Axel Nordemann - Handbuch Wirtschaftsstrafrecht

13

In Deutschland hat die Compliance-Idee ihren Ausgangspunkt im Wertpapierhandelssektorgenommen. Erste Bestrebungen, die man (heute) dem Compliance-Bereich zuordnen würde, finden sich dementsprechend bereits in den 1970er Jahren als freiwillige interne Richtlinien zur Selbstregulierung in Wertpapierhandelsunternehmen.[15] Erst zu Beginn der 90er Jahre des vergangenen Jahrhunderts gewann die Entwicklung dann an Fahrt, als zum einen ein Insiderskandal den Glauben an die Wirksamkeit der bisherigen unternehmensinternen Maßnahmen erschütterte[16] und zum anderen Bestrebungen auf europäischer Ebene zur Regulierung des Wertpapierhandels im Jahre 1993 zur Verabschiedung der Wertpapierdienstleistungsrichtlinie der EG führten.[17] Mit Umsetzung der EG-Richtlinie im WpHG fand der Compliance-Gedanke über §§ 31 ff. WpHG im Jahr 1994 – insbesondere über die Normierung allgemeiner Organisationspflichten in § 33 WpHG– Eingang in das deutsche Recht.[18] In § 91 Abs. 2 AktGwurde 1998 eine den Vorstand betreffende Regelung zum Risikomanagement festgeschrieben.[19] Im Jahr 1999 wurden die Vorgaben des § 33 WpHG vom damaligen Bundesaufsichtsamt für den Wertpapierhandel in der sog. Compliance-Richtlinie[20] konkretisiert.[21] In Bezug auf spezielle Organisationspflichten findet sich der Begriff Compliance seit 2007 normiert in § 33 Abs. 1 S. 2 Nr. 1, Nr. 5 WpHG und § 12 WpDVerOV.[22] In § 33 Abs. 1 S. 2 Nr. 1 WpHG ist dabei ausdrücklich die Pflicht normiert, „eine dauerhafte und wirksame Compliance-Funktion einzurichten […], die ihre Aufgaben unabhängig wahrnehmen kann.“ Insoweit hat sich bereits jetzt bestätigt, dass die im Wertpapierhandelsrecht bereits rezipierte amerikanische Entwicklung der sektoralen Compliancesich auch insgesamt in Deutschland wiederholen wird. Bislang finden sich darüber hinaus insbesondere im Aktien- und Kreditwesengesetz sowie im Versicherungsrecht Regelungen,[23] die im weitesten Sinne zu Compliance gezählt werden können, ohne dass die herrschende Meinung insoweit von einer grundsätzlichen Verpflichtung zur Einrichtung eines umfassenden Compliance-Programms ausginge (s. noch Rn. 14). Traditionell stark staatlich reglementiert ist das Umweltrecht; freilich finden sich auch hier keine gesetzlichen Regelungen zu konkreten Compliance-Maßnahmen. Allerdings ist der bereichsspezifische Beauftragte im Verwaltungsrecht seit geraumer Zeit bekannt.[24] Insgesamt lässt sich feststellen, dass sich vermehrt detaillierte Regelungen finden, die letztlich sämtlich Ausfluss des Compliance-Gedankens sind und diesen sektoral konkretisieren. Diese Entwicklung wird weiter an Dynamik gewinnen.[25] Dabei darf nicht verkannt werden, dass die Umsetzung der Compliance-Idee in der Praxis wirtschaftlicher Betätigung sich in nicht zu unterschätzendem Maß mangels präziser gesetzlicher Vorgaben und die abstrakten gesetzlichen Vorgaben meist sehr spezifisch und daher kaum verallgemeinerbar konkretisierender Rechtsprechung (zum umstrittenen sog. „Siemens/Neubürger“-Urteil des BGH siehe unten Rn. 50) insbesondere nach der tatsächlichen oder vermeintlichen Sanktionspraxis der staatlichen Behörden richtet. Dieses Phänomen lässt sich insbesondere in größeren Unternehmen bereits jetzt zunehmend beobachten und birgt natürlich die Gefahr der Entstehung einer unternehmensinternen Parallelordnung, die sich nicht notwendig mit Recht und Gesetz deckt (vgl. noch unten Rn. 54 ff.).

14

Auch jenseits der in Rn. 13dargelegten Einzelregelungen ist es umstritten, ob eine Pflicht zur Einführung eines Compliance-Systemsbesteht. Von den Befürwortern einer solchen Ansicht wird regelmäßig aus dem Gesellschaftsrecht (s. Rn. 15), dem Verwaltungsrecht (s. Fn. 64 in Rn. 13) oder auch § 130 OWiG[26] der allgemeine Rechtsgedanke einer Verpflichtung zur Einrichtung einer Compliance-Organisation abgeleitet.[27] Freilich ist man sich auch innerhalb dieser Auffassung einig, dass bezüglich der konkreten Ausgestaltung ein großer Ermessensspielraum bestehe.[28] Abgesehen davon, dass – wie die h.M. zutreffend erkennt – die existierenden bereichsspezifischen Einzelregelungen (vgl. Rn. 15) gerade gegen eine allgemeine Pflicht sprechen,[29] verliert der Streit deshalb immens an praktischer Bedeutung, weil das Fehlen einer Compliance-Organisation jedenfalls zunehmend und über die Grenzen der einzelnen Rechtsgebiete hinweg ebenso sanktioniert wie die Existenz einer grundsätzlich funktionierenden Compliance-Organisation belohnt wird (vgl. dazu noch Rn. 43). Wenn aber unterbliebene Compliance-Maßnahmen faktisch zur Haftung und Verantwortlichkeit des Unternehmens und seiner Mitarbeiter führen oder – wie dies zunehmend aus der Praxis berichtet wird – vorgenommenen Compliance-Maßnahmen etwa im Rahmen des Vorsatznachweises eine entlastende Funktion zukommt, ist es wenig sinnvoll, darüber zu streiten, ob eine generelle Rechtspflicht zur Etablierung eines umfassenden Compliance-Systems besteht (zur strafrechtlichen Relevanz der Berücksichtigung von Compliance-Maßnahmen im Siemens- und Ferrostaal-Verfahren s. unten Rn. 31; zur Konkretisierung der Frage im Rahmen der Criminal Compliance s. unten Rn. 50). Unabhängig von einer Pflicht zur Compliance ist daher neben der wirtschaftlichen auch von einer rechtlichen Relevanz einer Compliance-Organisationauszugehen. Da im komplexen Bereich des Wirtschaftsrechts die gesetzliche Normierung in besonderem Maße der tatsächlichen Entwicklung weiter hinterherhinken wird, lässt sich absehen, dass diese Relevanz in den nächsten Jahren noch deutlich zunehmen wird.

15

Entsprechend der wirtschaftlichen und rechtlichen Relevanz ( Rn. 14) eines funktionierenden Compliance-Systems hat sich im privaten Sektorbereits eine Vielzahl von Compliance-Regelungenetabliert. So hat etwa der Bundesverband deutscher Banken mit den „Best-Practice-Leitlinien für Wertpapier-Compliance“[30] branchenweite Standards etabliert, mit dem Werte-Management-System des Bayerischen Bauindustrieverbands[31] soll die Einhaltung rechtlicher Standards hinsichtlich der Vermeidung von Korruption und illegaler Beschäftigung gewährleistet werden, und auch die Siemens AG verpflichtet sich in ihren Business Conduct Guidelines zu gesetzeskonformem Verhalten.[32] Großunternehmen wie Daimler,[33] die Deutsche Bahn[34] oder auch MAN, die Deutsche Bank, Bilfinger und Bayer[35] stehen diesbezüglich Siemens in ihren Bemühungen nicht nach. Das von der Foreign Trade Association in Brüssel initiierte Programm der „Business Social Compliance Initiative (BSCI)“[36] wird auch in Deutschland zunehmend umgesetzt.[37] Für die Branche der Wirtschaftsprüfer hat sich innerhalb kürzester Zeit der im Jahr 2011 verabschiedete IDW PS 980 etabliert, der freilich ein sehr weites Begriffsverständnis von Compliance vertritt.[38]

16

Im Hinblick auf die Relevanz für Compliance bislang wohl deutlich überschätzt wird die Bedeutung des 2002 erstmals verabschiedeten Deutschen Corporate Governance Kodex(DCGK).[39] Zwar ist sein Einfluss auf die Diskussion der Corporate Governance in Deutschland nicht zu leugnen.[40] Doch schon die Rechtsqualität des von einer im Wesentlichen aus Angehörigen der Wirtschaft selbst bestehenden Regierungskommission erstellten Kodex ist unklar.[41] Die über die Wiedergabe der gesetzlichen Regelungen hinausgehenden Bestimmungen erschöpfen sich in nicht unmittelbar rechtsverbindlichen Empfehlungen und Anregungen. So lautete die seit 2007 normierte Ziffer 4.1.3: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).“ Allerdings verdeutlicht nunmehr die aktuelle Fassung vom 7.2.2017, die Ziffer 4.1.3 um zwei Sätze erweitert – scil. bezüglich der Einführung eines Compliance-Management-Systems und der Etablierung einer Whistleblowing-Möglichkeit –, dass insoweit offensichtlich von einer rechtlichen Verpflichtung zur Unterhaltung eines Compliance-Management-Systems ausgegangen wird.[42] Damit findet zumindest eine erste Konkretisierung der „Compliance-Pflichten“ statt. Allerdings gilt der Kodex ohnehin unmittelbar nur für börsennotierte Unternehmen. Im Übrigen ist auch weiterhin in Ziffer 3.4u.a. geregelt, dass der Vorstand den Aufsichtsrat regelmäßig, zeitnah und umfassend auch über alle für das Unternehmen relevanten Fragen der Compliance informiert. In Ziffer 5.3.2ist bestimmt, dass das vom Aufsichtsrat einzurichtende Audit Commitee sich auch mit Fragen der Compliance befasst. Immerhin wird durch die genannten Formulierungen die Bedeutung der Compliance im Rahmen der Corporate Governance deutlich gemacht.[43]