10
Liegt ein organschaftlicher Pflichtenverstoß vor, kann dies für den pflichtwidrig handelnden Geschäftsleiter zum Widerruf seiner Organbestellung, zur Kündigung seines Dienstvertrages und zur Haftung auf Schadensersatz führen.[13]
1.3 Enthaftung durch Zertifizierung?
11
Die Diskussion um das Thema Compliance hat eine Vielzahl unterschiedlicher Compliance-Standards hervorgebracht, die als Grundlage für die Entwicklung unternehmensspezifischer Compliance-Programme und damit der Erfüllung der entsprechenden Geschäftsleiterpflichten dienen.[14] Neben der Einrichtung eines Compliance-Programms zählt dessen laufende Überprüfung auf Geeignetheit und Effektivität zu den wesentlichen Pflichten der Geschäftsleitung. Mit dem Prüfungsstandard PS 980 „Prüfung von Compliance-Management-Systemen“ vom 11.3.2011 stellt das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) einen Rahmen zur Verfügung, der den Inhalt freiwilliger Prüfungen von Compliance-Programmen und die diesbezügliche Berufsauffassung der Wirtschaftsprüfer darlegt. Ob mit einer derartigen Prüfung und einer Bescheinigung der Effektivität des Compliance-Programms jedoch auch eine Enthaftung der Geschäftsleitung einhergeht, ist unter zwei Gesichtspunkten sehr zweifelhaft.[15]
12
Erstens verkennt die Fokussierung auf eine betriebswirtschaftliche Prüfung, dass die Erfüllung der gesellschafts- und strafrechtlichen Organisationspflichten eine Rechtsfrage darstellt, die mit entsprechender juristischer Expertise und unter Nutzung praktischen juristischen Erfahrungswissens zu prüfen ist. Soll eine Wirksamkeitsprüfung tatsächlich einem „objektivierten Nachweis der ermessensfehlerfreien Ausübung [der] Leitungspflicht dienen“,[16] so ist die Prüfung in erster Linie von juristischen Beratern durchzuführen, die über einschlägige Erfahrungen und Spezialwissen bei der Einordnung bestimmter Verhaltensweisen etwa in Fragen des Antikorruptionsrechts oder des Wettbewerbsrechts verfügen.
13
Zweitens geht das vorgesehene Prüfungsprogramm mit seiner Fokussierung auf die Beschreibung des Compliance-Programms[17] am Kern des Prüfungszwecks vorbei – der Sicherstellung der praktischen Wirksamkeit des Programms. Dies wird besonders evident durch die Vorgabe eines Hinweises in den Auftragsbedingungen, „dass keine Prüfungssicherheit über die tatsächliche Einhaltung von Regeln erlangt wird, sondern ausschließlich die in der CMS-Beschreibung getroffenen Aussagen zum CMS beurteilt werden“.[18] Ein effektives Compliance-Programm, das zu einer Enthaftung der Geschäftsleitung im Hinblick auf deren Organisationspflichten führen kann, erfordert mehr als nur die Existenz des Programms auf dem Papier. Dies haben insbesondere die großen Compliance-Skandale der jüngeren Zeit gezeigt. Neben der sogenannten „CMS-Beschreibung“ i.S.d. IDW PS 980 kann das Unternehmen zusätzlich Standards zur Einrichtung von CMS heranziehen, wie z.B. den ISO 19600.[19]
14
Die von Rechtsprechung und Literatur aufgestellten Anforderungen an eine Enthaftung durch Einholung professionellen Rats[20] werden daher durch eine Zertifizierung nach IDW PS 980 in aller Regel nicht erfüllt.[21]
1.4 Rechtsformspezifische Besonderheiten
15
Besonderheiten für die Ausgestaltung der Compliance-Organsiation können sich aus der Rechtsform und der Konzernstruktur eines Unternehmens bzw. Unternehmensverbundes ergeben. Die strengsten Anforderungen gelten in der Aktiengesellschaft. Dort sind die Vorstandsmitglieder zur eigenverantwortlichen Leitung der Gesellschaft verpflichtet (§ 76 Abs. 1 AktG). Sie unterliegen im Grundsatz nicht den Weisungen der Gesellschafter (Aktionäre) oder des Aufsichtsrates. Korrelat dieser Freiheit ist die besondere Verantwortung für die Sicherstellung der Rechtschaffenheit im Unternehmen.[22] Die Pflicht zur Einrichtung eines Überwachungssystems für bestandsgefährdende Entwicklungen, § 91 Abs. 2 AktG, normiert nur einen engen Ausschnitt hinsichtlich der diesbezüglichen Organisationspflichten des Vorstands einer Aktiengesellschaft.[23] Im Gegensatz zum Verständnis der Betriebswirtschaftslehre und Prüfungspraxis umfasst § 91 Abs. 2 AktG nach der herrschenden gesellschaftsrechtlichen Auffassung gerade nicht den Aufbau eines umfassenden Risikomanagementsystems.[24]
16
Im Vertragskonzern bezieht sich diese Verantwortung ohne Weiteres auch auf die Tochterunternehmen. Die konzernrechtlichen Instrumentarien, insbesondere das Weisungsrecht gegenüber der Geschäftsleitung eines konzernierten Tochterunternehmens erleichtern einerseits eine konzernweite durchgehende Compliance-Organisation. Sie führen andererseits dazu, dass diese konzernrechtlichen Gestaltungsmöglichkeiten auch genutzt werden müssen, um eine möglichst effiziente Compliance-Organisation auf die Beine zu stellen.[25]
17
Im faktischen Konzern besteht, falls die beherrschte Gesellschaft in der Rechtsform der Aktiengesellschaft existiert, ein solches Weisungsrecht nicht. Dort ist aber immerhin eine faktische Möglichkeit der Einflussnahme regelmäßig gegeben. Diese Einflussmöglichkeit ist auch zu nutzen, um die organisierte Rechtschaffenheit der beherrschten Tochterunternehmen sicherzustellen. Zumindest insoweit dürfte eine gewisse Konzernleitungspflicht heute anzuerkennen sein.[26]
18
Häufig