Martin R. Schulz - Compliance Management im Unternehmen

Zwar enthält das deutsche Recht – mit Ausnahme bestimmter branchenspezifischer Normen – bislang keine speziellen Vorschriften für ein Compliance Management.122 Allerdings enthalten diverse Rechtsnormen allgemeine Vorgaben und Grundsätze, die bei der Erfüllung der Compliance-Pflicht durch organisatorische Maßnahmen zu berücksichtigen sind.123 Diese Vorgaben sind durch die Gerichte fallbezogen präzisiert sowie durch Rechtswissenschaft und Rechtspraxis kommentiert worden und bilden ein Muster organisatorischer (Mindest-)Anforderungen für eine ordnungsgemäße Unternehmensführung. Für bestimmte Branchen bestehen darüber hinaus (teils selbst geschaffene) Regelwerke und Verhaltenskodizes, in denen zentrale Compliance-Themen behandelt und Handlungsempfehlungen entwickelt werden.124 Ferner ist das Thema Compliance seit längerem Regelungsgegenstand verschiedener Standardisierungsorganisationen, zu nennen sind insbesondere der Prüfungsstandard des Instituts der Wirtschaftsprüfer ( IDW PS 980),125 die ISO 19600(Compliance-Management-Systeme)126 sowie die ISO 37001(Anti-Korruptions-Management-Systeme).127 Diese Regelwerke und Standards sind grundsätzlich nicht rechtsverbindlich,128 enthalten aber häufig nützliche Empfehlungen und Leitlinien für die Gestaltung eines auf das jeweilige Unternehmen passenden Compliance Managements. Zudem haben Wissenschaft und Praxis einen Katalog an Mindestanforderungen für ein wirksames Compliance Management entwickelt.129

34

Besondere (aufsichts-)rechtliche Vorgaben für die Einrichtung einer Compliance-Organisation bestehen für Kredit- und Finanzdienstleistungsunternehmen, für Wertpapierhandelsunternehmen sowie für Versicherungsunternehmen.130 So muss gemäß § 25a KWG ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen, welche die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Eine ordnungsgemäße Geschäftsorganisation im Sinne dieser Vorschrift muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat. Das Risikomanagement umfasst insbesondere die Festlegung einer auf die nachhaltige Entwicklung gerichteten Geschäftsstrategie und einer damit konsistenten Risikostrategie (§ 25a Abs. 1 Nr. 1 KWG), Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit (§ 25a Abs. 1 Nr. 2 KWG) sowie die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision (§ 25a Abs. 1 Nr. 3 KWG).

35

Für Wertpapierhandelsunternehmen werden diese Organisationspflichten gemäß § 33 WpHG insbesondere durch die Verpflichtung erweitert, eine dauerhafte und wirksame Compliance-Funktion einzurichten.131 Diese stellt einen wesentlichen Bestandteil des internen Kontrollsystems des Wertpapierdienstleistungsunternehmens im Sinne des § 25a Abs. 1 Satz 3 Nr. 1 KWG dar.132 Damit ist jedes Wertpapierhandelsunternehmen zur Beschäftigung eines Compliance-Beauftragten verpflichtet, nähere Einzelheiten zur Ausgestaltung der Compliance-Funktion ergeben sich aus der Wertpapierdienstleistungs-, Verhaltens- und Organisationsverordnung (WpDVerOV).133 Neben Auslegungshinweisen seitens der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Konkretisierung der organisatorischen Anforderungen haben kapitalmarktorientierte Unternehmen weitere Vorschriften bzw. aufsichtsbehördliche Empfehlungen zu beachten.134

36

Versicherungsunternehmen haben die Vorgaben des § 29 VAG zu beachten. Gemäß § 29 Abs. 1 VAG müssen Versicherungsunternehmen über ein wirksames internes Kontrollsystem verfügen, das mindestens Verwaltungs- und Rechnungslegungsverfahren, einen internen Kontrollrahmen, eine angemessene unternehmensinterne Berichterstattung auf allen Unternehmensebenen sowie eine Funktion zur Überwachung der Einhaltung der Anforderungen (Compliance-Funktion) umfasst. Zu den Aufgaben der Compliance-Funktion gehört gemäß § 29 Abs. 2 VAG die Beratung des Vorstands in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die für den Betrieb des Versicherungsgeschäfts gelten. Außerdem hat die Compliance-Funktion die möglichen Auswirkungen von Änderungen des Rechtsumfeldes für das Unternehmen zu beurteilen und das mit der Verletzung der rechtlichen Vorgaben verbundene Risiko (Compliance-Risiko) zu identifizieren und zu beurteilen.

37

Bei den genannten Normen handelt es sich allerdings um spezielle Regelungen im Hinblick auf die besonderen Risiken von Finanz- und Versicherungsdienstleistungen, an die der Gesetzgeber besondere (aufsichts-)rechtliche Anforderungen stellt. Daher besteht weitgehend Konsens, dass diese besonderen Anforderungen und Maßstäbe nicht einfach auf das Compliance Management in Unternehmen außerhalb dieser Industriesektoren übertragen werden können.135 Ebenso wenig ergibt sich die Verpflichtung zu einer Compliance-Organisation im Wege einer Gesamtanalogie zu diesen (und ausgewählten weiteren) Vorschriften.136

38

Dem steht es allerdings nicht entgegen, die Vorgaben besonderer Branchen als Anschauungsmaterial für Fragen der Ausgestaltung des Compliance Managements zu nutzen. Denn bei allgemeinen Fragen, wie etwa hinsichtlich der Anforderungen an eine wirksame Compliance-Funktion, können die Branchenregelungen und die hierzu verfügbaren Quellen und Kommentierungen eine wertvolle Erfahrungs- und Erkenntnisquelle sein.137 Dies gilt etwa im Hinblick auf die Unabhängigkeit des Compliance Officers, seine Berichtspflichten und für Regelungen zur Vermeidung von Interessenkollisionen.

39

Wie ausgeführt,138 besteht zwischen Compliance Management und Risikomanagement ein enger Zusammenhang. So verpflichtet die Vorschrift des § 91 Abs. 2 AktG den Vorstand einer Aktiengesellschaft nach ihrem Wortlaut dazu, geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten. Demnach hat der Vorstand als Gesamtorgan für eine Organisation zu sorgen, welche die Erkennung von bestandsgefährdenden Entwicklungen sicherstellt.139 Bestandsgefährdende Risiken können auch aus „Non-Compliance“ resultieren: Dies gilt etwa bei hohen Geldstrafen bzw. Bußgeldern, z.B. im Zusammenhang mit Kartellrechtsverstößen oder beim Ausschluss von Projekten öffentlicher Auftraggeber.140 Existenzbedrohend können auch die geplanten Verbandssanktionen nach dem Regierungsentwurf zum Verbandssanktionengesetz sein.141

40

Zwar ist die Geltungsreichweite von § 91 Abs. 2 AktG („Ausstrahlungswirkung“) für andere Unternehmens- und Verbandsformen im Einzelnen umstritten,142 doch ist die Pflicht zur Risikoprävention (ebenso wie die Compliance-Organisationspflicht) eine Ausprägung der Leitungssorgfalt der Verbandsleitung und gilt daher grundsätzlich in jeder Unternehmens- und Verbandsform.143 Jedenfalls in dem Umfang, in dem Risiken aus Rechtsverletzungen bestandsgefährdende Ausmaße annehmen, werden sie durch § 91 Abs. 2 AktG (analog) erfasst.144 Für die Steuerung der sonstigen (nicht bestandsgefährdenden) Compliance-Risiken bestehen zahlreiche Parallelen zum allgemeinen Risikomanagement, da sich auch für Compliance-Risiken die systematische Identifizierung sowie Analyse und Bewertung mit anschließender Einleitung risikosteuernder Maßnahmen empfiehlt.145 Dabei sind allerdings die Besonderheiten von Compliance-Risiken zu beachten.

41

Bei der Steuerung von Compliance-Risiken geht es stets um den Umgang mit menschlichem (Fehl-)Verhalten, welches einer juristischen Bewertung bedarf. Die rechtliche Bewertung durch Gerichte und Behörden ist ein dynamischer Prozess und in unterschiedlichen Rechtsordnungen unterschiedlich ausgeprägt – eine rein rechnerische Betrachtung von Compliance-Risiken erscheint daher nicht angebracht.146