+ All Categories
Home > Documents > Compliance Management und Compliance Regeln Broschüre (PDF ...

Compliance Management und Compliance Regeln Broschüre (PDF ...

Date post: 03-Feb-2017
Category:
Upload: danglien
View: 218 times
Download: 1 times
Share this document with a friend
52
Die Einführung von Compliance Management und Compliance Regeln – ein Beitrag zu Reputation und Rendite? Rechtsanwalt Dr. Stefan Pelny LL.M. (Yale)
Transcript

Die Einführung von Compliance Management undCompliance Regeln – ein Beitrag zu Reputation und Rendite?

Rechtsanwalt Dr. Stefan Pelny LL.M. (Yale)

© 2012 Dr. Weiland und Partner.

Neuer Wall 8620354 HamburgTelefon: +49 (0)40 / 36 13 07 - 0Telefax: +49 (0)40 / 36 13 07 - [email protected]

Kurfürstendamm 6410707 BerlinTelefon: +49 (0)30 / 20 39 74 - [email protected]

5, rue des Ursins75004 ParisTelefon: +33 (0)1 53 10 89 - 60Telefax: +33 (0)1 53 10 89 - [email protected]

www.weiland-rechtsanwaelte.de

ww

w.m

atri

x-de

sign

.de

| W

P_Ti

tel_

1211

16_P

elny

Die Einführung von Compliance Management und Compliance Regeln – ein Beitrag

zu Reputation und Rendite?

Rechtsanwalt Dr. Stefan Pelny LL.M. (Yale)*

I. Einleitung

1. Der Staatsrechtler und Bestsellerautor Bernhard Schlink hat kürzlich in einem

Interview geäußert:

„Wenn ich Deutschland mit anderen Ländern vergleiche, denke ich immer wieder,

dass es alles in allem verlässlich, sachlich, unideologisch und unkorrupt

funktioniert.“1

Die von Schlink – bewusst oder unbewusst – formulierte Einschränkung „alles in

allem“ ist angebracht:

Der von Transparency International veröffentlichte Corruption Perceptions Index

2011 vom 01.12.20112 sieht Deutschland auf dem 14. Platz und damit nur im

europäischen Mittelfeld. Da dieses Ranking jedoch 182 Länder erfasst, vermag es

– für sich genommen – die Aussage von Schlink nicht entscheidend zu schmälern.

Sie wird aber erheblich getrübt, wenn man einer Übersicht der 13 umsatz- bzw.

gewinnstärksten deutschen Unternehmen3 nachgeht und dabei feststellt, dass die

genannten Konzerne ausnahmslos in Vergangenheit und Gegenwart mit mehr

oder minder schweren Fällen von Wirtschaftskriminalität konfrontiert wurden bzw.

werden.

* Rechtsanwalt Dr. Pelny ist assoziierter Partner der Anwaltskanzlei Dr. Weiland und Partner, Hamburg,

Berlin, Paris 1 Süddeutsche Zeitung Magazin vom 22.06.2012, S. 26, Hervorhebungen hinzugefügt 2 http://www.transparency.de/Tabellarisches-Ranking.2021.98.html ; Süddeutsche Zeitung (fortan:

SZ) vom 09.08.2012, S. 15 3 SZ vom 28.06.2012, S. 19

2

Diese Fälle werden in den folgenden Ausführungen – gestützt auf öffentlich

zugängliche, allerdings nicht verifizierte Quellen – mit der deshalb gebotenen

Distanz referiert. Sie werden um der konkreten Anschauung willen mit einiger

Ausführlichkeit wiedergegeben, um die daraus etwa zu gewinnenden Einsichten

mit hinlänglicher Deutlichkeit zu vermitteln:

a) Volkswagen: 2009 habe die Staatsanwaltschaft gegen zwei VW-Manager sowie

zwei ehemalige Manager der Telekom Tochter T-Systems wegen des Verdachts

der Bestechlichkeit und Bestechung im geschäftlichen Verkehr Ermittlungen

aufgenommen und als deren Ergebnis Anklage erhoben. Die Telekom-Manager

hätten versucht, mit den VW-Managern zu vereinbaren, von Volkswagen Aufträge

über mehrere Hundert Millionen Euro zu erhalten, wenn im Gegenzug T-Systems

den Sponsorenvertrag zugunsten des Bundesligisten VfL Wolfsburg verlängern

würde; Volkswagen ist Haupteigentümer und Geldgeber des VfL Wolfsburg. Beide

Seiten hätten zudem versucht, den Ankauf größerer Ticket-Kontingente des VfL

Wolfsburg zu organisieren.4

b) EON: Über die Jahre habe EON – wie auch andere Unternehmen der

Energiewirtschaft – Stadt- und Kreisräten, die den Aufsichtsräten kommunaler

Energieversorger angehörten, Luxusreisen finanziert.5

c) Daimler: 1998 bis 2008 habe Daimler – den Vorwürfen des US-Justizministeriums

und der US-Börsenaufsicht Securities and Exchange Commission (SEC) zufolge –

Schmiergelder in mindestens 22 Ländern wie beispielsweise China, Russland und

Griechenland gezahlt. Nach einem Vergleichsvorschlag der SEC solle Daimler 94

Millionen Dollar an das US-Justizministerium sowie 91 Millionen Dollar an die SEC

zahlen; Daimler wolle den Vorschlag akzeptieren.6

4 http://www.ndr.de/regional/nierdersachsen/harz/wolfsburg3005.html ; SZ vom 18.07.2012, S. 19 5 http://www.jurablogs.com/de/korruption-nimmt-stetig-zu 6 http://www.sueddeutsche.de/wirtschaft/2.220/usa-korruptionsvorwuerfe-daimler-wegen

3

d) Allianz: 2012 habe eine Summe zwischen sieben und zehn Millionen Dollar in

Rede gestanden, die der Versicherer zahlen solle, um Vorwürfe beizulegen,

derentwegen das US-Justizministerium und die SEC Ermittlungen gegen das

Unternehmen aufgenommen hätten; ihnen liege der Verdacht auf Bestechung in

Indonesien zugrunde. Das US-Justizministerium habe jedoch seine Ermittlungen

eingestellt, die SEC führe sie hingegen fort.7

e) Siemens: Fünf Jahre nach dem 2006 aufgedeckten Schmiergeldskandal bei

Siemens hätten drei – inzwischen verhaftete – Konzernmanager versucht, mit

Schmiergeld an Mitarbeiter des Kuwaiter Energie- und Wasserministeriums an

lukrative Aufträge zu kommen. Das Unternehmen unter der Ägide Löscher habe

sofort durchgegriffen: Es habe den Fall selbst aufgedeckt, die Staatsanwaltschaft

eingeschaltet und sich von den betroffenen Managern getrennt; Schmiergeld sei

gar nicht erst geflossen.8

f) BASF: Spätestens seit 2007 sei dem Chemiekonzern durch Angestellte einer

hessischen Montagefirma – unterstützt von sechs Mitarbeitern des

Chemieunternehmens – durch Betrug und Bestechung ein Schaden von

mindestens einer Million Euro entstanden: Die Montagefirma habe bereits

abgerechnete Leistungen nochmals in Rechnung gestellt und so zweimal kassiert.

Die kollaborierenden BASF-Mitarbeiter seien mit Geld oder Sachleistungen

bestochen worden.9

g) BMW: Ein Abteilungsleiter des Autobauers habe von einem Mitarbeiter eines

sächsischen Zulieferbetriebs 100.000 Dollar Schmiergeld angenommen. Im

Gegenzug habe er bevorzugt an diesen Zulieferbetrieb Aufträge vergeben. Gegen

7 http://www.handelsblatt.com/unternehmen/versicherungen/allianz-us-regierung-beendet 8 http://www.sueddeutsche.de/wirtschaft/schmiergeldskandal-bei-siemens-anklage-gegen 9 http://www.rp-online.de/wirtschaft/unternehmen/millionenschaden-durch-korruption

4

beide ermittele die Staatsanwaltschaft wegen des Verdachts der Bestechlichkeit

und Bestechung im geschäftlichen Verkehr.10

h) Metro: Über die Jahre habe ein Werbeunternehmen 3.5 Millionen Euro

Schmiergeld gezahlt, um im Gegenzug bundesweit und exklusiv DSL-Verträge in

den Märkten des Elektronikhändlers Media Markt anbieten zu dürfen; dessen

Mehrheitsgesellschafter ist der Handelskonzern Metro. Die Staatsanwaltschaft

ermittele gegen 19 Personen, fünf seien verhaftet worden.11

i) Deutsche Telekom: 2005 und 2006 hätten hochrangige Manager von Magya

Telekom – den Vorwürfen des US-Justizministeriums und der SEC zufolge – an

Regierungsmitarbeiter zum einen in Mazedonien 4.88 Millionen Euro und zum

anderen in Montenegro 7.35 Millionen Euro gezahlt. Die Schmiergelder hätten in

Mazedonien möglichen Wettbewerbern den Markteintritt versperren sowie in

Montenegro den Verkauf des dortigen staatlichen

Telekommunikationsunternehmens an Magya Telekom möglich machen sollen.

Die Deutsche Telekom habe es versäumt, ihre 60%ige Tochter Magya Telekom

hinreichend zu kontrollieren. Im Rahmen eines Vergleichs zahle die Deutsche

Telekom 4.36 Millionen Dollar, die Magya Telekom 90.8 Millionen Dollar.12

j) Munich Re: Elf Jahre lang sei die Rückversicherung von ihrem Geschäftspartner,

der in Griechenland ein Gutachterbüro betrieben habe, in Zusammenwirken mit

zunächst einem, später einem weiteren Mitarbeiter der Munich Re betrogen

worden: Das Gutachterbüro sei bei Schadensfällen in Griechenland und Zypern

von den Erstversicherern vorrangig beauftragt worden, die Schäden zu

begutachten. Auf diese Gutachten hin hätten die Erstversicherer die Schäden

geregelt. Zunächst hätten sich die Erstversicherer wegen der Gutachtenkosten an

10 http://www.handelsblatt.com/unternehmen/industrie/dringender-tatverdacht-bmw 11 http://www.wiwo.de/unternehmen/elektronikkette-das-korruptionsdickicht-bei-mediasaturn ;

http://www.focus.de/finanzen/news/unternehmen/korruptionsaffaere-topmanager-von 12 http://www.focus.de/finanzen/news/unternehmen/korruptionsklage-telekom-zahlt-in

5

die Munich Re wenden müssen. Um aber zu erreichen, dass das Gutachterbüro

auf direktem Weg an Geld würde kommen können, habe es später das

Gutachtenhonorar ohne den Umweg über die Erstversicherer abrechnen dürfen.

Dabei habe es zehnfach überhöhte Rechnungen vorgelegt, schon längst

abgeschaffte Provisionen kassiert und sich manchmal seine Arbeit zweimal

bezahlen lassen. Über die elf Jahre sei der Munich Re ein Schaden von grob

gerechnet jährlich einer Million Euro entstanden. In dem Strafverfahren habe das

Landgericht München festgestellt, dass die Versicherung allein in dem nicht

verjährten Zeitraum von Juli 2006 bis Dezember 2010 dem Gutachterbüro vier

Millionen Euro zuviel gezahlt habe. Die aus den Betrügereien generierten Erlöse

hätten sich die Täter geteilt.13

k) Deutsche Bank: An dem jüngst öffentlich gewordenen Finanzskandal um die

Manipulation des sog. Libor-Zinssatzes sei die Deutsche Bank neben anderen

internationalen Kreditinstituten wie Barclays, UBS, Credit Swisse, JP Morgan

Chase und Bank of America beteiligt gewesen.14 Zwischen 2005 und 2009 hätten

die Großbanken niedrigere Zinsen als die tatsächlich gezahlten angegeben und

damit die Kreditkosten im gesamten Finanzsystem verzerrt, teils, um ihre eigenen

Schwächen zu verbergen, teils, um ihre Gewinne zu steigern.15

Zwei Geldhändler der Deutschen Bank seien in die Zinsmanipulationen verstrickt

gewesen; sie seien 2011 suspendiert worden und hätten die Bank mittlerweile

verlassen. Ermittlungen britischer und US-amerikanischer Aufsichtsbehörden 13 SZ vom 07.09.2012, S. 24 14 Die London Interbank Offering Rate, kurz: Libor , stützt sich auf die täglichen geschätzten

Angaben von 18 Großbanken, in denen sie dem Londoner Bankenverband mitteilen, zu welchen Zinssätzen sich Banken untereinander Geld leihen könnten. Aufgrund dieser Angaben fixiert London den weltweit geltenden Durchschnittszinssatz – eben diesen Libor. Er wird als „Vater aller Zinssätze“ bezeichnet und dient als Durchschnittszinssatz für Finanzgeschäfte, über deren Umfang zwischen 250 Milliarden Dollar, 300 Milliarden Dollar und 360 Milliarden Dollar erheblich voneinander abweichende Schätzungen genannt werden. SZ vom 05.07.2012, S. 19; SZ vom 10.07.2012, S. 4, S. 17; SZ vom 14./15.07.2012, S. 26; SZ vom 16.07.2012, S. 17; SZ vom 18.07.2012, S.17; DER SPIEGEL vom 23.07.2012, S. 64; DER SPIEGEL vom 30.07.2012, S. 65 ff.

15 SZ vom 16.07.2012, S. 17

6

gegen 16 Kreditinstitute seien im Gang, darunter gegen die Deutsche Bank; auch

die deutsche Finanzaufsicht Bafin habe eine Sonderprüfung bei der Deutschen

Bank eingeleitet.16

Als erste Bank habe Barclays die Zinsmanipulationen öffentlich eingeräumt und

sich mit den britischen und US-amerikanischen Aufsichtsbehörden auf eine

Geldbuße von 500 Millionen Dollar geeinigt.17

Morgan Stanley, die US-amerikanische Investmentbank, die selbst nicht in den

Finanzskandal verwickelt sei, beziffere die möglichen Gesamtforderungen durch

Aufsichtsbehörden und geschädigte Kunden auf 22 Milliarden Dollar. Der

Deutschen Bank drohe eine Strafe von mehr als einer Milliarde Dollar.18

Mögliche Kartellstrafen, die sowohl in Europa als auch in den USA anfallen

könnten, seien noch nicht berücksichtigt worden. Sie könnten ebenfalls auf

Milliardenhöhe steigen, falls die Behörden zu dem Schluss kommen sollten, dass

Marktabsprachen stattgefunden hätten.19

„Es ist schwer, sich einen größeren Fall als Libor vorzustellen“, zitiert die New

York Times einen Ermittler.20

l) SAP: Das US-Justizministerium habe Urheberrechtsverletzungen untersucht,

welche die US-amerikanische – inzwischen liquidierte – SAP-Tochter

TomorrowNow an dem Unternehmen Oracle begangen habe. Nach jahrelangen

Ermittlungen habe das US-Justizministerium es als erwiesen angesehen, dass

TomorrowNow illegal auf Oracle-Datenbanken zugegriffen habe. Um

16 SZ vom 10.07.2012, S. 17; SZ vom 04./05.08.2012, S. 28; DER SPIEGEL vom 30.07.2012, S.

65 ff. 17 SZ vom 16.07.2012, S. 17; SZ vom 04./05.08.2012, S. 28 18 SZ vom 14./15.07.2012, S. 26 19 SZ vom 14./15.07.2012, S. 26 20 Zitiert nach SZ vom 16.07.2012, S.17

7

strafrechtlichen Konsequenzen zu entgehen, habe sich SAP zur Zahlung von 20

Millionen Dollar bereit erklärt.

Darüber hinaus seien Oracle in einem Zivilgerichtsverfahren nach einem

umfassenden Schuldeingeständnis von SAP 1.3 Milliarden Dollar Schadenersatz

zugesprochen worden, die später vom Berufungsgericht auf 272 Millionen Dollar

reduziert worden seien. Anschließend hätten sich jedoch Oracle und SAP auf eine

Summe von 426 Millionen Dollar geeinigt21; in der Zwischenzeit aber habe Oracle

das Zivilgerichtsverfahren wieder aufgenommen und Berufung eingelegt22.

m) Bayer: 2009 habe ein Pharmareferent, der in der portugiesischen Tochter von

Bayer gearbeitet habe, angekündigt, in der Hauptversammlung der Bayer AG die

korrupten Praktiken ihres portugiesischen Tochter-Unternehmens offenzulegen:

Bei seiner Einstellung sei er darauf aufmerksam gemacht worden, dass ihm zur

„Verkaufsförderung“ hohe Summen zur Verfügung stünden, um mit Urlaubsreisen

und Geldgeschenken die Verschreibungen von Ärzten zu beeinflussen. Er sei

entlassen worden, weil er die schwarzen Kassen des Konzerns nicht genutzt

habe.

Die portugiesische Staatsanwaltschaft habe auf die Anzeige des

Pharmareferenten hin umfangreiche Ermittlungen durchgeführt. Aufgrund enger

Verbindungen von Bayer zur portugiesischen Politik sei das Unternehmen jedoch

nur zu kleineren Geldstrafen verurteilt worden.23

2. Diese Fälle führen zu einer Reihe von Erkenntnissen, die durchweg auf die

Notwendigkeit von effektiver Compliance und deren effizienter Umsetzung

hinweisen; nicht wenige der geschilderten wirtschaftskriminellen Handlungen

21 http://www.spiegel.de/wirtschaft/unternehmen/datenaffaere-sap-will-streit-mit-millionenzahlung ;

SZ vom 04./05.08.2012, S. 26 22 SZ vom 05.09.2012, S. 24 23 http://www.cbgnetwork.org/2898.html

8

hätten dann wahrscheinlich aufgedeckt werden können, wie etwa der dargestellte

Siemens-Fall zeigt.

a) Es ist zunächst augenfällig, dass die hier wiedergegebenen Fälle sowohl in

Hinblick auf die Straftatbestände als auch in Hinsicht auf die Straftäter als auch mit

Bezug auf die erlittenen finanziellen Verluste einander gleichen; diese

Gleichartigkeit hätte helfen können, die Straftaten zu entdecken.

Die Straftatbestände sind im Wesentlichen auf eine relativ begrenzte Anzahl von

Delikten beschränkt: Korruption insbesondere in Verbindung mit Bestechung und

Bestechlichkeit sowie Vermögensdelikte wie Betrug, Untreue und

Urheberrechtsverletzung.

Die Straftäter sind gewöhnlich als Täter oder Mittäter im Unternehmen selbst

aufzufinden, von wo aus sie mit Straftätern außerhalb des Unternehmens

kollaborieren.

Die finanziellen Verluste, die das Unternehmen in Form von Vermögensschäden,

Strafen, Bußen und Schadenersatz erleidet, sind häufig von enormer Höhe. Das

ist vor allem dann der Fall, wenn Mitarbeiter eines deutschen Unternehmens die

Straftat im Ausland begehen.

b) Es wäre hingegen unzutreffend, aus den geschilderten Fällen den Schluss zu

ziehen, dass lediglich Großkonzerne wie die hier genannten Unternehmen mit

Fällen von Wirtschaftskriminalität konfrontiert werden. Vielmehr sehen sich auch

mittelständische Unternehmen wirtschaftskriminellen Handlungen ausgesetzt,

insbesondere dann, wenn ihre Geschäftsfelder verzweigt sind, vor allem, wenn sie

ins Ausland expandieren. Infolgedessen sind auch mittelständische Unternehmen

gefordert, ein wirkungsvolles Compliance Management einzurichten und zu

organisieren sowie risikobezogene Compliance Regeln einzuführen und zu

9

kommunizieren. Dies gilt umso mehr, als anderenfalls gerade mittelständische

Unternehmen Haftungs- und Schadensrisiken laufen, die gegebenenfalls die

Existenz des Unternehmens gefährden können.24 Indessen wird in einem späteren

Kapitel25 behandelt werden, dass die Umsetzung von Compliance im Mittelstand

„nicht nur anders angegangen werden kann als in Großkonzernen, sondern auch

anders angegangen werden sollte …“26

c) Es wäre ebenfalls unrichtig, zu vermuten, dass die beschriebenen Fälle von

Wirtschaftskriminalität, die in den Medien auf ein vernehmbares Echo gestoßen

sind, deutschen Unternehmen den Anstoß gegeben hätten, nunmehr ein

Compliance Management einzurichten und Compliance Regeln zu

implementieren. Vielmehr lassen deutsche Unternehmen insoweit einen

erheblichen Nachholbedarf erkennen:

Einer im Februar 2010 von PricewaterhouseCoopers und der Martin-Luther-

Universität Halle-Wittenberg herausgegebenen Studie27 (fortan: PwC-Studie) liegt

die Befragung der für Compliance zuständigen Mitarbeiter in 500 deutschen

Großunternehmen zugrunde.28 Da die PwC-Studie jedoch Betriebe mit 1.000 bis

5.000 Beschäftigten einbezogen hat29 und Unternehmen mit Jahresumsätzen von

ein bis zwei Milliarden Euro sich selbst als Mittelstand betrachten30, dürften die in

der PwC-Studie herausgefundenen Ergebnisse auch dem Bild in mittelständischen

Unternehmen annähernd entsprechen.

24 Bernd Saitz, Compliance in mittelständischen Unternehmen – Theoretische Anforderungen und

pragmatische Ansätze zur Umsetzung, in: Wieland/Steinmayer/Grüninger (Hrsg.), Handbuch Compliance-Management, 2010 (fortan: Handbuch), S. 147 ff., S. 148

25 Siehe unten Ziff. IV 26 Saitz, a. a. O. (Anm. 24), S. 152 27 Nestler/Salvenmoser/Bussmann, Compliance und Unternehmenskultur. Zur aktuellen Situation in

deutschen Großunternehmen (fortan: PwC-Studie 2010) 28 PwC-Studie 2010, a. a. O. (Anm. 27), S. 45 29 Dies., S. 22 30 Saitz, a. a. O. (Anm. 24), S. 150

10

Danach stieg, verglichen mit einer PwC-Studie aus dem Jahr 2007, die Zahl der

deutschen Unternehmen, die ein Compliance Management eingerichtet und

Compliance Regeln eingeführt haben, um lediglich drei Prozentpunkte auf 44 %.

Über die Hälfte der Unternehmen (56 %) haben keine entsprechenden Initiativen

in die Wege geleitet; von denen haben das wiederum 57 % in den nächsten zwei

Jahren auch nicht vor.

Als Begründung für diese Verweigerung werden seitens der Befragten

unverhältnismäßiger Aufwand (54 %), vermehrte Bürokratie (58 %) und hohe

Kosten (53 %) genannt. Außerdem wird befürchtet, dass Unruhe im Unternehmen

(34 %) und Misstrauen in der Belegschaft (39 %) entstünden. Dabei wird offenbar

nicht berücksichtigt, dass dort Argwohn und Besorgnis erst recht dann um sich

greifen, wenn das Unternehmen auf Wirtschaftsstraftaten stößt, die im Betrieb

selbst oder dessen Umfeld begangen worden sind, ohne dass Compliance

Management installiert und Compliance Regeln implementiert worden waren, die

dem hätten begegnen können.31

Ebenso wenig werden anscheinend die durch Wirtschaftskriminalität verursachten

Schäden bedacht: Nach den Ergebnissen des Global Economic Crime Survey von

PricewaterhouseCoopers aus dem Jahr 2007 hatten deutsche Unternehmen auf

Wirtschaftsstraftaten zurückzuführende finanzielle Verluste von durchschnittlich

über 1.04 Millionen Euro pro Unternehmen zu tragen.32

31 PwC-Studie 2010, a. a. O. (Anm. 27), S. 3, S. 17 32 Zitiert nach Kai-D. Bussmann, Compliance in der Zeit nach Siemens – Corporate Integrity, das

unterschätzte Konzept, Betriebswirtschaftliche Forschung und Praxis (BFuP), 2009, S. 506 ff., S. 507 f.

11

II. Die Grundlagen von Compliance

1. Ziele

Einer aussagekräftigen Definition von Compliance sind deren Ziele zugrunde zu

legen. Zunächst und in erster Linie soll Compliance sicher stellen, dass im

Unternehmen die einschlägigen Rechtsvorschriften eingehalten werden. In Verfolg

dieses juristischen Ziels soll Compliance Vorkehrungen in zwei Richtungen treffen:

Erstens soll der Ruf des Unternehmens geschützt und dadurch verhindert werden,

dass Geschäftsbeziehungen abgebrochen, Kunden verloren, öffentliche

Ausschreibungen versperrt werden, dass Marktanteile zurückgehen, die

Kapitalmarktbewertung sich verschlechtert, kurz: dass die Wettbewerbsfähigkeit

abnimmt. Alles in allem betrachtet soll Compliance verhindern, dass letzten Endes

die Reputation und die Rendite des Unternehmens sinken.

Ein prägnantes Beispiel für Einbußen an Reputation und – wie zu vermuten – auch

an Rendite bietet der Sex-Skandal bei dem Ergo-Versicherungskonzern, der in

den Medien auf weithin vernehmbaren Widerhall gestoßen ist:

Danach seien am 05.06.2007 100 Vertreter der Ergo-Versicherungsgruppe, die

zwischen November 2006 und April 2007 die meisten Verträge abgeschlossen

hätten, zu einer Sex-Party in der ungarischen Hauptstadt Budapest eingeladen

worden. Dort sei die „traditionsreiche“ Gellert-Therme gemietet und in ein

„Freiluftbordell verwandelt worden“; etwa 20 Prostituierte seien anwesend

gewesen. Die „Sex-Sause“ habe 83.000 Euro gekostet.

„Wer die Berichterstattung über Ergo in den vergangenen Monaten verfolgt hat,

zweifelt keine Sekunde an einer massiven Vertrauenskrise bei den Ergo-Kunden.

Ergo ist zum Sündenfall der Versicherungsbranche geworden.“

12

Zweitens soll finanziellen Verlusten des Unternehmens entgegengewirkt werden,

die zum einen wegen der Kosten entstehen, die Strafen, Bußgelder und

Schadenersatz verursachen, zum anderen wegen der Kosten, die aus sich

anschließenden Rechtsstreiten und dem monatelangen oder gar jahrelangen

Zeitaufwand des jeweils betroffenen Managements herrühren. 33

2. Rechtsgrundlagen

a) In Deutschland sind die nur hier geschäftlich tätigen Unternehmen34 nicht

gesetzlich verpflichtet, Compliance Management einzurichten und Compliance

Regeln zu implementieren.35 Vielmehr liegt deren Einführung im freien Ermessen

der deutschen Unternehmen.36

33 Stephan Grüninger, Wertorientiertes Compliance Management System, in: Handbuch, a. a. O.

(Anm. 24), S. 39 ff., S. 40 f.; Thomas Knoll/Aram Kaven, Risiko und spezifische Rechtsrisiken, in: Handbuch, a. a. O. (Anm. 24), S. 457 ff., S. 460; Bussmann, a. a. O. (Anm. 32), S. 507 ff.; zum Fall Ergo: http://www.wiwo.de/unternehmen/versicherer/ergo-versicherung-solide-geschäfte-in; http://www.abendblatt.de/wirtschaft/article1894704/Sex-Party-in-Budapest-Skandal; http://www.sueddeutsche.de/wirtschaft/interner-bericht-zum-sex-skandal-der-ergo; http://www.rundschau-online.de/home/sex-partys-ergo-zieht-skandal-bilanz. Laut Auskunft der YouGov Deutschland AG liegen öffentlich zugängliche Absatzpotential-Indices der Ergo-Versicherungsgruppe für die Zeit nach dem Sex-Skandal indes nicht vor. Ergo behauptet jedoch, es seien keine signifikanten Einbrüche zu verzeichnen. http:/www.wiwo.de/unternehmen/versicherer/ergo-versicherung-geschaeftseinbruch-…

34 Siehe dagegen unten Buchst. b und c 35 In der Literatur werden allerdings auch abweichende Auffassungen vertreten. Die rechtlichen

Grundlagen für Compliance seien zum einen die Haftungsbestimmungen des Ordnungswidrigkeitengesetzes zur Haftung der Aufsichtspflichtigen im Unternehmen sowie des Unternehmens selbst bei zurechenbarem Fehlverhalten der Aufsichtspflichtigen und zum anderen die sich aus Spezialnormen ergebenden Haftungsbestimmungen wie etwa das Bundesimmissionsschutzgesetz oder das Geldwäschegesetz. Klaus Moosmayer, Compliance, Praxisleitfaden für Unternehmen, 2. Aufl. 2012, S. 5; Hauschka, Einführung, in: Christoph E. Hauschka (Hrsg.), Corporate Compliance, Handbuch der Haftungsvermeidung im Unternehmen, 2007, S. 8 unter Wiedergabe und gleichzeitiger Ablehnung dieser Auffassungen (fortan: Handbuch Haftungsvermeidung). Rechtsdogmatisch gesehen ist das Konstrukt nicht nachzuvollziehen, wonach unmittelbar geltende allgemeine und spezielle Rechtsnormen gleichzeitig die mittelbare Rechtsgrundlage für Compliance bieten sollen. Diese Rechtsnormen sind allenfalls Beweggründe für die Einführung von Compliance.

36 Roland Steinmeyer/Patrick Späth, Rechtliche Grundlagen und Rahmenbedingungen („Legal Compliance“), in: Handbuch, a. a. O. (Anm. 24), S. 174; Thomas Faust, Compliance-Management – ein Patentrezept gegen Korruption?, ethos, Wirtschafts- und Unternehmensethik

13

Diese Auffassung wird durch den Deutschen Corporate Governance Kodex

bestätigt. Denn in der Präambel des Kodex heißt es:

„… Der Kodex richtet sich in erster Linie an börsennotierte Gesellschaften. Auch

nichtbörsennotierten Gesellschaften wird die Beachtung des Kodex empfohlen. …

… Die Gesellschaften können (erg. von den Empfehlungen) abweichen, sind

dann aber verpflichtet, dies jährlich offen zu legen. Dies ermöglicht den

Gesellschaften die Berücksichtigung branchen- oder

unternehmensspezifischer Bedürfnisse. So trägt der Kodex zur

Flexibilisierung und Selbstregulierung der deutschen Unternehmensverfassung

bei. …“

Darüber hinaus interessiert hier insbesondere folgende Passage des Kodex:

„4.1.3 Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und

der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung

durch die Konzernunternehmen hin (Compliance). ...“37

b) In den USA sind dem Sarbanes-Oxley Act aus dem Jahr 200238 alle Unternehmen

unterworfen, deren Aktien an der New York Stock Exchange gehandelt werden,

und zwar gleichgültig, ob es sich um US-amerikanische oder nicht amerikanische,

also auch deutsche Unternehmen handelt.

in der ökonomischen und politischen Bildung, 2011, S. 5; Eberhard Krügler, Compliance – ein Thema mit vielen Facetten, Umwelt Magazin, Heft 7/8, 2011, S. 50 f.

37 In der Fassung vom 26.05.2010, http://www.corporate-governance-code.de , S. 2, S. 6 Hervorhebungen hinzugefügt

38 http://www.news.findlaw.com/.../sarbanesoxley072302.pdf

14

Das Gesetz trifft in vielerlei Richtungen verschärfte und neue Regelungen für die

Unternehmen sowie deren Überwachungsorgane wie den Board of Directors, das

Audit Committee und den Abschlussprüfer. So muss etwa das Unternehmen mit

den Berichten zum Jahresabschluss einen Internal Control Report vorlegen, der

sich nicht auf die Finanzberichterstattung beschränkt, sondern auf sämtliche

Unternehmensfunktionen erstreckt; der Vorstandsvorsitzende und Finanzvorstand

des Unternehmens müssen in den Quartals- und Jahresabschlussberichten ein

gesondertes Testat zur Finanzberichterstattung abgegeben.39

Der Sarbanes-Oxley Act fordert zwar nicht ausdrücklich die Einführung von

Compliance Regeln.40 Diesem Thema widmen sich aber die US Sentencing

Guidelines, die 1991 wirksam und 2004 (und fortlaufend) überarbeitet wurden41 ,

sowie die 1999 vom US-Justizministerium veröffentlichten Principles of Federal

Prosecution of Business Organizations (fortan: Principles), die 2008 (und ebenfalls

fortlaufend) fortgeschrieben wurden.42

Die Anforderungen an Compliance werden sowohl in den US Sentencing

Guidelines definiert:

„To have an effective compliance and ethics program an organization shall:

(1) exercise due diligence to prevent and detect criminal conduct; and

39 Obermayr, Revision, in : Handbuch Haftungsvermeidung, a. a. O. (Anm. 35), S. 336 ff., S. 343

mit weiteren Einzelheiten 40 Kai-D. Bussmann/Sebastian Matschke, Der Einfluss nationalen Rechts auf Kontroll- und

Präventionsmaßnahmen von Unternehmen – ein Vergleich zwischen den USA und Deutschland -, Zeitschrift für Wirtschafts- und Steuerstrafrecht (Wistra), 2008, S. 88 ff., S. 91 mit weiteren Einzelheiten

41 http://www.ussc.gov/guidelin.htm; Moosmayer, a. a. O. (Anm. 35), S. 7 42 http://www.justice.gov/usao/eonsa/foia_reading_room/usam/title9/28mcrm.htm ; Andrew E.

Reisman, Compliance Management im internationalen Kontext: State of the Art und Herausforderungen, in: Handbuch, a. a. O. (Anm. 24), S. 617 ff., S. 618 f.

15

(2) otherwise promote an organizational culture that encourages ethical conduct

and a commitment to compliance with the law.

Such a compliance and ethics program shall be reasonably designed,

implemented and enforced so that the program is generally effective in preventing

and detecting criminal conduct. The failure to prevent or detect the instant

offense does not necessarily mean that the program is not generally

effective in preventing and detecting criminal conduct.” 43

als auch in den Principles erläutert:

„Compliance programs are established … to prevent and detect misconduct and to

ensure that corporate activities are conducted in accordance with applicable

criminal and civil laws, regulations, and rules.

… While the Department recognizes that no compliance program can ever

prevent all criminal activity by a corporation’s employees, the critical factors in

evaluating any program are whether the program is adequately designed for

maximum effectiveness in preventing and detecting wrongdoing by employees and

whether corporate management is enforcing the program or is tacitly encouraging

or pressuring employees in misconduct to achieve business objectives. …

… Prosecutors should therefore attempt to determine whether a corporation’s

compliance program is merely a ‘paper program’ or wether it was designed,

implemented, reviewed, and revised, as appropriate, in an effective manner. …”44

43 Zitiert nach Reisman, a. a. O. (Anm. 42), S. 620, Hervorhebung hinzugefügt 44 Principles, a. a. O. (Anm. 42), Corporate Compliance Programs, A. General principle,

Hervorhebung hinzugefügt

16

Jenseits ihrer Definition von Compliance sind die Principles für deutsche – in den

USA geschäftlich tätige - Unternehmen von Bedeutung, und zwar egal, ob sie dort

börsennotiert sind oder nicht:

„… However, the existence of a compliance program is not sufficient, in and

of itself, to justify not charging a corporation for criminal misconduct

undertaken by its officers, directors, employees, or agents. … “45

Unabhängig davon also, ob deutsche – börsennotierte und nicht börsennotierte –

Unternehmen, die in den USA geschäftlich agieren, Compliance Management und

Compliance Regeln eingeführt haben – sie sind der strafrechtlichen Jurisdiktion in

den USA unterworfen, wenn auf dem dortigen Territorium eine Tathandlung

begangen worden ist. Moosmayer berichtet, dass in der Praxis der Ermittlungen

durch die US-Justizbehörden hierfür bereits etwa ein Geldtransfer über ein Konto

in den USA oder sogar eine E-Mail-Korrespondenz mit Empfängern in den USA

ausreichen.46

Andererseits aber sind mit unter Umständen relativ günstigen Folgen die US

Sentencing Guidelines für deutsche – in den USA geschäftlich operierende,

börsennotierte und nicht börsennotierte – Unternehmen von Belang – jedoch nur,

wenn sie ein effektives Compliance Management und effiziente Compliance

Regeln eingeführt haben (die bloße Existenz eines „paper program“ reicht den

Principles zufolge nicht aus). Unter dieser Voraussetzung nämlich besteht die

Möglichkeit, der Strafverfolgung zu entgehen oder zumindest die Strafzumessung

positiv zu beeinflussen.47

Möglicherweise haben sowohl diese strafrechtlichen Vorteile, die sich aus den US

Sentencing Guidelines ergeben, als auch der gesetzgeberische Zwang, den der

45 Principles, a. a. O. (Anm. 44), Hervorhebung hinzugefügt 46 Moosmayer, a. a. O. (Anm. 35), S. 7 47 Bussmann/Matschke, a. a. O. (Anm. 40), S. 89

17

Sarbanes-Oxley Act ausübt, eine Vielzahl von US-Unternehmen dazu veranlasst,

Compliance Management und Compliance Regeln einzuführen: Nach einer 2005

von PricewaterhouseCoopers International vorgenommenen Befragung sind dies

83 % der US-Unternehmen in den USA und 75 % ihrer Tochterunternehmen in

Deutschland, im Gegensatz dazu aber nur 54 % der deutschen Unternehmen;48

dieser für Deutschland 2005 herausgefundene Befund ist sogar besser als die in

Jahren 2007 und 2010 erfragten Ergebnisse49.

Es mag sein, dass die Unternehmen in Deutschland bei der Umsetzung von

Compliance den Unternehmen in den USA nachhinken, weil in Deutschland

anders als in den USA die entsprechenden gesetzlichen und weiteren

regulatorischen Bestimmungen fehlen. Wenn diese Schlussfolgerung zutreffend

wäre, würde sie die Vermutung nahe legen, dass es in deutschen Unternehmen an

ökonomischer Vernunft und Weitsicht mangelt – aus drei Gründen:

Erstens: In den USA sind kritische Stimmen dahin zu hören, dass die dortigen

gesetzlichen und weiteren regulatorischen Bestimmungen zu einer staatlichen

Überregulierung geführt hätten. „Mit Sarbanes-Oxley mische sich der Staat in

bisher nicht gekanntem Ausmaße in die Corporate Governance ein.“50 In der Tat

wissen es deutsche Unternehmen offenbar nicht zu schätzen, dass der Deutsche

Corporate Governance Kodex „zur Flexibilisierung und Selbstregulierung der

deutschen Unternehmensverfassung beiträgt“, indem er „den Gesellschaften die

Berücksichtigung branchen- oder unternehmensspezifischer Bedürfnisse

(ermöglicht)“.51

Zweitens: Die geschilderten Fälle von Wirtschaftskriminalität, die in den Medien

auf ein unüberhörbares Echo gestoßen sind, sowie die auf Wirtschaftsvergehen

48 Dies., S. 91 49 Siehe oben Ziff. I 2 Buchst. c 50 Bussmann/Matschke, a. a. O. (Anm. 40), S. 95 51 Siehe oben Ziff. II 2

18

zurückgehenden finanziellen Verluste, die deutsche Unternehmen in Millionenhöhe

zu tragen hatten, sollten für sie – ökonomischer Vernunft folgend – Grund genug

sein, auch ohne gesetzgeberischen und weiteren regulatorischen Zwang

Compliance umzusetzen.52

Drittens: Deutsche Unternehmen sollten sich – ökonomischer Weitsicht folgend –

nicht der Einsicht verschließen, dass das Diktat der Globalisierung (noch)

unterschiedliche Unternehmenskulturen einander angleichen wird und damit auch

die Implementierung von Compliance Management und Compliance Regeln

zunehmend selbstverständlich wird. Dies gilt umso mehr, als die USA als

„Mutterland der Compliance“ bezeichnet werden und deren gesetzgeberische und

weitere regulatorische Bestimmungen als Vorbild auf andere Länder ausstrahlen,

wie etwa Japan, Kanada und Australien.53

Die offenbar uneinheitlich ausgeprägte Sensibilität gegenüber Korruption

bekommen deutsche Manager im Ausland zu spüren. Sie werden gefragt, warum

der Deutsche Bundestag die United Nations Convention Against Corruption

(UNCAC)54 nunmehr neun Jahre nach Unterzeichnung des Abkommens durch

Deutschland immer noch nicht ratifiziert habe, ebenso wenig wie die Länder Japan

und Saudi-Arabien und „sinistre Staaten“ wie Syrien und Sudan. Der allgemein

bekannte Grund hierfür ist, dass CDU/CSU Widerstand leisten, weil sie das

Gesetz gegen Abgeordnetenbestechung nicht verschärfen wollen, was UNCAC

erfordern würde.

Auf diesem Hintergrund haben Präsident und Vizepräsident der Internationalen

Handelskammer Deutschland und weitere 35 Manager wie die Chefs von

Siemens, Telekom und Daimler einen „Brandbrief“ an die Vorsitzenden der

Bundestagsfraktionen gerichtet und die Ratifizierung von UNCAC gefordert: „Das

52 Siehe oben Ziff. I 1 53 Moosmayer, a. a. O. (Anm. 35), S. 7; Bussmann/Matschke , a. a. O. (Anm. 40), S. 91 54 http://www.unodcorg/.../UNCAC/.../08-50026_E.pdf

19

Ausbleiben der Ratifizierung der UNCAC schadet dem Ansehen der deutschen

Wirtschaftsunternehmen in ihren Auslandsaktivitäten.“ Zuletzt hat sich

Bundestagspräsident Lammert dieser Forderung angeschlossen.55

c) In Großbritannien sind dem UK Bribery Act aus dem Jahr 201156 nicht nur in

Großbritannien ansässige Unternehmen, sondern alle dort geschäftlich tätigen

natürlichen und juristischen Personen unterworfen. Das Gesetz richtet sich gegen

Bestechung im öffentlichen und privaten Sektor, und zwar auch, wenn sie mit der

Geschäftstätigkeit des in Großbritannien geschäftlich tätigen Unternehmens nicht

verknüpft ist; dieses haftet dennoch für jedwede Bestechungshandlungen seiner

Mitarbeiter oder beauftragter Dritter. Gegen eine solche Haftung kann sich das

Unternehmen allein mit dem Hinweis auf von ihm eingeführte „adäquate“

Compliance Regeln verteidigen.57

3. Haftungs- und Schadensrisiken

Die verschiedenen allgemeinen und speziellen Haftungstatbestände in deutschen

und ausländischen normativen Regelwerken, deren etwaige strafrechtliche,

ordnungsrechtliche und zivilrechtliche Haftungs- und Schadensfolgen

Unternehmen zu berücksichtigen haben, wenn sie Compliance Management und

Compliance Regeln einführen, sind zwar nicht als Rechtsgrundlage von

Compliance zu bewerten58, wirken sich aber sehr wohl als starke Triebfeder für

deren Umsetzung aus. Die Tatbestände mit deren Haftungs- und Schadensfolgen

sind zahlreich. Deshalb werden hier nur die Tatbestände wiedergegeben, mit

denen Unternehmen am ehesten in der Praxis Gefahr laufen können, konfrontiert

zu werden, hingegen nicht die spezialgesetzlichen Vorschriften, die etwa den

55 SZ vom 09.08.2012, S. 15; DER SPIEGEL vom 13.08.2012, S. 15 56 http://www.legislation.gov.uk/ukpga/2010/23/contents 57 Moosmayer, a. a. O. (Anm. 35), S. 10 f. 58 Siehe oben Ziff. II 2 Buchst. a Anm. 35

20

Finanzdienstleistungssektor, den Umweltschutz oder den Arzneimittelbereich

betreffen.

Zwar müssen Mitarbeiter eines Unternehmens zunächst selbst für die Folgen der

durch sie begangenen Delikte einstehen, also wenn sie etwa in dem weiten Feld

der Korruption gegen den Straftatbestand der Auslandsbestechung verstoßen

haben. Aber wenn in dem Betrieb Delikte in einem Unternehmensmilieu begangen

werden, dem es an hinlänglicher Aufsicht durch die zuständigen

Unternehmensorgane mangelt, dann haften auch diese Organe, deren Mitglieder

und auch das Unternehmen selbst:

a) Gemäß § 130 Ordnungswidrigkeitengesetz (OWiG) i. V. m. §§ 14 StGB, 9 OWiG

können gegen vertretungsberechtigte Organe einer juristischen Person oder

gegen deren Mitglieder Geldbußen verhängt werden, wenn sie vorsätzlich oder

fahrlässig Aufsichtsmaßnahmen unterlassen haben, die erforderlich gewesen

wären, um zu verhindern oder wesentlich zu erschweren, dass Mitarbeiter gegen

betriebsbezogene Pflichten verstoßen, deren Verletzung mit Geldbuße oder Strafe

bedroht ist. Die Regelung des § 130 OWiG wird durch die des § 30 OWiG ergänzt,

wonach gegen das Unternehmen selbst eine Geldbuße verhängt werden kann,

wenn dessen vertretungsberechtigtes Organ bzw. dessen Mitglieder selber

Straftaten oder Ordnungswidrigkeiten begangen und dabei

unternehmensbezogene Pflichten verletzt haben oder das Unternehmen bereichert

worden ist oder werden sollte.

Die Geldbuße kann bis zu einer Höhe von einer Million Euro festgesetzt werden,

kann aber auch wesentlich höher ausfallen, falls dies erforderlich ist, um bei dem

Unternehmen die bei ihm durch die Tat generierten Gewinne abzuschöpfen (§ 30

Abs. 2 und Abs. 3 i. V. m. § 17 Abs. 4 OWiG). Moosmayer berichtet, dass im

21

Siemens-Verfahren Gewinne in dreistelliger Millionenhöhe abgeschöpft worden

seien.59

b) Die zivilrechtlichen Schadenersatzregelungen im Aktiengesetz (AktG) sowie im

Gesetz betreffend Gesellschaften mit beschränkter Haftung (GmbHG)

komplettieren – bezogen auf die jeweilige gesellschaftsrechtliche Rechtsform – die

straf- und ordnungsrechtlichen Regelungen im OWiG; während dieses die Aufsicht

regelt, die Straftaten und Ordnungswidrigkeiten verhindern soll, normieren jene die

Aufsicht, die Schäden für das Unternehmen vorbeugen soll.

Sowohl den Vorstandsmitgliedern sowie den Aufsichtsratsmitgliedern einer

Aktiengesellschaft als auch den Geschäftsführern einer GmbH obliegen

Sorgfaltspflichten, zu deren Kern die Pflicht gehört, für erforderliche Aufsicht und

damit hinreichende Kontrolle im Unternehmen Sorge zu tragen.60

Dementsprechend sind Vorstandsmitglieder, Aufsichtsratsmitglieder und

Geschäftsführer, die diese Pflicht verletzen, der Gesellschaft zum Ersatz des

daraus entstandenen Schadens verpflichtet (§ 93 Abs. 2 AktG; § 116 i. V. m. § 93

Abs. 2 AktG; § 43 Abs. 2 GmbHG).

c) Ungleich drastischer, als die – durchaus fühlbaren – Bußgelder ausfallen, die

Gerichte gemäß dem OWiG verhängen, hat sich die Bußgeldpraxis entwickelt,

nach der die EU-Kommission in Kartellsachen verfährt. Sie habe, berichtet

Moosmayer , in allen Kartellverfahren des Jahres 2007 insgesamt 3.3 Milliarden

59 Moosmayer, a. a. O. (Anm. 35), S. 12 f., der auch auf die Rechtsprechung des 1. Strafsenats

des BGH hinweist, der im Gegensatz zu dessen 5. Strafsenat das „Bruttoprinzip“ vertritt, wonach ohne Abzug etwaiger Aufwendungen alles aus der rechtswidrigen Tat Erlangte herauszugeben ist; würde ein solcher Abzug zugelassen, würde das „Nettoprinzip“ angewandt werden. Pelz, Strafrechtliche und zivilrechtliche Aufsichtspflicht, in: Handbuch Haftungsvermeidung, a. a. O. (Anm. 35), S. 97 ff. mit weiteren Einzelheiten; Michael Volz, Zentrale rechtliche Felder von Compliance: Ein Überblick, in: Handbuch, a. a. O. (Anm. 24), S. 213 ff., S. 216 f. mit weiteren Einzelheiten.

60 Pelz, a. a. O. (Anm. 59), S. 106 ff.

22

Euro an Bußgeldern verhängt und in nur einem Kartellverfahren gegen Hersteller

von Autoglas im November 2008 bereits über 1.3 Milliarden Euro.61

Auf diesem Hintergrund hat der Zuschnitt von Compliance Regeln die Art. 81 und

82 EG-Vertrag besonders in den Blick zu nehmen:

Während nach Art. 82 EG-Vertrag der Missbrauch einer marktbeherrschenden

Stellung verboten ist, sind nach Art. 81 EG-Vertrag Vereinbarungen zwischen

Unternehmen, Beschlüsse von Unternehmensvereinigungen sowie aufeinander

abgestimmte Verhaltensweisen verboten, die den Handel zwischen den

Mitgliedstaaten zu beeinträchtigen geeignet sind und die bezwecken oder

bewirken, den Wettbewerb innerhalb des Gemeinsamen Marktes zu verhindern,

einzuschränken oder zu verfälschen. In Abgrenzung zum nationalen Kartellrecht

muss die jeweilige Vereinbarung oder die abgestimmte Verhaltensweise

zwischenstaatlich erfolgen. Nur dann also, wenn der zwischenstaatliche Handel

nicht beeinträchtigt wird, ist statt Europäischen Kartellrechts nationales Kartellrecht

anzuwenden.62

III. Compliance Management und Compliance Regeln

1. Organisationsstruktur

Die drei Modelle, die in der Frage einer für das Compliance Management

sachgerechten Organisationsstruktur diskutiert werden, lassen erhebliche

Unterschiede erkennen: Nach dem ersten – nennen wir ihn den desintegrierten –

Ansatz werden die Compliance Aufgaben von den verschiedenen Fachabteilungen

des Unternehmens sowie gegebenenfalls dessen ausländischen Niederlassungen

61 Moosmayer, a. a. O, (Anm. 35), S. 13 62 Volz, a. a. O. (Anm. 59), S. 226 ff., S. 230 mit weiteren Einzelheiten auch zum US-

amerikanischen Kartellrecht

23

zusätzlich in jeweils eigener Verantwortung wahrgenommen.63 Dem zweiten –

nennen wir ihn den traditionellen – Ansatz zufolge werden die Compliance

Aufgaben dem Leiter der Rechtsabteilung des Unternehmens übertragen, der in

seiner gleichzeitigen Funktion als Compliance Beauftragter die Compliance

Aufgaben im gesamten, gegebenenfalls auch auslandsorientierten Unternehmen

koordiniert. Dem von ihm geleiteten Compliance Committee gehören die Leiter der

für Rechnungswesen, Personal und Interne Revision zuständigen

Unternehmenseinheiten sowie die der Fachabteilungen des Unternehmens und

gegebenenfalls die der ausländischen Niederlassungen an.64 Nach dem dritten –

nennen wir ihn den integrativen – Ansatz wird eine eigens für Compliance

Aufgaben verantwortliche Organisationseinheit im Unternehmen geschaffen, die

dem allein für diese Aufgabe zuständigen Compliance Beauftragten untersteht. Er

hat mit allen Geschäftseinheiten des Unternehmens im In- und Ausland eng zu

kooperieren, eingeschlossen die, welche für Rechnungswesen, Personal und

Interne Revision verantwortlich sind; dabei dürfen allerdings Interne Revision und

Compliance Management die ihnen jeweils übertragene – voneinander

abgegrenzte – Verantwortung nicht verwischen. Er berichtet ausschließlich und

unmittelbar der Unternehmensleitung, zu der er direkten Zugang hat. Die für ihn in

Betracht kommenden Ansprechpartner sind die Vorsitzenden des Vorstands, des

Aufsichtsrats und insbesondere dessen Prüfungsausschusses; dieser liegt als

Ansprechpartner deswegen nahe, weil zu den Aufgaben des

Prüfungsausschusses u. a. die „Überwachung des Rechnungslegungsprozesses,

der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems

und des internen Revisionssystems“ gehört (§ 107 Abs. 3 AktG).

In diesem Zusammenhang ist darauf hinzuweisen, dass der Compliance

Beauftragte mehr als andere Führungskräfte des Unternehmens Haftungsrisiken

ausgesetzt ist, die es angeraten sein lassen, für ihn und seine Mitarbeiter bei

Übernahme der Funktionen eine Rechtsschutzversicherung abzuschließen, um die 63 Moosmayer, a. a. O. (Anm. 35), S. 36; Bussmann, a. a. O. (Anm. 32), S. 507 64 Moosmayer, a. a. O. (Anm. 35), S. 35 f.

24

gegebenenfalls erheblichen Kostenrisiken abzufedern. So bietet beispielsweise die

Gothaer eine Directors & Officers – Versicherung (D & O) an, aufgrund deren

„Arbeitnehmer in ihrer Funktion als benannte Compliance-Beauftragte“ versichert

werden können.65

Es verwundert, dass die Diskussion über die geschilderten drei Modelle heute

noch andauert. Denn bereits vor rund fünfzig Jahren hat die

Organisationssoziologie die mit betriebsinterner Kommunikation verbundenen

Probleme herausgefunden.

Zum einen die Kommunikationsprobleme, die sich aus der üblichen

Verhaltensweise der Mitarbeiter in Organisationen jedweder Art ergeben können:

„… Even casual observation of the behavior of members of an organization, such

as an industrial firm, a hospital, or a university, reveals its organized character.

The members assemble on schedule, each person engages in a limited number

of activities, the range of interpersonal transactions is restricted…”66

Zum anderen die Kommunikationsprobleme, die sowohl wegen des zeitlichen

Verzugs auf dem Weg zwischen Absender und Adressaten auftreten können:

„… problems in coordination arise because time lags exist within the

communication flow. …“ 65 Ders., S. 34 ff., S. 42 ff.. Der BGH hat die strafrechtliche Haftung des Compliance Beauftragten

bejaht, und zwar unter Bezugnahme auf seine bisherige Rechtsprechung zum „Betriebsbeauftragten“ und in Hinblick auf die festgestellten Umstände der begangenen Tat. Der Angeklagte hatte es nämlich als „Überwachungsgarant“ versäumt, ihm bekannt gewordenes strafbares Verhalten zu beanstanden und den Vorsitzenden des Vorstands und des Aufsichtsrats zu melden. BGH 5 StR 394/08, Urt. vom 17.07.2009, http://www.hrr-strafrecht.de . Es ist also überzogen, dieses Urteil als „einen Paukenschlag für deutsche Compliance-Officer“ zu bezeichnen, die „praktisch mit einem Bein im Gefängnis (stehen)“. Stefan Hirschmann, Paukenschlag für deutsche Compliance-Officer, http://www.risknet.de/risknews/paukenschlag-fuer-deutsche-compliance-officer/b405 . D & O AVB-Gothaer 2013, § 4 Ziff. 4, S. 13

66 Dorwin Cartwright, Influence, Leadership, Control, in: James G. March (Hrsg.), Handbook of Organizations (fortan: Handbook), 1965, S. 1 ff., S. 1, Hervorhebung hinzugefügt

25

als auch jene, die wegen der schriftlicher und verbaler Kommunikation

innewohnenden Fehlerquellen wie Informationsüberflutung und

Übermittlungsfehler zu Lücken in der Kommunikation führen können:

„… if circulation of written memos is not severely restricted, irrelevant memos may

prevent the reading of relevant ones. … the larger the organization, the greater the

problem in insuring that verbal communication be accurate and undistorted. …”67

Diese alten Befunde, die für die Frage relevant sind, welches der drei erörterten

Modelle vorzuziehen ist, um ein effektives Compliance Management zu etablieren,

werden durch eine neue Untersuchung in ein zeitgemäßes Licht gerückt:

Peek und Rode haben sich in einer von Deloitte herausgegebenen Studie

nachdrücklich für einen integrierten Ansatz ausgesprochen.68 Zwar ist diese Studie

speziell auf die Branche der Kreditinstitute ausgerichtet; diese stehe angesichts

der derzeit für die Finanzmärkte entwickelten komplexen Rahmenbedingungen vor

neuen Anforderungen, die auch eine weitere Herausforderung für die Compliance

Aufgaben in den Finanzinstitutionen mit sich brächten. Folgerichtig konzentriert

sich die Studie unter dem Aspekt des integrativen Ansatzes auf die dortige

Integration von Compliance- und Risikomanagement mit dem Ziel, sowohl – schon

heute zahlreiche – bekannte Risiken als auch „neue komplexe Risiken korrekt und

vollständig zu erfassen und zu überwachen“.69 Aber ungeachtet der auf den

Finanzsektor ausgerichteten Empfehlung des integrativen Ansatzes sind die

hierfür vorgebrachten Gründe auch für den gesamten Bereich der Organisation

von Compliance Management von allgemein gültiger Bedeutung.

67 Harold Guetzkow, Communications in Organizations, in: Handbook, a. a. O. (Anm. 66), S. 534

ff., S. 537, S. 539 68 Thomas Peek/Matthias Rode, Compliance im Wandel - Integrated Compliance & Risk

Management als Ansatz für die Zukunft, 2010, http://www.deloitte.com/assets/Dcom-Germany/Local%

20Assets/Documents/09 Finanzdienstleister/2010/de FS R Compliance im Wandel 150410.pdf (fortan: Studie)

69 Dies., S. 1 f.

26

Peek und Rode warnen nämlich in verschiedenen Passagen ihrer Studie davor,

dass ein nicht integrativer Ansatz mangels hinreichender Abstimmung und

Koordinierung zu redundanten Arbeitsprozessen führe, was wiederum zu

steigenden Kosten beitrage, die operativen Geschäftsbereiche zusätzlich belaste

sowie die im Compliance Management tätigen Mitarbeiter überbelaste.70

Aufgrund dieser Erkenntnisse kristallisiert sich mit genügender Klarheit heraus,

welches der drei geschilderten Modelle vorzuziehen ist, um ein funktionsgerechtes

Compliance Management zu organisieren:

Es liegt auf der Hand, dass der desintegrierte Ansatz nicht in Betracht kommen

sollte, weil er die reibungslose Kommunikation zwischen den jeweils zusätzlich für

Compliance Verantwortlichen keineswegs sicher zu stellen vermag, wenn nicht

verhindert – ein ernst zu nehmendes Risiko dann, wenn „große Organisationen die

Herausforderung von Compliance typischerweise innerhalb von

Geschäftsbereichen und außerdem gruppiert in nationalen Rechtsräumen

(abdecken)“.71

Auch der traditionelle Ansatz ist nicht gegen die Gefahr gefeit, dass es in der

Kommunikation zwischen den an Compliance beteiligten Organisationseinheiten

des Unternehmens zu Lücken mit möglicherweise schwerwiegenden Folgen

kommen kann. Hier ist allerdings zu berücksichtigen, dass der traditionelle Ansatz

im Vergleich zum integrativen Ansatz geringere personelle und finanzielle

Ressourcen erfordert, ein gerade für mittelständische Unternehmen wichtiger,

wenn nicht entscheidender Gesichtspunkt.72 Wird also aus diesem Blickwinkel

heraus der traditionelle Ansatz gewählt, dann haben Compliance Beauftragter und

Compliance Committee sicherzustellen, dass in zeitnahen Berichten und

70 Dies., S. 3, S. 11 f., S. 16 71 Dies., S. 3 72 Moosmayer, a. a. O. (Anm. 35), S. 36; siehe unten Ziff. IV

27

regelmäßigen Sitzungen eine möglichst lückenlose Kommunikation zwischen den

Beteiligten gewährleistet wird.

Nach allem liegt nahe, in dem integrativen Ansatz – jedenfalls grundsätzlich – das

Modell zu sehen, das insbesondere aufgrund der ungeteilten Zuweisung der

Leitungsfunktion und der damit korrespondierenden Rechte an den Compliance

Beauftragten am besten geeignet ist, ein effektives Compliance Management im

Unternehmen zu installieren.

Die Aufgaben sind vielfältig, denen sich das Compliance Management zu widmen

hat:

Dessen erste für den Erfolg seiner Arbeit grundlegende Aufgabe ist es, in Hinblick

auf das jeweilige Unternehmen dessen individuelle Risiken einer umfassenden,

gründlichen und präzisen Bewertung zu unterziehen.

Gestützt auf diese Risikoanalyse kann für das Unternehmen ein annähernd

passgenaues und praxisnahes Compliance Regelwerk entworfen, überarbeitet und

beschlossen werden, wobei von vorneherein zu berücksichtigen ist, dass das

Regelwerk nicht so tief in die Details gehen darf, dass die Mitarbeiter von der

Regelungsdichte überfordert sind.

In einem nächsten Schritt ist das Regelwerk in einem breiten

Kommunikationsprozess mit der Unternehmensleitung, den Mitarbeitern im In- und

Ausland, dem Betriebsrat und den Geschäftspartnern zu diskutieren,

gegebenenfalls zu verändern und erst dann zu implementieren. Denn: Regeln, die

man selbst mitdefiniert, werden eher akzeptiert.

28

Wichtig ist weiterhin, dass in der Folgezeit die regelmäßige Anpassung der

Compliance Regeln durch das Compliance Management in von Beginn an

geplanten Zeitabständen vorzusehen ist.

Schließlich hat sich das Compliance Management auf der Basis seiner

Risikoanalyse und im Rahmen seines Regelwerks weiteren Arbeitsfeldern

zuzuwenden: der Kontrolle, etwa notwendigen Sanktionen sowie der Prävention.

2. Risikoanalyse

Eine zielgenaue Risikoanalyse hält sich an den Leitgedanken, nur die Risiken zu

identifizieren und zu bewerten, denen das jeweilige Unternehmen gemessen an

seiner spezifischen geschäftlichen Positionierung ausgesetzt sein könnte; nur so

ist zu vermeiden, dass die auf der Risikoanalyse beruhenden Compliance Regeln

zu einer praxisfernen Überregulierung führen und dementsprechend das im

Compliance Management tätige Personal auch zu hoch veranschlagt wird.73

Die möglichen Risiken sind in zwei Richtungen zu identifizieren:

Zum einen sind die verschiedenen Geschäftsfelder zu konstatieren, in denen das

jeweilige Untenehmen aktiv ist. Komplex aufgestellte Unternehmen sind verglichen

mit einfacher strukturierten Gesellschaften naturgemäß zahlreicheren Risiken

ausgesetzt; dies ist insbesondere dann der Fall, wenn sie auch im Ausland

operativ tätig sind.74 Zum anderen sind die Rechtsvorschriften

zusammenzutragen, die für die ermittelten Geschäftsfelder maßgebend sind.

73 Lampert, Compliance Organisation, in: Handbuch Haftungsvermeidung, a. a. O. (Anm. 35), S.

140 ff., S. 145 74 Moosmayer, a. a. O. (Anm. 35), S. 31. Für den hier besonders relevanten Bereich der

Korruptionsrisiken bietet der Corruption Perceptions Index von Transparency International einen international anerkannten Gradmesser für Korruptionsrisiken in den jeweiligen Ländern. Ders., S. 27; siehe oben Ziff. I 1

29

Gestützt auf die so herausgefundenen Befunde wird sich das Compliance

Management sodann einer Reihe von Fragen stellen müssen; die Antworten

ermöglichen, die vorstellbaren Risiken zu bewerten, das heißt, die

Wahrscheinlichkeit einzuschätzen, ob und inwieweit die Risiken eintreten

könnten.75

Exemplifiziert am Beispiel der Korruptionsrisiken ist etwa an folgende Fragen zu

denken: Erhält das Unternehmen seine wesentlichen Aufträge weniger von

privaten als von öffentlichen Auftraggebern, also aus einer für Korruption eher

anfälligen staatlich/privaten Geschäftsbeziehung verglichen mit einer rein privaten

Geschäftsverbindung? Werden die wesentlichen Aufträge an das Unternehmen in

einem transparenten Ausschreibungsverfahren oder durch eine freihändige

Auftragsvergabe erteilt? Wird das Geschäft direkt zwischen Auftraggeber und

Auftragnehmer abgewickelt oder wird hierfür ein „Geschäftsmittler“ eingeschaltet?

Ist die Kontrolle über die Zahlungsaktivitäten gewährleistet?

Indessen müssen sich alle Unternehmen der Grenzen bewusst sein, vor denen

jede noch so sorgfältige Identifizierung und Bewertung der Risiken steht, denen

die jeweilige Firma in Zukunft ausgesetzt sein könnte. Es ist nicht jedes

Fehlverhalten in dem bzw. gegenüber dem Unternehmen zu verhindern, aber

gegen systematisches Fehlverhalten ist die Gesellschaft durchaus zu wappnen.76

3. Regelwerk

Das Compliance Regelwerk wird im Unternehmen nur dann auf Zustimmung

stoßen, wenn die Unternehmensführung von dessen Notwendigkeit überzeugt ist

und diese Überzeugung auch glaubhaft kundtut. Anderenfalls werden die

Mitarbeiter die Compliance Regeln nicht ernst nehmen. Eine solche Haltung der

75 Knoll/Kaven, a. a. O. (Anm. 33), S. 465, S. 469 ff. 76 Moosmayer, a. a. O. (Anm. 35), S. 25 ff.

30

Unternehmensführung formulierte Peter Löscher, Vorstandsvorsitzender der

Siemens AG, als er öffentlich sagte:

„Only clean business is Siemens business – everywhere – everybody – every time

… Compliance as part of Corporate Responsibility is 1st priority.“77

Diese – ebenso prägnante wie eindeutige – Aussage lässt sich als Vorbild für die

Einleitung der unternehmensethischen Verhaltensregeln denken, die dem ins

Detail gehenden Compliance Regelwerk vorangestellt werden sollten. Die

unternehmensethischen Leitlinien haben zunächst zu bekräftigen, dass sich das

Unternehmen vorbehaltlos an die Rechtsvorschriften hält, die für seine

Geschäftstätigkeit im In- und Ausland maßgebend sind. Sodann aber sollten die

Grundsätze betonen, dass sich das Unternehmen nicht nur geschäftlichem

Rechtsbewusstsein, sondern auch geschäftlicher Fairness verpflichtet fühlt. Paine

bringt diesen Gedanken auf den Punkt:

„Managers would be mistaken … to regard legal compliance as an adequate

means for addressing the full range of ethical issues that arise every day. ‘If it’s

legal, it’s ethical,’ is a frequently heard slogan. But conduct that is lawful may be

highly problematic from an ethical point of view. Consider the sale in some

countries of hazardous products without appropriate warnings or the purchase of

goods from suppliers who operate inhumane sweat-shops in developing countries.

…”78

In dem sodann ins Detail gehenden Compliance Regelwerk sind die für die

Mitarbeiter des Unternehmens im In- und Ausland wesentlichen rechtlichen

Aussagen so zusammenzustellen, dass sie darin auf die mit ihrer tagtäglichen

77 Zitiert nach dems., S. 119 78 Lynn S. Paine, Managing for Organizational Integrity, in: Harvard Business Review, March-April

1994, S. 106 ff., S. 109 f.

31

Arbeit verbundenen Risiken und die sich daraus ergebenden Fragen Antworten

finden.

Zwar werden sich wesentliche rechtliche Aussagen von Branche zu Branche

unterscheiden. Aber jenseits dieser Unterschiede wird auf die für alle Branchen

relevanten rechtlichen Aspekte einzugehen sein, etwa auf solche, die Korruption,

Kartellrecht, Interessenkonflikte (Nebentätigkeiten, Beteiligungen), Zuwendungen

(Spenden, Sponsoring), Insiderregelungen, Datenschutz, Unternehmenseigentum

(Urheberrecht) etc. betreffen.

Abschließend wird das Compliance Regelwerk als für das Unternehmen

verbindlich erklärt und auf Sanktionen bei Verstößen hingewiesen.79

4. Implementierung

Tiefgreifende organisatorische Veränderungen in Unternehmen wie auch die hier

behandelte Einführung von Compliance Management und Compliance Regeln

dürfen von der Unternehmensleitung nicht „par ordre du mufti“ verordnet werden.

Ohnehin scheitern – ganz oder teilweise – mehr als 40 % solcher

organisatorischer Veränderungen, was häufig am passiven Widerstand der

Mitarbeiter liegt.80

Vielmehr bedürfen die Compliance Regeln der jeweils zeitnahen Beratung und

wiederholten intensiven Schulung der Mitarbeiter – ein Schwerpunkt in dem breit

gefächerten Bereich der Aufgaben des Compliance Management.

79 Moosmayer, a. a. O. (Anm. 35), S. 50 f. 80 Miriam Hoffmeyer, Immer dieser Widerstand, SZ vom 18./19.08.2012, S. V 2/9 unter Berufung

auf eine aktuelle Studie des Change-Beratungsunternehmens Mutaree und der Bundeswehr-Universität München

32

Unverzichtbar ist zunächst, dass das Compliance Management in seinem Bereich

eine zentrale Beratungsstelle schafft, die Fragen der Mitarbeiter etwa per E-Mail

beantwortet; dabei stimmt sie die Antworten mit den jeweiligen sachverständigen

Fachabteilungen des Unternehmens ab. Mit diesen Antworten kann im Lauf der

Zeit eine Datenbank aufgebaut werden, der Bausteine für Antworten auf gleiche

oder ähnliche Fragen der Mitarbeiter entnommen werden können. Gleichzeitig

gewinnt das Compliance Management so einen Überblick, welche Compliance

Regeln für die Mitarbeiter besonders relevant oder welche nicht hinreichend

verstanden worden sind.

Gleichermaßen unverzichtbar ist weiterhin, dass das Compliance Management die

Compliance Regeln durch – regelmäßig wiederholte – Schulung der Mitarbeiter

vertieft, insbesondere derjenigen, die den größten Compliance Risiken ausgesetzt

sind. Auf diesem Hintergrund bietet es sich an, Schwerpunkte zu setzen, die sich

an dem typischen Arbeitsalltag der Mitarbeiter orientieren, der von Arbeitsfeld zu

Arbeitsfeld unterschiedlich ist.

Für die Schulungen eignen sich sowohl Präsenzschulungen, die eine offene

Diskussion der Compliance Regeln ermöglichen, als auch Online-Schulungen, die

die Mehrzahl der Mitarbeiter erreichen können. Außerdem sind die direkten

Vorgesetzten der Mitarbeiter gefragt, mit ihnen den Dialog über Compliance zu

führen.

Schließlich sollten Beratung und Schulung durch ein etwa im Intranet

veröffentlichtes Compliance Handbuch ergänzt werden, das die Mitarbeiter

jederzeit zur Hand haben.81

81 Moosmayer, a. a. O. (Anm. 35), S. 52 ff.; Lampert, a. a. O. (Anm. 73), S. 148 ff.; Annette

Kleinfeld/Clemens Müller-Störr, Die Rolle von interner Kommunikation und interaktiver Schulung für ein effektives Compliance-Management, in: Handbuch, a. a. O. (Anm. 24), S. 395 ff., S. 398, S. 407 f.; PwC-Studie 2010, a. a. O. (Anm. 27), S. 24 f.

33

5. Arbeitsfelder

Um ein Unternehmen vor wirtschaftskriminellen Handlungen zu schützen, die

entweder innerhalb des Betriebs in die Wege geleitet oder außerhalb des

Unternehmens in Gang gesetzt werden – allerdings kollaborieren gewöhnlich

Straftäter innerhalb und außerhalb des Betriebs –, ist das Compliance

Management in drei Arbeitsfeldern gefragt: Wirtschaftsstraftaten aufzudecken

(Kontrolle), Ahndung vorzuschlagen und einzuleiten (Sanktionen) sowie

Gesetzesverstößen vorzubeugen (Prävention).

a) Kontrolle

Das Compliance Management wird sich in Abstimmung mit der Internen Revision

zunächst auf unangekündigte Stichprobenkontrollen des Rechnungswesens,

des Einkaufs und des Vertriebs konzentrieren können und etwa folgenden Fragen

nachgehen:

Erfolgten Zahlungen an Geschäftspartner gegen ordnungsgemäße Rechnungen

auf das von ihnen im Rahmen einer Compliance Due Diligence82 angegebene

Konto? Stimmten die Rechnungen mit den geprüften Leistungsnachweisen der

Geschäftspartner überein? Ist es in Zusammenhang mit der Bezahlung von

„Geschäftsmittlern“ oder den Zuwendungen an Dritte (Übernahme von

Reisekosten, Einladungen zu Veranstaltungen) zu Auffälligkeiten gekommen?

Sind Geschäftspartner oder Auftraggeber besonders entgegenkommend

behandelt worden? Sind Vergleichsangebote eingeholt oder außergewöhnliche

Sonderkonditionen eingeräumt worden?83

82 Siehe unten Buchst. c 83 Moosmayer, a. a. O. (Anm. 35), S. 68 f., S. 73, S. 89; Greeve, Korruptionsbekämpfung, in:

Handbuch Haftungsvermeidung, a. a. O. (Anm. 35), S. 469 ff., S. 501 f.

34

Haben sich bei diesen Stichprobenkontrollen Auffälligkeiten oder entdeckte

Missstände oder sogar ein Anfangsverdacht ergeben, ist es geboten, ebenfalls

unangekündigte umfassende Prüfungen der möglicherweise betroffenen

Geschäftsbereiche des Unternehmens in den jeweils zuständigen Abteilungen

durchzuführen.

Verfestigt sich auch nach dieser umfassenden Untersuchung der Anfangsverdacht

zwar nicht zu einem hinreichenden oder gar dringenden Tatverdacht, ist aber der

Anfangsverdacht nach wie vor nicht ausgeräumt, sollte der Vorgang mit Hilfe einer

investigativen Untersuchung abgeschlossen werden.84

Das Compliance Management sollte all diese Anstrengungen sorgfältig

dokumentieren, um gegebenenfalls den Vorwurf unzulänglicher Aufsicht entkräften

zu können.85

Eine solchermaßen schrittweise an Intensität gewinnende Kontrolle führt zu

zweierlei: Zum einen entdecken Unternehmen mit einer hohen Kontrolldichte mehr

Schadensfälle und damit logischerweise auch höhere finanzielle Verluste, vor

allem in den ersten Jahren. Zum anderen können solche Unternehmen auf einen

hohen Abschreckungseffekt setzen: Je mehr potentielle Täter fürchten müssen,

entdeckt zu werden, desto weniger sind sie versucht, wirtschaftskriminelle

Handlungen zu begehen. Eine stringente Kontrolle entfaltet also auch eine

präventive Wirkungskraft. 86

84 Paul von Hehn/Wilhelm Hartung, Corporate Investigation, Independent Investigation, in:

Handbuch, a. a. O. (Anm. 24), S. 569 ff., S. 582 ff.; Alexander Miras, Die Rolle von Compliance Audits zur Aufdeckung von Non-Compliance, in: Handbuch, a. a. O. (Anm. 24), S. 553 ff., S. 564 ff.

85 Lampert, a. a. O. (Anm. 73), S. 153; siehe oben Ziff. II 3 86 Bussmann, a. a. O. (Anm. 32), S. 514; Bussmann/Matschke, a. a. O. (Anm. 40), S. 92

35

b) Sanktionen

Der sich aufgrund hoher Kontrolldichte fortschreitend aufbauende

Abschreckungseffekt verflüchtigt sich jedoch, wenn Mitarbeiter keine

durchgreifenden Sanktionen erwarten müssen, falls sie Compliance Regeln

verletzen, dabei gar Wirtschaftsdelikte begehen. Konsequente Sanktionen speziell

bei Straftaten entscheiden also auch über die präventive Wirkung der Compliance

Regeln.87

„… Wird bekannt, dass man sich mit Non-Compliance ‚die Finger verbrennen’

kann, unterstreicht dies die Intention des Compliance Managements, während

umgekehrt fehlende oder nur halbherzig durchgesetzte Sanktionen dessen

Glaubwürdigkeit massiv untergraben.“88

Hinzu kommt, dass die Compliance Regeln selbst Gefahr laufen, an

Glaubwürdigkeit zu verlieren, wenn deren Verletzung nicht unanzweifelbar

geahndet wird.

Auch bei Verstößen gegen Compliance Regeln ist allerdings der Grundsatz der

Verhältnismäßigkeit zu beachten: Bei einem weniger schwerwiegenden Verstoß,

wie etwa entgegen den Bestimmungen des Compliance Regelwerks eine

Einladung zu Veranstaltungen anzunehmen, können arbeitsrechtliche

Disziplinarmaßnahmen ausreichen. Hingegen ist Strafanzeige zu erstatten, wenn

sich gegen Mitarbeiter der hinreichende oder gar dringende Tatverdacht erhärtet

hat, in Gesetzesverstöße verwickelt zu sein. Anderenfalls verkommt die vielfach

berufene Null-Toleranz-Politik zu einem bloßen Lippenbekenntnis.

Neben einer – zwar angemessenen, aber dennoch rigorosen – Sanktionierung der

Regelverstöße ist auch deren betriebsinterne Kommunikation erforderlich, wenn 87 Grüninger, a. a. O. (Anm. 33), S. 60 88 Kleinfeld/Müller-Störr, a. a. O. (Anm. 81), S. 407

36

auch in anonymisierter Form. Das dient einerseits der Glaubwürdigkeit des

Compliance Managements und baut andererseits der Verbreitung wilder Gerüchte

vor.89

c) Prävention

Es ist bereits darauf hingewiesen worden, dass Kontrolle zugleich präventive

Wirkung erzielt:

„… Indeed, distinguishing control measures from prevention measures is certainly

difficult … because all measures that raise the subjectively perceived risk of

detection are not only controlling in character but may also always be

preventive.”90

Die Prävention, für die die Kontrolle grundlegend ist, lässt sich indes durch weitere

Präventionsmaßnahmen ergänzen:

Zum einen sind die Vergütungs- und Gratifikationssysteme des Unternehmens zu

überprüfen, die für den Mitarbeiter Anreize zu wirtschaftskriminellen Handlungen

bieten könnten.91

Zum anderen hat das Unternehmen bei der Auswahl und Bezahlung der

Geschäftspartner eine besondere Sorgfalt an den Tag zu legen; anderenfalls

können ihm Straftaten dieser Geschäftspartner rechtlich zugerechnet werden. Zu

den Anforderungen an die Achtsamkeit bei der Wahl der Geschäftspartner sollte

89 PwC-Studie 2010, a. a. O. (Anm. 27), S. 28 90 Kai-D. Bussmann, The Control Paradox and the Impact of Business Ethics: A Comparison of US

und German Companies, Monatszeitschrift für Kriminologie und Strafrechtsreform (MschrKrim), 2007, S. 260 ff., S. 268

91 Bussmann, a. a. O. (Anm. 32), S. 515

37

gehören, sie einer Compliance Due Diligence zu unterziehen92, was allerdings

nicht bei allen Partnerschaften verwirklicht wird.

Hierauf hat beispielsweise der Daimler-Konzern bei Ecclestone und dessen

Unternehmen verzichtet – Ecclestone, dem „mächtigsten Mann der Motorsport-

Königsklasse“ – bevor sich Daimler mit 60 % am Formel-1-Team Mercedes

beteiligte. Der Autokonzern reagierte indes sofort auf die Bestechungsvorwürfe

gegen Ecclestone und forderte eine umfassende Aufklärung der Anschuldigungen

unter Verweis darauf, dass die Daimler AG „Hinweisen auf Unregelmäßigkeiten in

unserem Verantwortungsbereich umgehend nach(geht)“ und dass sie ihren

Richtlinien zufolge „keine unmoralischen oder korrupten Praktiken durch

Mitarbeiter oder seitens der Geschäftspartner“ dulde. Folgerichtig sollen in dem ab

2013 geltenden Abkommen zwischen Daimler und Ecclestone erstmals die auch

bei Daimler geltenden Compliance Regeln enthalten sein.93

6. Kosten

Es ist bereits berichtet worden, dass von den 56 % der befragten deutschen

Großunternehmen ohne Compliance und deren Umsetzung (auf mittelständische

Unternehmen einer bestimmten Größe können die Ergebnisse der Befragung

übertragen werden) 53 % wegen der Kosten Compliance noch nicht umgesetzt

haben.94

Demgegenüber ist allerdings bemerkenswert, dass Peek und Rode berichten,

dass zwei von drei Teilnehmern ihrer Umfrage unter führenden deutschen

Kreditinstituten angegeben hätten, die Gesamtkosten ihrer Compliance

Organisation nicht zu kennen.95 Das lässt zumindest die Vermutung zu, dass die

92 Moosmayer, a. a. O. (Anm. 35), S. 2, S. 73 93 SZ vom 27.06.2012, S. 33; SZ vom 13./14.10.2012, S. 28 94 Siehe oben Ziff. I 2 Buchst. c 95 Peek/ Rode, a. a. O. (Anm. 68), S. 3

38

hohe Zahl derer, die Compliance Maßnahmen aus Kostengründen verweigern,

hierfür keine belastbaren Compliance Kosten anführen können, die sie bei

Unternehmen vergleichbarer Branche und Größe hätten abfragen können.

Gleichwohl ist nicht zu bestreiten, dass die ständig zunehmende Zahl gesetzlicher

und anderer regulatorischer Bestimmungen die Anforderungen an Compliance

erhöht und die mit deren Umsetzung verbundenen Kosten steigern kann.

Darüber hinaus verursachen weitere Umstände höhere Compliance Kosten: Zum

einen eine unsystematische Risikoanalyse, welche die Compliance Kosten

deswegen steigert, weil sie nicht zielgenau auf die spezifische geschäftliche

Positionierung des jeweiligen Unternehmens ausgerichtet ist, so dass das

Personal des Compliance Managements partiell überbesetzt ist und die Kontrollen

durch das Compliance Management teilweise überzogen oder gar überflüssig

sind.96 Zum anderen – umgekehrt – mangelhafte Kontrollen, die die Compliance

Kosten ebenfalls steigen lassen, weil der Nachholbedarf das Unternehmen nötigt,

das Compliance Management personell zu verstärken, um dessen aufgestauten

Arbeitsaufwand aufzufangen.

Sam DiPiazza von PricewaterhouseCoopers erläutert das Problem so:

„We … refer to that as a level of deferred maintenance. There was for years …

underinvestment in truly understanding and owning controls, deep into

organizations.”97

Folgerichtig sind Compliance Kosten zu senken, wenn Risikoanalysen verbessert

und Kontrollen verdichtet werden.

96 Siehe oben Ziff. III 2 97 Zitiert nach Stewart Hamilton/Anna Eckardt, The Economics of Compliance, in: Handbuch, a. a.

O. (Anm. 24), S. 89 ff., S. 96; siehe dort auch S. 98, S. 95

39

Im Übrigen ist daran zu erinnern, dass Compliance Kosten stets im Kontext der

finanziellen Belastungen eines Unternehmens zu sehen sind, das gegebenenfalls

Strafen, Bußgelder und Schadenersatz in teilweise immenser Höhe zu leisten hat,

was hätte vermieden oder zumindest reduziert werden können, wenn sich das

Unternehmen auf ein effektives Compliance Management und auf effiziente

Compliance Regeln hätte stützen und gegenüber Vorwürfen hätte berufen können.

Das legt die Annahme nahe, dass die Kosten von Non-Compliance die von

Compliance übersteigen können. Alles in allem ist also die Schlussfolgerung

zutreffend: „Non-compliance does not pay.“98

IV. Compliance in mittelständischen Unternehmen

Die wirtschaftliche Bedeutung mittelständischer Unternehmen ist groß: 89,7 %

aller deutschen Betriebe werden dem Mittelstand zugerechnet, in diesen

Unternehmen arbeiten 70 % aller Beschäftigten und diese Firmen generieren

knapp 50 % der Wertschöpfung.99

Allein dieser Befund bekräftigt die Einsicht, dass sich auch mittelständische

Unternehmen den Anforderungen von Compliance nicht entziehen sollten. Dies gilt

umso mehr, als zwar – so sagt es das Institut für Mittelstandsforschung –

Unternehmen bis zu 500 Mitarbeitern und einem Jahresumsatz bis zu 50 Millionen

Euro zum Mittelstand zu zählen sind100, dass aber – wie an früherer Stelle dieser

Ausführungen festgestellt worden ist – sich auch Betriebe mit bis zu 5.000

Beschäftigten und Jahresumsätzen von ein bis zwei Milliarden Euro als Mittelstand

betrachten.101

98 Dies., S. 100 99 Saitz, a. a. O. (Anm. 24), S. 150 unter Berufung auf die Angaben des Instituts für

Mittelstandsforschung 100 Wikipedia, http://de.wikipedia.org./wiki/Mittelstand 101 Siehe oben Ziff. I 2 Buchst. c

40

Die Compliance Anforderungen an Mittelstandsunternehmen sind indessen nicht

so weit gespannt wie die an Großkonzerne. Das rührt auch daher, dass in

Großunternehmen Führungskräfte gewöhnlich weiter entfernt vom operativen

Geschäft des Unternehmens agieren, während in Mittelstandsunternehmen deren

Führungskräfte laufend in einem engeren Kontakt zum Tagesgeschäft stehen und

infolgedessen ihre Mitarbeiter direkt beaufsichtigen können.

Nicht zuletzt mit Blick auf diesen Gesichtspunkt lassen sich in

Mittelstandsunternehmen verglichen mit Großkonzernen die Compliance

Anforderungen modifizieren und damit die Compliance Kosten senken:

Erstens kann die Risikoanalyse durch das Compliance Management auf

bestimmte – quantitativ begrenzte – Bereiche wie Korruption, Vermögensdelikte

und Wettbewerbsverstöße fokussiert werden. Ist allerdings das mittelständische

Unternehmen im Ausland geschäftlich tätig, muss die Risikoanalyse wegen sich

hieraus etwa ergebender weiterer Risiken vertieft werden.

Zweitens kann sich das Compliance Management selbst den in der Regel weniger

komplexen Organisationsstrukturen im Mittelstand anpassen, indem es sich in den

bestehenden Organisationsaufbau des mittelständischen Unternehmens einbettet:

Der Leiter der Rechtsabteilung in seiner gleichzeitigen Funktion als Compliance

Beauftragter betreut zusammen mit den Leitern der für Rechnungswesen,

Personal und Interne Revision zuständigen Unternehmenseinheiten sowie denen

der Fachabteilungen und gegebenenfalls denen der ausländischen

Niederlassungen die Compliance Aufgaben.

In diesem Zusammenhang sind allerdings zwei widersprüchliche Befunde

bemerkenswert: Zwar wird einerseits angenommen, dass etwa zwei Drittel der

Compliance Kosten auf entsprechende Personalkosten zurückgehen. Aber

andererseits wurde herausgefunden, dass die für Compliance zuständigen

41

Organisationseinheiten personell sehr unterschiedlich besetzt sind – im

Durchschnitt mit nur zehn Mitarbeitern. Bei 12 % der befragten Unternehmen mit

über 5.000 Beschäftigten und bei 34 % derjenigen mit 1.000 bis 5.000

Beschäftigten ist nur ein Mitarbeiter bzw. eine Mitarbeiterin vorgesehen. Hierzu

wird mit Recht festgestellt: „Compliance droht hier zum bloßen Feigenblatt zu

geraten.“102

Drittens kann das Compliance Regelwerk entsprechend dem eingeschränkten

Umfang der Compliance Risiken übersichtlich und der Zeitaufwand für Beratung

und Schulung der Mitarbeiter überschaubar bleiben.103

V. Whistleblowing versus Denunziation

Es wäre unrealistisch, zu meinen, Kontrolle und Prävention würden nicht an ihre

Grenzen stoßen. Die US Sentencing Guidelines und die Principles104 sowie die

Literatur nehmen es in bemerkenswerter Übereinstimmung als in der Natur der

Sache liegend hin: Es sei nicht zu erwarten, „Fehlverhalten im Unternehmen auf

Null zu reduzieren“.105 Oder: Compliance Management könne „nicht als ein

lückenloses Regel- und Kontrollregime verstanden werden“.106 Oder: „Die

berühmte ‚Stecknadel im Heuhaufen’ zu finden (ist) bekannterweise ein sehr

unwahrscheinlicher Vorgang.“107

Diese Aussagen sind zwar lebensnah, werfen aber gleichwohl die Frage nach

Compliance Unterstützung auf, welche die der Kontrolle und Prävention gesetzten

Grenzen zwar nicht aufheben, aber ausdehnen kann. Eine solche Hilfe ist der

Whistleblower oder in der bürokratisch/deutschen Formulierung der Hinweisgeber. 102 Peek/Rode, a. a. O. (Anm. 68), S. 8; PwC-Studie 2010, a. a. O. (Anm. 27), S. 22 103 Saitz, a. a. O. (Anm. 24), S. 151 ff. 104 Siehe oben Ziff. II 2 Buchst. b und die dortigen Hervorhebungen 105 Moosmayer, a. a. O. (Anm. 35), S. 3 106 Grünunger, a. a. O. (Anm. 33), S. 47 107 Josef Wieland, Die Psychologie der Compliance-Motivation, Wahrnehmung und Legitimation

von Wirtschaftskriminalität, in: Handbuch, a. a. O. (Anm. 24), S. 71 ff., S. 72

42

Während im englischen Sprachraum der Begriff des „Whistleblowing“ als Pfiff des

Schiedsrichters verstanden wird, der für Fair Play sorgt, also positiv besetzt ist,

wird im deutschen und französischen Sprachraum der Ausdruck vielfach als

Aufforderung zum „Verpfeifen“ begriffen, ist also mit dem Beiklang von

Denunziation negativ besetzt.108

Diese beiden gegensätzlichen Interpretationen ein und desselben Begriffs werfen

ein scharfes Schlaglicht auf ein Dilemma: Zum einen für die Mitarbeiter (aber auch

für Außenstehende wie etwa Lieferanten), die ungeachtet der allseits berufenen

Unternehmensethik befürchten müssen, von vorneherein als Denunzianten

diskreditiert zu werden, wenn sie Compliance Verstöße in „ihrem“ Unternehmen

melden. Zum anderen für das Compliance Management, das mit Bedacht

vorgehen muss, wenn es die Einführung von Whistleblowing plant und umsetzt;

grundsätzlich ist nämlich nicht zu bestreiten, dass Zivilcourage und

Denunziantentum nahe beieinander liegen109

Auf diesem Hintergrund verwundert es nicht, dass der PwC-Studie 2010 zufolge

nur 34 % der befragten Unternehmen Whistleblowing eingeführt haben und

lediglich 10 % der Betriebe das in den nächsten zwei Jahren vorhaben. Wie zu

erwarten, fürchten 44 % Denunziationen – ein jedoch überschätztes Risiko: 50 %

der Unternehmen, die Whistleblowing nutzen, berichten, es habe in der

Vergangenheit keine einzige Denunziation gegeben; 9 % schätzen die Gefahr von

Denunziationen auf 1 % bis 5 %, weitere 11 % auf 5 % bis 10 %.110

Bestimmungen in Gesetzen und Gesetzentwürfen treffen indes Vorkehrungen für

die Einführung von Whistleblowing; sie nehmen das Risiko der Denunziation

offenbar in Kauf:

108 Kleinfeld/Müller-Störr, a. a. O. (Anm. 81), S. 412 109 Miras, a. a. O. (Anm. 84), S. 555 f. 110 PwC-Studie2010, a. a. O. (Anm. 27), S. 4, S. 35

43

a) So sieht in den USA der Sarbanes-Oxley Act111 in Section 1107 – Retaliation

Against Informants – vor:

„Whoever knowingly, with the intent to retaliate, takes any action harmful to any

person, including interference with the lawful employment or livelihood of any

person, for providing to a law enforcement officer any truthful information … of any

Federal offense, shall be fined under this title or imprisoned not more than 10

years, or both.”

b) In Deutschland treffen verschiedene Gesetze und Gesetzentwürfe ebenfalls

Vorsorge für Wistleblowing, ohne allerdings strafbewehrte Vorschriften zu

enthalten wie der Sarbanes-Oxley Act:

(1) § 37 Abs. 2 Nr. 3 Beamtenrechtsrahmengesetz (BeamtStG) sowie § 67 Abs. 2 Nr.

3 Bundesbeamtengesetz (BBG) sehen für die Beamtinnen und Beamten der

Länder und Kommunen bzw. für die des Bundes Regelungen vor, wonach deren

Verschwiegenheitspflicht mit der Maßgabe aufgehoben wird, dass sie gegenüber

der zuständigen obersten Dienstbehörde, einer von ihr bestimmten weiteren

Behörde bzw. außerdienstlichen Stelle oder schließlich einer

Strafverfolgungsbehörde „einen durch Tatsachen begründeten Verdacht“

(allerdings nur) einer Korruptionsstraftat nach den §§ 331 bis 337 StGB anzeigen.

Während sich Beamtinnen und Beamte immerhin auf diese – wenn auch

eingeschränkten – gesetzlichen Regelungen berufen können, werden

Arbeitnehmerinnen und Arbeitnehmer bislang nicht wenigstens durch

vergleichbare gesetzliche Vorschriften geschützt. Zwar liegen hierfür eine Reihe

von Gesetzentwürfen vor, die aber von den gesetzgebenden Körperschaften bis

jetzt nicht verabschiedet wurden.

111 Siehe oben Ziff. II 2 Buchst. b

44

(2) So will ein gemeinsamer Vorschlag der drei Bundesministerien für Arbeit und

Sozialordnung, für Ernährung, Landwirtschaft und Verbraucherschutz sowie für

Justiz den § 612 a BGB eingefügt wissen. Danach kann ein Arbeitnehmer von

einer zur innerbetrieblichen Klärung zuständigen Stelle Abhilfe verlangen, wenn er

aufgrund konkreter Anhaltspunkte der Auffassung ist, dass im Betrieb

gesetzliche Pflichten verletzt werden. Ist das vorherige Verlangen nach Abhilfe

unzumutbar, kann er sich sofort an eine zuständige außerbetriebliche Stelle

wenden; unzumutbar ist es dann, wenn der Arbeitgeber oder ein anderer

Arbeitnehmer eine Straftat begangen hat.112

(3) Weiterführend als dieser – im Vergleich zu den bundesgesetzlichen Regelungen –

bereits weitergehende Vorschlag ist der Gesetzentwurf der SPD-

Bundestagsfraktion.

Danach können sich Hinweisgeber bei einem Missstand, der tatsächlich besteht

oder den sie, ohne leichtfertig zu sein, annehmen, an eine im Unternehmen

eingerichtete Stelle wenden; sie können sich auch sofort an eine zuständige

Behörde (Polizei und Staatsanwaltschaften) wenden, die ihre Namen regelmäßig

nicht bekannt gibt, es sei denn, dies stellt sich als unvermeidbar dar. Sie dürfen

sich indessen nur an die Öffentlichkeit oder an Dritte wenden, wenn die zuständige

Behörde nicht angemessen auf den Hinweis reagiert hat. Hinweisgeber dürfen

wegen rechtmäßiger Hinweise nicht benachteiligt werden; Maßregelungen und

Kündigungen sind ausgeschlossen. 113

Dieser Gesetzentwurf stellt sich ein sinnvolles Verfahren, mit dessen Hilfe

Whistleblowing eingeführt werden kann, folgendermaßen vor:

112 http://webarchiv.bundestag.de/cgi/show.php?fileToLoad=1423&id=1134 , Hervorhebungen

hinzugefügt 113 Gesetzentwurf vom 07.02.2012, Drs. 17/8567, Hervorhebung hinzugefügt

45

„(1) Die Arbeitgeberin oder der Arbeitgeber kann ein den unternehmerischen oder

betrieblichen Umständen angepasstes unternehmens- oder betriebsinternes

Hinweisgebersystem zur Aufklärung von Missständen errichten.

(2) Der Arbeitgeberin oder dem Arbeitgeber steht es frei, wie sie oder er die

Kommunikation zwischen Hinweisgeberinnen und Hinweisgebern und dem

eingerichteten System sicherstellen will. Sie oder er kann sich insbesondere

mündlicher oder schriftlicher Kommunikationswege, E-Mail oder Telefonhotlines

oder jedes anderen adäquaten Durchführungsmittels bedienen. Sollte sie oder er

die Möglichkeit der Abgabe anonymer Hinweise eröffnen, muss sie oder er durch

geeignete Maßnahmen sicherstellen, dass das Persönlichkeitsrecht der von den

Hinweisen betroffenen Personen bis zur Aufklärung des Hinweises geschützt

bleibt.“

Diese Bestimmung im Gesetzentwurf der SPD-Bundestagsfraktion ist als Ansatz

für die Organisation von Whistleblowing brauchbar. Allerdings sollte der Begriff der

„Missstände“ durch den der „Gesetzesverstöße“ ersetzt werden; anderenfalls ist

zu befürchten, dass beispielsweise auch das säumige Arbeitsverhalten von

Kolleginnen und Kollegen gemeldet wird. Überdies ist sie zu ergänzen und zu

verfeinern:

c) Zunächst gilt es, die möglichen Wege der Kommunikation zwischen Whistleblower

und Unternehmen näher zu beschreiben:

Eine erste Möglichkeit besteht darin, eine „Telefonhotline“ direkt bei dem

Compliance Management des Unternehmens einzurichten. Dies hat den Vorteil,

dass der Weg von den Hinweisen zu entsprechenden Reaktionen kurz ist, jedoch

den Nachteil, dass der – noch zögerliche – Whistleblower die Vertraulichkeit seiner

Hinweise als nicht gesichert befürchten könnte.

46

Eine zweite Möglichkeit liegt darin, ein „Briefkastensystem“ für etwaige

Whistleblower bei – bereits heute verbreiteten – externen professionellen

Anbietern zu etablieren, die namentlich oder anonym abgegebene Hinweise – per

Telefon oder via E-Mail – entgegen nehmen, sie auswerten und dem Compliance

Management berichten; die Anbieter wahren dabei – wenn gewünscht – die

Anonymität des Whistleblowers, auch wenn er gegenüber dem Anbieter anlässlich

seiner Hinweise seine Identität offenbart hatte. Dieser Weg hat mehrere Vorteile:

Zum einen eignet er sich auch für international tätige Unternehmen, weil der

„Briefkasten“ von überall her und zu jeder Zeit erreicht werden kann. Zum anderen

können die Anbieter bei dem nicht anonymen Whistleblower Rückfragen stellen,

die sich bei den Untersuchungen ergeben, die das Compliance Management

aufgrund der Hinweise des Whistleblowers eingeleitet hat.

Eine dritte Möglichkeit ist darin zu sehen, dass das Compliance Management

einen „Ombudsmann“ bestellt, eine Lösung, die von der Literatur als „Klassiker“

bezeichnet wird. Bei dem „Ombudsmann“ handelt es sich um einen Rechtsanwalt,

der von dem Unternehmen beauftragt wird, Whistleblowern innerhalb und

außerhalb des Unternehmens als Anlaufstelle für Hinweise zur Verfügung zu

stehen. Dabei ist darauf zu achten, dass sich Unternehmen und „Ombudsmann“

über zweierlei einig sind: Einmal, dass der „Ombudsmann“ nur Informationen

weitergibt, zu denen der Whistleblower ihn autorisiert hat – seine Identität

eingeschlossen. Zum anderen, dass er sowohl im Auftrag des Unternehmens als

auch im Auftrag des Whistleblowers handelt, also in ein und derselben Sache zwei

Mandanten hat, das Unternehmen, dem er an sich zur umfassenden Auskunft

verpflichtet ist, den Whistleblower, mit dem er grundsätzlich Verschwiegenheit

vereinbart hat.114

114 Moosmayer, a. a. O. (Anm. 35), S. 56 ff.; Kenan Tur, Hinweisgebersysteme und Transparenz:

Strukturen, Problemerkennung, Management, in: Handbuch, a. a. O. (Anm. 24), S. 437 ff., S. 439 ff.

47

Welche der drei beschriebenen Möglichkeiten das Compliance Management auch

wählt – das gewählte Whistleblower-System muss innerhalb und außerhalb des

Unternehmens kommuniziert, erläutert und begründet werden; dies gilt

insbesondere für den Betriebsrat des Unternehmens.

d) Weiterhin gilt es, dem stets gegenwärtigen Vorwurf zu begegnen, es würde zur

Denunziation aufgefordert. Das gelingt nur dann, wenn lediglich den Hinweisen

nachgegangen wird, die auf einen Anfangsverdacht hindeuten. Um sich an dieser

Messlatte zu orientieren und sie auch zu kommunizieren, bietet der Gesetzentwurf

der SPD-Bundestagsfraktion eine – hier allerdings abgeänderte – Formulierung

an: Danach können Hinweisgeber Gesetzesverstöße melden, die tatsächlich

begangen worden sind oder von denen sie es annehmen, ohne leichtfertig zu

sein.

e) Nach allem kann Whistleblowing für das Unternehmen von nicht zu

unterschätzendem Erkenntniswert sein und für den Whistleblower selbst ein

Ausweg aus dem Konflikt, einerseits es als notwendig zu erachten, einen

Gesetzesverstoß zu melden, andererseits es als nicht ratsam zu empfinden, dies

etwa gegenüber den Vorgesetzten zu tun. Hinzu kommt, dass die bloße Existenz

eines Whistleblower-Systems einen hohen Abschreckungseffekt und damit eine

präventive Wirkung hat.115

Die Zahlen bestätigen diesen Befund: Der PwC-Studie 2010 zufolge führte mehr

als jeder dritte Hinweis (37 %) zur Aufklärung von Compliance Verstößen –

allerdings in Unternehmen mit einer positiven Unternehmenskultur, was wohl auch

heißen soll: mit einer solchen, in der Whistleblower nicht von vorneherein als

Denunzianten diffamiert werden.116

115 Dies., ebda 116 PwC-Studie 2010, a. a. O. (Anm. 27), S. 4

48

VI. Schlussfolgerungen

1. „Non-compliance does not pay“(Hamilton/Eckardt). Unternehmen sind vielfältigen

Haftungs- und Schadensrisiken ausgesetzt, die zu Strafen, Bußgeldern und

Schadenersatz in teilweise enormer Höhe führen können. Sie könnten vermieden

oder zumindest reduziert werden, wenn sich das Unternehmen auf ein effektives

Compliance Management und auf effiziente Compliance Regeln stützen und

gegenüber Vorwürfen berufen könnte.

2. Die Risikoanalyse ist der Grundstein, der zu legen ist, wenn mit dem Aufbau einer

Compliance Organisation begonnen wird. Sie hat sich zielgenau an der

spezifischen geschäftlichen Positionierung des Unternehmens auszurichten, das

sich für die Einführung von Compliance entschieden hat. Diese Zielgenauigkeit ist

das entscheidende Moment dafür, dass der Umfang des Compliance Regelwerks

und dementsprechend die Personalstärke des Compliance Managements

passgenau sind, das heißt, nicht überreguliert bzw. nicht überbesetzt sind – aber

auch nicht das Gegenteil von beidem.

3. Die Struktur der Organisation des Compliance Managements darf die nach der

jeweiligen Mitarbeiterzahl bemessene Größe und die von ihrer gegebenenfalls

verzweigten Geschäftstätigkeit bestimmte Struktur des Unternehmens nicht

unberücksichtigt lassen. Für Großunternehmen empfiehlt es sich, eine gesonderte

Compliance Abteilung zu schaffen. Sie wird von dem Compliance Beauftragten

des Unternehmens geleitet. Er hat mit allen Geschäftseinheiten des

Unternehmens im In- und Ausland eng zu kooperieren, eingeschlossen die,

welche für Rechnungswesen, Personal und Interne Revision zuständig sind. Für

mittelständische Unternehmen hingegen bietet es sich an, das Compliance

Management in den bestehenden Organisationsaufbau des Unternehmens

einzufügen. Der Leiter der Rechtsabteilung wird in Personalunion zum Compliance

Beauftragten berufen. Er leitet das Compliance Committee, dem die Leiter der für

49

Rechnungswesen, Personal und Interne Revision zuständigen

Unternehmenseinheiten sowie die der Fachabteilungen und gegebenenfalls die

der ausländischen Niederlassungen angehören.

4. Die Notwendigkeit des Compliance Regelwerks muss von der – auch nach außen

getragenen – glaubhaften Überzeugung der Unternehmensführung getragen sein.

Auf die unternehmensethischen Verhaltensregeln zu Beginn des Regelwerks

folgen in den weiteren Ausführungen die ins Detail gehenden Regelungen.

5. Das in einem breiten Kommunikationsprozess diskutierte und gegebenenfalls

veränderte Compliance Regelwerk ist anschließend mit derselben Umsicht zu

implementieren. Dazu gehören zeitnahe Beratung und intensive Schulung der

Mitarbeiter.

6. Die vom Compliance Management vorgenommenen Kontrollen müssen eine

solche Dichte erreichen, dass sie zu einem hohen Abschreckungseffekt führen und

damit auch eine präventive Wirkungskraft entfalten.

Durchgreifende Sanktionen insbesondere bei Gesetzesverstößen haben ebenfalls

präventive Wirkung. Für den Fall, dass sich anlässlich von Kontrollen der

Anfangsverdacht auf Gesetzesverstöße zum hinreichenden oder gar dringenden

Tatverdacht erhärtet, ist Strafanzeige zu erstatten.

Die vom Compliance Management neben der Aufgabe der Kontrolle nicht außer

Acht zu lassende Aufgabe der Prävention beinhaltet, die gegebenenfalls fatalen

Anreize zu überprüfen, die von dem Vergütungs- und Gratifikationssystem des

Unternehmens ausgehen könnten, sowie die Sorgfalt zu sondieren, die bei der

Auswahl und Bezahlung der Geschäftspartner an den Tag gelegt wird.

50

7. Mit der ständig zunehmenden Zahl gesetzlicher und anderer regulatorischer

Bestimmungen steigen die Anforderungen an Compliance und die mit ihrer

Umsetzung verbundenen Kosten. Indes können zielgenaue Risikoanalysen und

optimierte Kontrollen die Kosten senken.

8. Mittelständische Unternehmen können sich den Anforderungen von Compliance

nicht entziehen. Jedoch sind diese Anforderungen nicht so weitreichend wie die an

Großunternehmen.

9. Whistleblowing kann dem Compliance Management wertvolle Erkenntnisse

vermitteln und dem Whistleblower selbst den Ausweg aus seiner Konfliktlage

bieten.

10. Compliance kann Vorkehrungen dagegen treffen, dass Unternehmen finanzielle

Verluste erleiden und ihr Ruf beschädigt wird. Im Ergebnis kann Compliance einen

Beitrag zu Reputation und Rendite leisten.

Die Einführung von Compliance Management undCompliance Regeln – ein Beitrag zu Reputation und Rendite?

Rechtsanwalt Dr. Stefan Pelny LL.M. (Yale)

© 2012 Dr. Weiland und Partner.

Neuer Wall 8620354 HamburgTelefon: +49 (0)40 / 36 13 07 - 0Telefax: +49 (0)40 / 36 13 07 - [email protected]

Kurfürstendamm 6410707 BerlinTelefon: +49 (0)30 / 20 39 74 - [email protected]

5, rue des Ursins75004 ParisTelefon: +33 (0)1 53 10 89 - 60Telefax: +33 (0)1 53 10 89 - [email protected]

www.weiland-rechtsanwaelte.de

ww

w.m

atri

x-de

sign

.de

| W

P_Ti

tel_

1211

16_P

elny


Recommended