Christian Corell - Einrichtung von Compliance Management Systemen (CMS) im Krankenhaus

Da es parallel zum Strafrecht zur Gefahrenabwehr verpflichtende zivilrechtliche Garantenstellungen kraft Verantwortungsübernahme gibt, können auch Compliance-Verantwortliche haftbar sein. Unabhängig von Personen und Verantwortungsebenen kann nämlich jeder Regel- und damit Compliance-Verstoß zur Haftung des Unternehmens führen. Also droht jedem Compliance-Verantwortlichen aufgrund Überwachungs- oder Meldeversagens der freilich arbeitsrechtlich beschränkte Innenregress.

Haftung gegenüber Dritten

Zivilrechtlich haften Unternehmen, Gesellschafter und Leitungsorgane je nach Rechtsform im Außenverhältnis vertraglich und deliktisch beschränkt oder unbeschränkt. Bei Compliance-Verantwortlichen entsprechen sich die Grundlagen strafrechtlicher Verantwortlichkeit und deliktischer Außenhaftung aufgrund wiederum paralleler Garantenpflichten. Dabei können externe Geschädigte Compliance-Verantwortliche in Abhängigkeit von deren Verantwortungsbereich und -spielraum im Wege deliktischer Durchgriffshaftung insbesondere auf Schadensersatz in Anspruch nehmen. Ein vertragliche Außenhaftung scheidet hingegen regelmäßig aus, weil Arbeitsverträge üblicherweise keinen Drittschutzcharakter besitzen.

In einer großen Organisation hat ein Vorstand, Geschäftsführer oder auch Compliance Manager nicht die Chance, jeden denkbaren Rechtsverstoß persönlich zu verhindern. Was er jedoch tun kann und sollte, ist ein wirksames CMS einzurichten und zu betreiben. Aus Rechtsprechung und Verwaltung ergeben sich Hinweise zur haftungsreduzierenden Wirkung eines funktionsfähigen CMS.

Die Formulierungen in den Leitsätzen des o. g. Siemens/Neubürger-Urteils aus dem Jahr 2013 lassen den Rückschluss zu, dass das Urteil anders ausgefallen wäre, wenn der Beklagte eigene belastbare Überprüfungen der Funktionsfähigkeit des CMS hätte nachweisen können.

Im Mai 2016 hat das Bundesministerium der Finanzen mit Rundschreiben den Anwendungserlass zu § 153 AO geändert. Hintergrund ist die Unterscheidung zwischen der Berichtigung der Steuererklärung nach § 153 AO und der strafbefreienden Selbstanzeige nach § 371 AO. In dem Rundschreiben heißt es:

»Hat der Steuerpflichtige ein innerbetriebliches Kontrollsystem eingerichtet, das der Erfüllung der steuerlichen Pflichten dient, kann dies ggf. ein Indiz darstellen, das gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit sprechen kann, jedoch befreit dies nicht von einer Prüfung des jeweiligen Einzelfalls.«

Damit umreißt auch die Finanzverwaltung ihre Erwartungen an Einrichtung und Wirksamkeit eines CMS in dem Fall eines Tax CMS, und lässt erkennen, dass sich der Nachweis eines funktionierenden Tax CMS bei einem (dennoch auftretenden) steuerlichen Rechtsverstoß strafmindernd auf die gesetzlichen Vertreter auswirkt.

Im Mai 2017 hat der BGH in einem steuerstrafrechtlichen Revisionsverfahren ausdrücklich hervorgehoben, dass bei der Strafzumessung nach § 30 OWiG zu berücksichtigen ist, inwieweit der gesetzliche Vertreter »ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss«.

Dies sind drei besonders prominente Beispiele einer klar erkennbaren Tendenz in Verwaltung und Rechtsprechung, die ernsthaften Bemühungen der gesetzlichen Vertreter um die Einrichtung eines funktionsfähigen CMS im Fall eines Verstoßes straf- bzw. bußgeldmindernd zu berücksichtigen.

Auch wenn mit Hilfe der im IDW PS 980 definierten CMS-Grundelemente alle wichtigen Bereiche und Fragestellungen berücksichtigt sind, so empfiehlt sich aus unternehmenspraktischer Perspektive u. a. die frühzeitige Einrichtung der erforderlichen Compliance-Organisation. Auf diese Weise besteht die Möglichkeit, dass ein Systemverantwortlicher, der außerhalb der Geschäftleitung angesiedelt ist, den Prozess der CMS-Einrichtung kontinuierlich vorantreibt und zugleich entscheidende Gestaltungsimpulse gibt.

Neben den Teilschritten, die sich bereits aus den Bezeichnungen der sieben Grundelemente abzeichnen, sollte beispielsweise eine verbindliche Beschreibung des CMS erstellt werden. Außerdem gibt es für einzelne Arbeitsschritte wichtige Kooperationspartner in der internen Organisation.

Die folgende Grafik ( Abb. 3.1 Abb. 3.1: Bei der Einrichtung des CMS hilft, im Anschluss an die Bestimmung der Compliance-Kultur zunächst die Compliance-Funktion (Compliance Manager, Compliance Officer o. ä.) zu besetzen. Für die weiteren Schritte ist die dargestellte Reihenfolge empfehlenswert. Die Kommunikation sollte frühzeitig geplant und kontinuierlich umgesetzt werden (grau unterlegter Pfeil). ) zeigt eine beispielhafte interne Rollenverteilung und Vorgehensreihenfolge bei der CMS-Einführung. Am Anfang jedes Schrittes steht die Bestandsaufnahme bereits vorhandener Elemente, sodass darauf aufgesetzt werden kann.

Wie stets bei Projekten ist es auch hier sinnvoll, das Ziel jedes Meilensteines vorab möglichst konkret zu definieren, damit Folgeschritte erst beginnen, wenn die Grundlagen zuvor tatsächlich gelegt sind. Die Bestellung eines Compliance-Verantwortlichen ermöglicht der Geschäftsleitung, in die Überwachungsfunktion zu wechseln.

Abb. 3.1: Bei der Einrichtung des CMS hilft, im Anschluss an die Bestimmung der Compliance-Kultur zunächst die Compliance-Funktion (Compliance Manager, Compliance Officer o. ä.) zu besetzen. Für die weiteren Schritte ist die dargestellte Reihenfolge empfehlenswert. Die Kommunikation sollte frühzeitig geplant und kontinuierlich umgesetzt werden (grau unterlegter Pfeil).

Der Prüfungsstandard IDW PS 980 stellt die Compliance-Kultur bewusst an den Anfang des Compliance-Verständnisses. Dadurch kommt zum Ausdruck, dass das für die Mitarbeiter wahrnehmbare Reden ebenso wie das sichtbare Handeln des Top Managements unerlässliche Schlüsselfaktoren für die Compliance einer Organisation sind. Im Text des Prüfungsstandards heißt es dazu:

»Die Compliance-Kultur stellt die Grundlage für die Angemessenheit und Wirksamkeit des CMS dar. Sie wird vor allem durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans im Sinne des ›tone at and from the top‹ geprägt. Die Compliance-Kultur beeinflusst maßgeblich die Bedeutung, welche die Klinik-Mitarbeiter der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.« 2 2 IDW PS 980, Abschnitt 4, Tz 23. 3 IDW PS 980, Abschnitt 4, Tz 23.

Eine der zentralen Herausforderungen eines CMS der im mittleren Management mit dem Thema »Compliance« in Verbindung stehenden Personen ist die Glaubwürdigkeit des CMS an sich. Der Begriff »Compliance« als solcher ist leider nicht selten missbraucht und dadurch im öffentlichen Bewusstsein diskreditiert worden. Kaum einer der großen Compliance-Skandale ist in einer Organisation aufgekommen, in der nicht zuvor vom Management ein CMS eingerichtet und meist stolz präsentiert worden ist. Das hat zu einem unvermeidlichen Argwohn gegenüber dem Begriff »Compliance« und in der Folge auch gegenüber dem Anliegen der Compliance geführt.

Je ehrlicher und früher dieses Handicap in einem Compliance-Projekt akzeptiert und berücksichtigt wird, desto besser. Wenn der Prüfungsstandard des IDW von »tone at the top« spricht, so ist damit nicht in erster Linie das Reden gemeint (wie der Begriff »tone« vielleicht suggeriert), sondern das Handeln: »Die Compliance-Kultur […] wird vor allem durch […] die Verhaltensweisen des Managements geprägt«, heißt es dort nicht von ungefähr. Dieses Verhalten, also das Handeln des Top-Managements und des Aufsichtsorgans, stellt den »natürlichen Rahmen« dar, in dem sich die Kommunikation, also das Reden, bewegen sollte. Zu Beginn eines Compliance-Projekts unterscheidet sich die Grunddisposition der Belegschaft zu dem Begriff der Compliance vermutlich kaum von der insgesamt kritischen Haltung der Öffentlichkeit. Gleichzeitig jedoch kennt niemand das Handeln des Managements so konkret wie die Belegschaft. Kaum jemals also beginnt ein Compliance-Projekt bei einem imaginären »Nullpunkt« – vielmehr bringen alle Beteiligten, d. h. Mitarbeiter, Compliance-Schaffende und Management, sowohl Erfahrungen als auch persönliche Dispositionen ein.