Compliance. Markus Böttcher
Regulierung und Aufsicht. In nicht-regulierten Industrien ergeben sich die gesetzlichen Anforderungen an die Geschäftstätigkeit des Unternehmens demgegenüber aus allgemeinen Regeln und Standards, z.B. hinsichtlich der Vermeidung strafrechtlich relevanten Verhaltens. Unternehmen in nicht regulierten Wirtschaftsbereichen verfügen folglich über einen erheblich größeren Spielraum in der Ausgestaltung ihrer Compliance-Organisation; gleichzeitig kann es das Fehlen verbindlicher gesetzlicher Vorgaben aber auch schwieriger machen, die adäquaten Maßnahmen und Vorkehrungen zu bestimmen.
268
Im schweizerischen Recht haben sich die Anforderungen an die unternehmensinterne Compliance im Wesentlichen aus der Rechtsprechung zur zivilrechtlichen Organhaftung sowie zur strafrechtlichen Geschäftsherrenhaftung entwickelt. Aufbau und Durchsetzung adäquater Strukturen und Maßnahmen zur Einhaltung aller Rechtsvorschriften gehören zu den nicht-delegierbaren Aufgaben des Verwaltungsrats von Aktiengesellschaften (Art. 716a Abs. 1 Ziff. 1, 2 und 5 OR) bzw. der Geschäftsführung einer GmbH (vgl. Art. 810 Abs. 2 Ziff. 1, 2 und 4 OR).
Außerdem hat das Bundesgericht schon früh festgehalten, dass die obersten Leitungsorgane für Gesetzesverletzungen im Machtbereich des Unternehmens einzustehen haben, wenn ihnen eine Garantenstellung zukommt. Der „Tone from the top“ (BGE 96 IV 155); die Notwendigkeit einer unternehmensspezifischen Risikoerfassung, risikoadäquater interner Kontrollen (BGE 122 IV 103; 125 IV 9; 6, S.447/2003) und klarer Verhaltensweisungen (BGE 96 IV 155, 125 IV 9); einer klaren und straffen Organisation mit Verantwortlichkeits- und Vertretungsregelungen (BGE 125 IV 9); das Erfordernis eines ausreichenden Informationsmanagements und der Dokumentation des betrieblich wichtigen Knowhows (BGE 125 IV 9) gehören damit bereits seit Langem zum Kanon der richterlichen Anforderungen an ein adäquates Compliance-Management. Im Licht der heutigen Unternehmenspraxis und der Erwartungen in- und ausländischer Behörden sind darüber hinaus, jedenfalls für große, international tätige Unternehmen, weiter der Betrieb einer Whistleblower-Hotline und, im Fall vermuteter Regelverstöße, die Durchführung von internen Untersuchungen dazu zu rechnen.
Auf Gesetzesebene wurde die Notwendigkeit risikoadäquater Compliancemaßnahmen sodann vor allem für den Finanzsektor durch das Geldwäschereigesetz (GwG) und eine Reihe von Ausführungsverordnungen sowie Rundschreiben der Finanzmarktaufsichtsbehörde (FINMA) konkretisiert. Es folgte 2003 die Bestimmung zur Unternehmensstrafbarkeit im Strafgesetzbuch (Art. 102 StGB). Danach kann das Fehlen adäquater Maßnahmen zur Verhinderung von Verbrechen oder Vergehen im Rahmen des Unternehmenszwecks dazu führen, dass sich das Unternehmen selbst – ggf. neben einzelnen Mitarbeitern oder Leitungsorganen – strafbar macht. Neben einer bloß subsidiären Strafbarkeit für allgemeine Delikte besteht dabei eine generelle Strafbarkeit des Unternehmens für das Unterlassen adäquater organisatorischer Maßnahmen zur Verhinderung von Geldwäscherei, aktiver Bestechung, Terrorismusfinanzierung sowie der Beteiligung an (bzw. Unterstützung von) kriminellen Organisationen.
269
Rechtstatsächlich wurde die Bedeutung der Compliance zunächst vor allem von größeren und international tätigen Gesellschaften erkannt; inzwischen hat sich aber die Überzeugung durchgesetzt, dass risikoadäquate Compliance-Maßnahmen in Unternehmen jeglicher Größe erforderlich sind. Die Unternehmensorganisationen werden durch entsprechende Abteilungen ergänzt, entweder separat oder – seltener – als Teil der Rechtsabteilung, wobei große Unterschiede hinsichtlich der verfügbaren Ressourcen bestehen. Fachverbände wie Ethics and Compliance Switzerland (ECS) oder die Swiss Association of Compliance Officers (SACO) fördern den Erfahrungsaustausch, insbesondere auch hinsichtlich der Strukturierung und laufenden Überprüfung adäquater Compliance-Management-Systeme.
270
Im Sinne des für dieses Handbuch geltenden Compliance-Begriffs soll nicht auf die gesamte Gesetzgebung eingegangen werden – denn grundsätzlich verpflichtet jeder Gesetzesartikel des zwingenden Rechts zur Compliance –, viel mehr soll spezifisch im Hinblick auf die regulatorische Entwicklung der letzten Jahre und der diesbezüglichen Praxis von Behörden und behördenähnlichen Institutionen berichtet werden. Dies geschieht immer unter dem Blickwinkel, dass sich eine ausländische Gesellschaft in der Schweiz ansiedeln will, sei es mit ihrem Headquarter oder aber – was häufiger der Fall ist – durch ihre Tochtergesellschaft.
271
Auf zwei Besonderheiten des Schweizer Rechts ist dabei vorweg noch einzugehen:
– | In der Schweiz hat sich das föderalistische Prinzip bis heute bewährt, so dass viele Behörden nicht auf Bundesebene, sondern auf Kantonsebene, manchmal sogar auch auf Gemeindeebene angesiedelt sind. Dabei kann es sich bei den Kantonsbehörden sowohl um Behörden mit selbstständigen Kompetenzen als auch um Ausführungsorgane von Bundesbehörden handeln. |
– | Die Schweiz hat in einem beachtlichen Ausmaß staatliche Compliance-Regelungen durch Selbstregulierung ersetzt. Es sind in diesen Fällen nicht staatliche Behörden, sondern private Institutionen, wie die Börse oder die Selbstregulierungsorganisationen im Bereich der Geldwäscherei, welche die Regeln setzen. Dies bedeutet aber nicht, dass sie deswegen einen minderen Durchsetzungsgrad hätten. Wer sich nicht an die Regeln der Selbstregulierungsorganisation hält, verletzt ebenso staatliches Recht wie derjenige, der eine staatliche Weisung missachtet. |
272
Hinzu kommt ein kulturelles Element: Schweizerische Behörden, selbst solche mit Untersuchungsaufgaben – wie z.B. die Wettbewerbskommission, die Finanzmarktaufsicht (FINMA) und Steuerämter – verhalten sich in der Regel bürgernah und kundenfreundlich. Wer mit ihnen in Kontakt tritt, wird nicht a priori als Gegner empfunden. Mit den meisten Behörden besteht die Möglichkeit, Vorhaben oder offene Fragen zu diskutieren. Oft zeigen die Behörden auch einen Weg auf, um ein Problem zu lösen. Dies bedeutet nicht, dass schweizerische Behörden keine harten Sanktionen aussprechen oder das Recht nicht effektiv und unter Wahrung rechtsstaatlicher Garantien durchsetzen. Dennoch ist die Beziehung zwischen Unternehmen und Behörden stärker durch Kooperation geprägt, als dies in Deutschland der Fall ist.
2. Kapitel Grundlagen für Compliance › C. Schweiz › II. Unternehmensstrafrecht und Compliance-Management
1. Unternehmensstrafrecht
273
Seit dem 1.10.2003 besteht in der Schweiz ein Unternehmensstrafrecht, d.h. Unternehmen können strafrechtlich mit einer Buße bis zu 5 Mio. CHF belangt werden. Unter gewissen Voraussetzungen kann das Fehlen einer adäquaten Compliance-Organisation damit auch strafrechtlich sanktioniert werden. Die entsprechende Regelung in Art. 102 Strafgesetzbuch (StGB) umfasst zwei Sachverhalte:
– | Generell untersteht das Unternehmen einer subsidiären Haftung für Verbrechen oder Vergehen im typischen Risikobereich des Betriebes (nicht aber für Übertretungen, also bloß mit Buße bedrohte Straftatbestände), die wegen mangelhafter Organisation keiner natürlichen Person im Unternehmen zugerechnet werden können. |
– |
Bei spezifischen Tatbeständen, nämlich bei aktiver Bestechung im öffentlichen und privaten Sektor, bei Geldwäscherei, Terrorismusfinanzierung und Beteiligung an bzw. Unterstützung einer kriminellen Organisation, besteht eine direkte Strafbarkeit des Unternehmens, soweit organisatorisch nicht alles Zumutbare und Notwendige vorgekehrt wurde, um die Straftat zu verhindern (Art. 102 Abs. 2 StGB). Voraussetzung ist allerdings, dass sowohl die objektiven als auch die subjektiven Tatbestandsmerkmale der fraglichen Straftat durch eine oder mehrere Personen im Verantwortungsbereich |