Compliance Management im Unternehmen. Martin R. Schulz
normiert, und der durch die Richtlinie zur Konkretisierung der Organisationspflichten von Wertpapierdienstleistungsunternehmen gem. § 33 WpHG20 sowie etwa die Wertpapierdienstleistungs-, Verhaltens- und Organisationsverordnung (WpDVerOV)21 konkretisiert wird, finden sich konkrete Compliance-Vorgaben etwa in § 25a KWG, wonach das erforderliche „angemessene und wirksame Risikomanagement “ eines Kreditinstitutes unter anderem „die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision“ einschließlich einer „Compliance-Funktion“ zu umfassen hat.22 Weitere sektoral geregelte konkrete Compliance-Verpflichtungen existieren beispielsweise im Bereich des Arzneimittelrechts, hier bei der sog. Pharmakovigilanz, also der laufenden und systematischen Überwachung der Sicherheit von Fertigarzneimitteln. So verpflichtet etwa § 63b Abs. 2 Nr. 4 des Arzneimittelgesetzes (AMG) den Inhaber der Zulassung eines Arzneimittels, das zur Anwendung bei Menschen bestimmt ist, „ein Risikomanagement-System für jedes einzelne Arzneimittel zu betreiben“ und die von diesen Arzneimitteln ausgehenden Gefahren detailliert zu überwachen.
23
Eine unmittelbare Verpflichtung zur Compliance ergibt sich auch nicht aus dem neuen Verbandssanktionenrecht. Das Gesetz erkennt zwar die Relevanz eines Compliance-Management-Systems an, insbesondere kann sich die Existenz eines solchen sanktionsmindernd auswirken, es verpflichtet jedoch nicht konkret zur Einrichtung eines Compliance-Management-Systems.23 Auch führt das Bestehen eines Compliance-Programms nicht unmittelbar zur Sanktionslosigkeit des Unternehmens. Compliance-Maßnahmen finden ausschließlich bei der Auswahl der Art und der Höhe einer Sanktion24 sowie bei der Prüfung, ob die Voraussetzungen des Absehens von der Verfolgung vorliegen,25 Berücksichtigung Nach dem neuen Verbandssanktionenrecht kann das Gericht den Verband jedoch anweisen, bestimmte Vorkehrungen zur zukünftigen Vermeidung von Verbandstaten zu treffen.26 In Betracht kommen insoweit insbesondere Compliance-Maßnahmen, die zur Verbesserung der Prävention verbandsbezogener Straftaten beitragen sollen.
24
Eine – gar strafrechtlich basierte – Verpflichtung zur Compliance kann sich insoweit bestenfalls mittelbar aus der sog. Legalitätspflicht, der Pflicht des Unternehmens, geltende Vorschriften einzuhalten, ergeben. Compliance ist aber gerade nicht begrenzt auf die Einhaltung der gesetzlichen Vorschriften; Compliance bedeutet vielmehr weitergehend, dass Unternehmen, ihre Organe sowie die untergeordneten Mitarbeiter im Einklang nicht nur mit den geltenden Gesetzen, sondern auch mit unternehmensinternen Richtlinien, sonstigen Vorgaben sowie etwa vertraglich vereinbarten Verpflichtungen handeln.27 Eine dahingehende Begriffsbestimmung findet dann auch im Deutschen Corporate Governance Kodex (DCGK) Niederschlag, der Compliance gemäß A.I. Grundsatz 5 des Kodex definiert als die „Einhaltung der gesetzlichen Bestimmungen und der internen Richtlinien“.28 Der Betrieb eines Compliance-Management-Systems trägt dafür Sorge, dass Rechtsverstöße entweder gänzlich vermieden werden oder im Falle eines Verstoßes zumindest eine adäquate Reaktion des Unternehmens sichergestellt ist. Ziel des Betriebs eines Compliance-Management-Systems ist es insoweit, die – auch strafrechtliche – Haftung des Unternehmens und der Organe im Falle eines Regelverstoßes auszuschließen oder wenigstens die Konsequenzen zu verringern.29 Neben dem Ziel der Enthaftung der Gesellschaft oder zumindest der Organe hat sich Compliance zwischenzeitlich aber auch als Wettbewerbsfaktor sowie als fester Bestandteil der Außendarstellung eines Unternehmens im Rahmen der sog. „Corporate Social Responsibility“ als sog. „Good Corporate Citizen“ etabliert.30
25
In der Rechtswissenschaft ist es daher immer noch streitig, ob sich aus den – wenigen – bestehenden gesetzlichen Vorgaben eine grundsätzliche Compliance-Verpflichtung für Unternehmen bzw. deren Organe erschließt. Der Begriff der Compliance greift in der Gesetzgebung erst langsam Raum, ausgehend, wie gesagt, von einzelnen sektoralen Regelungen, die sich aufgrund internationaler Verknüpfungen anglo-amerikanischen Vorgaben angenähert haben. Zur Begründung einer konkreten Compliance-Verpflichtung wird daher häufig auf strafrechtliche Normen zurückgegriffen, die das Unternehmen – jedenfalls mittlerweile – zumindest faktisch zwingen, compliant am Markt zu agieren, um die schmerzhaften strafrechtlichen Konsequenzen, die das Unternehmen treffen können und die durchaus auch ein existenzgefährdendes Ausmaß annehmen können, abzuwenden.
26
Neben den unmittelbaren Folgen strafbaren Verhaltens aus dem Unternehmen heraus und den damit verbundenen persönlichen Konsequenzen für die Verantwortlichen des Unternehmens, also Geld- oder Freiheitsstrafe, der sog. Inhabilität sowie der Belastung des Unternehmens durch das Verfahren als solches und die mit der medialen Berichterstattung verbundenen Konsequenzen sind dies insbesondere die Instrumente der Einziehung gemäß §§ 73ff. StGB sowie der Verbandsgeldbuße gemäß § 30 OWiG,31 die auch im Strafverfahren Anwendung findet. Kann gem. § 30 Abs. 2 OWiG gegen das Unternehmen bereits eine Geldbuße von bis zu 10 Mio. EUR verhängt werden, so erhöht sich diese bei Vorliegen eines abschöpfungsfähigen Erlöses, der aus der Straftat generiert wurde, gem. § 17 Abs. 4 OWiG schnell auf einen mehrstelligen Millionenbetrag.32 Auch etwaige Kartellgeldbußen des Bundeskartellamtes erreichen über das Institut der sog. Mehrerlösgeldbuße gem. § 81 Abs. 4, 5 GWB i.V.m. § 17 Abs. 4 OWiG schnell dreistellige Millionenbeträge. Über das Institut der Einziehunggem. § 73 Abs. 1 StGB besteht die Möglichkeit der Abschöpfung illegal erworbener Vermögenswerte, womit dem (Unternehmen als) Täter der wirtschaftliche Anreiz zur Tatbegehung genommen werden soll, ihm sollen keine vermögenswerten Vorteile aus der Tat verbleiben.33
27
In diesem Zusammenhang honoriert die Rechtsprechung jedoch ausdrücklich auch die Existenz eines Compliance-Management-Systems. Ausweislich der Rechtsprechung des Bundesgerichtshofs ist für die Bemessung der Verbandsgeldbuße gem. §§ 30 Abs. 3, § 17 Abs. 4 Satz 1 OWiG von Bedeutung, inwieweit ein Unternehmen seiner Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management-System installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt ist. Dabei soll es auch eine Rolle spielen, ob das Unternehmen in der Folge eines Verfahrens entsprechende Regelungen optimiert und seine betriebsinternen Abläufe so gestaltet hat, dass vergleichbare Normverletzungen zukünftig verhindert oder jedenfalls deutlich erschwert werden.34
28
Als zentrale strafrechtliche Compliance-Norm wird vielfach § 130 OWiG angesehen.35 § 130 Abs. 1 Satz 1 OWiG verpflichtet den Inhaber eines Betriebes oder Unternehmens, Aufsichtsmaßnahmen zu treffen, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Sofern der Inhaber vorsätzlich oder fahrlässig die gebotenen Aufsichtsmaßnahmen unterlässt und damit ermöglicht, dass eine Zuwiderhandlung aus dem Unternehmen heraus begangen wird, die durch die Aufsichtsmaßnahmen verhindert oder wesentlich erschwert worden wäre, handelt er ordnungswidrig Als erforderliche Aufsichtsmaßnahme führt § 130 Abs. 1 Satz 2 OWiG beispielhaft die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen auf. Auch hier drohen durchaus existenzbedrohende Sanktionen. Eine derartige Ordnungswidrigkeit kann, wenn die Pflichtverletzung strafbar ist, gem § 130 Abs. 3 OWiG mit einer Geldbuße von bis zu 1 Mio. EUR sowie im Ausnahmefall über den Verweis gem. § 130 Abs. 3, 30 Abs. 2 Satz 3 OWiG darüber hinaus geahndet werden. Die Ordnungswidrigkeit gem. § 130 OWiG ist zudem Anknüpfungstat für die Verbandsgeldbuße des § 30 OWiG, so dass über diesen Umweg wiederum Geldbußen weit oberhalb der Millionengrenze verhängt werden können.
29
Unabhängig davon, ob aus den vorbezeichneten Vorschriften nunmehr eine gesetzliche Verpflichtung zur Implementierung eines Compliance-Management-Systems abzuleiten ist oder nicht, dürfte es jedoch unstreitig sein, dass die sog. Non-Compliance jedenfalls faktisch zu einer Haftung des Unternehmens und der Organmitglieder führt, so dass vice versa jedenfalls faktisch eine Pflicht zur Installation eines insbesondere strafrechtsbasierten Compliance-Management-Systems besteht. Da die gelungene Installation sowie der Betrieb eines Compliance-Management-Systems auf der anderen Seite aber durchaus auch zu Vorteilen für die Gesellschaft sowie die Organmitglieder führen kann, etwa bei der Zumessung einer Kartell- oder sonstigen Verbandsgeldbuße,