..oder doch nur Risikomanagement ?…
Der Begriff der Compliance ist in populären betriebswirtschaftlichen Publikationen en vogue. Auch wenn Inhalt und Bedeutung in den meisten Fällen nicht zutreffend beschrieben sind.
Rechtlich erheblich ist der Begriff von eine Relevanz für börsennotierte Aktiengesellschaften. Nicht für mittelständische Unternehmen.
I. Grundsätzliches
Unter dem Begriff „Compliance“ wird im Allgemeinen – in Anlehnung an die Beschreibung im Deutschen Corporate Governance Kodex (DCGK) – die Gesamtheit aller Maßnahmen verstanden, die erforderlich sind, um ein rechtmäßiges Verhalten des Unternehmens, seiner Organmitglieder und Mitarbeiter mit Blick auf alle gesetzlichen Gebote und Verbote zu gewährleisten[1].
Als Ausprägung des allgemeinen Legalitätsprinzips geht Compliance dabei über eine bloße, in aller Regel rückwärtsgewandte, Rechtmäßigkeitskontrolle des Unternehmenshandelns hinaus und beschreibt ein systematisches Konzept zur Sicherstellung regelkonformen Verhaltens im Innenverhältnis sowie im Außenverhältnis gegenüber Dritten. Compliance –verstanden als konzerndimensionales Konzept zur Rechtmäßigkeitsgewähr – beinhaltet dabei drei wesentliche Elemente: Die Vermeidung von Fehlverhalten, die Aufdeckung von Rechtsverstößen sowie die angemessene Reaktion hierauf. Die Compliance-Verantwortung trifft den Vorstand der (börsennotierten) Aktiengesellschaft oder, allgemeiner gesprochen, die Unternehmensleitung.
Das Thema steht seit ca. dem Jahr 2007 im Blickpunkt der Öffentlichkeit, nachdem es damals zur Aufdeckung der Korruptionsaffäre bei SIEMENS gekommen war. Razzien, Verhaftungen, Ermittlungsverfahren der Staatsanwaltschaft, Rücktritte von Aufsichtsrats- und Vorstandsmitgliedern und eine Geldbuße in dreistelliger Millionenhöhe waren in der Öffentlichkeit stark beachtete Folgen.
Zu einem in Compliance-Fachkreisen breit diskutierten zivilgerichtlichen Urteil kam es Dezember 2013, als das LG München I einen ehemaligen SIEMENS-Manager zu einer Schadensersatzzahlung von 15 Mio. EUR verurteilte, weil er gegen die Compliance-Pflichten des Konzerns verstoßen hatte, wie das Gericht in den Urteils-Leitsätzen ausdrücklich feststellte[2]. Die anderen Manager waren übrigens auch in Anspruch genommen worden, hatten sich jedoch mit SIEMENS außergerichtlich verglichen.
Wie aktuell die Diesel-Abgasskandale bei deutschen Autoherstellern zeigen, kommt es immer wieder zu Compliance-Fällen, die zu existentiellen Krisen der betroffenen Unternehmen führen können[3]. Tagesaktuell ist das von AUDI akzeptierte Bußgeld von 800 Mio. EUR wegen Verstosses gegen §§ 130, 30 OWiG[4] (siehe dazu unten).
II. Adressaten und Normierung von Compliance-Pflichten
Ausdrückliche Adressaten von Compliance-Verpflichtungen sind zunächst einmal (börsennotierte) Aktiengesellschaften und Unternehmen der Finanzwirtschaft (diese werden hier nicht behandelt). Dies ergibt sich aus den Vorschriften des Aktiengesetzes sowie dem Deutschen Corporate Governance Kodex, der in Ziff. 4.1.3. eine entsprechende Verpflichtung enthält[5]:
„Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.“
Relevant ist in dem Zusammenhang auch Ziff. 4.1.4.:
„Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen.“
Anzumerken ist jedoch, dass der DCGK selbst kein Gesetz ist, sondern eine freiwillige Selbstverpflichtung der Wirtschaft darstellt (Vgl. die Formulierung auf dcgk.de: „Ausdruck einer Selbstverpflichtung der Wirtschaft zu guter Corporate Governance“). Allerdings werden in ihm auch wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften dargestellt. Die „Gesetzlichkeit“ des Kodex ergibt sich aus § 161 AktG, der wie folgt ausdrücklich Bezug auf den Kodex nimmt:
Aktiengesetz
§ 161 Erklärung zum Corporate Governance Kodex
(1) Vorstand und Aufsichtsrat der börsennotierten Gesellschaft erklären jährlich, dass den vom Bundesministerium der Justiz und für Verbraucherschutz im amtlichen Teil des Bundesanzeigers bekannt gemachten Empfehlungen der „Regierungskommission Deutscher Corporate Governance Kodex“ entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden oder werden und warum nicht. Gleiches gilt für Vorstand und Aufsichtsrat einer Gesellschaft, die ausschließlich andere Wertpapiere als Aktien zum Handel an einem organisierten Markt im Sinn des § 2 Absatz 11 des Wertpapierhandelsgesetzes ausgegeben hat und deren ausgegebene Aktien auf eigene Veranlassung über ein multilaterales Handelssystem im Sinn des § 2 Absatz 8 Satz 1 Nummer 8 des Wertpapierhandelsgesetzes gehandelt werden.
(2) Die Erklärung ist auf der Internetseite der Gesellschaft dauerhaft öffentlich zugänglich zu machen.
Ferner weist § 91 II AktG in Richtung Compliance:
Aktiengesetz
§ 91 Organisation. Buchführung
(1) Der Vorstand hat dafür zu sorgen, daß die erforderlichen Handelsbücher geführt werden.
(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
Das o.g. Urteil des LG München stellte zur Haftungsbegründung des ehemaligen SIEMENS-Vorstandsmitglieds auf § 93 AktG ab:
Aktiengesetz
§ 93 Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder
(1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.
(…)
Die Leitungsfunktion des AG-Vorstandes folgt aus § 76 AktG:
Aktiengesetz
§ 76 Leitung der Aktiengesellschaft
(1) Der Vorstand hat unter eigener Verantwortung die Gesellschaft zu leiten.
(…)
Eine gesetzlich normierte, rechtsformneutrale Aufsichtspflicht des Betriebsinhabers, die also für jeden Betriebsinhaber gilt, egal in welcher Rechtsform, ergibt sich aus § 130 OWiG:
Gesetz über Ordnungswidrigkeiten (OWiG)
§ 130
(1) Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.
(2) Betrieb oder Unternehmen im Sinne des Absatzes 1 ist auch das öffentliche Unternehmen.
(3) Die Ordnungswidrigkeit kann, wenn die Pflichtverletzung mit Strafe bedroht ist, mit einer Geldbuße bis zu einer Million Euro geahndet werden. § 30 Absatz 2 Satz 3 ist anzuwenden. Ist die Pflichtverletzung mit Geldbuße bedroht, so bestimmt sich das Höchstmaß der Geldbuße wegen der Aufsichtspflichtverletzung nach dem für die Pflichtverletzung angedrohten Höchstmaß der Geldbuße. Satz 3 gilt auch im Falle einer Pflichtverletzung, die gleichzeitig mit Strafe und Geldbuße bedroht ist, wenn das für die Pflichtverletzung angedrohte Höchstmaß der Geldbuße das Höchstmaß nach Satz 1 übersteigt.
Nach § 30 OWiG kann bei Verstoß gegen unternehmensbezogene straf- oder owi-rechtliche Pflichten eine Geldbuße direkt gegen das Unternehmen selbst verhängt werden:
Gesetz über Ordnungswidrigkeiten (OWiG)
§ 30 Geldbuße gegen juristische Personen und Personenvereinigungen
(1) Hat jemand
1.als vertretungsberechtigtes Organ einer juristischen Person oder als Mitglied eines solchen Organs,
2.als Vorstand eines nicht rechtsfähigen Vereins oder als Mitglied eines solchen Vorstandes,
3.als vertretungsberechtigter Gesellschafter einer rechtsfähigen Personengesellschaft,
4.als Generalbevollmächtigter oder in leitender Stellung als Prokurist oder Handlungsbevollmächtigter einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung oder
5.als sonstige Person, die für die Leitung des Betriebs oder Unternehmens einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung verantwortlich handelt, wozu auch die Überwachung der Geschäftsführung oder die sonstige Ausübung von Kontrollbefugnissen in leitender Stellung gehört,
eine Straftat oder Ordnungswidrigkeit begangen, durch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder die juristische Person oder die Personenvereinigung bereichert worden ist oder werden sollte, so kann gegen diese eine Geldbuße festgesetzt werden.
(2) Die Geldbuße beträgt
1.im Falle einer vorsätzlichen Straftat bis zu zehn Millionen Euro,
2.im Falle einer fahrlässigen Straftat bis zu fünf Millionen Euro.
(…)
Diese Gesetze gelangten im Abgasskandal gegen die börsennotierte VW AG und deren Tochter-unternehmen AUDI AG zur Anwendung, die die Bußgelder nebst Gewinnabschöpfung in Höhe von 1 Mrd. EUR bzw. 800 Mio. EUR akzeptierten.
III. Compliance –Pflicht: Auch im GmbH- und
Personen-gesellschaftsrecht ?
Es stellt sich die Frage, ob abseits des allgemein geltenden OWi-Rechts und des Aktienrechts auch für das Recht der GmbH und der Personengesellschaften bzw. für typengemischte Rechtsformen wie die GmbH & Co. KG Compliance-Pflichten wie für eine Aktiengesellschaft gelten. Für die AG wird überwiegend vertreten, dass ein Compliance-System eingerichtet werden muß (Frage des „ob“), strittig ist lediglich, in welcher Intensität und mit welchen Mitteln („wie“) dies zu erfolgen hat[6].
- Eine explizite gesetzliche Regelung, die das Einrichten eines Kontrollsystems wie § 91 II AktG fordert, existiert für das Recht der GmbH und der Personengesellschaften nicht.
- Allerdings gilt der oben dargestellte Haftungsmaßstab für das Verhalten der Vorstandsmitglieder (§ 93 AktG) und auch die Haftungsfolge der Schadensersatzpflicht bei Pflichtverstößen in sehr ähnlicher Weise auch für den GmbH-Geschäftsführer (§ 43 GmbHG). Dies zeigt bereits der Gesetzes-Wortlaut und auch die Rechtsprechung legt beide Vorschriften ähnlich aus.
Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG)
§ 43 Haftung der Geschäftsführer
(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
Auch gilt das „Legalitätsprinzip“ bei der GmbH (bei der GmbH & Co. KG gilt dies wegen der Geschäftsführungsaufgabe des GmbH-GF entsprechend) für den Geschäftsführer wie beim Vorstand bzw. das einzelne Vorstandsmitglied der AG.
- In der Literatur ist umstritten, ob für die GmbH eine Verpflichtung besteht, ein Compliance-System einzurichten:
- Teilweise wird dies bejaht, dies folge aus der Legalitätspflicht auch des GmbH- Geschäftsführers. Allenfalls die nähere Ausgestaltung des Compliance-Systems stehe zur Disposition des Geschäftsführers und sei von den Gegebenheiten des Einzelfalles abhängig[7].
- Vermittelnde Auffassungen stellen auf den Einzelfall nach Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz sowie Verdachtsfälle aus der Vergangenheit sollen Kriterien bilden[8].
- Nach anderer Auffassung ist bei der GmbH eine allgemeine Rechtspflicht zur Compliance-Organisation abzulehnen. Kleinere Gesellschaften würden überfordert und mit zusätzlicher Organisation überfrachtet, ohne ein Mehr an Rechtstreue zu gewinnen. Je größer die Gesellschaft, desto mehr böte sich die Schaffung eines systematischen Risiko-Managements an – und umgekehrt. Auch nach dieser Meinung ist dabei relevant die Struktur des Unternehmens, die der Geschäftstätigkeit immanenten Gefahren, die jeweilige Branche, bereits vorgekommenen Rechtsverstöße usw [9].
- Auch für die Personengesellschaft wird hinsichtlich einer nicht näher differenzierenden Übertragung der für die AG geltenden Anforderungen zur Zurückhaltung gemahnt, zugleich aber darauf hingewiesen, dass die Geschäftsleitung sicherzustellen hat, dass sie ihrer Legalitätsverantwortung nachkommt[10]. Unabhängig von der Rechtsform sei die Einrichtung einer Compliance-Organisation in allen Unternehmen zu prüfen, die über ein entsprechendes Gefahrenpotential verfügen, das sich etwa aus der Branchenzugehörigkeit, der Größe oder Komplexität des Unternehmens, seiner weltweiten Marktpräsenz oder aus Missständen in der Vergangenheit ergeben kann.
IV. Eigene Stellungnahme
Mangels gesetzlicher Grundlage kann es eine direkte Rechtspflicht zur Einrichtung einer spezifischen oder gar solcher zertifizierten Compliance-Organisation bei der GmbH und noch mehr bei der Personengesellschaft (mangels vergleichbaren Haftungsregimes der Unternehmensleiter, mangels Vergleichbarkeit mit der von der Rechtsordnung geschaffenen und daher auch schützenswerten juristischen Person, aufgrund des Prinzips der persönlichen Haftung und der Eigenorganschaft) nicht geben.
Wie die unterschiedlichen Rechtsregime und ihre jeweiligen Zweckrichtungen zeigen –weitgehend zwingendes, am Schutz der Anleger und der Öffentlichkeit orientiertes AktG einerseits, eher binnen- und gläubigerschutzorientiertes GmbHG und Personengesellschaftsrecht (HGB, BGB) andererseits-, ist ein struktureller Unterschied gerade bei aufwendigen Organisationsanforderungen gerechtfertigt: Wer sich für die Rechtsform der AG entscheidet, muss deren hohen Regelungsgrad akzeptieren, sie ist für das kleine „Start Up“ wenig geeignet, dafür umso mehr als Großunternehmen und als „Kapitalsammelstelle“ (Börse).
Die typischerweise im Mittelstand angesiedelten Organisationsformen unternehmerischen Handelns müssen ihre Flexibilität bewahren können, soweit dies im Zeitalter ohnehin schon mannigfacher gesetzlicher und regulativer Vorgaben möglich ist (Stichwort: DSGVO).
Der Unternehmer muss letztlich selbst entscheiden, wie er die ihm obliegende Legalitätspflicht für das von ihm geleitete und ggfs. ohnehin bereits organschaftlich überwachte (Beirat!) erfüllt. In einer größeren Organisation kann der GF ohnehin nicht selbst all die ihn treffenden Pflichten abarbeiten und ist auf Organisation und Delegation angewiesen.
Auch die Haftungsvermeidung und Risikominimierung, Grundanliegen der Compliance, werden auf diese Weise organisiert. Es ist eine Führungs-aufgabe, fortlaufend zu überprüfen, welche Risiken und Gefahrenpotentiale für das Unternehmen bestehen, die sich etwa aus der Branchenzugehörigkeit, der Unternehmensgröße oder der Komplexität oder auch Internationalität des Geschäfts (s. SIEMENS) ergeben. Ebenfalls liegt es auf der Hand, aus Mißständen und „Rechtstreue-Problemen“ der Vergangenheit Lehren zu ziehen und darauf ein besonderes Augenmerk zu legen. Dies ist aber kein Spezifikum der „Corporate Compliance“, sondern bei jeder Aufsichts- oder Verkehrssicherungspflicht so, ob über ein Haustier, die Kinder, den Gehweg vor dem Haus oder eben das eigene Unternehmen. Kernelement ist jeweils die spezifische Risikoanalyse, aus der dann ggfs. weitere Schlußfolgerungen gezogen werden (müssen).
Umfang, Inhalte und Ressourcen eines adäquaten Risikomanagements (Compliance = Risiko des Rechtsverstosses) sind unternehmensindividuell zu bemessen. Eine 1-Mann-Firma trägt andere Risiken als ein Konzern, ein „Start Up“ folgt anderen Prinzipien als der Traditionsbetrieb.
Gewiss geben Compliance-Management-Systeme wertvolle Hinweise und erlauben durch ihre Standardisierung eine vereinfachte Handhabung in dem Sinne, dass das „Rad nicht neu erfunden werden muß“ und Dienstleister existieren, die dem Unternehmen diese Aufgabe (gegen Entgelt) abnehmen und es unterstützen (ähnlich wie Zertifizierungssysteme oder fachliche Fortbildungen). Aber Compliance-Systeme dürfen auch nicht zum „Tugend-Terror“ verkommen (wie z.B. teilweise QM-Systeme) und dann als bürokratische Belastung oder bloße Pflichtübung empfunden werden – sie verlieren so an Wirkung und Nutzen und das Unternehmerische kapituliert vor der Unternehmens-Verwaltung.[12]
Bei der Compliance handelt es sich im Kern um eine Form des Risk-Managements und erst die Risikoanalyse kann beantworten, welche Maßnahmen erforderlich sind und wo genauer hingesehen und dann auch gehandelt werden muß. Als eigenständige Compliance-Instrumente können etwa die Implementierung von Anreizsystemen (auch im DCGK berücksichtigt, s.o.) oder die Etablierung einer Compliance-Kultur („Tone oft the Top“) angesehen werden, welche regelkonformes Verhalten fördern.[11] Auch dieses Implementations-Erfordernis hängt aber davon ab, wie offen die Kommunikation im Unternehmen bereits ist. Ob man das Gebilde als altem Wein in neuen Schläuchen nun als Compliance bezeichnen will oder wie seit Jahrzehnten als Risikomangement oder Revisionskontrolle bleibt jedem selber überlassen. Sinnvoll ist die Strukturierung einer Risikovorsorge gestern wie heute.
Also packen wir es an.
[1] vgl. Reichert/Ott, NZG 2014, 241 ff.
[2] Urt. v. 10.12.2013, Az. 5 HK O 1387/10, NZG 2014, 345
[3] Hoffmann/Schiefer, NZG 2017, 401
[4] Ad-hoc-Mitteilung der Volkswagen AG: https://www.dgap.de/dgap/News/adhoc/volkswagen-ordnungswidrigkeitenverfahren-der-staatsanwaltschaft-muenchen-gegen-die-audi-wird-mit-erlass-eines-bussgeldbescheids-beendet-die-audi-akzeptiert-das-bussgeld-und-bekennt-sich-damit-ihrer-verantwortung/?newsID=1101597
[5] Hervorhebungen d.d. Unterzeichner, nicht im Original
[6] Siehe in der Anlage den Auszug aus dem MüKo-AktG
[7] BeckOK-GmbHG-Haas/Ziemons, 36. Ed. 2017, § 43, Rn. 124
[8] Beckmann, GmbHR 2014,R113/114
[9] Beck-Heeb in Gehrlein u.a. GmbHG, 2. Aufl. 2015, vor § 35 GmbHG Rn. 9
[10] Karrer, Münchener Anw.hdb. PersonenGesR, 2. Aufl. 2015, § 14 Rn. 150
[11] https://www.roedl.de/themen/kompass-gesundheit-soziales/08-2015/risikomanagement-compliance-management
[12] Anschaulich der Beitrag im MM: http://www.manager-magazin.de/unternehmen/artikel/compliance-und-risikomanagement-die-dosis-macht-das-gift-a-1021334-2.html