Compliance. Markus Böttcher
für die Buße sind sowohl die wirtschaftliche Leistungsfähigkeit des Unternehmens als auch die Schwere der Tat, die Größe des Schadens und die Schwere des Organisationsverschuldens (Art. 102 Abs. 3 StGB).
274
Daneben bestehen in einzelnen Gesetzen Bestimmungen über die Strafbarkeit des Unternehmens, wie etwa im Bundesgesetz über die direkte Bundessteuer (DBG) oder im Steuerharmonisierungsgesetz (StHG), je im Zusammenhang mit Steuerhinterziehung durch das Unternehmen. Im Verwaltungsstrafrecht (also bei strafbewehrten Verstößen gegen Verwaltungsgesetze) des Bundes können die strafverfolgenden Behörden nach dem sog. Opportunitätsprinzip auf die Fahndung nach verantwortlichen Einzelpersonen verzichten und stattdessen das Unternehmen büßen; Voraussetzung ist allerdings, dass eine Buße von maximal 5 000 CHF in Betracht fällt (Art. 7 des Bundesgesetzes über Verwaltungsstrafrecht, VStrR). Außerhalb dieser Spezialbestimmungen und der generellen Norm zur strafrechtlichen Haftung von Unternehmen (Art. 102 StGB) können juristische Personen nicht strafrechtlich wegen Gesetzesverletzungen in ihrem Machbereich verfolgt werden. Allerdings können im typischen Risikobereich des Unternehmens begangene Straftaten nach den Regeln der Geschäftsherrenhaftung unter bestimmten Voraussetzungen den Leitungspersonen mit beherrschender Stellung zugerechnet werden. Rechtsgrundlage ist in diesem Fall Art. 11 StGB bzw. im Verwaltungsstrafrecht Art. 6 VStrR. Weiter kann ein Unternehmen ungeachtet seiner Strafbarkeit den Zugriff auf Erlöse verlieren, die als Deliktserlöse zu qualifizieren sind (Art. 70–73 StGB). Die letztgenannten Sanktionen sind, obschon keine Kriminalstrafen, häufig für Unternehmen ungleich schmerzlicher (da in der Regel mehrfach höher) als die eigentlichen Unternehmensbußen nach den Bestimmungen über die Unternehmensstrafbarkeit. Trotz verbreiteter Kritik werden schließlich Kartellrechtsverstöße nach den besonderen Verfahrensnormen des KG untersucht und geahndet. Prozessual unterliegen kartellrechtliche Sanktionen gem. Art. 49a KG nicht den Regeln des Unternehmensstrafrechts, womit sich betroffene Unternehmen nicht auf den Schutz strafprozessualer Grundsätze berufen können.
275
Mit Ausnahme der vorgenannten spezialgesetzlichen Bestimmungen ist somit für das Unternehmensstrafrecht die Bestimmung von Art. 102 StGB zur Strafbarkeit für mangelhafte Organisation zentral. Die subsidiäre Haftung für Nichtauffinden eines Individualtäters im Unternehmen gem. Abs. 1 der Bestimmung hat in der Praxis kaum Bedeutung erlangt, wie auch durch einen kürzlich ergangenen Entscheid zu Compliance-Verstößen bei PostFinance bestätigt wird (vgl. dazu, allerdings stark einschränkend, BGer 6B_124/2016 vom 11.10.2016). Sehr wohl relevant ist aber die zweite Variante: Die Unternehmenshaftung für mangelhafte Compliance zur Verhinderung von aktiver Korruption, Geldwäscherei, etc. Die für die Vermeidung der Unternehmensstrafbarkeit notwendigen Compliance-Maßnahmen knüpfen im Wesentlichen an die Compliance-Prinzipien an, die das Bundesgericht im Zusammenhang mit der strafrechtlichen Geschäftsherrenhaftung von Verwaltungsrats- und Geschäftsführungsmitgliedern entwickelt hat.
2. Elemente der Compliance-Organisation
276
Aufbauend auf den von der Rechtsprechung entwickelten Prinzipien zur strafrechtlichen Haftung von Organen bzw. Unternehmen sind aus schweizerischer Sicht die folgenden Compliance-Maßnahmen zu empfehlen, wobei die Umsetzung risikoadäquat je nach Unternehmen, Tätigkeitsgebiet, Industrie, etc. anzupassen ist:
– | Tone from the top: Die oberste Unternehmensleitung muss durch klare Anweisungen und entsprechende Prioritätensetzung aufzeigen, dass Rechtsverstöße nicht geduldet und Abweichungen diszipliniert werden. Die Unternehmensleitung muss eine Kultur der Compliance vorleben, was sich auch in der Festlegung von Zielvorgaben und Anreizstrukturen niederschlagen muss. |
– | Risk Assessment: Compliance-Risiken sind systematisch und in geeigneten periodischen Abständen zu erfassen und zu aktualisieren. Sie sind qualitativ „top down“ (durch Managementgespräche) und „bottom up“ (durch Gespräche mit subalternen Mitarbeitern mit einschlägiger Risikoexposition) zu erfassen, bewerten und dokumentieren. Die qualitative Erfassung soll quantitativ durch die Analyse von Compliance-Indikatoren im Buchhaltungssystem (z.B. die Quote von Doppelzahlungen, die Quote schwer verfolgbarer Zahlungen mittels Scheck etc., die Quote von Cashtransaktionen, die Analyse von Cashbüchern etc.) ergänzt werden. |
– | Interne Weisungen und Kontrollen: Es braucht – aufbauend auf dem Risk Assessment – risikoadäquate Weisungen und interne Policies, insbesondere auch über den Umgang mit (und Überprüfung von) Geschäftspartnern (Agenten, Konsulenten, Lieferanten, Dienstleistern, Wettbewerbern und Behörden) zur Vermeidung von Regelverstößen. Zahlungen müssen vom Nachweis erbrachter Leistungen und entsprechender Belege abhängen; Offshore- und Briefkastengesellschaften sollten als Geschäftspartner grundsätzlich gemieden bzw. Briefkastenadressen (ohne physische Räumlichkeiten, Angestellte, etc.) nicht akzeptiert werden. In dem Zusammenhang sind Weisungen und Kontrollen über den richtigen Umgang mit der Buchhaltung zu implementieren (keine Verfälschung von Belegen und Büchern, keine Buchung ohne wahren Beleg, Aufgreifen und Melden verdächtiger Belege, keine unverbuchten Transaktionen, Zugangskontrollen zum SAP-System, etc.). Für M&A-Transaktionen und Kreditgewährungen empfehlen sich Prozeduren zur Durchführung von „Compliance Quick Checks“ beim Zielunternehmen, um Compliance- und Haftungsrisiken im Zusammenhang mit Akquisitionen frühzeitig zu erkennen. |
– | Training und Kommunikation: Die Mitarbeiter müssen durch stufengerechte Ausbildung ein hinreichendes Problem- und Risikobewusstsein entwickeln, um die internen Weisungen und Kontrollen richtig umsetzen zu können. Den Mitarbeitern sind Meldewege für das Aufgreifen verdächtiger Vorgänge und das Ansprechen von Compliance-Fragen klar zu kommunizieren. Auch Training und Kommunikation sind risikoadäquat periodisch zu wiederholen. |
– | Monitoring und Reaktion auf Unregelmäßigkeiten: Compliance muss Thema interner Revisionen und Stichproben sein. Bei Auffinden eines Verdachtes besteht die Pflicht, den verdächtigen Prozess sofort einzufrieren und zu untersuchen. Weisungen und Standardprozesse zu internen Untersuchungen sind ebenfalls sinnvoll, insbesondere im Hinblick auf die mögliche Durchsuchung von unternehmensinternen E-Mails ohne zusätzliche Zustimmung betroffener Mitarbeiter. Die Compliance-Funktion muss sodann ausreichend personell besetzt und vom Linienmanagement unabhängig sein. Häufig ist es überdies sinnvoll, eine Whistleblowing-Hotline einzurichten, wobei soweit als möglich Maßnahmen zu treffen sind, um den Whistleblower als auch den Beschuldigten vor ungerechtfertigter Entlassung und anderen Nachteilen zu schützen. Hier ist allerdings anzumerken, dass Whistleblower im schweizerischen Arbeitsrecht bislang keinen besonderen Kündigungsschutz genießen, was mit ein Grund dafür sein dürfte, dass der Aufdeckung von Regelverletzungen durch Whistleblower zumindest in der Privatwirtschaft in der Praxis nur relativ beschränkte Bedeutung zukommt. |
2. Kapitel Grundlagen für Compliance › C. Schweiz › III. Korruptionsrecht
1. Verbotene Handlungen
277
Art. 322ter–Art. 322septies des schweizerischen Strafgesetzbuches sanktionieren Korruptionsdelikte im Zusammenhang mit schweizerischen und ausländischen Amtsträgern. Amtsträger sind Privatpersonen (z.B. Mitarbeiter privater Unternehmen), die öffentliche Aufgaben wahrnehmen, gleichgestellt. Was als öffentliche Aufgabe gilt, ergibt sich aus dem Verwaltungsrecht des betreffenden Staatswesens. Häufig handelt es sich dabei um Tätigkeiten in einem Monopolbereich, die keiner Wettbewerbswirtschaft auf dem freien Markt zugänglich sind oder um die Erfüllung öffentlichrechtlicher Leistungsaufträge (z.B. die Grundversorgung mit Spitzenmedizin sicherzustellen). Die Bestechung von Amtsträgern ist ein Offizialdelikt, d.h. diese Tat muss von Amtes wegen verfolgt