04125 3989923  AM ALTENFELDSDEICH 16, 25371 SEESTERMÜHE

Vorgaben und Orientierungshilfen für Compliance Management

Compliance-Organisation als verbandsübergreifende Ausprägung der Leitungsverantwortung

Wie ausgeführt, steht im Fokus prominenter Regelverstöße häufig die Frage nach der Verantwortung der Geschäftsleiter für fehlendes oder mangelhaftes Compliance Management. Denn eine der Besonderheiten von Compliance-Fällen liegt in der Pflicht von Geschäftsleitern, nicht nur das eigene, sondern auch das rechtmäßige Verhalten aller Unternehmensangehörigen sicherzustellen (Legalitäts- bzw. Legalitätskontrollpflicht). Ursprung, Umfang und Grenzen dieser Pflicht sind seit langem prominentem Gegenstand rechtswissenschaftlicher Diskussion und beschäftigen zunehmend die Gerichte.

Allerdings empfiehlt es sich, hierbei zu differenzieren. Die Compliance-Pflicht im Sinne einer Organisationspflicht zur Einhaltung rechtlicher Vorgaben und der Verhinderung regelwidrigen Verhaltens im Unternehmen ist zutreffend als ein allgemeiner, rechtsformübergreifender Grundsatz des Verbandsrechts beschrieben worden, denn sie stellt eine besondere Ausprägung der Leitungsverantwortung dar, wonach jeder Geschäftsleiter im Rahmen seiner sog. Leitungssorgfaltspflicht auf die Normeinhaltung durch den Verband und im Verband zu achten hat. Compliance ist eine rechtsform-, struktur- und größenunabhängige Pflichtaufgabe eines jeden Geschäftsleiters, denn jeder Verband ist so zu organisieren, dass Rechts- und Regelverstöße verhindert werden.

Soweit die Geschäftsleiter nicht selbst und höchstpersönlich für die Erfüllung von Rechtspflichten verantwortlich sein sollen (z.B. im Zusammenhang mit steuer- und sozialversicherungsrechtlichen Anforderungen, datenschutzrechtlichen Vorgaben oder Pflichten im Zusammenhang mit einer Insolvenz), müssen sie entsprechende organisatorische Maßnahmen treffen, um rechtskonformes Verhalten der Unternehmensangehörigen sicherzustellen und Regelverletzungen möglichst zu vermeiden. Dieser Organisationsauftrag der Geschäftsleitung umfasst sowohl die Entscheidung über die Einführung von Compliance-Maßnahmen als auch über die wesentlichen Strategie- und Strukturentscheidungen bezüglich des Compliance Managements. Dieses Kernbestands an Organisationsaufgaben kann sich die Unternehmensleitung nicht entäußern bzw. durch Delegation entziehen.

Dagegen richtet sich die jeweilige Ausgestaltung des Compliance Managements, d.h. Art und Umfang der erforderlichen Compliance-Maßnahmen (einschließlich einer etwaigen „Compliance-Organisation“) stets nach dem individuellen Risikoprofil und den Besonderheiten des jeweiligen Unternehmens oder Verbands. Als relevante Kriterien für die individuelle Ausgestaltung gelten u.a.:

  • Branche bzw. Industriesektor;

  • regulatorisches Umfeld;

  • Unternehmensgröße und Struktur;

  • Kapitalmarktzugang;

  • Geschäftsmodell (insbesondere Vertriebsstruktur);

  • internationale Präsenz bzw. Auslandsaktivitäten;

  • Compliance-Verstöße in der Vergangenheit („Compliance-Historie“), Wahrscheinlichkeit einer Normverletzung.

Abgesehen von besonderen gesetzlichen Organisationsvorgaben für bestimmte Branchen richtet sich der erforderliche Organisationsgrad des Compliance Managements nach der Analyse der oben genannten Kriterien. Diese Analyse beantwortet auch die Frage, ob es einer eigenständigen Compliance-Organisation bedarf oder ob es ausreicht, etwa eine separate Compliance-Funktion bzw. einen Compliance Officer zu bestellen.

Darüber hinaus enthalten Strafrecht und Zivilrecht für alle Unternehmen bestimmte allgemeine Vorgaben für Aufsichts-, Kontroll- und Untersuchungspflichten, welche die Gerichte fallbezogen konkretisiert haben.121 Derartige „Leitplanken“ zur Unternehmensorganisation sind Ausgangspunkt und integraler Bestandteil jedes Compliance Managements.

Vielfalt an Vorgaben und Orientierungshilfen

Zwar enthält das deutsche Recht – mit Ausnahme bestimmter branchenspezifischer Normen – bislang keine speziellen Vorschriften für ein Compliance Management. Allerdings enthalten diverse Rechtsnormen allgemeine Vorgaben und Grundsätze, die bei der Erfüllung der Compliance-Pflicht durch organisatorische Maßnahmen zu berücksichtigen sind. Diese Vorgaben sind durch die Gerichte fallbezogen präzisiert sowie durch Rechtswissenschaft und Rechtspraxis kommentiert worden und bilden ein Muster organisatorischer (Mindest-)Anforderungen für eine ordnungsgemäße Unternehmensführung. Für bestimmte Branchen bestehen darüber hinaus (teils selbst geschaffene) Regelwerke und Verhaltenskodizes, in denen zentrale Compliance-Themen behandelt und Handlungsempfehlungen entwickelt werden. Ferner ist das Thema Compliance seit längerem Regelungsgegenstand verschiedener Standardisierungsorganisationen, zu nennen sind insbesondere der Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW PS 980), die ISO 19600 (Compliance-Management-Systeme) sowie die ISO 37001 (Anti-Korruptions Management-Systeme). Diese Regelwerke und Standards sind grundsätzlich nicht rechtsverbindlich, enthalten aber häufig nützliche Empfehlungen und Leitlinien für die Gestaltung eines auf das jeweilige Unternehmen passenden Compliance Managements. Zudem haben Wissenschaft und Praxis einen Katalog an Mindestanforderungen für ein wirksames Compliance Management entwickelt.

Branchenspezifische Sonderregeln als Erkenntnisquelle

Besondere (aufsichts-)rechtliche Vorgaben für die Einrichtung einer Compliance-Organisation bestehen für Kredit- und Finanzdienstleistungsunternehmen, für Wertpapierhandelsunternehmen sowie für Versicherungsunternehmen. So muss gemäß § 25a KWG ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen, welche die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Eine ordnungsgemäße Geschäftsorganisation im Sinne dieser Vorschrift muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat. Das Risikomanagement umfasst insbesondere die Festlegung einer auf die nachhaltige Entwicklung gerichteten Geschäftsstrategie und einer damit konsistenten Risikostrategie (§ 25a Abs. 1 Nr. 1 KWG), Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit (§ 25a Abs. 1 Nr. 2 KWG) sowie die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision (§ 25a Abs. 1 Nr. 3 KWG).

Für Wertpapierhandelsunternehmen werden diese Organisationspflichten gemäß § 33 WpHG insbesondere durch die Verpflichtung erweitert, eine dauerhafte und wirksame Compliance-Funktion einzurichten. Diese stellt einen wesentlichen Bestandteil des internen Kontrollsystems des Wertpapierdienstleistungsunternehmens im Sinne des § 25a Abs. 1 Satz 3 Nr. 1 KWG dar. Damit ist jedes Wertpapierhandelsunternehmen zur Beschäftigung eines Compliance-Beauftragten verpflichtet, nähere Einzelheiten zur Ausgestaltung der Compliance Funktion ergeben sich aus der Wertpapierdienstleistungs-, Verhaltens- und Organisationsverordnung (WpDVerOV). Neben Auslegungshinweisen seitens der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Konkretisierung der organisatorischen Anforderungen haben kapitalmarktorientierte Unternehmen weitere Vorschriften bzw. aufsichtsbehördliche Empfehlungen zu beachten.

Versicherungsunternehmen haben die Vorgaben des § 29 VAG zu beachten. Gemäß § 29 Abs. 1 VAG müssen Versicherungsunternehmen über ein wirksames internes Kontrollsystem verfügen, das mindestens Verwaltungs- und Rechnungslegungsverfahren, einen internen Kontrollrahmen, eine angemessene unternehmensinterne Berichterstattung auf allen Unternehmensebenen sowie eine Funktion zur Überwachung der Einhaltung der Anforderungen (Compliance-Funktion) umfasst. Zu den Aufgaben der Compliance-Funktion gehört gemäß § 29 Abs. 2 VAG die Beratung des Vorstands in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die für den Betrieb des Versicherungsgeschäfts gelten. Außerdem hat die Compliance-Funktion die möglichen Auswirkungen von Änderungen des Rechtsumfeldes für das Unternehmen zu beurteilen und das mit der Verletzung der rechtlichen Vorgaben verbundene Risiko (Compliance-Risiko) zu identifizieren und zu beurteilen.

Bei den genannten Normen handelt es sich allerdings um spezielle Regelungen im Hinblick auf die besonderen Risiken von Finanz- und Versicherungsdienstleistungen, an die der Gesetzgeber besondere (aufsichts-)rechtliche Anforderungen stellt. Daher besteht weitgehend Konsens, dass diese besonderen Anforderungen und Maßstäbe nicht einfach auf das Compliance Management in Unternehmen außerha1b dieser Industriesektoren übertragen werden können. Ebenso wenig ergibt sich die Verpflichtung zu einer Compliance-Organisation im Wege einer Gesamtanalogie zu diesen (und ausgewählten weiteren) Vorschriften.

Dem steht es allerdings nicht entgegen, die Vorgaben besonderer Branchen als Anschauungsmaterial für Fragen der Ausgestaltung des Compliance Managements zu nutzen. Denn bei allgemeinen Fragen, wie etwa hinsichtlich der Anforderungen an eine wirksame Compliance-Funktion, können die Branchenregelungen und die hierzu verfügbaren Quellen und Kommentierungen eine wertvolle Erfahrungs- und Erkenntnisquelle sein. Dies gilt etwa im Hinblick auf die Unabhängigkeit des Compliance Officers, seine Berichtspflichten und für Regelungen zur Vermeidung von Interessenkollisionen.

Erkenntnisse des Risikomanagements

Wie ausgeführt, besteht zwischen Compliance Management und Risikomanagement ein enger Zusammenhang. So verpflichtet die Vorschrift des § 91 Abs. 2 AktG den Vorstand einer Aktiengesellschaft nach ihrem Wortlaut dazu, geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten. Demnach hat der Vorstand als Gesamtorgan für eine Organisation zu sorgen, welche die Erkennung von bestandsgefährdenden Entwicklungen sicherstellt. Bestandsgefährdende Risiken können auch aus „Non-Compliance“ resultieren: Dies gilt etwa bei hohen Geldstrafen bzw. Bußgeldern, z.B. im Zusammenhang mit Kartellrechtsverstößen oder beim Ausschluss von Projekten öffentlicher Auftraggeber. Existenzbedrohend können auch die geplanten Verbandssanktionen nach dem Regierungsentwurf zum Verbandssanktionengesetz sein.

Zwar ist die Geltungsreichweite von § 91 Abs. 2 AktG („Ausstrahlungswirkung“) für andere Unternehmens- und Verbandsformen im Einzelnen umstritten, doch ist die Pflicht zur Risikoprävention (ebenso wie die Compliance-Organisationspflicht) eine Ausprägung der Leitungssorgfalt der Verbandsleitung und gilt daher grundsätzlich in jeder Unternehmens- und Verbandsform. Jedenfalls in dem Umfang, in dem Risiken aus Rechtsverletzungen bestandsgefährdende Ausmaße annehmen, werden sie durch § 91 Abs. 2 AktG (analog) erfasst. Für die Steuerung der sonstigen (nicht bestandsgefährdenden) Compliance-Risiken bestehen zahlreiche Parallelen zum allgemeinen Risikomanagement, da sich auch für Compliance-Risiken die systematische Identifizierung sowie Analyse und Bewertung mit anschließender Einleitung risikosteuernder Maßnahmen empfiehlt. Dabei sind allerdings die Besonderheiten von Compliance-Risiken zu beachten.

Besonderheiten von Compliance-Risiken

Bei der Steuerung von Compliance-Risiken geht es stets um den Umgang mit menschlichem (Fehl-)Verhalten, welches einer juristischen Bewertung bedarf. Die rechtliche Bewertung durch Gerichte und Behörden ist ein dynamischer Prozess und in unterschiedlichen Rechtsordnungen unterschiedlich ausgeprägt – eine rein rechnerische Betrachtung von Compliance-Risiken erscheint daher nicht angebracht.

Bei der Steuerung von Compliance-Risiken geht es stets um den Umgang mit menschlichem (Fehl-)Verhalten, welches einer juristischen Bewertung bedarf. Die rechtliche Bewertung durch Gerichte und Behörden ist ein dynamischer Prozess und in unterschiedlichen Rechtsordnungen unterschiedlich ausgeprägt – eine rein rechnerische Betrachtung von Compliance-Risiken erscheint daher nicht angebracht.

Eine wesentliche Besonderheit von Compliance-Risiken und Compliance Management besteht zudem darin, dass der staatliche Rechtsdurchsetzungsanspruch grundsätzlich keine wirtschaftliche Risikoabwägung kennt – sog. „nützliche Pflichtverletzungen“ werden rechtlich nicht toleriert und sind regelmäßig Compliance-Verstöße. Wie das oben erwähnte Urteil des Landgerichts München bestätigt hat, können insbesondere regionale Geschäftsgepflogenheiten in anderen Ländern in keinem Fall Bestechungshandlungen rechtfertigen. Die Leitgedanken dieser Entscheidung – Organisationspflicht zur Vermeidung von Rechtsverstößen in Abhängigkeit von dem jeweiligen Compliance Risikoprofil – lassen sich grundsätzlich auf alle Unternehmen und Verbände übertragen. Es empfiehlt sich daher, auf Basis der vielfältigen Organisationsanforderungen der Rechtsordnung eine unternehmensspezifische Risikoinventur als Ausgangspunkt für das Compliance Management zu wählen (siehe unter 57ff.) und dabei die Besonderheiten von Compliance-Risiken zu beachten.

Berücksichtigung integrativer Perspektiven (Beispiel GRC-Ansatz)

Hilfreich für die Konzeption und Weiterentwicklung von Maßnahmen des Compliance-Risiko-Managements kann die Berücksichtigung ganzheitlicher bzw. integrativer Perspektiven sein. So wurde in der Betriebswirtschaftslehre ein integrierter Managementansatz von Governance, Risk und Compliance (sog. GRC-Ansatz) entwickelt. Wenngleich nicht alle Unternehmen über eigenständige Kontroll-, Risikomanagement- und Compliance-Funktionen verfügen, erscheint es sinnvoll, über die wirkungsvolle Verknüpfung der durch diese Funktionen institutionalisierten Prozesse nachzudenken. So sollen nach dem Model der „Three-Lines-of-Defense“ in erster Linie bei den operativen Unternehmenseinheiten adressiert, in zweiter Linie durch das Risikomanagement und die Compliance Funktion und in dritter Linie durch die interne Revision verhindert bzw. gesteuert werden. Daraus lässt sich die Notwendigkeit eines differenzierten und abgestuften Prozesses für die Steuerung von Compliance-Risiken ableiten und insbesondere die Notwendigkeit einer Einbettung des Compliance-Risikomanagements in die relevanten Geschäftsprozesse.

Anforderungen an Aufsichts- und Überwachungsmaßnahmen § 130 OWiG

Auch aus dem Gesetz über Ordnungswidrigkeiten, insbesondere aus § 130 OWiG, lassen sich allgemeine Anforderungen für das Compliance Management ableiten. Die Vorschrift gilt rechtsformübergreifend für alle Verbände. Nach § 130 OWiG handelt ordnungswidrig, wer als Inhaber eines Betriebs oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Der Normadressat hat seine Aufsichtspflichten dabei so zu erfüllen, dass grundsätzlich sämtliche betriebsbezogene Pflichten eingehalten werden. Die Gerichte haben in langjähriger Entscheidungspraxis die relevanten Pflichten nach § 130 OWiG konkretisiert. Daraus folgt zwar bislang keine ausdrückliche Verpflichtung zu einer bestimmten Compliance-Organisation, wohl aber ergeben sich konkrete Anforderungen an die Erfüllung der geforderten Aufsichtspflichten, etwa hinsichtlich der sorgfältigen Auswahl und Bestellung von Aufsichtspersonen, ihrer Instruktion und Überwachung sowie hinsichtlich der Untersuchung, Aufklärung und Sanktionierung von Verstößen. In den Regelungen zur Haftung des Aufsichtspflichtigen (§§ 130, 9 OWiG) und zur Haftung des Unternehmens bei Fehlverhalten von Aufsichtspflichten (§§ 30, 130, 9 OWiG) wird daher eine zentrale Rechtsgrundlage für Compliance gesehen.

Vorgaben der Unternehmensorganisationspflichten und Garantenpflichten

Eine weitere Quelle für die Konkretisierung der Compliance-Pflicht ist die Rechtsprechung zu den sog. Unternehmensorganisationspflichten. Die Gerichte haben auf der Basis deliktsrechtlicher Verkehrssicherungs- und Organisationspflichten sowie strafrechtlicher Garantenpflichten umfangreiche Anforderungen entwickelt, für deren Verletzung die Unternehmen (sowie unter bestimmten Umständen auch die Geschäftsleiter persönlich) haften. In einer umfangreichen Kasuistik wurden zahlreiche Organisationspflichten statuiert: Hierzu zählen u.a. Pflichten zu ordnungsgemäßer Betriebsorganisation, Informationsversorgung, Risikosteuerung, Delegation, Instruktion, Überwachung und Kontrolle sowie Dokumentation.

Compliance-Standards als Orientierungshilfe (Beispiel IDW PS 980)

Compliance steht zudem seit geraumer Zeit auch im Blickfeld diverser Organisationen und Verbände, die Standards und Leitlinien zu Compliance bzw. zu Compliance-Management Systemen (CMS) veröffentlicht haben. In der Praxis ist insbesondere der vom Institut der Wirtschaftsprüfer in Deutschland (IDW) verabschiedete Standard „Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen“ (IDW PS 980) stark verbreitet, welcher sog. „Grundelemente“ eines CMS formuliert hat. Dazu zählen zunächst die Compliance-Kultur als Grundlage für die Angemessenheit und Wirksamkeit des CMS und die von dem gesetzlichen Vertreter festgelegten Compliance-Ziele. Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, die Verstöße gegen einzuhaltende Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Basierend auf der Beurteilung der Compliance-Risiken wird ein Compliance-Programm eingeführt, das auf die Begrenzung der Compliance-Risiken und die Vermeidung von Compliance-Verstößen ausgerichtet ist. Das Management regelt die Aufbau- und Ablauforganisation und stellt die notwendigen Ressourcen zur Verfügung (Compliance-Organisation). Die betroffenen Mitarbeiter und Dritte sind über das Compliance-Programm zu informieren (Compliance-Kommunikation). Angemessenheit und Wirksamkeit des CMS sollen in geeigneter Weise überwacht werden (Compliance-Überwachung und Verbesserung). Voraussetzung hierfür ist eine ausreichende Dokumentation des CMS. Die gesetzlichen Vertreter sorgen ferner für die Durchsetzung des CMS, die Beseitigung der Mängel und die Verbesserung des Systems.193 Diese Grundelemente eines CMS entsprechen weitgehend denjenigen Elementen und „Bausteinen“, die als Kernbestandteile eines wirksamen Compliance Managements gelten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf Alle erlauben erklären Sie sich damit einverstanden. Weiterführende Informationen und die Möglichkeit, einzelne Cookies zuzulassen oder sie zu deaktivieren, erhalten Sie in unseren Cookies-Einstellungen.