Compliance Management im Unternehmen. Martin R. Schulz
4. Verletzung der Aufsichtspflicht in Betrieben und Unternehmen (§ 130 OWiG)
132
Ist weder eine unmittelbare vorsätzliche Einbeziehung noch ein strafrechtlich relevantes Organisationsverschulden, also eine Fahrlässigkeitsstrafbarkeit, der Unternehmensleitung festzustellen, so verbleibt – quasi als Auffangtatbestand – das Risiko der Ahndung einer Aufsichtspflichtverletzung durch den Ordnungswidrigkeitentatbestand des § 130 OWiG. Die Sanktionierung der Aufsichtspflichtverletzung soll sicherstellen, dass in Betrieben und Unternehmen ordnungsgemäße und hinreichende Vorkehrungen gegen die Begehung betriebsbezogener Zuwiderhandlungen getroffen werden und dafür Sorge tragen, dass sich etwa aus dem Auseinanderfallen von Entscheidungsträger und unmittelbar Handelndem im Unternehmen keine Strafbarkeitslücke ergibt.199
133
§ 130 Abs. 1 Satz 1 OWiG verpflichtet den Inhaber eines Betriebes oder Unternehmens, Aufsichtsmaßnahmen zu treffen, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Auch wenn es sich lediglich um einen Ordnungswidrigkeitentatbestand handelt, drohen hier durchaus schwerwiegende Sanktionen. Sofern der Inhaber vorsätzlich oder fahrlässig die gebotenen Aufsichtsmaßnahmen unterlässt und damit ermöglicht, dass eine Zuwiderhandlung aus dem Unternehmen heraus begangen wird, die durch die Aufsichtsmaßnahmen verhindert oder wesentlich erschwert worden wäre, handelt er ordnungswidrig. Als erforderliche Aufsichtsmaßnahme führt § 130 Abs. 1 Satz 2 OWiG beispielhaft die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen auf. Die Norm des § 130 OWiG ermöglicht es damit, den aufsichtspflichtigen Verantwortlichen des Unternehmens (Organmitglieder, Gesellschafter sowie gem. § 9 Abs. 2 OWiG auch Betriebsleiter oder sonstige Betriebsbeauftragte) auch Handlungen von Mitarbeitern zuzurechnen, obwohl ihnen persönlich im Hinblick auf die Bezugstat kein vorsätzliches oder auch nur fahrlässiges Handeln zur Last gelegt werden kann.
134
Eine derartige Ordnungswidrigkeit kann, wenn die Pflichtverletzung strafbar ist, gem. § 130 Abs. 3 OWiG mit einer Geldbuße von bis zu 1 Mio. EUR sowie im Ausnahmefall über den Verweis gem. §§ 130 Abs. 3, 30 Abs. 2 Satz 3 OWiG darüber hinaus geahndet werden. Im Falle einer fahrlässigen Aufsichtspflichtverletzung ist das Höchstmaß der Geldbuße auf 500.000,00 EUR begrenzt. (§§ 130 Abs. 3, 17 Abs. 2 OWiG). Handelt es sich bei der Bezugstat dagegen lediglich um eine Ordnungswidrigkeit, ist das in dieser Vorschrift angedrohte Höchstmaß der Geldbuße maßgeblich (§ 130 Abs. 3 Satz 2 OWiG).
135
Die Ordnungswidrigkeit gem. § 130 OWiG ist zudem Anknüpfungstat für die Verbandsgeldbuße des § 30 OWiG, so dass über diesen Umweg wiederum Geldbußen – gegen das Unternehmen – weit oberhalb der Millionengrenze verhängt werden können. In der Causa Siemens etwa bestand die „Anknüpfungstat“ in der Aufsichtspflichtverletzung des Vorstandes i.S.v. § 130 OWiG durch die Nicht-Implementierung eines funktionierenden Compliance-Systems und führte zu der Verhängung einer Geldbuße in Höhe von insgesamt 395 Mio. EUR gegen die Siemens AG gem. §§ 30, 130, 17 IV OWiG mit Bußgeldbescheid der Staatsanwaltschaft München I vom 15.12.2008, wobei sich der Ahndungsanteil lediglich auf 250.000,00 EUR belief, der Abschöpfungsanteil jedoch auf 394.750.000,00 EUR. Aufgrund des Zusammenspiels mit § 30 OWiG wird der Tatbestand der Aufsichtspflichtverletzung gem. § 130 OWiG teilweise als „die“ Compliance-Vorschrift angesehen.
136
Der Normadressat, der Inhaber des Betriebs oder Unternehmens, ist die natürliche Person, der die Erfüllung der betrieblichen Pflichten obliegt. Ist „Inhaber“ des Betriebs eine juristische Person, kann § 130 OWiG gemäß § 9 Abs. 1 OWiG nur auf die „vertretungsberechtigten Organe“ als Repräsentanten der Gesellschaft angewandt werden. Die Eigenschaft als Inhaber begründet eine Garantenstellung zur Abwendung betriebsbezogener Gefahren. Neben dem Inhaber oder an seiner Stelle kann Täter des § 130 OWiG aber auch sein, auf wen der Inhaber die ihn treffende Aufsichtspflicht ordnungsgemäß delegiert hat, etwa der Betriebsleiter (§ 9 Abs. 2 Satz 1 Nr. 1 OWiG) sowie speziell aufsichtspflichtige Personen, etwa Sicherheitsbeauftragte (§ 9 Abs. 2 Satz 1 Nr. 2) im Rahmen ihres Verantwortungsbereichs.
137
Materielle Voraussetzung einer Ahndung gemäß § 130 OWiG ist zunächst das Vorliegen einer betriebsbezogenen Zuwiderhandlung, also die Begehung einer Straftat oder einer Ordnungswidrigkeit durch einen anderen als den Betriebsinhaber oder die verantwortlichen Gremienmitglieder (§ 9 Abs. 1 OWiG), durch die eine den Betriebsinhaber treffende Pflicht verletzt wird. Diese Zuwiderhandlung darf nur deshalb möglich geworden sein, weil der Betriebsinhaber eine ihn treffende Aufsichtspflicht verletzt hat.
138
Eine solche Aufsichtspflicht kann sich dabei etwa aus dem Gesetz oder aus der Rechtsprechung zur Konkretisierung von Sorgfaltspflichten oder der Begründung von Garantenstellungen (Überwachungsgarantenstellung für bestimmte Gefahrenquellen) ergeben. Der Pflichtenkreis des Betriebsinhabers ist hierbei erheblich, wenngleich Unmögliches natürlich nicht verlangt werden kann. Anerkannt sind hierbei insbesondere die Leitungs-, Koordinations-, Organisations- und Kontrollpflichten, die in einem Stufensystem ineinander greifen. Zunächst hat der Aufsichtspflichtige für eine sorgfältige Auswahl von Mitarbeitern und ggf. von Aufsichtspersonen zu sorgen (1. Stufe). Sodann ist er verpflichtet, eine sachgerechte Organisation und Aufgabenverteilung vorzunehmen (2. Stufe). Die Mitarbeiter sind darüber hinaus angemessen über ihre Aufgaben und Pflichten zu instruieren und aufzuklären (3. Stufe). Ferner bedarf es einer ausreichenden Überwachung und Kontrolle der Mitarbeiter (4. Stufe). Schließlich ist der Aufsichtspflichtige gehalten, gegen Verstöße einzuschreiten (5. Stufe), wozu auch eine angemessene Sanktionierung gehört.200 Soweit der Betriebsinhaber seine Aufsichtspflicht selbst delegiert, ist er für die Bestellung, sorgfältige Auswahl und Überwachung auch der bestellten Aufsichtspersonen verantwortlich. Mit deren Bestellung endet die eigene Überwachungspflicht allerdings nicht, sie wird lediglich auf eine (Rest-)Überwachung sowie eine stichprobenweise Kontrolle reduziert. Die im Einzelfall erforderlichen Aufsichtsmaßnahmen können jedoch nicht abstrakt festgelegt werden, sie differieren nach einer Vielzahl von Kriterien. Für den Umfang der Aufsichtspflicht sollen „in erster Linie Art, Größe und Organisation des Betriebs, die unterschiedlichen Überwachungsmöglichkeiten, aber auch Vielfalt und Bedeutung der zu beachtenden Vorschriften und die Anfälligkeit des Betriebs für Verstöße gegen diese Bestimmungen (maßgeblich sein), wobei insbesondere solche Fehler eine Rolle spielen können, die bereits in der Vergangenheit gemacht worden sind“.201
139
Hierher gehört insbesondere die Compliance-Verpflichtung des Unternehmens,202 wobei allerdings (noch) streitig ist, ob der Betrieb eines Compliance-Management-Systems bereits eine Rechtspflicht des Unternehmens darstellt oder nur eines von mehreren geeigneten Mitteln zur Wahrnehmung der Aufsichtspflicht ist. Anders sieht es natürlich aus, wenn das Gesetz selbst (vgl. etwa §§ 25a KWG, 33 WpHG, 9, 9a GWG, 64a VAG, 52aff. BImschG) Vorgaben für die Einrichtung eines Compliance- oder Risikomanagements macht.203 Im Hinblick auf die allgemeine Compliance-Verpflichtung des Unternehmens wegweisend sind insoweit die Ausführungen des LG München I in der sog. „Neubürger-Entscheidung“, ausweislich derer die Einhaltung des Legalitätsprinzips und demgemäß die Einrichtung eines funktionierenden Compliance-Systems zur Gesamtverantwortung des Vorstands gehöre. Ein Vorstandsmitglied habe daher im Rahmen seiner Legalitätspflicht dafür Sorge zu tragen, dass ein Unternehmen so organisiert und beaufsichtigt wird, dass „keine Gesetzesverstöße wie Schmiergeldzahlungen an Amtsträger eines ausländischen Staates oder an ausländische Privatpersonen“ erfolgen. Seiner Organisationspflicht genüge ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichte, wobei für den Umfang im Einzelnen Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit zu beachten