Strafrechtliche Grundlagen der Compliance-Verpflichtung
STRAFRECHTLICHE KONSEQUENZEN BEI VERSTÖSSEN GEGEN COMPLIANCE-REGELUNGEN KÖNNEN SCHWERWIEGENDE FOLGEN FÜR DAS UNTERNEHMEN UND SEINE VERANTWORTLICHEN HABEN, EINSCHLIESSLICH BUSSGELDER, HAFTUNG UND REPUTATIONSSCHÄDEN
Eine wirksame Compliance-Strategie erfordert eine sorgfältige Analyse der betrieblichen Risiken sowie eine klare Festlegung von Verantwortlichkeiten und Aufgaben innerhalb des Unternehmens. Die Schulung von Mitarbeitern in Bezug auf Compliance-Regelungen und die regelmäßige Überprüfung von Compliance-Systemen sind entscheidende Maßnahmen zur Vermeidung von Strafen und zur Gewährleistung von Rechtskonformität.
Strafrecht: Grundlagen und Anforderungen
Strafrechtliche Grundlagen der Compliance-Verpflichtung
Compliance-Verpflichtungen und rechtliche Verantwortung
Regulatorische Compliance mit Verantwortung steuern
Verbindliche gesetzliche Vorschriften zur Implementierung eines Compliance-Systems bzw. zur Durchführung auch nur einzelner Compliance-Maßnahmen kennt das deutsche Recht - außer in einigen wenigen Spezialbereichen – bislang nicht. Konkrete Vorgaben finden sich etwa im Bereich des Kapitalmarktes. Neben § 33 WpHG, der allgemeine Organisationspflichten für Wertpapierdienstleistungsunternehmen normiert, und der durch die Richtlinie zur Konkretisierung der Organisationspflichten von Wertpapierdienstleistungsunternehmen gern. § 33 WpHG sowie etwa die Wertpapierdienstleistungs-, Verhaltens- und Organisationsverordnung (WpDVerOV) konkretisiert wird, finden sich konkrete Compliance-Vorgaben etwa in § 25a KWG, wonach das erforderliche „angemessene und wirksame Risikomanagement“ eines Kreditinstitutes unter anderem „die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision“ einschließlich einer „Compliance- Funktion“ zu umfassen hat. Weitere sektoral geregelte konkrete Compliance-Verpflichtungen existieren beispielsweise im Bereich des Arzneimittelrechts, hier bei der sog. Pharmakovigilanz, also der laufenden und systematischen Überwachung der Sicherheit von Fertigarzneimitteln. So verpflichtet etwa § 63 b Abs. 2 Nr. 4 des Arzneimittelgesetzes (AMG) den Inhaber der Zulassung eines Arzneimittels, das zur Anwendung bei Menschen bestimmt ist, „ein Risikomanagement-System für jedes einzelne Arzneimittel zu betreiben“ und die von diesen Arzneimitteln ausgehenden Gefahren detailliert zu überwachen.
Eine unmittelbare Verpflichtung zur Compliance ergibt sich auch nicht aus dem neuen Verbandssanktionenrecht. Das Gesetz erkennt zwar die Relevanz eines Compliance-Management-Systems an, insbesondere kann sich die Existenz eines solchen sanktionsmindernd auswirken, es verpflichtet jedoch nicht konkret zur Einrichtung eines Compliance-Management-Systems. Auch führt das Bestehen eines Compliance-Programms nicht unmittelbar zur Sanktionslosigkeit des Unternehmens. Compliance-Maßnahmen finden ausschließlich bei der Auswahl der Art und der Höhe einer Sanktion sowie bei der Prüfung, ob die Voraussetzungen des Absehens von der Verfolgung vorliegen, Berücksichtigung.Nach dem neuen Verbandssanktionenrecht kann das Gericht den Verband jedoch anweisen, bestimmte Vorkehrungen zur zukünftigen Vermeidung von Verbandstaten zu treffen. In Betracht kommen insoweit insbesondere Compliance-Maßnahmen, die zur Verbesserung der Prävention verbandsbezogener Straftaten beitragen sollen.
Eine - gar strafrechtlich basierte - Verpflichtung zur Compliance kann sich insoweit bestenfalls mittelbar aus der sog. Legalitätspflicht, der Pflicht des Unternehmens, geltende Vorschriften einzuhalten, ergeben. Compliance ist aber gerade nicht begrenzt auf die Einhaltung der gesetzlichen Vorschriften; Compliance bedeutet vielmehr weitergehend, dass Unternehmen, ihre Organe sowie die untergeordneten Mitarbeiter im Einklang nicht nur mit den geltenden Gesetzen, sondern auch mit unternehmensinternen Richtlinien, sonstigen Vorgaben sowie etwa vertraglich vereinbarten Verpflichtungen handeln. Eine dahingehende Begriffsbestimmung findet dann auch im Deutschen Corporate Governance Kodex (DCGK) Niederschlag, der Compliance gemäß A.I. Grundsatz 5 des Kodex definiert als die „Einhaltung der gesetzlichen Bestimmungen und der internen Richtlinien“. Der Betrieb eines Compliance-Management-Systems trägt dafür Sorge, dass Rechtsverstöße entweder gänzlich vermieden werden oder im Falle eines Verstoßes zumindest eine adäquate Reaktion des Unternehmens sichergestellt ist. Ziel des Betriebs eines Compliance-Management-Systems ist es insoweit, die - auch strafrechtliche - Haftung des Unternehmens und der Organe im Falle eines Regelverstoßes auszuschließen oder wenigstens die Konsequenzen zu verringern. Neben dem Ziel der Enthaftung der Gesellschaft oder zumindest der Organe hat sich Compliance zwischenzeitlich aber auch als Wettbewerbsfaktor sowie als fester Bestandteil der Außendarstellung eines Unternehmens im Rahmen der sog. „Corporate Social Responsibility“ als sog. „Good Corporate Citizen“ etabliert.
In der Rechtswissenschaft ist es daher immer noch streitig, ob sich aus den - wenigen - bestehenden gesetzlichen Vorgaben eine grundsätzliche Compliance- Verpflichtung für Unternehmen bzw. deren Organe erschließt. Der Begriff der Compliance greift in der Gesetzgebung erst langsam Raum, ausgehend, wie gesagt, von einzelnen sektoralen Regelungen, die sich aufgrund internationaler Verknüpfungen anglo-amerikanischen Vorgaben angenähert haben. Zur Begründung einer konkreten Compliance-Verpflichtung wird daher häufig auf strafrechtliche Normen zurückgegriffen, die das Unternehmen - jedenfalls mittlerweile - zumindest faktisch zwingen, compliant am Markt zu agieren, um die schmerzhaften strafrechtlichen Konsequenzen, die das Unternehmen treffen können und die durchaus auch ein existenzgefährdendes Ausmaß annehmen können, abzuwenden.
Abs. 1 StGB besteht die Möglichkeit der Abschöpfung illegal erworbener Vermögenswerte, womit dem (Unternehmen als) Täter der wirtschaftliche Anreiz zur Tatbegehung genommen werden soll, ihm sollen keine Vermögenswerten Vorteile aus der Tat verbleiben.
In diesem Zusammenhang honoriert die Rechtsprechung jedoch ausdrücklich auch die Existenz eines Compliance-Management-Systems. Ausweislich der Rechtsprechung des Bundesgerichtshofs ist für die Bemessung der Verbandsgeldbuße gern. §§30 Abs. 3, § 17 Abs. 4 Satz 1 OWiG von Bedeutung, inwieweit ein Unternehmen seiner Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management-System installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt ist. Dabei soll es auch eine Rolle spielen, ob das Unternehmen in der Folge eines Verfahrens entsprechende Regelungen optimiert und seine betriebsinternen Abläufe so gestaltet hat, dass vergleichbare Normverletzungen zukünftig verhindert oder jedenfalls deutlich erschwert werden.
Als zentrale strafrechtliche Compliance-Norm wird vielfach § 130 OWiG angesehen. § 130 Abs. 1 Satz 1 OWiG verpflichtet den Inhaber eines Betriebes oder Unternehmens, Aufsichtsmaßnahmen zu treffen, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Sofern der Inhaber vorsätzlich oder fahrlässig die gebotenen Aufsichtsmaßnahmen unterlässt und damit ermöglicht, dass eine Zuwiderhandlung aus dem Unternehmen heraus begangen wird, die durch die Aufsichtsmaßnahmen verhindert oder wesentlich erschwert worden wäre, handelt er ordnungswidrig.
Als zentrale strafrechtliche Compliance-Norm wird vielfach § 130 OWiG angesehen. § 130 Abs. 1 Satz 1 OWiG verpflichtet den Inhaber eines Betriebes oder Unternehmens, Aufsichtsmaßnahmen zu treffen, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Sofern der Inhaber vorsätzlich oder fahrlässig die gebotenen Aufsichtsmaßnahmen unterlässt und damit ermöglicht, dass eine Zuwiderhandlung aus dem Unternehmen heraus begangen wird, die durch die Aufsichtsmaßnahmen verhindert oder wesentlich erschwert worden wäre, handelt er ordnungswidrig.
Unabhängig davon, ob aus den vorbezeichneten Vorschriften nunmehr eine gesetzliche Verpflichtung zur Implementierung eines Compliance-Management-Systems abzuleiten ist oder nicht, dürfte es jedoch unstreitig sein, dass die sog. Non-Compliance jedenfalls faktisch zu einer Haftung des Unternehmens und der Organmitglieder führt, so dass vice versa jedenfalls faktisch eine Pflicht zur Installation eines insbesondere strafrechtsbasierten Compliance-Management-Systems besteht. Da die gelungene Installation sowie der Betrieb eines Compliance-Management-Systems auf der anderen Seite aber durchaus auch zu Vorteilen für die Gesellschaft sowie die Organmitglieder führen kann, etwa bei der Zumessung einer Kartell- oder sonstigen Verbandsgeldbuße, einer Verbandsgeldsanktion sowie bei der Entscheidung über Vergabeausschlüsse oder das sog. blacklisting, besitzt die Einführung und der Betrieb eines Compliance-Management-Systems jedenfalls, wie es in der Literatur bezeichnet wird, rechtliche Relevanz.