Markus Böttcher - Compliance

46

Eine Pflicht zur Schaffung eines Überwachungssystems ergibt sich auch aus dem im Jahr 1998 neu eingeführten § 91 Abs. 2 AktG,[9] wonach „der Vorstand geeignete Maßnahmen zu treffen hat, insbesondere ein Frühwarnsystem einzurichten, damit den Fortbestand des Unternehmens gefährdende Entwicklungen früh erkannt werden.“ Die Norm ist 1998 durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)[10] eingeführt worden und entfaltet laut der Gesetzesbegründung Ausstrahlungswirkung auf die GmbH. Auch wenn § 91 Abs. 2 AktG nicht explizit vorschreibt, welche Maßnahmen der Vorstand zur Früherkennung von Risiken zu treffen hat, so bietet sich die Einrichtung eines umfassenden Risikomanagementsystems jedenfalls dringend an, um der Vorschrift gerecht zu werden. Mehr noch ist eine Alternative für den Vorstand, diese rechtliche Pflicht zu erfüllen, nicht erkennbar.

47

Aus der systematischen Auslegung des § 91 Abs. 2 AktG ergibt sich bereits, dass das geforderte Risikomanagementsystem nicht etwa Aufgabe einzelner, möglicherweise eines bestimmten hierfür gewählten Vorstandsmitglieds, sondern vielmehr des gesamten Vorstandes ist.[11]

48

Eine Delegation ist damit zwar nicht unmöglich, gleichwohl werden die Vorstandsmitglieder dadurch gerade nicht aus der Verantwortung entlassen. Vielmehr muss sich der Vorstand berichten lassen, überwachen und vor allem bei Fehlern einschreiten.[12]

49

Für börsennotierte Unternehmen gilt zudem die Regelung des § 317 HGB. Hiernach wird im Rahmen der Abschlussprüfung durch den Wirtschaftsprüfer beurteilt, ob der Vorstand die Pflichten des § 91 Abs. 2 AktG zureichend erfüllt und die Maßnahmen zur Risikovermeidung in ausreichendem Maße getroffen hat und das bestehende Überwachungssystem geeignet ist, seine Aufgaben zu erfüllen.[13]

50

Im Falle von börsennotierten Unternehmen schlägt sich das Risikomanagement auch in der Rechnungslegung nieder. Nach § 289 Abs. 1 S. 4 HGB muss das Unternehmen im Lagebericht Stellung zu den aktuellen Risikomanagementzielen und Methoden nehmen.

51

Börsennotierte Unternehmen müssen zusätzlich auch im Rahmen der Abschlussprüfung dahingehend geprüft werden, ob der Vorstand seinen Pflichten aus § 91 Abs. 2 AktG nachgekommen ist. Gem. § 317 Abs. 4 HGB ist dies vom Wirtschaftsprüfer zur beurteilen, dem hierfür ein eigener Prüfstandard an die Hand gegeben wird.

52

Auch mit dem Entwurf des neunten Gesetzes zur Änderung des Versicherungsaufsichtsgesetzes[14] wird in Form des § 64a VAG eine weitere Rechtsnorm die Grundsätze der Compliance ansprechen. § 64a VAG befasst sich mit den wesentlichen Inhalten einer ordnungsgemäßen Geschäftsorganisation. Damit geht das VAG über die allgemeinen Regeln des Aktiengesetzes hinaus und wird die Auslegung und Konkretisierung der Generalklauseln des Aktiengesetzes beeinflussen.[15]

53

Während sich in den genannten gesetzlichen Bestimmungen vornehmlich abstrakte Anhaltspunkte für die Bedeutung und die Anforderungen an Compliance finden, so wird der Deutsche Corporate Governance Index (DCGK)[16] in seinen Bestimmungen konkreter.

54

Die neuere Fassung des DCGK enthält erstmals den Begriff „Compliance“. In Ziff. 4.1.3. ist geregelt, dass „der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen“ und „auf deren Beachtung durch die Konzernunternehmen“ hinzuwirken hat.

55

Damit wird dem Vorstand die Verantwortung für die Einhaltung externer und interner Vorgaben zugewiesen. Er soll beide Verhaltensanforderungen durch organisatorische Vorkehrungen erfüllen. Der DCGK versteht Compliance damit als übergeordneten Begriff, der die Leitungsverantwortung des Vorstandes in eine Organisations- und eine Legalitätspflicht unterteilt.[17]

56

Durch die „unternehmensinternen Richtlinien“ muss das Unternehmen seinen Mitarbeitern Verhaltensmaßstäbe an die Hand geben, die ihr Verhalten in Risikosituationen reglementieren. Unternehmensinterne Richtlinien können in Satzungen, Arbeitsverträgen, internen Arbeitsanweisungen, in der Geschäftsordnung oder in einem Verhaltenskodex geregelt sein.

57

In den internen Richtlinien kann und sollte das Unternehmen auch seine ethischen und moralischen Regeln und Wertvorstellungen festlegen. Denn nicht nur die Einhaltung gesetzlicher, sondern auch ethischer Regeln darf und sollte Bestandteil der Compliance sein. Das Unternehmen wird solche Richtlinien in einem sog. Code of Conduct, d.h. einer Sammlung von Verhaltensweisen festlegen. Ein solcher Code of Conduct ist weniger eine zwingende Vorschrift, sondern vielmehr eine freiwillige Verpflichtung, bestimmten Vorgaben zu Verhaltensmustern zu folgen oder sie zu unterlassen. Damit kann das Unternehmen vorgeben, wie sich seine Mitarbeiter in bestimmten Situationen in verschiedenen Zusammenhängen verhalten sollten und Sorge dafür tragen, dass keiner sich durch die Umgehung der Richtlinien Vorteile verschafft.

58

Schließlich empfiehlt sich die Implementierung eines Compliance-Systems auch aufgrund der verschärften Regelungen der Banken zur Kreditvergabe Basel II, wonach Banken verpflichtet sind, ihre Kunden einem Rating zu unterziehen.[18]

59

Ein solches Rating wird neben den finanziellen Verhältnissen auch die Qualität des Managements und der Organisation auf den Prüfstand nehmen. Hierbei hängt ein wesentlicher Teil davon ab, welche Maßnahmen zur Erkennung und Vorbeugung von Risiken ein Unternehmen getroffen hat.

60

Dies wird in Zukunft nicht nur für Großunternehmen gelten, sondern insbesondere auch mittelständische und kleine Unternehmen betreffen. Nur durch die Implementierung eines Compliance-Systems wird das Management in der Lage sein, nachzuweisen, dass es sich effektiv mit der Vermeidung von Haftungsrisiken und Fehlern auseinandersetzt. Somit kann Compliance auch Auswirkungen auf die Kreditversorgung der Unternehmen haben.

61

Nach alledem wird deutlich, warum die Verantwortung des Unternehmens unter einem neuen Blickwinkel diskutiert wird und werden muss. Die Diskussion um Compliance hat eine Vielzahl von rechtlichen Problemen für die Unternehmensorganisation aufgedeckt. Neben den verschärften Haftungsregeln und neuen Vorschriften hat die Vergangenheit gezeigt, dass bestehende Organisationsstrukturen vielfach kein effektives Risikomanagement gewährleisten konnten. Vielmehr wurde offensichtlich, dass dem erheblichen Umfang von Risiken für Unternehmen nur durch eine klare organisatorische Struktur und Verhaltensstandardisierung zu begegnen ist.

[1]

LG München NZG 2014, 345.

[2]

BGH NJW 2013, 1958, NZG 2015, 792.

[3]

Vgl. MünchKomm/ Fleischer 343 Rn. 144 m.w.N.

[4]

Hauschka/Greeve BB 2007, 165, 166.

[5]

Vgl. Rodewald/Unger BB 2007, 1629; Illing/Umnuß CCZ 2009, 1 f.

[6]

Vgl. Rodewald/Unger BB 2007, 1629.

[7]

Lorenz ZRFG 2006, 5.

[8]

Lösler NZG 2005, 104.

[9]

Vgl. auch 2. Kap. Rn. 15.

[10]

BGBl I 1998, 786.

[11]

Lorenz ZRFG 2006, 5, 8.

[12]

Lorenz ZRFG 2006, 5, 8.

[13]

Vgl. hierzu 7. Kap. Rn. 143.

[14]

RegE BT-Drucks. 16/6518 v. 24.9.2007.

[15]

Kort NZG 2008, 81, 83.

[16]

Abrufbar unter www.corporate-governance-code.de.

[17]

Vgl. dazu Bürkle BB 2007, 1797, 1798.

[18]

Vgl. hierzu auch 5. Kap. Rn. 164 ff.; 7. Kap. Rn. 147 ff.

1. Kapitel Begriffsbestimmungen Compliance: Bedeutung und Notwendigkeit› V. Bedeutung einer Compliance-Organisation