Erfolgreich mit Compliance. Barbara Neiger
und kontinuierlichen Verbesserung eines CMS zu sein. Der Umfang, in dem die einzelnen Elemente umgesetzt werden, ist dem Prinzip der Angemessenheit folgend auf die individuellen Besonderheiten der Organisation abzustimmen. Der Standard ist somit auf alle Arten von Organisationen – unabhängig von Größe, Branche, Geschäftstätigkeit oder Rechtsform – anwendbar.
Dieser Kommentar erläutert alle Elemente der ISO 37301 und führt mit zahlreichen Praxistipps an eine schrittweise Umsetzung heran. Durch den ganzheitlichen Ansatz ist ein CMS nach ISO 37301 ein Führungsinstrument des strategischen Managements. Dieses Buch erhebt den Anspruch, die praktische Umsetzung wissenschaftlich zu fundieren, gepaart mit jahrzehntelanger Erfahrung im Aufbau und in der Leitung von komplexen Systemen. Zum Zeitpunkt der Drucklegung dieses Kommentars (Stand Juni 2021) stand eine deutschsprachige Fassung der ISO 37301 noch nicht zur Verfügung. Die Begrifflichkeiten richten sich nach der am 13. April 2021 publizierten englischen Fassung. Die Übersetzungen erfolgten durch die Autorin.
Wie schon der Vorgängerstandard ISO 19600 beruht die ISO 37301 auf einer einheitlichen Vorlage von ISO-Management-System-Standards (ebenso wie z.B. ISO 37001 Managementsysteme zur Korruptionsbekämpfung – Anforderungen mit Leitlinien zur Anwendung) und kann daher in einer integrierten Weise implementiert werden. In diesem Sinne ist der ISO 37301 zu wünschen, dass sie sich – nicht zuletzt wegen der globalen Bekanntheit und Akzeptanz von ISO-Standards – als internationale Benchmark für die angemessene Umsetzung und Verankerung von Compliance in Organisationen aller Arten bewährt.
Ich wünsche allen Leserinnen und Lesern viele hilfreiche Impulse und für Ihre Praxis relevanten Nutzen. Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freue ich mich unter [email protected]!
Wien, im Juli 2021 Barbara Neiger
1 Grundlagen und Rahmenbedingungen
In fünf Kapiteln werden Grundlagen und Rahmenbedingungen für ein Compliance Management System (CMS) nach ISO 37301 dargelegt. Als Erstes muss die Bedeutung des Begriffes „Compliance“ im Zusammenhang mit diesem Praxiskommentar geklärt werden: die Einhaltung von Verpflichtungen, die für eine Organisation aufgrund obligatorischer Bestimmungen und freiwillig eingegangener Selbstverpflichtungen bindend sind. In Kapitel 1.2 werden die rechtlichen Rahmenbedingungen für Compliance in Organisationen anhand von nationalen und internationalen Vorschriften über die (strafrechtliche) Verantwortung von Organisationen für regelwidrige Handlungen ihrer Mitarbeiter erläutert. Die Verpflichtung der Geschäftsleitung zur Errichtung eines der individuellen Situation der Organisation angemessenen CMS basiert auf deren allgemeiner Sorgfaltspflicht als ordentlicher Kaufmann. Wie in Kapitel 1.3 dargelegt, soll ein CMS als Werkzeug des strategischen Managements durch ein planvolles Vorgehen sicherstellen, dass bei der Abwicklung der Geschäftstätigkeit die für die Organisation relevanten Verpflichtungen eingehalten werden. Durch die Vermeidung von Compliance-Verstößen bzw. durch die Verringerung von deren negativen Auswirkungen wird das Erreichen der Ziele einer Organisation unterstützt. Die Abgrenzung des CMS zu Corporate Governance und zu weiteren Führungsinstrumenten, wie einem internen Kontrollsystem (IKS) und einem Risikomanagement-System (RMS), werden anschließend in Kapitel 1.4 besprochen. Kapitel 1.5 gibt einen Überblick über die Positionierung der ISO 37301 als unparteiisches Best-Practice-Instrument zur Sicherstellung von einem wirksamen Compliance-Management in Organisationen.
1.1 Begriffsbestimmung Compliance
Der Begriff „Compliance“ leitet sich vom Englischen „to comply with something“ (etwas erfüllen oder einhalten)[1] ab und bedeutet im Zusammenhang des vorliegenden Handbuches die Befolgung von Regeln durch eine Organisation. Und zwar jener Regeln, die für die Organisation aufgrund rechtlicher oder regulatorischer Bestimmungen bindend sind, also auch jener, deren Einhaltung sich die Organisation freiwillig unterworfen hat.
Damit bedeutet Compliance zunächst einmal nur, dass Verbindlichkeiten eingehalten werden. Das ist nicht neu und ein in Rechtsstaaten immer schon selbstverständliches Prinzip.[2] Compliance umfasst aber auch die Thematik, wie Organisationen die Einhaltung von Regeln durch ihre Organe und Mitarbeiter sicherstellen. Den verantwortlichen Führungskräften obliegt es dabei im Rahmen ihrer Aufsichts- und Sorgfaltspflicht dafür zu sorgen, dass sich die für die Organisation tätigen Personen im täglichen Geschäftsverkehr an relevante Verbindlichkeiten, wie z.B. gesetzliche, behördliche oder aufsichtsrechtliche Vorschriften, Branchenvorgaben und unternehmensinterne Richtlinien oder Verträge und verbindliche zwei- oder mehrseitige Vereinbarungen halten.
Die Verpflichtung zur Einhaltung von relevanten gesetzlichen, behördlichen oder aufsichtsrechtlichen Vorschriften gilt für alle Organisationen. Auch die Beachtung von Branchenvorgaben und organisationsinternen Richtlinien dient nicht einem Selbstzweck, sondern liegt im Interesse der Organisation. Allen Organisationen, unabhängig von ihrer rechtlichen Form, ihrer Größe oder ihrem Tätigkeitsbereich, stehen beschränkte Ressourcen zur Verfügung, die möglichst effizient und effektiv eingesetzt werden müssen. Es ist unrichtig, zu argumentieren, dass das Erfordernis eines solch wirtschaftlichen Handelns nur für auf Gewinn (Profit) gerichtete Organisationen gilt. Auch Not-for-profit-Organisationen haben begrenzte Ressourcen zur Verfügung, mit deren Einsatz das bestmögliche Ergebnis zu erzielen ist. Negative finanzielle Folgen von Non-Compliance in Form von Straf- und Bußgeld-Zahlungen fallen sicher nicht unter die Definition des „bestmöglichen Ergebnisses“.
1.2 Rechtliche Rahmenbedingungen für Compliance in Organisationen
Das angelsächsische Recht (common law wie z.B. in UK, den USA und in anderen Ländern) machte seit jeher keinen grundsätzlichen Unterschied zwischen natürlichen und juristischen Personen. Die Verantwortlichkeit von juristischen Personen für (bestimmte) Straftaten war deshalb in diesem Rechtssystem immer gegeben. In kodifizierten Rechtssystemen (wie z.B. in kontinentaleuropäischen Staaten) gilt ein anderer Grundsatz, nämlich: Societas delinquere non potest – „eine Gesellschaft kann sich nicht vergehen“.[3] Erst die Entwicklungen in den letzten 20 Jahren haben dazu geführt, dass eine Verantwortlichkeit für juristische Personen in diesem Rechtssystem eigens begründet wurde.[4] Zahlreiche zwischenstaatliche Rechtsakte innerhalb und außerhalb der EU verpflichten Mitglieds- und Vertragsstaaten, eine Verantwortlichkeit von juristischen Personen für bestimmte Straftaten vorzusehen.
Der erste Rechtsakt, der eine solche Verpflichtung vorsieht, ist das Zweite Protokoll zum Übereinkommen über den Schutz der finanziellen Interessen der Europäischen Gemeinschaft.[5] Die strafrechtliche Verantwortung von Organisationen wird gefordert, wenn Betrug, Bestechung oder Geldwäsche zu ihren Gunsten von Personen, allein oder als Teil der Organisation der juristischen Person, begangen wurde. Organisationen müssen insbesondere dafür verantwortlich gemacht werden, wenn mangelnde Aufsicht oder Kontrolle die Tat ermöglicht hat. Neben dem Zweiten Protokoll gibt es zahlreiche weitere Rechtsakte, die für ca. 100 Straftatbestände eine Verantwortung von juristischen Personen vorsehen (z.B. Vermögensdelikte wie Betrug, Untreue; Subventionsmissbrauch oder Absprachen bei Vergabeverfahren; Korruptions- und Umweltdelikten; Tatbestände im Urheberrecht, Börsengesetz, Finanzstrafgesetz oder Gesetz gegen den unlauteren Wettbewerb).[6]
Von Rechtsakten außerhalb der EU ist das im Rahmen der OECD geschlossene Übereinkommen für die Bekämpfung der Bestechung ausländischer Amtsträger im internationalen Geschäftsverkehr aus 1997 zu erwähnen. Die Verantwortung von juristischen Personen sehen des Weiteren drei im Rahmen des Europarates abgeschlossene Vereinbarungen vor (Schutz der Umwelt 1998; Cyber-Crime 2001; Terrorismusbekämpfung 2005). Zur Bekämpfung von Geldwäsche werden wirksame, angemessene und abschreckende Sanktionen gegenüber juristischen