Durch den kürzlich veröffentlichten Referentenentwurf zum Verbandssanktionengesetz (VerSanG-E) wurde der Stellenwert eines effektiven Compliance Management System (CMS) in Unternehmen unterstrichen (siehe unseren Blogbeitrag hier). Aber was bedeutet es, ein effektives CMS im Unternehmen zu haben? Welche Parameter sind hierfür notwendig?
Problemaufriss
Compliance gewinnt stetig an Bedeutung. Umso erstaunlicher ist, dass es kein Compliance-Gesetz gibt. Vielmehr sind aus einer Vielzahl an Gesetzen die Regelungen zu extrahieren, die eingehalten werden müssen, um compliant zu sein. Ein wesentlicher Schritt in diese Richtung ist die Installation eines Compliance Management Systems.
Einigkeit besteht darüber, dass die Geschäftsführung für die Errichtung eines effektiven Compliance Management System verantwortlich ist. Zum Teil finden sich entsprechende Regelungen in Spezialgesetzen (der Vorstand einer Aktiengesellschaft nach §§ 76, 93 AktG bzw. den Geschäftsführer einer GmbH nach § 43 GmbHG).
Besonders interessant dürfte sein, dass ein effektives CMS bei der Bemessung von Bußgeldern positiv auswirken kann. In Deutschland richtet sich die Sanktionierung bislang nach § 30 OWiG. Danach kann gegen ein Unternehmen eine Geldbuße verhängt werden, wenn eine Leitungsperson eine Straftat oder Ordnungswidrigkeit begangen hat, durch welche Pflichten des Unternehmens verletzt wurden. Die zuständigen Aufsichtsbehörden haben bislang allerdings sehr uneinheitlich hinsichtlich der Berücksichtigung eines effektiven CMS agiert. Im Mai 2017 hat der BGH (1 StR 265/16) zur Frage einer Bußgeldminderung durch ein effektives CMS Stellung bezogen. Es wurde ausdrücklich betont, dass eine Milderung des Bußgeldes vorgesehen ist, wenn ein effektives CMS installiert wurde. Zudem ist auch entscheidend, ob das Unternehmen in Folge des Verfahrens entsprechende Anpassung vornimmt (hinsichtlich interner Abläufe bzw. Umsetzung entsprechender Gesetze, um vergleichbaren Rechtsverstöße zukünftig entgegenzuwirken). Nicht beantwortet wurden die Fragen, ob bereits Compliance-Bemühungen zu berücksichtigen sind und wie der Begriff des effektiven Compliance Management System zu definieren ist.
Die Vorgaben für ein CMS in den USA und Großbritannien
Compliance-Strukturen werden von Aufsichtsbehörden im anglo-amerikanischen Rechtsraum weitaus fortschrittlicher berücksichtigt als in Deutschland. Da aber viele Unternehmen international tätig sind und gesetzliche Bestimmungen nicht an den nationalen Grenzen anhalten, können auch internationale Compliance-Vorgaben Auswirkungen auf deutsche Unternehmen haben.
In den USA finden sich hierzu sehr detaillierte Reglungen wie die U. S. Sentencing Guidelines. Diese Strafbemessungsvorschriften deklarieren, dass ein effektives CMS zur Strafmilderung führen kann, wenn die Tat aus dem Unternehmen heraus begangen wurde. Für deutsche Unternehmen die sich über den amerikanischen Kapitalmarkt refinanzieren, dürften die Reglungen der US Securities and Exchange Comission (SEC) interessant sein. Diese Börsenaufsichtsbehörde berücksichtigt bei ihren Untersuchungen die Compliance Strukturen des Unternehmens. Den Staatsanwälten wurde mit dem „Evaluation for Corporate Compliance Programs“ eine gesetzliche Möglichkeit an die Hand gegeben, die Angemessenheit und Wirksamkeit eines CMS bei der Strafzumessung zu honorieren.
Auch Großbritannien ist in diesem Bereich sehr fortschrittlich. So gelten mit dem „Bribery Act“ die stärksten Anti-Korruptionsvorschriften weltweit für Unternehmen, die nach englischem Recht gegründet worden oder in Großbritannien tätig sind. Wurden adäquate Compliance-Maßnahmen ergriffen, kann eine Sanktionierung entfallen. Was unter adäquaten Compliance-Maßnahmen zu verstehen ist, wird im „Bribery Act“ ausgeführt: Angemessene Maßnahmen, Verpflichtung der Führungsebene, Risikobewertung, Sorgfältige Auswahl und Überwachung von Geschäftspartnern, interne Kommunikation und die Überwachung der aufgezeigten Maßnahmen.
Das individuelle branchenspezifische CMS
Die Uneinheitlichkeit der Branchen, der Rechtsvorschriften und die Unternehmensstrukturen führen zu einem sehr uneinheitlichen Begriff von Compliance. Daher wird der Begriff Compliance in der Praxis häufig verknüpft mit speziellen Bereichen wie dem Tax-Compliance, IT-Security-Compliance oder etwa Produkt-Compliance. Diese Begriffe umfassen in einem Wort typische Risikofelder eines Unternehmens.
Die Anforderungen, die an ein effektives CMS gestellt werden müssen, sind eng verknüpft mit den verschiedenen Risikofeldern der jeweiligen Branche. Daneben spielen Art, Größe und Organisation des Unternehmens eine entscheidende Rolle. Ferner die Gefährlichkeit des Unternehmensgegenstands, Anzahl der Beschäftigten, zu beachtenden Gesetzen bzw. das Risiko, diese zu verletzen. Das heißt für große Unternehmen eine aufwändigere Compliance-Organisation mit einer zusätzlich (externen) Beratung. Hierauf können kleine Unternehmen unter Umständen verzichten.
Handlungsempfehlung
Der Begriff „Compliance“ ist sehr diffus, ebenso die konkrete Ausgestaltung eines individuellen CMS. Außerhalb Deutschlands finden CMS schon seit Jahren Berücksichtigung bei der Sanktionierung von Compliance-Verstößen. Durch das kommende VerSanG-E wird auch hier eine entsprechende Gesetztessystematik nicht lange auf sich warten lassen. Bis dahin gelten die Ausführungen zur Milderung von Bußgeldern durch die Umsetzung eines effektiven CMS. Diese Reglung zum Bußgeld wird auch unter dem neuen VerSanG-E beibehalten werden. Es bleibt zu hoffen, dass seitens der Legislative Konkretisierungen bezüglich der Errichtung eines effektiven CMS folgen.