Markus Böttcher - Compliance

30

Die Verantwortung der Leitungsorgane für das rechtmäßige Verhalten ihrer Mitarbeiter findet auch gesetzlichen Niederschlag in § 831 BGB, der die Haftung von Leitungsorganen für ihre Mitarbeiter regelt.

31

Im Krisenfall haften dabei alle Leistungsträger eines Unternehmens. Das Management kann sich nicht dadurch exkulpieren, dass sich ein Mitglied etwa auf seine Unzuständigkeit für ein bestimmtes Ressort beruft. Die Verantwortung des Managements ist immer umfassend, so dass auch dann, wenn ein Unternehmen mehrere Vorstände oder Geschäftsführer hat und jedem ein bestimmter Zuständigkeitsbereich zugewiesen ist, jeder Einzelne verantwortlich für alle Zuständigkeitsbereiche bleibt.

32

Jedes einzelne Mitglied des Managements treffen grundsätzlich umfassende Aufsichts- und Kontrollpflichten, die nur dann erfüllt sind, wenn sich das Vorstandsmitglied oder der Geschäftsführer über alle anderen Ressorts informiert.[1] Sofern es Anhaltspunkte dafür gibt, dass sich ein Vorstands- oder Geschäftsführungsmitglied nicht sorgfaltsgemäß verhalten hat, so trifft die anderen Leitungsorgane eine Aufklärungs- und Interventionspflicht.

33

Die Leitungsorgane eines Unternehmens haften im Konfliktfall für eigene oder fremde Normverstöße nicht nur Dritten gegenüber nach § 823 BGB, sondern auch im Innenverhältnis gegenüber der eigenen Gesellschaft nach § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG.

34

Die aktuellen Entwicklungen in Gesetzgebung und Praxis haben damit zu einer erhöhten Verantwortlichkeit des Managements geführt. Um den Anforderungen gerecht zu werden, müssen Unternehmensverantwortliche viele Aufgaben erfüllen. Dazu gehört, dass die Mitglieder des Managements die Risiken in ihrem Unternehmen zunächst einschätzen und bewerten können. Hierfür sind regelmäßig Rechtskenntnisse erforderlich. Ferner müssen die sich daraus ergebenden Regeln im Unternehmen aufgestellt und auch kommuniziert werden. Schließlich muss das Management seine Mitarbeiter und Kollegen überwachen und kontrollieren.

35

Einer solchen Verantwortung können Unternehmen und ihre Leitungsorgane nicht ohne umfassende geeignete organisatorische Maßnahmen gerecht werden. Diese Aufgaben ohne eine entsprechende Struktur und nebenbei bewältigen zu wollen, ist unrealistisch. Das gilt im Übrigen für kleine und große Unternehmen gleichermaßen. Selbstverständlich muss sich der Aufwand für die Prävention an Größe und Branche sowie auch dem Ausmaß des typischen unternehmerischen Risikos anpassen.[2] Und selbstverständlich darf eine Compliance-Organisation auch ein unternehmerisches und auf Gewinn ausgelegtes Handeln nicht aus den Augen verlieren. Insoweit darf die Kritik an übertriebenen Compliance-Maßnahmen, in denen sich Unternehmen sogar weit strengere Regeln auferlegen, als es der Gesetzgeber tut, nicht ungehört bleiben. Gleichwohl ist vor dem Hintergrund des Gesagten festzuhalten, dass kein Unternehmen ohne ein Mindestmaß an Prävention auskommt.

36

Dies zu gewährleisten ist die Aufgabe von Compliance. Compliance bedeutet daher auch die Verpflichtung jedes Mitarbeiters, seine Pflicht zu regelkonformem Verhalten zu kennen und einzuhalten, sowie die Organisationspflicht der Leitungsorgane, das regelkonforme Verhalten seiner Mitarbeiter sicherzustellen und aktiv dafür zu sorgen, dass Schäden und Haftung von dem Unternehmen abgewehrt werden.

37

Es wäre dennoch unrealistisch anzunehmen, dass eine Compliance-Organisation ein vollständig regelkonformes Verhalten im Unternehmen zur Folge hat. Gerade in größeren Organisationen werden sich Compliance-Verstöße niemals vollständig ausschließen lassen.

38

Deshalb gehört zu jeder Compliance-Organisation auch der Umgang mit eingetretenen Regelverstößen.[3] Ein effektives Krisenmanagement muss daher ebenso Teil der Compliance-Organisation sein wie ein effektives Risikomanagement. Dabei ist es wichtig, vor Eintritt einer Krise bereits Maßnahmen zur Krisenbewältigung zu treffen. Wer sich erst dann, wenn der Ernstfall eintritt, mit den entsprechenden Maßnahmen auseinandersetzt, wird wahrscheinlich scheitern. Denn es nimmt sehr viel Zeit und Aufwand in Anspruch, geeignetes Krisenmanagement zu betreiben. Naturgemäß hat das Unternehmen diese Zeit gerade nicht, wenn die Problemsituation bereits eingetreten ist.[4]

[1]

Campos Nave/Tauber abrufbar unter http://roedl.de/Corporate_Compliance.Roedl?ActiveID=1083.

[2]

Hauschka/Greeve BB 2007, 165, 166.

[3]

Rodewald/Unger BB 2007, 1629, 1633.

[4]

Rodewald/Unger BB 2007, 1629, 1633.

1. Kapitel Begriffsbestimmungen Compliance: Bedeutung und Notwendigkeit› IV. Gesetzliche Grundlagen und unternehmerische Pflichten

39

Darüber, ob Unternehmen in Deutschland tatsächlich gesetzlich verpflichtet sind, eine Compliance-Organisation zu implementieren, wird viel gestritten. Das LG München hat in einem Schadensersatzprozess gegen ein Vorstandsmitglied erstmals eine Tendenz zur Compliance-Pflicht gezeigt.[1] Auch der BGH hat im Kontext des § 93 Abs. 2 AktG ausgeführt, dass ein Vorstandsmitglied nicht nur dann seine Pflichten verletzt, wenn es selbst tätig wird oder Kollegialentscheidungen trifft, sondern auch, wenn es pflichtwidrige Handlungen anderer Vorstandsmitglieder oder Mitarbeiter anregt oder nicht dagegen einschreitet.[2] Grundsätzlich verpflichtet diese Verantwortung den Vorstand nach h. M. bei entsprechendem Risikopotential eine auf Risikokontrolle und Haftungsvermeidung ausgerichtete Compliance-Organisation einzurichten.[3] Lediglich kleinere Unternehmen mit geringem Risiko und überschaubarer Struktur können noch auf eine institutionelle Compliance-Struktur verzichten, was jedoch nicht heißt, dass sie keine entsprechenden Internen Kontroll- und Präventionsmaßnahmen vornehmen müssen.[4]

40

Fest steht, dass die Geschäftsleitung eine Pflicht trifft, erforderliche, zumutbare und angemessene Maßnahmen zu ergreifen, um drohende Schäden frühzeitig zu erkennen und sie abzuwenden.[5] Dem Streit kommt also eine geringe praktische Bedeutung zu, da sich eine Verpflichtung jedenfalls faktisch für jedes Unternehmen ergibt, das die Einhaltung von Rechtsvorschriften anstrebt und Schäden abwenden will.[6]

41

Zudem lässt sich die Notwendigkeit der Einrichtung eines Risikomanagementsystems aus mehreren Vorschriften ableiten, wodurch ein etwaiges Ermessen der Unternehmensleitung dahingehend, ob eine Compliance-Organisation eingerichtet wird oder nicht, erheblich eingeschränkt,[7] wenn nicht sogar auf Null reduziert ist.

42

Im Folgenden sollen diejenigen Vorschriften dargestellt werden, aus denen sich jedenfalls die Notwendigkeit der Einrichtung eines Compliance-Systems ableiten lässt.

43

Der gesetzliche Ursprung der Compliance in Deutschland wird in § 33 WpHG gesehen. Hierin findet sich die rechtliche Grundlage für Compliance in der Reglementierung der Organisationsrichtlinien von Wertpapierdienstleistungsunternehmen für das Wertpapiergeschäft.

44

§ 33 WpHG war die erste Vorschrift in Deutschland unter Compliance-Gesichtspunkten. Dies erklärt auch, warum sich Compliance in Deutschland zunächst auf die Einhaltung der Regeln des Wertpapiergeschäfts ausrichtete.[8] Bekanntermaßen ist Compliance mittlerweile nicht mehr auf die Wertpapieraufsicht beschränkt, sondern hat sich auf alle anderen Wirtschaftsbereiche ausgeweitet.

45

Compliance-Programme wurden erstmals außerhalb des Wertpapierrechts im Zusammenhang mit dem Kartellordnungswidrigkeitenrecht erwähnt. Die Rechtsprechung der Kartellgerichte und die Praxis des Bundeskartellamtes haben in Zusammenhang mit § 130 OwiG als „erforderliche Aufsichtsmaßnahmen“ auf die Einrichtung von Compliance-Programmen hingewiesen und damit die fehlende Konkretisierung des Gesetzgebers ausgefüllt. Auch wenn sich die Rechtsprechung in Bezug auf den Inhalt solcher Compliance-Systeme und damit der Frage nach dem „wie“ entschieden zurückhält, so legt sie sich jedenfalls in Bezug auf die Frage nach dem „ob“ fest.