Die Einführung von Compliance Management undCompliance Regeln – ein Beitrag zu Reputation und Rendite?
Rechtsanwalt Dr. Stefan Pelny LL.M. (Yale)
© 2012 Dr. Weiland und Partner.
Neuer Wall 8620354 HamburgTelefon: +49 (0)40 / 36 13 07 - 0Telefax: +49 (0)40 / 36 13 07 - [email protected]
Kurfürstendamm 6410707 BerlinTelefon: +49 (0)30 / 20 39 74 - [email protected]
5, rue des Ursins75004 ParisTelefon: +33 (0)1 53 10 89 - 60Telefax: +33 (0)1 53 10 89 - [email protected]
www.weiland-rechtsanwaelte.de
ww
w.m
atri
x-de
sign
.de
| W
P_Ti
tel_
1211
16_P
elny
Die Einführung von Compliance Management und Compliance Regeln – ein Beitrag
zu Reputation und Rendite?
Rechtsanwalt Dr. Stefan Pelny LL.M. (Yale)*
I. Einleitung
1. Der Staatsrechtler und Bestsellerautor Bernhard Schlink hat kürzlich in einem
Interview geäußert:
„Wenn ich Deutschland mit anderen Ländern vergleiche, denke ich immer wieder,
dass es alles in allem verlässlich, sachlich, unideologisch und unkorrupt
funktioniert.“1
Die von Schlink – bewusst oder unbewusst – formulierte Einschränkung „alles in
allem“ ist angebracht:
Der von Transparency International veröffentlichte Corruption Perceptions Index
2011 vom 01.12.20112 sieht Deutschland auf dem 14. Platz und damit nur im
europäischen Mittelfeld. Da dieses Ranking jedoch 182 Länder erfasst, vermag es
– für sich genommen – die Aussage von Schlink nicht entscheidend zu schmälern.
Sie wird aber erheblich getrübt, wenn man einer Übersicht der 13 umsatz- bzw.
gewinnstärksten deutschen Unternehmen3 nachgeht und dabei feststellt, dass die
genannten Konzerne ausnahmslos in Vergangenheit und Gegenwart mit mehr
oder minder schweren Fällen von Wirtschaftskriminalität konfrontiert wurden bzw.
werden.
* Rechtsanwalt Dr. Pelny ist assoziierter Partner der Anwaltskanzlei Dr. Weiland und Partner, Hamburg,
Berlin, Paris 1 Süddeutsche Zeitung Magazin vom 22.06.2012, S. 26, Hervorhebungen hinzugefügt 2 http://www.transparency.de/Tabellarisches-Ranking.2021.98.html ; Süddeutsche Zeitung (fortan:
SZ) vom 09.08.2012, S. 15 3 SZ vom 28.06.2012, S. 19
2
Diese Fälle werden in den folgenden Ausführungen – gestützt auf öffentlich
zugängliche, allerdings nicht verifizierte Quellen – mit der deshalb gebotenen
Distanz referiert. Sie werden um der konkreten Anschauung willen mit einiger
Ausführlichkeit wiedergegeben, um die daraus etwa zu gewinnenden Einsichten
mit hinlänglicher Deutlichkeit zu vermitteln:
a) Volkswagen: 2009 habe die Staatsanwaltschaft gegen zwei VW-Manager sowie
zwei ehemalige Manager der Telekom Tochter T-Systems wegen des Verdachts
der Bestechlichkeit und Bestechung im geschäftlichen Verkehr Ermittlungen
aufgenommen und als deren Ergebnis Anklage erhoben. Die Telekom-Manager
hätten versucht, mit den VW-Managern zu vereinbaren, von Volkswagen Aufträge
über mehrere Hundert Millionen Euro zu erhalten, wenn im Gegenzug T-Systems
den Sponsorenvertrag zugunsten des Bundesligisten VfL Wolfsburg verlängern
würde; Volkswagen ist Haupteigentümer und Geldgeber des VfL Wolfsburg. Beide
Seiten hätten zudem versucht, den Ankauf größerer Ticket-Kontingente des VfL
Wolfsburg zu organisieren.4
b) EON: Über die Jahre habe EON – wie auch andere Unternehmen der
Energiewirtschaft – Stadt- und Kreisräten, die den Aufsichtsräten kommunaler
Energieversorger angehörten, Luxusreisen finanziert.5
c) Daimler: 1998 bis 2008 habe Daimler – den Vorwürfen des US-Justizministeriums
und der US-Börsenaufsicht Securities and Exchange Commission (SEC) zufolge –
Schmiergelder in mindestens 22 Ländern wie beispielsweise China, Russland und
Griechenland gezahlt. Nach einem Vergleichsvorschlag der SEC solle Daimler 94
Millionen Dollar an das US-Justizministerium sowie 91 Millionen Dollar an die SEC
zahlen; Daimler wolle den Vorschlag akzeptieren.6
4 http://www.ndr.de/regional/nierdersachsen/harz/wolfsburg3005.html ; SZ vom 18.07.2012, S. 19 5 http://www.jurablogs.com/de/korruption-nimmt-stetig-zu 6 http://www.sueddeutsche.de/wirtschaft/2.220/usa-korruptionsvorwuerfe-daimler-wegen
3
d) Allianz: 2012 habe eine Summe zwischen sieben und zehn Millionen Dollar in
Rede gestanden, die der Versicherer zahlen solle, um Vorwürfe beizulegen,
derentwegen das US-Justizministerium und die SEC Ermittlungen gegen das
Unternehmen aufgenommen hätten; ihnen liege der Verdacht auf Bestechung in
Indonesien zugrunde. Das US-Justizministerium habe jedoch seine Ermittlungen
eingestellt, die SEC führe sie hingegen fort.7
e) Siemens: Fünf Jahre nach dem 2006 aufgedeckten Schmiergeldskandal bei
Siemens hätten drei – inzwischen verhaftete – Konzernmanager versucht, mit
Schmiergeld an Mitarbeiter des Kuwaiter Energie- und Wasserministeriums an
lukrative Aufträge zu kommen. Das Unternehmen unter der Ägide Löscher habe
sofort durchgegriffen: Es habe den Fall selbst aufgedeckt, die Staatsanwaltschaft
eingeschaltet und sich von den betroffenen Managern getrennt; Schmiergeld sei
gar nicht erst geflossen.8
f) BASF: Spätestens seit 2007 sei dem Chemiekonzern durch Angestellte einer
hessischen Montagefirma – unterstützt von sechs Mitarbeitern des
Chemieunternehmens – durch Betrug und Bestechung ein Schaden von
mindestens einer Million Euro entstanden: Die Montagefirma habe bereits
abgerechnete Leistungen nochmals in Rechnung gestellt und so zweimal kassiert.
Die kollaborierenden BASF-Mitarbeiter seien mit Geld oder Sachleistungen
bestochen worden.9
g) BMW: Ein Abteilungsleiter des Autobauers habe von einem Mitarbeiter eines
sächsischen Zulieferbetriebs 100.000 Dollar Schmiergeld angenommen. Im
Gegenzug habe er bevorzugt an diesen Zulieferbetrieb Aufträge vergeben. Gegen
7 http://www.handelsblatt.com/unternehmen/versicherungen/allianz-us-regierung-beendet 8 http://www.sueddeutsche.de/wirtschaft/schmiergeldskandal-bei-siemens-anklage-gegen 9 http://www.rp-online.de/wirtschaft/unternehmen/millionenschaden-durch-korruption
4
beide ermittele die Staatsanwaltschaft wegen des Verdachts der Bestechlichkeit
und Bestechung im geschäftlichen Verkehr.10
h) Metro: Über die Jahre habe ein Werbeunternehmen 3.5 Millionen Euro
Schmiergeld gezahlt, um im Gegenzug bundesweit und exklusiv DSL-Verträge in
den Märkten des Elektronikhändlers Media Markt anbieten zu dürfen; dessen
Mehrheitsgesellschafter ist der Handelskonzern Metro. Die Staatsanwaltschaft
ermittele gegen 19 Personen, fünf seien verhaftet worden.11
i) Deutsche Telekom: 2005 und 2006 hätten hochrangige Manager von Magya
Telekom – den Vorwürfen des US-Justizministeriums und der SEC zufolge – an
Regierungsmitarbeiter zum einen in Mazedonien 4.88 Millionen Euro und zum
anderen in Montenegro 7.35 Millionen Euro gezahlt. Die Schmiergelder hätten in
Mazedonien möglichen Wettbewerbern den Markteintritt versperren sowie in
Montenegro den Verkauf des dortigen staatlichen
Telekommunikationsunternehmens an Magya Telekom möglich machen sollen.
Die Deutsche Telekom habe es versäumt, ihre 60%ige Tochter Magya Telekom
hinreichend zu kontrollieren. Im Rahmen eines Vergleichs zahle die Deutsche
Telekom 4.36 Millionen Dollar, die Magya Telekom 90.8 Millionen Dollar.12
j) Munich Re: Elf Jahre lang sei die Rückversicherung von ihrem Geschäftspartner,
der in Griechenland ein Gutachterbüro betrieben habe, in Zusammenwirken mit
zunächst einem, später einem weiteren Mitarbeiter der Munich Re betrogen
worden: Das Gutachterbüro sei bei Schadensfällen in Griechenland und Zypern
von den Erstversicherern vorrangig beauftragt worden, die Schäden zu
begutachten. Auf diese Gutachten hin hätten die Erstversicherer die Schäden
geregelt. Zunächst hätten sich die Erstversicherer wegen der Gutachtenkosten an
10 http://www.handelsblatt.com/unternehmen/industrie/dringender-tatverdacht-bmw 11 http://www.wiwo.de/unternehmen/elektronikkette-das-korruptionsdickicht-bei-mediasaturn ;
http://www.focus.de/finanzen/news/unternehmen/korruptionsaffaere-topmanager-von 12 http://www.focus.de/finanzen/news/unternehmen/korruptionsklage-telekom-zahlt-in
5
die Munich Re wenden müssen. Um aber zu erreichen, dass das Gutachterbüro
auf direktem Weg an Geld würde kommen können, habe es später das
Gutachtenhonorar ohne den Umweg über die Erstversicherer abrechnen dürfen.
Dabei habe es zehnfach überhöhte Rechnungen vorgelegt, schon längst
abgeschaffte Provisionen kassiert und sich manchmal seine Arbeit zweimal
bezahlen lassen. Über die elf Jahre sei der Munich Re ein Schaden von grob
gerechnet jährlich einer Million Euro entstanden. In dem Strafverfahren habe das
Landgericht München festgestellt, dass die Versicherung allein in dem nicht
verjährten Zeitraum von Juli 2006 bis Dezember 2010 dem Gutachterbüro vier
Millionen Euro zuviel gezahlt habe. Die aus den Betrügereien generierten Erlöse
hätten sich die Täter geteilt.13
k) Deutsche Bank: An dem jüngst öffentlich gewordenen Finanzskandal um die
Manipulation des sog. Libor-Zinssatzes sei die Deutsche Bank neben anderen
internationalen Kreditinstituten wie Barclays, UBS, Credit Swisse, JP Morgan
Chase und Bank of America beteiligt gewesen.14 Zwischen 2005 und 2009 hätten
die Großbanken niedrigere Zinsen als die tatsächlich gezahlten angegeben und
damit die Kreditkosten im gesamten Finanzsystem verzerrt, teils, um ihre eigenen
Schwächen zu verbergen, teils, um ihre Gewinne zu steigern.15
Zwei Geldhändler der Deutschen Bank seien in die Zinsmanipulationen verstrickt
gewesen; sie seien 2011 suspendiert worden und hätten die Bank mittlerweile
verlassen. Ermittlungen britischer und US-amerikanischer Aufsichtsbehörden 13 SZ vom 07.09.2012, S. 24 14 Die London Interbank Offering Rate, kurz: Libor , stützt sich auf die täglichen geschätzten
Angaben von 18 Großbanken, in denen sie dem Londoner Bankenverband mitteilen, zu welchen Zinssätzen sich Banken untereinander Geld leihen könnten. Aufgrund dieser Angaben fixiert London den weltweit geltenden Durchschnittszinssatz – eben diesen Libor. Er wird als „Vater aller Zinssätze“ bezeichnet und dient als Durchschnittszinssatz für Finanzgeschäfte, über deren Umfang zwischen 250 Milliarden Dollar, 300 Milliarden Dollar und 360 Milliarden Dollar erheblich voneinander abweichende Schätzungen genannt werden. SZ vom 05.07.2012, S. 19; SZ vom 10.07.2012, S. 4, S. 17; SZ vom 14./15.07.2012, S. 26; SZ vom 16.07.2012, S. 17; SZ vom 18.07.2012, S.17; DER SPIEGEL vom 23.07.2012, S. 64; DER SPIEGEL vom 30.07.2012, S. 65 ff.
15 SZ vom 16.07.2012, S. 17
6
gegen 16 Kreditinstitute seien im Gang, darunter gegen die Deutsche Bank; auch
die deutsche Finanzaufsicht Bafin habe eine Sonderprüfung bei der Deutschen
Bank eingeleitet.16
Als erste Bank habe Barclays die Zinsmanipulationen öffentlich eingeräumt und
sich mit den britischen und US-amerikanischen Aufsichtsbehörden auf eine
Geldbuße von 500 Millionen Dollar geeinigt.17
Morgan Stanley, die US-amerikanische Investmentbank, die selbst nicht in den
Finanzskandal verwickelt sei, beziffere die möglichen Gesamtforderungen durch
Aufsichtsbehörden und geschädigte Kunden auf 22 Milliarden Dollar. Der
Deutschen Bank drohe eine Strafe von mehr als einer Milliarde Dollar.18
Mögliche Kartellstrafen, die sowohl in Europa als auch in den USA anfallen
könnten, seien noch nicht berücksichtigt worden. Sie könnten ebenfalls auf
Milliardenhöhe steigen, falls die Behörden zu dem Schluss kommen sollten, dass
Marktabsprachen stattgefunden hätten.19
„Es ist schwer, sich einen größeren Fall als Libor vorzustellen“, zitiert die New
York Times einen Ermittler.20
l) SAP: Das US-Justizministerium habe Urheberrechtsverletzungen untersucht,
welche die US-amerikanische – inzwischen liquidierte – SAP-Tochter
TomorrowNow an dem Unternehmen Oracle begangen habe. Nach jahrelangen
Ermittlungen habe das US-Justizministerium es als erwiesen angesehen, dass
TomorrowNow illegal auf Oracle-Datenbanken zugegriffen habe. Um
16 SZ vom 10.07.2012, S. 17; SZ vom 04./05.08.2012, S. 28; DER SPIEGEL vom 30.07.2012, S.
65 ff. 17 SZ vom 16.07.2012, S. 17; SZ vom 04./05.08.2012, S. 28 18 SZ vom 14./15.07.2012, S. 26 19 SZ vom 14./15.07.2012, S. 26 20 Zitiert nach SZ vom 16.07.2012, S.17
7
strafrechtlichen Konsequenzen zu entgehen, habe sich SAP zur Zahlung von 20
Millionen Dollar bereit erklärt.
Darüber hinaus seien Oracle in einem Zivilgerichtsverfahren nach einem
umfassenden Schuldeingeständnis von SAP 1.3 Milliarden Dollar Schadenersatz
zugesprochen worden, die später vom Berufungsgericht auf 272 Millionen Dollar
reduziert worden seien. Anschließend hätten sich jedoch Oracle und SAP auf eine
Summe von 426 Millionen Dollar geeinigt21; in der Zwischenzeit aber habe Oracle
das Zivilgerichtsverfahren wieder aufgenommen und Berufung eingelegt22.
m) Bayer: 2009 habe ein Pharmareferent, der in der portugiesischen Tochter von
Bayer gearbeitet habe, angekündigt, in der Hauptversammlung der Bayer AG die
korrupten Praktiken ihres portugiesischen Tochter-Unternehmens offenzulegen:
Bei seiner Einstellung sei er darauf aufmerksam gemacht worden, dass ihm zur
„Verkaufsförderung“ hohe Summen zur Verfügung stünden, um mit Urlaubsreisen
und Geldgeschenken die Verschreibungen von Ärzten zu beeinflussen. Er sei
entlassen worden, weil er die schwarzen Kassen des Konzerns nicht genutzt
habe.
Die portugiesische Staatsanwaltschaft habe auf die Anzeige des
Pharmareferenten hin umfangreiche Ermittlungen durchgeführt. Aufgrund enger
Verbindungen von Bayer zur portugiesischen Politik sei das Unternehmen jedoch
nur zu kleineren Geldstrafen verurteilt worden.23
2. Diese Fälle führen zu einer Reihe von Erkenntnissen, die durchweg auf die
Notwendigkeit von effektiver Compliance und deren effizienter Umsetzung
hinweisen; nicht wenige der geschilderten wirtschaftskriminellen Handlungen
21 http://www.spiegel.de/wirtschaft/unternehmen/datenaffaere-sap-will-streit-mit-millionenzahlung ;
SZ vom 04./05.08.2012, S. 26 22 SZ vom 05.09.2012, S. 24 23 http://www.cbgnetwork.org/2898.html
8
hätten dann wahrscheinlich aufgedeckt werden können, wie etwa der dargestellte
Siemens-Fall zeigt.
a) Es ist zunächst augenfällig, dass die hier wiedergegebenen Fälle sowohl in
Hinblick auf die Straftatbestände als auch in Hinsicht auf die Straftäter als auch mit
Bezug auf die erlittenen finanziellen Verluste einander gleichen; diese
Gleichartigkeit hätte helfen können, die Straftaten zu entdecken.
Die Straftatbestände sind im Wesentlichen auf eine relativ begrenzte Anzahl von
Delikten beschränkt: Korruption insbesondere in Verbindung mit Bestechung und
Bestechlichkeit sowie Vermögensdelikte wie Betrug, Untreue und
Urheberrechtsverletzung.
Die Straftäter sind gewöhnlich als Täter oder Mittäter im Unternehmen selbst
aufzufinden, von wo aus sie mit Straftätern außerhalb des Unternehmens
kollaborieren.
Die finanziellen Verluste, die das Unternehmen in Form von Vermögensschäden,
Strafen, Bußen und Schadenersatz erleidet, sind häufig von enormer Höhe. Das
ist vor allem dann der Fall, wenn Mitarbeiter eines deutschen Unternehmens die
Straftat im Ausland begehen.
b) Es wäre hingegen unzutreffend, aus den geschilderten Fällen den Schluss zu
ziehen, dass lediglich Großkonzerne wie die hier genannten Unternehmen mit
Fällen von Wirtschaftskriminalität konfrontiert werden. Vielmehr sehen sich auch
mittelständische Unternehmen wirtschaftskriminellen Handlungen ausgesetzt,
insbesondere dann, wenn ihre Geschäftsfelder verzweigt sind, vor allem, wenn sie
ins Ausland expandieren. Infolgedessen sind auch mittelständische Unternehmen
gefordert, ein wirkungsvolles Compliance Management einzurichten und zu
organisieren sowie risikobezogene Compliance Regeln einzuführen und zu
9
kommunizieren. Dies gilt umso mehr, als anderenfalls gerade mittelständische
Unternehmen Haftungs- und Schadensrisiken laufen, die gegebenenfalls die
Existenz des Unternehmens gefährden können.24 Indessen wird in einem späteren
Kapitel25 behandelt werden, dass die Umsetzung von Compliance im Mittelstand
„nicht nur anders angegangen werden kann als in Großkonzernen, sondern auch
anders angegangen werden sollte …“26
c) Es wäre ebenfalls unrichtig, zu vermuten, dass die beschriebenen Fälle von
Wirtschaftskriminalität, die in den Medien auf ein vernehmbares Echo gestoßen
sind, deutschen Unternehmen den Anstoß gegeben hätten, nunmehr ein
Compliance Management einzurichten und Compliance Regeln zu
implementieren. Vielmehr lassen deutsche Unternehmen insoweit einen
erheblichen Nachholbedarf erkennen:
Einer im Februar 2010 von PricewaterhouseCoopers und der Martin-Luther-
Universität Halle-Wittenberg herausgegebenen Studie27 (fortan: PwC-Studie) liegt
die Befragung der für Compliance zuständigen Mitarbeiter in 500 deutschen
Großunternehmen zugrunde.28 Da die PwC-Studie jedoch Betriebe mit 1.000 bis
5.000 Beschäftigten einbezogen hat29 und Unternehmen mit Jahresumsätzen von
ein bis zwei Milliarden Euro sich selbst als Mittelstand betrachten30, dürften die in
der PwC-Studie herausgefundenen Ergebnisse auch dem Bild in mittelständischen
Unternehmen annähernd entsprechen.
24 Bernd Saitz, Compliance in mittelständischen Unternehmen – Theoretische Anforderungen und
pragmatische Ansätze zur Umsetzung, in: Wieland/Steinmayer/Grüninger (Hrsg.), Handbuch Compliance-Management, 2010 (fortan: Handbuch), S. 147 ff., S. 148
25 Siehe unten Ziff. IV 26 Saitz, a. a. O. (Anm. 24), S. 152 27 Nestler/Salvenmoser/Bussmann, Compliance und Unternehmenskultur. Zur aktuellen Situation in
deutschen Großunternehmen (fortan: PwC-Studie 2010) 28 PwC-Studie 2010, a. a. O. (Anm. 27), S. 45 29 Dies., S. 22 30 Saitz, a. a. O. (Anm. 24), S. 150
10
Danach stieg, verglichen mit einer PwC-Studie aus dem Jahr 2007, die Zahl der
deutschen Unternehmen, die ein Compliance Management eingerichtet und
Compliance Regeln eingeführt haben, um lediglich drei Prozentpunkte auf 44 %.
Über die Hälfte der Unternehmen (56 %) haben keine entsprechenden Initiativen
in die Wege geleitet; von denen haben das wiederum 57 % in den nächsten zwei
Jahren auch nicht vor.
Als Begründung für diese Verweigerung werden seitens der Befragten
unverhältnismäßiger Aufwand (54 %), vermehrte Bürokratie (58 %) und hohe
Kosten (53 %) genannt. Außerdem wird befürchtet, dass Unruhe im Unternehmen
(34 %) und Misstrauen in der Belegschaft (39 %) entstünden. Dabei wird offenbar
nicht berücksichtigt, dass dort Argwohn und Besorgnis erst recht dann um sich
greifen, wenn das Unternehmen auf Wirtschaftsstraftaten stößt, die im Betrieb
selbst oder dessen Umfeld begangen worden sind, ohne dass Compliance
Management installiert und Compliance Regeln implementiert worden waren, die
dem hätten begegnen können.31
Ebenso wenig werden anscheinend die durch Wirtschaftskriminalität verursachten
Schäden bedacht: Nach den Ergebnissen des Global Economic Crime Survey von
PricewaterhouseCoopers aus dem Jahr 2007 hatten deutsche Unternehmen auf
Wirtschaftsstraftaten zurückzuführende finanzielle Verluste von durchschnittlich
über 1.04 Millionen Euro pro Unternehmen zu tragen.32
31 PwC-Studie 2010, a. a. O. (Anm. 27), S. 3, S. 17 32 Zitiert nach Kai-D. Bussmann, Compliance in der Zeit nach Siemens – Corporate Integrity, das
unterschätzte Konzept, Betriebswirtschaftliche Forschung und Praxis (BFuP), 2009, S. 506 ff., S. 507 f.
11
II. Die Grundlagen von Compliance
1. Ziele
Einer aussagekräftigen Definition von Compliance sind deren Ziele zugrunde zu
legen. Zunächst und in erster Linie soll Compliance sicher stellen, dass im
Unternehmen die einschlägigen Rechtsvorschriften eingehalten werden. In Verfolg
dieses juristischen Ziels soll Compliance Vorkehrungen in zwei Richtungen treffen:
Erstens soll der Ruf des Unternehmens geschützt und dadurch verhindert werden,
dass Geschäftsbeziehungen abgebrochen, Kunden verloren, öffentliche
Ausschreibungen versperrt werden, dass Marktanteile zurückgehen, die
Kapitalmarktbewertung sich verschlechtert, kurz: dass die Wettbewerbsfähigkeit
abnimmt. Alles in allem betrachtet soll Compliance verhindern, dass letzten Endes
die Reputation und die Rendite des Unternehmens sinken.
Ein prägnantes Beispiel für Einbußen an Reputation und – wie zu vermuten – auch
an Rendite bietet der Sex-Skandal bei dem Ergo-Versicherungskonzern, der in
den Medien auf weithin vernehmbaren Widerhall gestoßen ist:
Danach seien am 05.06.2007 100 Vertreter der Ergo-Versicherungsgruppe, die
zwischen November 2006 und April 2007 die meisten Verträge abgeschlossen
hätten, zu einer Sex-Party in der ungarischen Hauptstadt Budapest eingeladen
worden. Dort sei die „traditionsreiche“ Gellert-Therme gemietet und in ein
„Freiluftbordell verwandelt worden“; etwa 20 Prostituierte seien anwesend
gewesen. Die „Sex-Sause“ habe 83.000 Euro gekostet.
„Wer die Berichterstattung über Ergo in den vergangenen Monaten verfolgt hat,
zweifelt keine Sekunde an einer massiven Vertrauenskrise bei den Ergo-Kunden.
Ergo ist zum Sündenfall der Versicherungsbranche geworden.“
12
Zweitens soll finanziellen Verlusten des Unternehmens entgegengewirkt werden,
die zum einen wegen der Kosten entstehen, die Strafen, Bußgelder und
Schadenersatz verursachen, zum anderen wegen der Kosten, die aus sich
anschließenden Rechtsstreiten und dem monatelangen oder gar jahrelangen
Zeitaufwand des jeweils betroffenen Managements herrühren. 33
2. Rechtsgrundlagen
a) In Deutschland sind die nur hier geschäftlich tätigen Unternehmen34 nicht
gesetzlich verpflichtet, Compliance Management einzurichten und Compliance
Regeln zu implementieren.35 Vielmehr liegt deren Einführung im freien Ermessen
der deutschen Unternehmen.36
33 Stephan Grüninger, Wertorientiertes Compliance Management System, in: Handbuch, a. a. O.
(Anm. 24), S. 39 ff., S. 40 f.; Thomas Knoll/Aram Kaven, Risiko und spezifische Rechtsrisiken, in: Handbuch, a. a. O. (Anm. 24), S. 457 ff., S. 460; Bussmann, a. a. O. (Anm. 32), S. 507 ff.; zum Fall Ergo: http://www.wiwo.de/unternehmen/versicherer/ergo-versicherung-solide-geschäfte-in; http://www.abendblatt.de/wirtschaft/article1894704/Sex-Party-in-Budapest-Skandal; http://www.sueddeutsche.de/wirtschaft/interner-bericht-zum-sex-skandal-der-ergo; http://www.rundschau-online.de/home/sex-partys-ergo-zieht-skandal-bilanz. Laut Auskunft der YouGov Deutschland AG liegen öffentlich zugängliche Absatzpotential-Indices der Ergo-Versicherungsgruppe für die Zeit nach dem Sex-Skandal indes nicht vor. Ergo behauptet jedoch, es seien keine signifikanten Einbrüche zu verzeichnen. http:/www.wiwo.de/unternehmen/versicherer/ergo-versicherung-geschaeftseinbruch-…
34 Siehe dagegen unten Buchst. b und c 35 In der Literatur werden allerdings auch abweichende Auffassungen vertreten. Die rechtlichen
Grundlagen für Compliance seien zum einen die Haftungsbestimmungen des Ordnungswidrigkeitengesetzes zur Haftung der Aufsichtspflichtigen im Unternehmen sowie des Unternehmens selbst bei zurechenbarem Fehlverhalten der Aufsichtspflichtigen und zum anderen die sich aus Spezialnormen ergebenden Haftungsbestimmungen wie etwa das Bundesimmissionsschutzgesetz oder das Geldwäschegesetz. Klaus Moosmayer, Compliance, Praxisleitfaden für Unternehmen, 2. Aufl. 2012, S. 5; Hauschka, Einführung, in: Christoph E. Hauschka (Hrsg.), Corporate Compliance, Handbuch der Haftungsvermeidung im Unternehmen, 2007, S. 8 unter Wiedergabe und gleichzeitiger Ablehnung dieser Auffassungen (fortan: Handbuch Haftungsvermeidung). Rechtsdogmatisch gesehen ist das Konstrukt nicht nachzuvollziehen, wonach unmittelbar geltende allgemeine und spezielle Rechtsnormen gleichzeitig die mittelbare Rechtsgrundlage für Compliance bieten sollen. Diese Rechtsnormen sind allenfalls Beweggründe für die Einführung von Compliance.
36 Roland Steinmeyer/Patrick Späth, Rechtliche Grundlagen und Rahmenbedingungen („Legal Compliance“), in: Handbuch, a. a. O. (Anm. 24), S. 174; Thomas Faust, Compliance-Management – ein Patentrezept gegen Korruption?, ethos, Wirtschafts- und Unternehmensethik
13
Diese Auffassung wird durch den Deutschen Corporate Governance Kodex
bestätigt. Denn in der Präambel des Kodex heißt es:
„… Der Kodex richtet sich in erster Linie an börsennotierte Gesellschaften. Auch
nichtbörsennotierten Gesellschaften wird die Beachtung des Kodex empfohlen. …
… Die Gesellschaften können (erg. von den Empfehlungen) abweichen, sind
dann aber verpflichtet, dies jährlich offen zu legen. Dies ermöglicht den
Gesellschaften die Berücksichtigung branchen- oder
unternehmensspezifischer Bedürfnisse. So trägt der Kodex zur
Flexibilisierung und Selbstregulierung der deutschen Unternehmensverfassung
bei. …“
Darüber hinaus interessiert hier insbesondere folgende Passage des Kodex:
„4.1.3 Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und
der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung
durch die Konzernunternehmen hin (Compliance). ...“37
b) In den USA sind dem Sarbanes-Oxley Act aus dem Jahr 200238 alle Unternehmen
unterworfen, deren Aktien an der New York Stock Exchange gehandelt werden,
und zwar gleichgültig, ob es sich um US-amerikanische oder nicht amerikanische,
also auch deutsche Unternehmen handelt.
in der ökonomischen und politischen Bildung, 2011, S. 5; Eberhard Krügler, Compliance – ein Thema mit vielen Facetten, Umwelt Magazin, Heft 7/8, 2011, S. 50 f.
37 In der Fassung vom 26.05.2010, http://www.corporate-governance-code.de , S. 2, S. 6 Hervorhebungen hinzugefügt
38 http://www.news.findlaw.com/.../sarbanesoxley072302.pdf
14
Das Gesetz trifft in vielerlei Richtungen verschärfte und neue Regelungen für die
Unternehmen sowie deren Überwachungsorgane wie den Board of Directors, das
Audit Committee und den Abschlussprüfer. So muss etwa das Unternehmen mit
den Berichten zum Jahresabschluss einen Internal Control Report vorlegen, der
sich nicht auf die Finanzberichterstattung beschränkt, sondern auf sämtliche
Unternehmensfunktionen erstreckt; der Vorstandsvorsitzende und Finanzvorstand
des Unternehmens müssen in den Quartals- und Jahresabschlussberichten ein
gesondertes Testat zur Finanzberichterstattung abgegeben.39
Der Sarbanes-Oxley Act fordert zwar nicht ausdrücklich die Einführung von
Compliance Regeln.40 Diesem Thema widmen sich aber die US Sentencing
Guidelines, die 1991 wirksam und 2004 (und fortlaufend) überarbeitet wurden41 ,
sowie die 1999 vom US-Justizministerium veröffentlichten Principles of Federal
Prosecution of Business Organizations (fortan: Principles), die 2008 (und ebenfalls
fortlaufend) fortgeschrieben wurden.42
Die Anforderungen an Compliance werden sowohl in den US Sentencing
Guidelines definiert:
„To have an effective compliance and ethics program an organization shall:
(1) exercise due diligence to prevent and detect criminal conduct; and
39 Obermayr, Revision, in : Handbuch Haftungsvermeidung, a. a. O. (Anm. 35), S. 336 ff., S. 343
mit weiteren Einzelheiten 40 Kai-D. Bussmann/Sebastian Matschke, Der Einfluss nationalen Rechts auf Kontroll- und
Präventionsmaßnahmen von Unternehmen – ein Vergleich zwischen den USA und Deutschland -, Zeitschrift für Wirtschafts- und Steuerstrafrecht (Wistra), 2008, S. 88 ff., S. 91 mit weiteren Einzelheiten
41 http://www.ussc.gov/guidelin.htm; Moosmayer, a. a. O. (Anm. 35), S. 7 42 http://www.justice.gov/usao/eonsa/foia_reading_room/usam/title9/28mcrm.htm ; Andrew E.
Reisman, Compliance Management im internationalen Kontext: State of the Art und Herausforderungen, in: Handbuch, a. a. O. (Anm. 24), S. 617 ff., S. 618 f.
15
(2) otherwise promote an organizational culture that encourages ethical conduct
and a commitment to compliance with the law.
Such a compliance and ethics program shall be reasonably designed,
implemented and enforced so that the program is generally effective in preventing
and detecting criminal conduct. The failure to prevent or detect the instant
offense does not necessarily mean that the program is not generally
effective in preventing and detecting criminal conduct.” 43
als auch in den Principles erläutert:
„Compliance programs are established … to prevent and detect misconduct and to
ensure that corporate activities are conducted in accordance with applicable
criminal and civil laws, regulations, and rules.
… While the Department recognizes that no compliance program can ever
prevent all criminal activity by a corporation’s employees, the critical factors in
evaluating any program are whether the program is adequately designed for
maximum effectiveness in preventing and detecting wrongdoing by employees and
whether corporate management is enforcing the program or is tacitly encouraging
or pressuring employees in misconduct to achieve business objectives. …
… Prosecutors should therefore attempt to determine whether a corporation’s
compliance program is merely a ‘paper program’ or wether it was designed,
implemented, reviewed, and revised, as appropriate, in an effective manner. …”44
43 Zitiert nach Reisman, a. a. O. (Anm. 42), S. 620, Hervorhebung hinzugefügt 44 Principles, a. a. O. (Anm. 42), Corporate Compliance Programs, A. General principle,
Hervorhebung hinzugefügt
16
Jenseits ihrer Definition von Compliance sind die Principles für deutsche – in den
USA geschäftlich tätige - Unternehmen von Bedeutung, und zwar egal, ob sie dort
börsennotiert sind oder nicht:
„… However, the existence of a compliance program is not sufficient, in and
of itself, to justify not charging a corporation for criminal misconduct
undertaken by its officers, directors, employees, or agents. … “45
Unabhängig davon also, ob deutsche – börsennotierte und nicht börsennotierte –
Unternehmen, die in den USA geschäftlich agieren, Compliance Management und
Compliance Regeln eingeführt haben – sie sind der strafrechtlichen Jurisdiktion in
den USA unterworfen, wenn auf dem dortigen Territorium eine Tathandlung
begangen worden ist. Moosmayer berichtet, dass in der Praxis der Ermittlungen
durch die US-Justizbehörden hierfür bereits etwa ein Geldtransfer über ein Konto
in den USA oder sogar eine E-Mail-Korrespondenz mit Empfängern in den USA
ausreichen.46
Andererseits aber sind mit unter Umständen relativ günstigen Folgen die US
Sentencing Guidelines für deutsche – in den USA geschäftlich operierende,
börsennotierte und nicht börsennotierte – Unternehmen von Belang – jedoch nur,
wenn sie ein effektives Compliance Management und effiziente Compliance
Regeln eingeführt haben (die bloße Existenz eines „paper program“ reicht den
Principles zufolge nicht aus). Unter dieser Voraussetzung nämlich besteht die
Möglichkeit, der Strafverfolgung zu entgehen oder zumindest die Strafzumessung
positiv zu beeinflussen.47
Möglicherweise haben sowohl diese strafrechtlichen Vorteile, die sich aus den US
Sentencing Guidelines ergeben, als auch der gesetzgeberische Zwang, den der
45 Principles, a. a. O. (Anm. 44), Hervorhebung hinzugefügt 46 Moosmayer, a. a. O. (Anm. 35), S. 7 47 Bussmann/Matschke, a. a. O. (Anm. 40), S. 89
17
Sarbanes-Oxley Act ausübt, eine Vielzahl von US-Unternehmen dazu veranlasst,
Compliance Management und Compliance Regeln einzuführen: Nach einer 2005
von PricewaterhouseCoopers International vorgenommenen Befragung sind dies
83 % der US-Unternehmen in den USA und 75 % ihrer Tochterunternehmen in
Deutschland, im Gegensatz dazu aber nur 54 % der deutschen Unternehmen;48
dieser für Deutschland 2005 herausgefundene Befund ist sogar besser als die in
Jahren 2007 und 2010 erfragten Ergebnisse49.
Es mag sein, dass die Unternehmen in Deutschland bei der Umsetzung von
Compliance den Unternehmen in den USA nachhinken, weil in Deutschland
anders als in den USA die entsprechenden gesetzlichen und weiteren
regulatorischen Bestimmungen fehlen. Wenn diese Schlussfolgerung zutreffend
wäre, würde sie die Vermutung nahe legen, dass es in deutschen Unternehmen an
ökonomischer Vernunft und Weitsicht mangelt – aus drei Gründen:
Erstens: In den USA sind kritische Stimmen dahin zu hören, dass die dortigen
gesetzlichen und weiteren regulatorischen Bestimmungen zu einer staatlichen
Überregulierung geführt hätten. „Mit Sarbanes-Oxley mische sich der Staat in
bisher nicht gekanntem Ausmaße in die Corporate Governance ein.“50 In der Tat
wissen es deutsche Unternehmen offenbar nicht zu schätzen, dass der Deutsche
Corporate Governance Kodex „zur Flexibilisierung und Selbstregulierung der
deutschen Unternehmensverfassung beiträgt“, indem er „den Gesellschaften die
Berücksichtigung branchen- oder unternehmensspezifischer Bedürfnisse
(ermöglicht)“.51
Zweitens: Die geschilderten Fälle von Wirtschaftskriminalität, die in den Medien
auf ein unüberhörbares Echo gestoßen sind, sowie die auf Wirtschaftsvergehen
48 Dies., S. 91 49 Siehe oben Ziff. I 2 Buchst. c 50 Bussmann/Matschke, a. a. O. (Anm. 40), S. 95 51 Siehe oben Ziff. II 2
18
zurückgehenden finanziellen Verluste, die deutsche Unternehmen in Millionenhöhe
zu tragen hatten, sollten für sie – ökonomischer Vernunft folgend – Grund genug
sein, auch ohne gesetzgeberischen und weiteren regulatorischen Zwang
Compliance umzusetzen.52
Drittens: Deutsche Unternehmen sollten sich – ökonomischer Weitsicht folgend –
nicht der Einsicht verschließen, dass das Diktat der Globalisierung (noch)
unterschiedliche Unternehmenskulturen einander angleichen wird und damit auch
die Implementierung von Compliance Management und Compliance Regeln
zunehmend selbstverständlich wird. Dies gilt umso mehr, als die USA als
„Mutterland der Compliance“ bezeichnet werden und deren gesetzgeberische und
weitere regulatorische Bestimmungen als Vorbild auf andere Länder ausstrahlen,
wie etwa Japan, Kanada und Australien.53
Die offenbar uneinheitlich ausgeprägte Sensibilität gegenüber Korruption
bekommen deutsche Manager im Ausland zu spüren. Sie werden gefragt, warum
der Deutsche Bundestag die United Nations Convention Against Corruption
(UNCAC)54 nunmehr neun Jahre nach Unterzeichnung des Abkommens durch
Deutschland immer noch nicht ratifiziert habe, ebenso wenig wie die Länder Japan
und Saudi-Arabien und „sinistre Staaten“ wie Syrien und Sudan. Der allgemein
bekannte Grund hierfür ist, dass CDU/CSU Widerstand leisten, weil sie das
Gesetz gegen Abgeordnetenbestechung nicht verschärfen wollen, was UNCAC
erfordern würde.
Auf diesem Hintergrund haben Präsident und Vizepräsident der Internationalen
Handelskammer Deutschland und weitere 35 Manager wie die Chefs von
Siemens, Telekom und Daimler einen „Brandbrief“ an die Vorsitzenden der
Bundestagsfraktionen gerichtet und die Ratifizierung von UNCAC gefordert: „Das
52 Siehe oben Ziff. I 1 53 Moosmayer, a. a. O. (Anm. 35), S. 7; Bussmann/Matschke , a. a. O. (Anm. 40), S. 91 54 http://www.unodcorg/.../UNCAC/.../08-50026_E.pdf
19
Ausbleiben der Ratifizierung der UNCAC schadet dem Ansehen der deutschen
Wirtschaftsunternehmen in ihren Auslandsaktivitäten.“ Zuletzt hat sich
Bundestagspräsident Lammert dieser Forderung angeschlossen.55
c) In Großbritannien sind dem UK Bribery Act aus dem Jahr 201156 nicht nur in
Großbritannien ansässige Unternehmen, sondern alle dort geschäftlich tätigen
natürlichen und juristischen Personen unterworfen. Das Gesetz richtet sich gegen
Bestechung im öffentlichen und privaten Sektor, und zwar auch, wenn sie mit der
Geschäftstätigkeit des in Großbritannien geschäftlich tätigen Unternehmens nicht
verknüpft ist; dieses haftet dennoch für jedwede Bestechungshandlungen seiner
Mitarbeiter oder beauftragter Dritter. Gegen eine solche Haftung kann sich das
Unternehmen allein mit dem Hinweis auf von ihm eingeführte „adäquate“
Compliance Regeln verteidigen.57
3. Haftungs- und Schadensrisiken
Die verschiedenen allgemeinen und speziellen Haftungstatbestände in deutschen
und ausländischen normativen Regelwerken, deren etwaige strafrechtliche,
ordnungsrechtliche und zivilrechtliche Haftungs- und Schadensfolgen
Unternehmen zu berücksichtigen haben, wenn sie Compliance Management und
Compliance Regeln einführen, sind zwar nicht als Rechtsgrundlage von
Compliance zu bewerten58, wirken sich aber sehr wohl als starke Triebfeder für
deren Umsetzung aus. Die Tatbestände mit deren Haftungs- und Schadensfolgen
sind zahlreich. Deshalb werden hier nur die Tatbestände wiedergegeben, mit
denen Unternehmen am ehesten in der Praxis Gefahr laufen können, konfrontiert
zu werden, hingegen nicht die spezialgesetzlichen Vorschriften, die etwa den
55 SZ vom 09.08.2012, S. 15; DER SPIEGEL vom 13.08.2012, S. 15 56 http://www.legislation.gov.uk/ukpga/2010/23/contents 57 Moosmayer, a. a. O. (Anm. 35), S. 10 f. 58 Siehe oben Ziff. II 2 Buchst. a Anm. 35
20
Finanzdienstleistungssektor, den Umweltschutz oder den Arzneimittelbereich
betreffen.
Zwar müssen Mitarbeiter eines Unternehmens zunächst selbst für die Folgen der
durch sie begangenen Delikte einstehen, also wenn sie etwa in dem weiten Feld
der Korruption gegen den Straftatbestand der Auslandsbestechung verstoßen
haben. Aber wenn in dem Betrieb Delikte in einem Unternehmensmilieu begangen
werden, dem es an hinlänglicher Aufsicht durch die zuständigen
Unternehmensorgane mangelt, dann haften auch diese Organe, deren Mitglieder
und auch das Unternehmen selbst:
a) Gemäß § 130 Ordnungswidrigkeitengesetz (OWiG) i. V. m. §§ 14 StGB, 9 OWiG
können gegen vertretungsberechtigte Organe einer juristischen Person oder
gegen deren Mitglieder Geldbußen verhängt werden, wenn sie vorsätzlich oder
fahrlässig Aufsichtsmaßnahmen unterlassen haben, die erforderlich gewesen
wären, um zu verhindern oder wesentlich zu erschweren, dass Mitarbeiter gegen
betriebsbezogene Pflichten verstoßen, deren Verletzung mit Geldbuße oder Strafe
bedroht ist. Die Regelung des § 130 OWiG wird durch die des § 30 OWiG ergänzt,
wonach gegen das Unternehmen selbst eine Geldbuße verhängt werden kann,
wenn dessen vertretungsberechtigtes Organ bzw. dessen Mitglieder selber
Straftaten oder Ordnungswidrigkeiten begangen und dabei
unternehmensbezogene Pflichten verletzt haben oder das Unternehmen bereichert
worden ist oder werden sollte.
Die Geldbuße kann bis zu einer Höhe von einer Million Euro festgesetzt werden,
kann aber auch wesentlich höher ausfallen, falls dies erforderlich ist, um bei dem
Unternehmen die bei ihm durch die Tat generierten Gewinne abzuschöpfen (§ 30
Abs. 2 und Abs. 3 i. V. m. § 17 Abs. 4 OWiG). Moosmayer berichtet, dass im
21
Siemens-Verfahren Gewinne in dreistelliger Millionenhöhe abgeschöpft worden
seien.59
b) Die zivilrechtlichen Schadenersatzregelungen im Aktiengesetz (AktG) sowie im
Gesetz betreffend Gesellschaften mit beschränkter Haftung (GmbHG)
komplettieren – bezogen auf die jeweilige gesellschaftsrechtliche Rechtsform – die
straf- und ordnungsrechtlichen Regelungen im OWiG; während dieses die Aufsicht
regelt, die Straftaten und Ordnungswidrigkeiten verhindern soll, normieren jene die
Aufsicht, die Schäden für das Unternehmen vorbeugen soll.
Sowohl den Vorstandsmitgliedern sowie den Aufsichtsratsmitgliedern einer
Aktiengesellschaft als auch den Geschäftsführern einer GmbH obliegen
Sorgfaltspflichten, zu deren Kern die Pflicht gehört, für erforderliche Aufsicht und
damit hinreichende Kontrolle im Unternehmen Sorge zu tragen.60
Dementsprechend sind Vorstandsmitglieder, Aufsichtsratsmitglieder und
Geschäftsführer, die diese Pflicht verletzen, der Gesellschaft zum Ersatz des
daraus entstandenen Schadens verpflichtet (§ 93 Abs. 2 AktG; § 116 i. V. m. § 93
Abs. 2 AktG; § 43 Abs. 2 GmbHG).
c) Ungleich drastischer, als die – durchaus fühlbaren – Bußgelder ausfallen, die
Gerichte gemäß dem OWiG verhängen, hat sich die Bußgeldpraxis entwickelt,
nach der die EU-Kommission in Kartellsachen verfährt. Sie habe, berichtet
Moosmayer , in allen Kartellverfahren des Jahres 2007 insgesamt 3.3 Milliarden
59 Moosmayer, a. a. O. (Anm. 35), S. 12 f., der auch auf die Rechtsprechung des 1. Strafsenats
des BGH hinweist, der im Gegensatz zu dessen 5. Strafsenat das „Bruttoprinzip“ vertritt, wonach ohne Abzug etwaiger Aufwendungen alles aus der rechtswidrigen Tat Erlangte herauszugeben ist; würde ein solcher Abzug zugelassen, würde das „Nettoprinzip“ angewandt werden. Pelz, Strafrechtliche und zivilrechtliche Aufsichtspflicht, in: Handbuch Haftungsvermeidung, a. a. O. (Anm. 35), S. 97 ff. mit weiteren Einzelheiten; Michael Volz, Zentrale rechtliche Felder von Compliance: Ein Überblick, in: Handbuch, a. a. O. (Anm. 24), S. 213 ff., S. 216 f. mit weiteren Einzelheiten.
60 Pelz, a. a. O. (Anm. 59), S. 106 ff.
22
Euro an Bußgeldern verhängt und in nur einem Kartellverfahren gegen Hersteller
von Autoglas im November 2008 bereits über 1.3 Milliarden Euro.61
Auf diesem Hintergrund hat der Zuschnitt von Compliance Regeln die Art. 81 und
82 EG-Vertrag besonders in den Blick zu nehmen:
Während nach Art. 82 EG-Vertrag der Missbrauch einer marktbeherrschenden
Stellung verboten ist, sind nach Art. 81 EG-Vertrag Vereinbarungen zwischen
Unternehmen, Beschlüsse von Unternehmensvereinigungen sowie aufeinander
abgestimmte Verhaltensweisen verboten, die den Handel zwischen den
Mitgliedstaaten zu beeinträchtigen geeignet sind und die bezwecken oder
bewirken, den Wettbewerb innerhalb des Gemeinsamen Marktes zu verhindern,
einzuschränken oder zu verfälschen. In Abgrenzung zum nationalen Kartellrecht
muss die jeweilige Vereinbarung oder die abgestimmte Verhaltensweise
zwischenstaatlich erfolgen. Nur dann also, wenn der zwischenstaatliche Handel
nicht beeinträchtigt wird, ist statt Europäischen Kartellrechts nationales Kartellrecht
anzuwenden.62
III. Compliance Management und Compliance Regeln
1. Organisationsstruktur
Die drei Modelle, die in der Frage einer für das Compliance Management
sachgerechten Organisationsstruktur diskutiert werden, lassen erhebliche
Unterschiede erkennen: Nach dem ersten – nennen wir ihn den desintegrierten –
Ansatz werden die Compliance Aufgaben von den verschiedenen Fachabteilungen
des Unternehmens sowie gegebenenfalls dessen ausländischen Niederlassungen
61 Moosmayer, a. a. O, (Anm. 35), S. 13 62 Volz, a. a. O. (Anm. 59), S. 226 ff., S. 230 mit weiteren Einzelheiten auch zum US-
amerikanischen Kartellrecht
23
zusätzlich in jeweils eigener Verantwortung wahrgenommen.63 Dem zweiten –
nennen wir ihn den traditionellen – Ansatz zufolge werden die Compliance
Aufgaben dem Leiter der Rechtsabteilung des Unternehmens übertragen, der in
seiner gleichzeitigen Funktion als Compliance Beauftragter die Compliance
Aufgaben im gesamten, gegebenenfalls auch auslandsorientierten Unternehmen
koordiniert. Dem von ihm geleiteten Compliance Committee gehören die Leiter der
für Rechnungswesen, Personal und Interne Revision zuständigen
Unternehmenseinheiten sowie die der Fachabteilungen des Unternehmens und
gegebenenfalls die der ausländischen Niederlassungen an.64 Nach dem dritten –
nennen wir ihn den integrativen – Ansatz wird eine eigens für Compliance
Aufgaben verantwortliche Organisationseinheit im Unternehmen geschaffen, die
dem allein für diese Aufgabe zuständigen Compliance Beauftragten untersteht. Er
hat mit allen Geschäftseinheiten des Unternehmens im In- und Ausland eng zu
kooperieren, eingeschlossen die, welche für Rechnungswesen, Personal und
Interne Revision verantwortlich sind; dabei dürfen allerdings Interne Revision und
Compliance Management die ihnen jeweils übertragene – voneinander
abgegrenzte – Verantwortung nicht verwischen. Er berichtet ausschließlich und
unmittelbar der Unternehmensleitung, zu der er direkten Zugang hat. Die für ihn in
Betracht kommenden Ansprechpartner sind die Vorsitzenden des Vorstands, des
Aufsichtsrats und insbesondere dessen Prüfungsausschusses; dieser liegt als
Ansprechpartner deswegen nahe, weil zu den Aufgaben des
Prüfungsausschusses u. a. die „Überwachung des Rechnungslegungsprozesses,
der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems
und des internen Revisionssystems“ gehört (§ 107 Abs. 3 AktG).
In diesem Zusammenhang ist darauf hinzuweisen, dass der Compliance
Beauftragte mehr als andere Führungskräfte des Unternehmens Haftungsrisiken
ausgesetzt ist, die es angeraten sein lassen, für ihn und seine Mitarbeiter bei
Übernahme der Funktionen eine Rechtsschutzversicherung abzuschließen, um die 63 Moosmayer, a. a. O. (Anm. 35), S. 36; Bussmann, a. a. O. (Anm. 32), S. 507 64 Moosmayer, a. a. O. (Anm. 35), S. 35 f.
24
gegebenenfalls erheblichen Kostenrisiken abzufedern. So bietet beispielsweise die
Gothaer eine Directors & Officers – Versicherung (D & O) an, aufgrund deren
„Arbeitnehmer in ihrer Funktion als benannte Compliance-Beauftragte“ versichert
werden können.65
Es verwundert, dass die Diskussion über die geschilderten drei Modelle heute
noch andauert. Denn bereits vor rund fünfzig Jahren hat die
Organisationssoziologie die mit betriebsinterner Kommunikation verbundenen
Probleme herausgefunden.
Zum einen die Kommunikationsprobleme, die sich aus der üblichen
Verhaltensweise der Mitarbeiter in Organisationen jedweder Art ergeben können:
„… Even casual observation of the behavior of members of an organization, such
as an industrial firm, a hospital, or a university, reveals its organized character.
The members assemble on schedule, each person engages in a limited number
of activities, the range of interpersonal transactions is restricted…”66
Zum anderen die Kommunikationsprobleme, die sowohl wegen des zeitlichen
Verzugs auf dem Weg zwischen Absender und Adressaten auftreten können:
„… problems in coordination arise because time lags exist within the
communication flow. …“ 65 Ders., S. 34 ff., S. 42 ff.. Der BGH hat die strafrechtliche Haftung des Compliance Beauftragten
bejaht, und zwar unter Bezugnahme auf seine bisherige Rechtsprechung zum „Betriebsbeauftragten“ und in Hinblick auf die festgestellten Umstände der begangenen Tat. Der Angeklagte hatte es nämlich als „Überwachungsgarant“ versäumt, ihm bekannt gewordenes strafbares Verhalten zu beanstanden und den Vorsitzenden des Vorstands und des Aufsichtsrats zu melden. BGH 5 StR 394/08, Urt. vom 17.07.2009, http://www.hrr-strafrecht.de . Es ist also überzogen, dieses Urteil als „einen Paukenschlag für deutsche Compliance-Officer“ zu bezeichnen, die „praktisch mit einem Bein im Gefängnis (stehen)“. Stefan Hirschmann, Paukenschlag für deutsche Compliance-Officer, http://www.risknet.de/risknews/paukenschlag-fuer-deutsche-compliance-officer/b405 . D & O AVB-Gothaer 2013, § 4 Ziff. 4, S. 13
66 Dorwin Cartwright, Influence, Leadership, Control, in: James G. March (Hrsg.), Handbook of Organizations (fortan: Handbook), 1965, S. 1 ff., S. 1, Hervorhebung hinzugefügt
25
als auch jene, die wegen der schriftlicher und verbaler Kommunikation
innewohnenden Fehlerquellen wie Informationsüberflutung und
Übermittlungsfehler zu Lücken in der Kommunikation führen können:
„… if circulation of written memos is not severely restricted, irrelevant memos may
prevent the reading of relevant ones. … the larger the organization, the greater the
problem in insuring that verbal communication be accurate and undistorted. …”67
Diese alten Befunde, die für die Frage relevant sind, welches der drei erörterten
Modelle vorzuziehen ist, um ein effektives Compliance Management zu etablieren,
werden durch eine neue Untersuchung in ein zeitgemäßes Licht gerückt:
Peek und Rode haben sich in einer von Deloitte herausgegebenen Studie
nachdrücklich für einen integrierten Ansatz ausgesprochen.68 Zwar ist diese Studie
speziell auf die Branche der Kreditinstitute ausgerichtet; diese stehe angesichts
der derzeit für die Finanzmärkte entwickelten komplexen Rahmenbedingungen vor
neuen Anforderungen, die auch eine weitere Herausforderung für die Compliance
Aufgaben in den Finanzinstitutionen mit sich brächten. Folgerichtig konzentriert
sich die Studie unter dem Aspekt des integrativen Ansatzes auf die dortige
Integration von Compliance- und Risikomanagement mit dem Ziel, sowohl – schon
heute zahlreiche – bekannte Risiken als auch „neue komplexe Risiken korrekt und
vollständig zu erfassen und zu überwachen“.69 Aber ungeachtet der auf den
Finanzsektor ausgerichteten Empfehlung des integrativen Ansatzes sind die
hierfür vorgebrachten Gründe auch für den gesamten Bereich der Organisation
von Compliance Management von allgemein gültiger Bedeutung.
67 Harold Guetzkow, Communications in Organizations, in: Handbook, a. a. O. (Anm. 66), S. 534
ff., S. 537, S. 539 68 Thomas Peek/Matthias Rode, Compliance im Wandel - Integrated Compliance & Risk
Management als Ansatz für die Zukunft, 2010, http://www.deloitte.com/assets/Dcom-Germany/Local%
20Assets/Documents/09 Finanzdienstleister/2010/de FS R Compliance im Wandel 150410.pdf (fortan: Studie)
69 Dies., S. 1 f.
26
Peek und Rode warnen nämlich in verschiedenen Passagen ihrer Studie davor,
dass ein nicht integrativer Ansatz mangels hinreichender Abstimmung und
Koordinierung zu redundanten Arbeitsprozessen führe, was wiederum zu
steigenden Kosten beitrage, die operativen Geschäftsbereiche zusätzlich belaste
sowie die im Compliance Management tätigen Mitarbeiter überbelaste.70
Aufgrund dieser Erkenntnisse kristallisiert sich mit genügender Klarheit heraus,
welches der drei geschilderten Modelle vorzuziehen ist, um ein funktionsgerechtes
Compliance Management zu organisieren:
Es liegt auf der Hand, dass der desintegrierte Ansatz nicht in Betracht kommen
sollte, weil er die reibungslose Kommunikation zwischen den jeweils zusätzlich für
Compliance Verantwortlichen keineswegs sicher zu stellen vermag, wenn nicht
verhindert – ein ernst zu nehmendes Risiko dann, wenn „große Organisationen die
Herausforderung von Compliance typischerweise innerhalb von
Geschäftsbereichen und außerdem gruppiert in nationalen Rechtsräumen
(abdecken)“.71
Auch der traditionelle Ansatz ist nicht gegen die Gefahr gefeit, dass es in der
Kommunikation zwischen den an Compliance beteiligten Organisationseinheiten
des Unternehmens zu Lücken mit möglicherweise schwerwiegenden Folgen
kommen kann. Hier ist allerdings zu berücksichtigen, dass der traditionelle Ansatz
im Vergleich zum integrativen Ansatz geringere personelle und finanzielle
Ressourcen erfordert, ein gerade für mittelständische Unternehmen wichtiger,
wenn nicht entscheidender Gesichtspunkt.72 Wird also aus diesem Blickwinkel
heraus der traditionelle Ansatz gewählt, dann haben Compliance Beauftragter und
Compliance Committee sicherzustellen, dass in zeitnahen Berichten und
70 Dies., S. 3, S. 11 f., S. 16 71 Dies., S. 3 72 Moosmayer, a. a. O. (Anm. 35), S. 36; siehe unten Ziff. IV
27
regelmäßigen Sitzungen eine möglichst lückenlose Kommunikation zwischen den
Beteiligten gewährleistet wird.
Nach allem liegt nahe, in dem integrativen Ansatz – jedenfalls grundsätzlich – das
Modell zu sehen, das insbesondere aufgrund der ungeteilten Zuweisung der
Leitungsfunktion und der damit korrespondierenden Rechte an den Compliance
Beauftragten am besten geeignet ist, ein effektives Compliance Management im
Unternehmen zu installieren.
Die Aufgaben sind vielfältig, denen sich das Compliance Management zu widmen
hat:
Dessen erste für den Erfolg seiner Arbeit grundlegende Aufgabe ist es, in Hinblick
auf das jeweilige Unternehmen dessen individuelle Risiken einer umfassenden,
gründlichen und präzisen Bewertung zu unterziehen.
Gestützt auf diese Risikoanalyse kann für das Unternehmen ein annähernd
passgenaues und praxisnahes Compliance Regelwerk entworfen, überarbeitet und
beschlossen werden, wobei von vorneherein zu berücksichtigen ist, dass das
Regelwerk nicht so tief in die Details gehen darf, dass die Mitarbeiter von der
Regelungsdichte überfordert sind.
In einem nächsten Schritt ist das Regelwerk in einem breiten
Kommunikationsprozess mit der Unternehmensleitung, den Mitarbeitern im In- und
Ausland, dem Betriebsrat und den Geschäftspartnern zu diskutieren,
gegebenenfalls zu verändern und erst dann zu implementieren. Denn: Regeln, die
man selbst mitdefiniert, werden eher akzeptiert.
28
Wichtig ist weiterhin, dass in der Folgezeit die regelmäßige Anpassung der
Compliance Regeln durch das Compliance Management in von Beginn an
geplanten Zeitabständen vorzusehen ist.
Schließlich hat sich das Compliance Management auf der Basis seiner
Risikoanalyse und im Rahmen seines Regelwerks weiteren Arbeitsfeldern
zuzuwenden: der Kontrolle, etwa notwendigen Sanktionen sowie der Prävention.
2. Risikoanalyse
Eine zielgenaue Risikoanalyse hält sich an den Leitgedanken, nur die Risiken zu
identifizieren und zu bewerten, denen das jeweilige Unternehmen gemessen an
seiner spezifischen geschäftlichen Positionierung ausgesetzt sein könnte; nur so
ist zu vermeiden, dass die auf der Risikoanalyse beruhenden Compliance Regeln
zu einer praxisfernen Überregulierung führen und dementsprechend das im
Compliance Management tätige Personal auch zu hoch veranschlagt wird.73
Die möglichen Risiken sind in zwei Richtungen zu identifizieren:
Zum einen sind die verschiedenen Geschäftsfelder zu konstatieren, in denen das
jeweilige Untenehmen aktiv ist. Komplex aufgestellte Unternehmen sind verglichen
mit einfacher strukturierten Gesellschaften naturgemäß zahlreicheren Risiken
ausgesetzt; dies ist insbesondere dann der Fall, wenn sie auch im Ausland
operativ tätig sind.74 Zum anderen sind die Rechtsvorschriften
zusammenzutragen, die für die ermittelten Geschäftsfelder maßgebend sind.
73 Lampert, Compliance Organisation, in: Handbuch Haftungsvermeidung, a. a. O. (Anm. 35), S.
140 ff., S. 145 74 Moosmayer, a. a. O. (Anm. 35), S. 31. Für den hier besonders relevanten Bereich der
Korruptionsrisiken bietet der Corruption Perceptions Index von Transparency International einen international anerkannten Gradmesser für Korruptionsrisiken in den jeweiligen Ländern. Ders., S. 27; siehe oben Ziff. I 1
29
Gestützt auf die so herausgefundenen Befunde wird sich das Compliance
Management sodann einer Reihe von Fragen stellen müssen; die Antworten
ermöglichen, die vorstellbaren Risiken zu bewerten, das heißt, die
Wahrscheinlichkeit einzuschätzen, ob und inwieweit die Risiken eintreten
könnten.75
Exemplifiziert am Beispiel der Korruptionsrisiken ist etwa an folgende Fragen zu
denken: Erhält das Unternehmen seine wesentlichen Aufträge weniger von
privaten als von öffentlichen Auftraggebern, also aus einer für Korruption eher
anfälligen staatlich/privaten Geschäftsbeziehung verglichen mit einer rein privaten
Geschäftsverbindung? Werden die wesentlichen Aufträge an das Unternehmen in
einem transparenten Ausschreibungsverfahren oder durch eine freihändige
Auftragsvergabe erteilt? Wird das Geschäft direkt zwischen Auftraggeber und
Auftragnehmer abgewickelt oder wird hierfür ein „Geschäftsmittler“ eingeschaltet?
Ist die Kontrolle über die Zahlungsaktivitäten gewährleistet?
Indessen müssen sich alle Unternehmen der Grenzen bewusst sein, vor denen
jede noch so sorgfältige Identifizierung und Bewertung der Risiken steht, denen
die jeweilige Firma in Zukunft ausgesetzt sein könnte. Es ist nicht jedes
Fehlverhalten in dem bzw. gegenüber dem Unternehmen zu verhindern, aber
gegen systematisches Fehlverhalten ist die Gesellschaft durchaus zu wappnen.76
3. Regelwerk
Das Compliance Regelwerk wird im Unternehmen nur dann auf Zustimmung
stoßen, wenn die Unternehmensführung von dessen Notwendigkeit überzeugt ist
und diese Überzeugung auch glaubhaft kundtut. Anderenfalls werden die
Mitarbeiter die Compliance Regeln nicht ernst nehmen. Eine solche Haltung der
75 Knoll/Kaven, a. a. O. (Anm. 33), S. 465, S. 469 ff. 76 Moosmayer, a. a. O. (Anm. 35), S. 25 ff.
30
Unternehmensführung formulierte Peter Löscher, Vorstandsvorsitzender der
Siemens AG, als er öffentlich sagte:
„Only clean business is Siemens business – everywhere – everybody – every time
… Compliance as part of Corporate Responsibility is 1st priority.“77
Diese – ebenso prägnante wie eindeutige – Aussage lässt sich als Vorbild für die
Einleitung der unternehmensethischen Verhaltensregeln denken, die dem ins
Detail gehenden Compliance Regelwerk vorangestellt werden sollten. Die
unternehmensethischen Leitlinien haben zunächst zu bekräftigen, dass sich das
Unternehmen vorbehaltlos an die Rechtsvorschriften hält, die für seine
Geschäftstätigkeit im In- und Ausland maßgebend sind. Sodann aber sollten die
Grundsätze betonen, dass sich das Unternehmen nicht nur geschäftlichem
Rechtsbewusstsein, sondern auch geschäftlicher Fairness verpflichtet fühlt. Paine
bringt diesen Gedanken auf den Punkt:
„Managers would be mistaken … to regard legal compliance as an adequate
means for addressing the full range of ethical issues that arise every day. ‘If it’s
legal, it’s ethical,’ is a frequently heard slogan. But conduct that is lawful may be
highly problematic from an ethical point of view. Consider the sale in some
countries of hazardous products without appropriate warnings or the purchase of
goods from suppliers who operate inhumane sweat-shops in developing countries.
…”78
In dem sodann ins Detail gehenden Compliance Regelwerk sind die für die
Mitarbeiter des Unternehmens im In- und Ausland wesentlichen rechtlichen
Aussagen so zusammenzustellen, dass sie darin auf die mit ihrer tagtäglichen
77 Zitiert nach dems., S. 119 78 Lynn S. Paine, Managing for Organizational Integrity, in: Harvard Business Review, March-April
1994, S. 106 ff., S. 109 f.
31
Arbeit verbundenen Risiken und die sich daraus ergebenden Fragen Antworten
finden.
Zwar werden sich wesentliche rechtliche Aussagen von Branche zu Branche
unterscheiden. Aber jenseits dieser Unterschiede wird auf die für alle Branchen
relevanten rechtlichen Aspekte einzugehen sein, etwa auf solche, die Korruption,
Kartellrecht, Interessenkonflikte (Nebentätigkeiten, Beteiligungen), Zuwendungen
(Spenden, Sponsoring), Insiderregelungen, Datenschutz, Unternehmenseigentum
(Urheberrecht) etc. betreffen.
Abschließend wird das Compliance Regelwerk als für das Unternehmen
verbindlich erklärt und auf Sanktionen bei Verstößen hingewiesen.79
4. Implementierung
Tiefgreifende organisatorische Veränderungen in Unternehmen wie auch die hier
behandelte Einführung von Compliance Management und Compliance Regeln
dürfen von der Unternehmensleitung nicht „par ordre du mufti“ verordnet werden.
Ohnehin scheitern – ganz oder teilweise – mehr als 40 % solcher
organisatorischer Veränderungen, was häufig am passiven Widerstand der
Mitarbeiter liegt.80
Vielmehr bedürfen die Compliance Regeln der jeweils zeitnahen Beratung und
wiederholten intensiven Schulung der Mitarbeiter – ein Schwerpunkt in dem breit
gefächerten Bereich der Aufgaben des Compliance Management.
79 Moosmayer, a. a. O. (Anm. 35), S. 50 f. 80 Miriam Hoffmeyer, Immer dieser Widerstand, SZ vom 18./19.08.2012, S. V 2/9 unter Berufung
auf eine aktuelle Studie des Change-Beratungsunternehmens Mutaree und der Bundeswehr-Universität München
32
Unverzichtbar ist zunächst, dass das Compliance Management in seinem Bereich
eine zentrale Beratungsstelle schafft, die Fragen der Mitarbeiter etwa per E-Mail
beantwortet; dabei stimmt sie die Antworten mit den jeweiligen sachverständigen
Fachabteilungen des Unternehmens ab. Mit diesen Antworten kann im Lauf der
Zeit eine Datenbank aufgebaut werden, der Bausteine für Antworten auf gleiche
oder ähnliche Fragen der Mitarbeiter entnommen werden können. Gleichzeitig
gewinnt das Compliance Management so einen Überblick, welche Compliance
Regeln für die Mitarbeiter besonders relevant oder welche nicht hinreichend
verstanden worden sind.
Gleichermaßen unverzichtbar ist weiterhin, dass das Compliance Management die
Compliance Regeln durch – regelmäßig wiederholte – Schulung der Mitarbeiter
vertieft, insbesondere derjenigen, die den größten Compliance Risiken ausgesetzt
sind. Auf diesem Hintergrund bietet es sich an, Schwerpunkte zu setzen, die sich
an dem typischen Arbeitsalltag der Mitarbeiter orientieren, der von Arbeitsfeld zu
Arbeitsfeld unterschiedlich ist.
Für die Schulungen eignen sich sowohl Präsenzschulungen, die eine offene
Diskussion der Compliance Regeln ermöglichen, als auch Online-Schulungen, die
die Mehrzahl der Mitarbeiter erreichen können. Außerdem sind die direkten
Vorgesetzten der Mitarbeiter gefragt, mit ihnen den Dialog über Compliance zu
führen.
Schließlich sollten Beratung und Schulung durch ein etwa im Intranet
veröffentlichtes Compliance Handbuch ergänzt werden, das die Mitarbeiter
jederzeit zur Hand haben.81
81 Moosmayer, a. a. O. (Anm. 35), S. 52 ff.; Lampert, a. a. O. (Anm. 73), S. 148 ff.; Annette
Kleinfeld/Clemens Müller-Störr, Die Rolle von interner Kommunikation und interaktiver Schulung für ein effektives Compliance-Management, in: Handbuch, a. a. O. (Anm. 24), S. 395 ff., S. 398, S. 407 f.; PwC-Studie 2010, a. a. O. (Anm. 27), S. 24 f.
33
5. Arbeitsfelder
Um ein Unternehmen vor wirtschaftskriminellen Handlungen zu schützen, die
entweder innerhalb des Betriebs in die Wege geleitet oder außerhalb des
Unternehmens in Gang gesetzt werden – allerdings kollaborieren gewöhnlich
Straftäter innerhalb und außerhalb des Betriebs –, ist das Compliance
Management in drei Arbeitsfeldern gefragt: Wirtschaftsstraftaten aufzudecken
(Kontrolle), Ahndung vorzuschlagen und einzuleiten (Sanktionen) sowie
Gesetzesverstößen vorzubeugen (Prävention).
a) Kontrolle
Das Compliance Management wird sich in Abstimmung mit der Internen Revision
zunächst auf unangekündigte Stichprobenkontrollen des Rechnungswesens,
des Einkaufs und des Vertriebs konzentrieren können und etwa folgenden Fragen
nachgehen:
Erfolgten Zahlungen an Geschäftspartner gegen ordnungsgemäße Rechnungen
auf das von ihnen im Rahmen einer Compliance Due Diligence82 angegebene
Konto? Stimmten die Rechnungen mit den geprüften Leistungsnachweisen der
Geschäftspartner überein? Ist es in Zusammenhang mit der Bezahlung von
„Geschäftsmittlern“ oder den Zuwendungen an Dritte (Übernahme von
Reisekosten, Einladungen zu Veranstaltungen) zu Auffälligkeiten gekommen?
Sind Geschäftspartner oder Auftraggeber besonders entgegenkommend
behandelt worden? Sind Vergleichsangebote eingeholt oder außergewöhnliche
Sonderkonditionen eingeräumt worden?83
82 Siehe unten Buchst. c 83 Moosmayer, a. a. O. (Anm. 35), S. 68 f., S. 73, S. 89; Greeve, Korruptionsbekämpfung, in:
Handbuch Haftungsvermeidung, a. a. O. (Anm. 35), S. 469 ff., S. 501 f.
34
Haben sich bei diesen Stichprobenkontrollen Auffälligkeiten oder entdeckte
Missstände oder sogar ein Anfangsverdacht ergeben, ist es geboten, ebenfalls
unangekündigte umfassende Prüfungen der möglicherweise betroffenen
Geschäftsbereiche des Unternehmens in den jeweils zuständigen Abteilungen
durchzuführen.
Verfestigt sich auch nach dieser umfassenden Untersuchung der Anfangsverdacht
zwar nicht zu einem hinreichenden oder gar dringenden Tatverdacht, ist aber der
Anfangsverdacht nach wie vor nicht ausgeräumt, sollte der Vorgang mit Hilfe einer
investigativen Untersuchung abgeschlossen werden.84
Das Compliance Management sollte all diese Anstrengungen sorgfältig
dokumentieren, um gegebenenfalls den Vorwurf unzulänglicher Aufsicht entkräften
zu können.85
Eine solchermaßen schrittweise an Intensität gewinnende Kontrolle führt zu
zweierlei: Zum einen entdecken Unternehmen mit einer hohen Kontrolldichte mehr
Schadensfälle und damit logischerweise auch höhere finanzielle Verluste, vor
allem in den ersten Jahren. Zum anderen können solche Unternehmen auf einen
hohen Abschreckungseffekt setzen: Je mehr potentielle Täter fürchten müssen,
entdeckt zu werden, desto weniger sind sie versucht, wirtschaftskriminelle
Handlungen zu begehen. Eine stringente Kontrolle entfaltet also auch eine
präventive Wirkungskraft. 86
84 Paul von Hehn/Wilhelm Hartung, Corporate Investigation, Independent Investigation, in:
Handbuch, a. a. O. (Anm. 24), S. 569 ff., S. 582 ff.; Alexander Miras, Die Rolle von Compliance Audits zur Aufdeckung von Non-Compliance, in: Handbuch, a. a. O. (Anm. 24), S. 553 ff., S. 564 ff.
85 Lampert, a. a. O. (Anm. 73), S. 153; siehe oben Ziff. II 3 86 Bussmann, a. a. O. (Anm. 32), S. 514; Bussmann/Matschke, a. a. O. (Anm. 40), S. 92
35
b) Sanktionen
Der sich aufgrund hoher Kontrolldichte fortschreitend aufbauende
Abschreckungseffekt verflüchtigt sich jedoch, wenn Mitarbeiter keine
durchgreifenden Sanktionen erwarten müssen, falls sie Compliance Regeln
verletzen, dabei gar Wirtschaftsdelikte begehen. Konsequente Sanktionen speziell
bei Straftaten entscheiden also auch über die präventive Wirkung der Compliance
Regeln.87
„… Wird bekannt, dass man sich mit Non-Compliance ‚die Finger verbrennen’
kann, unterstreicht dies die Intention des Compliance Managements, während
umgekehrt fehlende oder nur halbherzig durchgesetzte Sanktionen dessen
Glaubwürdigkeit massiv untergraben.“88
Hinzu kommt, dass die Compliance Regeln selbst Gefahr laufen, an
Glaubwürdigkeit zu verlieren, wenn deren Verletzung nicht unanzweifelbar
geahndet wird.
Auch bei Verstößen gegen Compliance Regeln ist allerdings der Grundsatz der
Verhältnismäßigkeit zu beachten: Bei einem weniger schwerwiegenden Verstoß,
wie etwa entgegen den Bestimmungen des Compliance Regelwerks eine
Einladung zu Veranstaltungen anzunehmen, können arbeitsrechtliche
Disziplinarmaßnahmen ausreichen. Hingegen ist Strafanzeige zu erstatten, wenn
sich gegen Mitarbeiter der hinreichende oder gar dringende Tatverdacht erhärtet
hat, in Gesetzesverstöße verwickelt zu sein. Anderenfalls verkommt die vielfach
berufene Null-Toleranz-Politik zu einem bloßen Lippenbekenntnis.
Neben einer – zwar angemessenen, aber dennoch rigorosen – Sanktionierung der
Regelverstöße ist auch deren betriebsinterne Kommunikation erforderlich, wenn 87 Grüninger, a. a. O. (Anm. 33), S. 60 88 Kleinfeld/Müller-Störr, a. a. O. (Anm. 81), S. 407
36
auch in anonymisierter Form. Das dient einerseits der Glaubwürdigkeit des
Compliance Managements und baut andererseits der Verbreitung wilder Gerüchte
vor.89
c) Prävention
Es ist bereits darauf hingewiesen worden, dass Kontrolle zugleich präventive
Wirkung erzielt:
„… Indeed, distinguishing control measures from prevention measures is certainly
difficult … because all measures that raise the subjectively perceived risk of
detection are not only controlling in character but may also always be
preventive.”90
Die Prävention, für die die Kontrolle grundlegend ist, lässt sich indes durch weitere
Präventionsmaßnahmen ergänzen:
Zum einen sind die Vergütungs- und Gratifikationssysteme des Unternehmens zu
überprüfen, die für den Mitarbeiter Anreize zu wirtschaftskriminellen Handlungen
bieten könnten.91
Zum anderen hat das Unternehmen bei der Auswahl und Bezahlung der
Geschäftspartner eine besondere Sorgfalt an den Tag zu legen; anderenfalls
können ihm Straftaten dieser Geschäftspartner rechtlich zugerechnet werden. Zu
den Anforderungen an die Achtsamkeit bei der Wahl der Geschäftspartner sollte
89 PwC-Studie 2010, a. a. O. (Anm. 27), S. 28 90 Kai-D. Bussmann, The Control Paradox and the Impact of Business Ethics: A Comparison of US
und German Companies, Monatszeitschrift für Kriminologie und Strafrechtsreform (MschrKrim), 2007, S. 260 ff., S. 268
91 Bussmann, a. a. O. (Anm. 32), S. 515
37
gehören, sie einer Compliance Due Diligence zu unterziehen92, was allerdings
nicht bei allen Partnerschaften verwirklicht wird.
Hierauf hat beispielsweise der Daimler-Konzern bei Ecclestone und dessen
Unternehmen verzichtet – Ecclestone, dem „mächtigsten Mann der Motorsport-
Königsklasse“ – bevor sich Daimler mit 60 % am Formel-1-Team Mercedes
beteiligte. Der Autokonzern reagierte indes sofort auf die Bestechungsvorwürfe
gegen Ecclestone und forderte eine umfassende Aufklärung der Anschuldigungen
unter Verweis darauf, dass die Daimler AG „Hinweisen auf Unregelmäßigkeiten in
unserem Verantwortungsbereich umgehend nach(geht)“ und dass sie ihren
Richtlinien zufolge „keine unmoralischen oder korrupten Praktiken durch
Mitarbeiter oder seitens der Geschäftspartner“ dulde. Folgerichtig sollen in dem ab
2013 geltenden Abkommen zwischen Daimler und Ecclestone erstmals die auch
bei Daimler geltenden Compliance Regeln enthalten sein.93
6. Kosten
Es ist bereits berichtet worden, dass von den 56 % der befragten deutschen
Großunternehmen ohne Compliance und deren Umsetzung (auf mittelständische
Unternehmen einer bestimmten Größe können die Ergebnisse der Befragung
übertragen werden) 53 % wegen der Kosten Compliance noch nicht umgesetzt
haben.94
Demgegenüber ist allerdings bemerkenswert, dass Peek und Rode berichten,
dass zwei von drei Teilnehmern ihrer Umfrage unter führenden deutschen
Kreditinstituten angegeben hätten, die Gesamtkosten ihrer Compliance
Organisation nicht zu kennen.95 Das lässt zumindest die Vermutung zu, dass die
92 Moosmayer, a. a. O. (Anm. 35), S. 2, S. 73 93 SZ vom 27.06.2012, S. 33; SZ vom 13./14.10.2012, S. 28 94 Siehe oben Ziff. I 2 Buchst. c 95 Peek/ Rode, a. a. O. (Anm. 68), S. 3
38
hohe Zahl derer, die Compliance Maßnahmen aus Kostengründen verweigern,
hierfür keine belastbaren Compliance Kosten anführen können, die sie bei
Unternehmen vergleichbarer Branche und Größe hätten abfragen können.
Gleichwohl ist nicht zu bestreiten, dass die ständig zunehmende Zahl gesetzlicher
und anderer regulatorischer Bestimmungen die Anforderungen an Compliance
erhöht und die mit deren Umsetzung verbundenen Kosten steigern kann.
Darüber hinaus verursachen weitere Umstände höhere Compliance Kosten: Zum
einen eine unsystematische Risikoanalyse, welche die Compliance Kosten
deswegen steigert, weil sie nicht zielgenau auf die spezifische geschäftliche
Positionierung des jeweiligen Unternehmens ausgerichtet ist, so dass das
Personal des Compliance Managements partiell überbesetzt ist und die Kontrollen
durch das Compliance Management teilweise überzogen oder gar überflüssig
sind.96 Zum anderen – umgekehrt – mangelhafte Kontrollen, die die Compliance
Kosten ebenfalls steigen lassen, weil der Nachholbedarf das Unternehmen nötigt,
das Compliance Management personell zu verstärken, um dessen aufgestauten
Arbeitsaufwand aufzufangen.
Sam DiPiazza von PricewaterhouseCoopers erläutert das Problem so:
„We … refer to that as a level of deferred maintenance. There was for years …
underinvestment in truly understanding and owning controls, deep into
organizations.”97
Folgerichtig sind Compliance Kosten zu senken, wenn Risikoanalysen verbessert
und Kontrollen verdichtet werden.
96 Siehe oben Ziff. III 2 97 Zitiert nach Stewart Hamilton/Anna Eckardt, The Economics of Compliance, in: Handbuch, a. a.
O. (Anm. 24), S. 89 ff., S. 96; siehe dort auch S. 98, S. 95
39
Im Übrigen ist daran zu erinnern, dass Compliance Kosten stets im Kontext der
finanziellen Belastungen eines Unternehmens zu sehen sind, das gegebenenfalls
Strafen, Bußgelder und Schadenersatz in teilweise immenser Höhe zu leisten hat,
was hätte vermieden oder zumindest reduziert werden können, wenn sich das
Unternehmen auf ein effektives Compliance Management und auf effiziente
Compliance Regeln hätte stützen und gegenüber Vorwürfen hätte berufen können.
Das legt die Annahme nahe, dass die Kosten von Non-Compliance die von
Compliance übersteigen können. Alles in allem ist also die Schlussfolgerung
zutreffend: „Non-compliance does not pay.“98
IV. Compliance in mittelständischen Unternehmen
Die wirtschaftliche Bedeutung mittelständischer Unternehmen ist groß: 89,7 %
aller deutschen Betriebe werden dem Mittelstand zugerechnet, in diesen
Unternehmen arbeiten 70 % aller Beschäftigten und diese Firmen generieren
knapp 50 % der Wertschöpfung.99
Allein dieser Befund bekräftigt die Einsicht, dass sich auch mittelständische
Unternehmen den Anforderungen von Compliance nicht entziehen sollten. Dies gilt
umso mehr, als zwar – so sagt es das Institut für Mittelstandsforschung –
Unternehmen bis zu 500 Mitarbeitern und einem Jahresumsatz bis zu 50 Millionen
Euro zum Mittelstand zu zählen sind100, dass aber – wie an früherer Stelle dieser
Ausführungen festgestellt worden ist – sich auch Betriebe mit bis zu 5.000
Beschäftigten und Jahresumsätzen von ein bis zwei Milliarden Euro als Mittelstand
betrachten.101
98 Dies., S. 100 99 Saitz, a. a. O. (Anm. 24), S. 150 unter Berufung auf die Angaben des Instituts für
Mittelstandsforschung 100 Wikipedia, http://de.wikipedia.org./wiki/Mittelstand 101 Siehe oben Ziff. I 2 Buchst. c
40
Die Compliance Anforderungen an Mittelstandsunternehmen sind indessen nicht
so weit gespannt wie die an Großkonzerne. Das rührt auch daher, dass in
Großunternehmen Führungskräfte gewöhnlich weiter entfernt vom operativen
Geschäft des Unternehmens agieren, während in Mittelstandsunternehmen deren
Führungskräfte laufend in einem engeren Kontakt zum Tagesgeschäft stehen und
infolgedessen ihre Mitarbeiter direkt beaufsichtigen können.
Nicht zuletzt mit Blick auf diesen Gesichtspunkt lassen sich in
Mittelstandsunternehmen verglichen mit Großkonzernen die Compliance
Anforderungen modifizieren und damit die Compliance Kosten senken:
Erstens kann die Risikoanalyse durch das Compliance Management auf
bestimmte – quantitativ begrenzte – Bereiche wie Korruption, Vermögensdelikte
und Wettbewerbsverstöße fokussiert werden. Ist allerdings das mittelständische
Unternehmen im Ausland geschäftlich tätig, muss die Risikoanalyse wegen sich
hieraus etwa ergebender weiterer Risiken vertieft werden.
Zweitens kann sich das Compliance Management selbst den in der Regel weniger
komplexen Organisationsstrukturen im Mittelstand anpassen, indem es sich in den
bestehenden Organisationsaufbau des mittelständischen Unternehmens einbettet:
Der Leiter der Rechtsabteilung in seiner gleichzeitigen Funktion als Compliance
Beauftragter betreut zusammen mit den Leitern der für Rechnungswesen,
Personal und Interne Revision zuständigen Unternehmenseinheiten sowie denen
der Fachabteilungen und gegebenenfalls denen der ausländischen
Niederlassungen die Compliance Aufgaben.
In diesem Zusammenhang sind allerdings zwei widersprüchliche Befunde
bemerkenswert: Zwar wird einerseits angenommen, dass etwa zwei Drittel der
Compliance Kosten auf entsprechende Personalkosten zurückgehen. Aber
andererseits wurde herausgefunden, dass die für Compliance zuständigen
41
Organisationseinheiten personell sehr unterschiedlich besetzt sind – im
Durchschnitt mit nur zehn Mitarbeitern. Bei 12 % der befragten Unternehmen mit
über 5.000 Beschäftigten und bei 34 % derjenigen mit 1.000 bis 5.000
Beschäftigten ist nur ein Mitarbeiter bzw. eine Mitarbeiterin vorgesehen. Hierzu
wird mit Recht festgestellt: „Compliance droht hier zum bloßen Feigenblatt zu
geraten.“102
Drittens kann das Compliance Regelwerk entsprechend dem eingeschränkten
Umfang der Compliance Risiken übersichtlich und der Zeitaufwand für Beratung
und Schulung der Mitarbeiter überschaubar bleiben.103
V. Whistleblowing versus Denunziation
Es wäre unrealistisch, zu meinen, Kontrolle und Prävention würden nicht an ihre
Grenzen stoßen. Die US Sentencing Guidelines und die Principles104 sowie die
Literatur nehmen es in bemerkenswerter Übereinstimmung als in der Natur der
Sache liegend hin: Es sei nicht zu erwarten, „Fehlverhalten im Unternehmen auf
Null zu reduzieren“.105 Oder: Compliance Management könne „nicht als ein
lückenloses Regel- und Kontrollregime verstanden werden“.106 Oder: „Die
berühmte ‚Stecknadel im Heuhaufen’ zu finden (ist) bekannterweise ein sehr
unwahrscheinlicher Vorgang.“107
Diese Aussagen sind zwar lebensnah, werfen aber gleichwohl die Frage nach
Compliance Unterstützung auf, welche die der Kontrolle und Prävention gesetzten
Grenzen zwar nicht aufheben, aber ausdehnen kann. Eine solche Hilfe ist der
Whistleblower oder in der bürokratisch/deutschen Formulierung der Hinweisgeber. 102 Peek/Rode, a. a. O. (Anm. 68), S. 8; PwC-Studie 2010, a. a. O. (Anm. 27), S. 22 103 Saitz, a. a. O. (Anm. 24), S. 151 ff. 104 Siehe oben Ziff. II 2 Buchst. b und die dortigen Hervorhebungen 105 Moosmayer, a. a. O. (Anm. 35), S. 3 106 Grünunger, a. a. O. (Anm. 33), S. 47 107 Josef Wieland, Die Psychologie der Compliance-Motivation, Wahrnehmung und Legitimation
von Wirtschaftskriminalität, in: Handbuch, a. a. O. (Anm. 24), S. 71 ff., S. 72
42
Während im englischen Sprachraum der Begriff des „Whistleblowing“ als Pfiff des
Schiedsrichters verstanden wird, der für Fair Play sorgt, also positiv besetzt ist,
wird im deutschen und französischen Sprachraum der Ausdruck vielfach als
Aufforderung zum „Verpfeifen“ begriffen, ist also mit dem Beiklang von
Denunziation negativ besetzt.108
Diese beiden gegensätzlichen Interpretationen ein und desselben Begriffs werfen
ein scharfes Schlaglicht auf ein Dilemma: Zum einen für die Mitarbeiter (aber auch
für Außenstehende wie etwa Lieferanten), die ungeachtet der allseits berufenen
Unternehmensethik befürchten müssen, von vorneherein als Denunzianten
diskreditiert zu werden, wenn sie Compliance Verstöße in „ihrem“ Unternehmen
melden. Zum anderen für das Compliance Management, das mit Bedacht
vorgehen muss, wenn es die Einführung von Whistleblowing plant und umsetzt;
grundsätzlich ist nämlich nicht zu bestreiten, dass Zivilcourage und
Denunziantentum nahe beieinander liegen109
Auf diesem Hintergrund verwundert es nicht, dass der PwC-Studie 2010 zufolge
nur 34 % der befragten Unternehmen Whistleblowing eingeführt haben und
lediglich 10 % der Betriebe das in den nächsten zwei Jahren vorhaben. Wie zu
erwarten, fürchten 44 % Denunziationen – ein jedoch überschätztes Risiko: 50 %
der Unternehmen, die Whistleblowing nutzen, berichten, es habe in der
Vergangenheit keine einzige Denunziation gegeben; 9 % schätzen die Gefahr von
Denunziationen auf 1 % bis 5 %, weitere 11 % auf 5 % bis 10 %.110
Bestimmungen in Gesetzen und Gesetzentwürfen treffen indes Vorkehrungen für
die Einführung von Whistleblowing; sie nehmen das Risiko der Denunziation
offenbar in Kauf:
108 Kleinfeld/Müller-Störr, a. a. O. (Anm. 81), S. 412 109 Miras, a. a. O. (Anm. 84), S. 555 f. 110 PwC-Studie2010, a. a. O. (Anm. 27), S. 4, S. 35
43
a) So sieht in den USA der Sarbanes-Oxley Act111 in Section 1107 – Retaliation
Against Informants – vor:
„Whoever knowingly, with the intent to retaliate, takes any action harmful to any
person, including interference with the lawful employment or livelihood of any
person, for providing to a law enforcement officer any truthful information … of any
Federal offense, shall be fined under this title or imprisoned not more than 10
years, or both.”
b) In Deutschland treffen verschiedene Gesetze und Gesetzentwürfe ebenfalls
Vorsorge für Wistleblowing, ohne allerdings strafbewehrte Vorschriften zu
enthalten wie der Sarbanes-Oxley Act:
(1) § 37 Abs. 2 Nr. 3 Beamtenrechtsrahmengesetz (BeamtStG) sowie § 67 Abs. 2 Nr.
3 Bundesbeamtengesetz (BBG) sehen für die Beamtinnen und Beamten der
Länder und Kommunen bzw. für die des Bundes Regelungen vor, wonach deren
Verschwiegenheitspflicht mit der Maßgabe aufgehoben wird, dass sie gegenüber
der zuständigen obersten Dienstbehörde, einer von ihr bestimmten weiteren
Behörde bzw. außerdienstlichen Stelle oder schließlich einer
Strafverfolgungsbehörde „einen durch Tatsachen begründeten Verdacht“
(allerdings nur) einer Korruptionsstraftat nach den §§ 331 bis 337 StGB anzeigen.
Während sich Beamtinnen und Beamte immerhin auf diese – wenn auch
eingeschränkten – gesetzlichen Regelungen berufen können, werden
Arbeitnehmerinnen und Arbeitnehmer bislang nicht wenigstens durch
vergleichbare gesetzliche Vorschriften geschützt. Zwar liegen hierfür eine Reihe
von Gesetzentwürfen vor, die aber von den gesetzgebenden Körperschaften bis
jetzt nicht verabschiedet wurden.
111 Siehe oben Ziff. II 2 Buchst. b
44
(2) So will ein gemeinsamer Vorschlag der drei Bundesministerien für Arbeit und
Sozialordnung, für Ernährung, Landwirtschaft und Verbraucherschutz sowie für
Justiz den § 612 a BGB eingefügt wissen. Danach kann ein Arbeitnehmer von
einer zur innerbetrieblichen Klärung zuständigen Stelle Abhilfe verlangen, wenn er
aufgrund konkreter Anhaltspunkte der Auffassung ist, dass im Betrieb
gesetzliche Pflichten verletzt werden. Ist das vorherige Verlangen nach Abhilfe
unzumutbar, kann er sich sofort an eine zuständige außerbetriebliche Stelle
wenden; unzumutbar ist es dann, wenn der Arbeitgeber oder ein anderer
Arbeitnehmer eine Straftat begangen hat.112
(3) Weiterführend als dieser – im Vergleich zu den bundesgesetzlichen Regelungen –
bereits weitergehende Vorschlag ist der Gesetzentwurf der SPD-
Bundestagsfraktion.
Danach können sich Hinweisgeber bei einem Missstand, der tatsächlich besteht
oder den sie, ohne leichtfertig zu sein, annehmen, an eine im Unternehmen
eingerichtete Stelle wenden; sie können sich auch sofort an eine zuständige
Behörde (Polizei und Staatsanwaltschaften) wenden, die ihre Namen regelmäßig
nicht bekannt gibt, es sei denn, dies stellt sich als unvermeidbar dar. Sie dürfen
sich indessen nur an die Öffentlichkeit oder an Dritte wenden, wenn die zuständige
Behörde nicht angemessen auf den Hinweis reagiert hat. Hinweisgeber dürfen
wegen rechtmäßiger Hinweise nicht benachteiligt werden; Maßregelungen und
Kündigungen sind ausgeschlossen. 113
Dieser Gesetzentwurf stellt sich ein sinnvolles Verfahren, mit dessen Hilfe
Whistleblowing eingeführt werden kann, folgendermaßen vor:
112 http://webarchiv.bundestag.de/cgi/show.php?fileToLoad=1423&id=1134 , Hervorhebungen
hinzugefügt 113 Gesetzentwurf vom 07.02.2012, Drs. 17/8567, Hervorhebung hinzugefügt
45
„(1) Die Arbeitgeberin oder der Arbeitgeber kann ein den unternehmerischen oder
betrieblichen Umständen angepasstes unternehmens- oder betriebsinternes
Hinweisgebersystem zur Aufklärung von Missständen errichten.
(2) Der Arbeitgeberin oder dem Arbeitgeber steht es frei, wie sie oder er die
Kommunikation zwischen Hinweisgeberinnen und Hinweisgebern und dem
eingerichteten System sicherstellen will. Sie oder er kann sich insbesondere
mündlicher oder schriftlicher Kommunikationswege, E-Mail oder Telefonhotlines
oder jedes anderen adäquaten Durchführungsmittels bedienen. Sollte sie oder er
die Möglichkeit der Abgabe anonymer Hinweise eröffnen, muss sie oder er durch
geeignete Maßnahmen sicherstellen, dass das Persönlichkeitsrecht der von den
Hinweisen betroffenen Personen bis zur Aufklärung des Hinweises geschützt
bleibt.“
Diese Bestimmung im Gesetzentwurf der SPD-Bundestagsfraktion ist als Ansatz
für die Organisation von Whistleblowing brauchbar. Allerdings sollte der Begriff der
„Missstände“ durch den der „Gesetzesverstöße“ ersetzt werden; anderenfalls ist
zu befürchten, dass beispielsweise auch das säumige Arbeitsverhalten von
Kolleginnen und Kollegen gemeldet wird. Überdies ist sie zu ergänzen und zu
verfeinern:
c) Zunächst gilt es, die möglichen Wege der Kommunikation zwischen Whistleblower
und Unternehmen näher zu beschreiben:
Eine erste Möglichkeit besteht darin, eine „Telefonhotline“ direkt bei dem
Compliance Management des Unternehmens einzurichten. Dies hat den Vorteil,
dass der Weg von den Hinweisen zu entsprechenden Reaktionen kurz ist, jedoch
den Nachteil, dass der – noch zögerliche – Whistleblower die Vertraulichkeit seiner
Hinweise als nicht gesichert befürchten könnte.
46
Eine zweite Möglichkeit liegt darin, ein „Briefkastensystem“ für etwaige
Whistleblower bei – bereits heute verbreiteten – externen professionellen
Anbietern zu etablieren, die namentlich oder anonym abgegebene Hinweise – per
Telefon oder via E-Mail – entgegen nehmen, sie auswerten und dem Compliance
Management berichten; die Anbieter wahren dabei – wenn gewünscht – die
Anonymität des Whistleblowers, auch wenn er gegenüber dem Anbieter anlässlich
seiner Hinweise seine Identität offenbart hatte. Dieser Weg hat mehrere Vorteile:
Zum einen eignet er sich auch für international tätige Unternehmen, weil der
„Briefkasten“ von überall her und zu jeder Zeit erreicht werden kann. Zum anderen
können die Anbieter bei dem nicht anonymen Whistleblower Rückfragen stellen,
die sich bei den Untersuchungen ergeben, die das Compliance Management
aufgrund der Hinweise des Whistleblowers eingeleitet hat.
Eine dritte Möglichkeit ist darin zu sehen, dass das Compliance Management
einen „Ombudsmann“ bestellt, eine Lösung, die von der Literatur als „Klassiker“
bezeichnet wird. Bei dem „Ombudsmann“ handelt es sich um einen Rechtsanwalt,
der von dem Unternehmen beauftragt wird, Whistleblowern innerhalb und
außerhalb des Unternehmens als Anlaufstelle für Hinweise zur Verfügung zu
stehen. Dabei ist darauf zu achten, dass sich Unternehmen und „Ombudsmann“
über zweierlei einig sind: Einmal, dass der „Ombudsmann“ nur Informationen
weitergibt, zu denen der Whistleblower ihn autorisiert hat – seine Identität
eingeschlossen. Zum anderen, dass er sowohl im Auftrag des Unternehmens als
auch im Auftrag des Whistleblowers handelt, also in ein und derselben Sache zwei
Mandanten hat, das Unternehmen, dem er an sich zur umfassenden Auskunft
verpflichtet ist, den Whistleblower, mit dem er grundsätzlich Verschwiegenheit
vereinbart hat.114
114 Moosmayer, a. a. O. (Anm. 35), S. 56 ff.; Kenan Tur, Hinweisgebersysteme und Transparenz:
Strukturen, Problemerkennung, Management, in: Handbuch, a. a. O. (Anm. 24), S. 437 ff., S. 439 ff.
47
Welche der drei beschriebenen Möglichkeiten das Compliance Management auch
wählt – das gewählte Whistleblower-System muss innerhalb und außerhalb des
Unternehmens kommuniziert, erläutert und begründet werden; dies gilt
insbesondere für den Betriebsrat des Unternehmens.
d) Weiterhin gilt es, dem stets gegenwärtigen Vorwurf zu begegnen, es würde zur
Denunziation aufgefordert. Das gelingt nur dann, wenn lediglich den Hinweisen
nachgegangen wird, die auf einen Anfangsverdacht hindeuten. Um sich an dieser
Messlatte zu orientieren und sie auch zu kommunizieren, bietet der Gesetzentwurf
der SPD-Bundestagsfraktion eine – hier allerdings abgeänderte – Formulierung
an: Danach können Hinweisgeber Gesetzesverstöße melden, die tatsächlich
begangen worden sind oder von denen sie es annehmen, ohne leichtfertig zu
sein.
e) Nach allem kann Whistleblowing für das Unternehmen von nicht zu
unterschätzendem Erkenntniswert sein und für den Whistleblower selbst ein
Ausweg aus dem Konflikt, einerseits es als notwendig zu erachten, einen
Gesetzesverstoß zu melden, andererseits es als nicht ratsam zu empfinden, dies
etwa gegenüber den Vorgesetzten zu tun. Hinzu kommt, dass die bloße Existenz
eines Whistleblower-Systems einen hohen Abschreckungseffekt und damit eine
präventive Wirkung hat.115
Die Zahlen bestätigen diesen Befund: Der PwC-Studie 2010 zufolge führte mehr
als jeder dritte Hinweis (37 %) zur Aufklärung von Compliance Verstößen –
allerdings in Unternehmen mit einer positiven Unternehmenskultur, was wohl auch
heißen soll: mit einer solchen, in der Whistleblower nicht von vorneherein als
Denunzianten diffamiert werden.116
115 Dies., ebda 116 PwC-Studie 2010, a. a. O. (Anm. 27), S. 4
48
VI. Schlussfolgerungen
1. „Non-compliance does not pay“(Hamilton/Eckardt). Unternehmen sind vielfältigen
Haftungs- und Schadensrisiken ausgesetzt, die zu Strafen, Bußgeldern und
Schadenersatz in teilweise enormer Höhe führen können. Sie könnten vermieden
oder zumindest reduziert werden, wenn sich das Unternehmen auf ein effektives
Compliance Management und auf effiziente Compliance Regeln stützen und
gegenüber Vorwürfen berufen könnte.
2. Die Risikoanalyse ist der Grundstein, der zu legen ist, wenn mit dem Aufbau einer
Compliance Organisation begonnen wird. Sie hat sich zielgenau an der
spezifischen geschäftlichen Positionierung des Unternehmens auszurichten, das
sich für die Einführung von Compliance entschieden hat. Diese Zielgenauigkeit ist
das entscheidende Moment dafür, dass der Umfang des Compliance Regelwerks
und dementsprechend die Personalstärke des Compliance Managements
passgenau sind, das heißt, nicht überreguliert bzw. nicht überbesetzt sind – aber
auch nicht das Gegenteil von beidem.
3. Die Struktur der Organisation des Compliance Managements darf die nach der
jeweiligen Mitarbeiterzahl bemessene Größe und die von ihrer gegebenenfalls
verzweigten Geschäftstätigkeit bestimmte Struktur des Unternehmens nicht
unberücksichtigt lassen. Für Großunternehmen empfiehlt es sich, eine gesonderte
Compliance Abteilung zu schaffen. Sie wird von dem Compliance Beauftragten
des Unternehmens geleitet. Er hat mit allen Geschäftseinheiten des
Unternehmens im In- und Ausland eng zu kooperieren, eingeschlossen die,
welche für Rechnungswesen, Personal und Interne Revision zuständig sind. Für
mittelständische Unternehmen hingegen bietet es sich an, das Compliance
Management in den bestehenden Organisationsaufbau des Unternehmens
einzufügen. Der Leiter der Rechtsabteilung wird in Personalunion zum Compliance
Beauftragten berufen. Er leitet das Compliance Committee, dem die Leiter der für
49
Rechnungswesen, Personal und Interne Revision zuständigen
Unternehmenseinheiten sowie die der Fachabteilungen und gegebenenfalls die
der ausländischen Niederlassungen angehören.
4. Die Notwendigkeit des Compliance Regelwerks muss von der – auch nach außen
getragenen – glaubhaften Überzeugung der Unternehmensführung getragen sein.
Auf die unternehmensethischen Verhaltensregeln zu Beginn des Regelwerks
folgen in den weiteren Ausführungen die ins Detail gehenden Regelungen.
5. Das in einem breiten Kommunikationsprozess diskutierte und gegebenenfalls
veränderte Compliance Regelwerk ist anschließend mit derselben Umsicht zu
implementieren. Dazu gehören zeitnahe Beratung und intensive Schulung der
Mitarbeiter.
6. Die vom Compliance Management vorgenommenen Kontrollen müssen eine
solche Dichte erreichen, dass sie zu einem hohen Abschreckungseffekt führen und
damit auch eine präventive Wirkungskraft entfalten.
Durchgreifende Sanktionen insbesondere bei Gesetzesverstößen haben ebenfalls
präventive Wirkung. Für den Fall, dass sich anlässlich von Kontrollen der
Anfangsverdacht auf Gesetzesverstöße zum hinreichenden oder gar dringenden
Tatverdacht erhärtet, ist Strafanzeige zu erstatten.
Die vom Compliance Management neben der Aufgabe der Kontrolle nicht außer
Acht zu lassende Aufgabe der Prävention beinhaltet, die gegebenenfalls fatalen
Anreize zu überprüfen, die von dem Vergütungs- und Gratifikationssystem des
Unternehmens ausgehen könnten, sowie die Sorgfalt zu sondieren, die bei der
Auswahl und Bezahlung der Geschäftspartner an den Tag gelegt wird.
50
7. Mit der ständig zunehmenden Zahl gesetzlicher und anderer regulatorischer
Bestimmungen steigen die Anforderungen an Compliance und die mit ihrer
Umsetzung verbundenen Kosten. Indes können zielgenaue Risikoanalysen und
optimierte Kontrollen die Kosten senken.
8. Mittelständische Unternehmen können sich den Anforderungen von Compliance
nicht entziehen. Jedoch sind diese Anforderungen nicht so weitreichend wie die an
Großunternehmen.
9. Whistleblowing kann dem Compliance Management wertvolle Erkenntnisse
vermitteln und dem Whistleblower selbst den Ausweg aus seiner Konfliktlage
bieten.
10. Compliance kann Vorkehrungen dagegen treffen, dass Unternehmen finanzielle
Verluste erleiden und ihr Ruf beschädigt wird. Im Ergebnis kann Compliance einen
Beitrag zu Reputation und Rendite leisten.
Die Einführung von Compliance Management undCompliance Regeln – ein Beitrag zu Reputation und Rendite?
Rechtsanwalt Dr. Stefan Pelny LL.M. (Yale)
© 2012 Dr. Weiland und Partner.
Neuer Wall 8620354 HamburgTelefon: +49 (0)40 / 36 13 07 - 0Telefax: +49 (0)40 / 36 13 07 - [email protected]
Kurfürstendamm 6410707 BerlinTelefon: +49 (0)30 / 20 39 74 - [email protected]
5, rue des Ursins75004 ParisTelefon: +33 (0)1 53 10 89 - 60Telefax: +33 (0)1 53 10 89 - [email protected]
www.weiland-rechtsanwaelte.de
ww
w.m
atri
x-de
sign
.de
| W
P_Ti
tel_
1211
16_P
elny