1. Was ist eigentlich „Compliance“?
Geltendes Recht ist einzuhalten. Diese Binsenweisheit sollte jedem bekannt sein. Und wer gegen geltendes Recht verstößt, wird sanktioniert. Das gilt natürlich auch für Unternehmen, bei denen ein Einzelner die Vielzahl der zu beachtenden Vorschriften kaum überblicken kann. Denken Sie etwa an das Versicherungswesen, welches zu den am stärksten regulierten Märkten gehört.
Aber auch für alle andere Unternehmen ist die Rechtslage kaum noch zu überblicken. Schon z.B. das deutsche Haftungs-, Wettbewerbs- und Strafrecht sind Angelegenheiten für Experten. Hinzu kommt das immer weiter ausufernde öffentliche Recht mit zahlreichen Spezialvorschriften für einzelne Branchen sowie Abgaben- und Dokumentationspflichten. Internationale und europarechtliche Vorgaben tun ihr Übriges dazu.
Der Begriff „Compliance“ kommt aus dem anglo-amerikanischen Raum und meint Rechtsbefolgung, also das Handeln im Einklang mit dem geltenden Recht.
Um die Einhaltung der Gesetze zu überwachen und insbesondere empfindliche Strafen zu verhindern, implementieren Unternehmen heute häufig Compliance-Maßnahmen.
Gegenstand dieser Maßnahmen sind alle Rechtsbereiche, die das Unternehmen in der Praxis betreffen. Erfasst werden alle Strukturen eines Unternehmens, also die Geschäftsführung und ihre nahen Angehörigen sowie die einzelnen Mitarbeiter. In größeren Unternehmen gibt es häufig eigene Compliance-Abteilungen, die sich allein mit der Einhaltung geltenden Rechts beschäftigt.
2. Welche Folgen hat die „Non-Compliance“?
Warum braucht man überhaupt diese Compliance? Kostet das nicht unnötig Zeit, Geld und Nerven? Vorsicht: Dies ist ein häufiger Irrtum.
Handelnder Mitarbeiter
Selbstverständlich drohen dem einzelnen Mitarbeiter bei einer Missachtung der gesetzlichen Vorschriften Konsequenzen:
- Strafrechtlich kann es zu Geldstrafen und Freiheitsstrafen kommen, wenn der Tatbestand eines Strafgesetzes erfüllt wird. Denken Sie etwa an einen Betrug des Mitarbeiters gegenüber den Kunden, was nach § 263 des Strafgesetzbuches (StGB) strafbewährt ist.
- Zivilrechtlich macht sich der Mitarbeiter unter Umständen schadensersatzpflichtig. In der Non-Compliance liegt regelmäßig eine Verletzung des Arbeitsvertrags, die zu einem Schadensersatzanspruch nach § 280 des Bürgerlichen Gesetzbuches (BGB) führen kann.
Inhaber des Betriebs
Doch die Sanktionen enden nicht beim einzelnen Arbeitnehmer. Zentrale Vorschrift ist hier § 130 des Ordnungswidrigkeitengesetzes (OWiG). Dieser regelt die Verletzung der Aufsichtspflicht in Betrieben und Unternehmen. Wer demnach als Inhaber eines Unternehmens eine Aufsichtspflicht verletzt, handelt ordnungswidrig und kann entsprechend sanktioniert werden.
Wesentliches Sanktionsmittel ist die Geldbuße. Deren Höhe kann nicht abstrakt bestimmt werden, sondern hängt von den Umständen des Einzelfalls ab, insbesondere der Schwere der Aufsichtspflichtverletzung (vgl. § 17 OWiG).
„Nach oben hin“ sieht das Gesetz eine Deckelung vor, die sich an der Art der Pflichtverletzung orientiert:
- Ist die Pflichtverletzung mit Strafe bedroht (z.B. Untreue, Betrug oder Vorenthalten von Sozialbeiträgen), kann die Geldbuße bis zu einer Million Euro betragen (§ 130 Abs. 3 S. 1 OWiG). Bei bloß fahrlässiger Begehung ist der Betrag auf 500.000 € begrenzt (§ 17 Abs. 2 OWiG).
- Ist die Pflichtverletzung bloß mit Geldbuße bedroht, richtet sich das Höchstmaß nach dieser Buße (§ 130 Abs. 3 S. 2 OWiG).
Unternehmen
Auch das Unternehmen selbst verbleibt bei einer Non-Compliance nicht unverschont. Dem Unternehmen droht eine Unternehmensgeldbuße nach § 30 OWiG von bis zu 10 Mio. €, ganz zu schweigen von dem möglichen Reputationsverlust.
3. Gibt es eine Pflicht zur Einführung eines Compliance-Systems?
Die Sanktionen bei Non-Compliance sind hart und können schnell hohe Summen erreichen. Abhilfe schaffen Compliance-Systeme, die schon heute in vielen Unternehmen implementiert sind. Teils nehmen diese sogar eine solche Dimension an, dass eine eigene Compliance-Abteilung erforderlich wird. Selbstverständlich kostet dies ein Unternehmen viel Zeit, Geld und Nerven.
Doch muss sich jedes Unternehmen diese Mühe machen?
Richtungsweisend war hierzu die sog. Siemens/Neubürger-Entscheidung des LG München I von 2017 (siehe LG München I, Urt. v. 10.12.2013 – 5 HK O 1387/10). Neubürger war Leiter der Zentralabteilung Corporate Finance bei Siemens und damit Vorstandsmitglied. In seinem Bereich hatte sich ein System „schwarzer Kassen“ entwickelt, aus denen Korruptionszahlungen geleistet wurden.
Nach Aufdeckung der Kassen verhängte die Staatsanwaltschaft gegen Siemens eine Bußgelbescheid über 395 Mio. Euro. Einen Teil dieses Betrages wollte Siemens von Neubürger ersetzt verlangt haben. Hintergrund ist die allgemeine Pflicht der Vorstandsmitglieder, bei ihrer Geschäftsführung „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters“ anzuwenden (§ 93 Abs. 1 des Aktiengesetzes, AktG).
Das LG München I verurteilte Neubürger zum Schadensersatz, denn ein Vorstandsmitglied hat im Rahmen seiner Legalitätspflicht dafür Sorge zu tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße erfolgen.
Die zentrale Erkenntnis des Urteils lautet daher: Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet.
4. Welchen Anforderungen muss ein Compliance-System genügen?
Ausgangspunkt ist wieder die Vorschrift des § 130 OWiG. Demnach muss der Inhaber des Betriebs oder Unternehmens jene Aufsichtsmaßnahmen vornehmen, die „erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern“. Sonst handelt er unter Umständen ordnungswidrig.
Doch welche Maßnahmen sind „erforderlich“?
Die ernüchternde Antwort lautet: Der Umfang der Aufsichtspflicht lässt sich nicht abstrakt bestimmen, sondern ist im Einzelfall unter Berücksichtigung aller Umstände zu ermitteln. Das LG München I hat in seiner obigen Entscheidung einige Kriterien genannt, die Abhilfe schaffen können.
Der Umfang der Aufsichtspflicht wird bestimmt durch:
- die Art, Größe und Organisation des Unternehmens;
- die von dem Unternehmen zu beachtenden Vorschriften;
- die geografische Präsenz des Unternehmens sowie
- etwaige Verdachtsfälle aus der Vergangenheit.
Das Gesetz nennt „die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen“ (§ 130 Abs. 1 S. 2 OWiG) als einen konkreten Inhalt der Aufsichtspflicht. Diese Aufstellung ist aber keineswegs abschließend. Im Einzelfall können weitere Aufsichtspflichten „erforderlich“ werden, um Zuwiderhandlungen zu verhindern, etwa:
- die sorgfältige Auswahl geeigneter und zuverlässiger Mitarbeiter (z.B. durch die Prüfung der erforderlichen Qualifikationen und/oder charakterlichen Eigenschaften der Bewerber);
- das Aufstellen von Richtlinien für gesetzeskonformes Verhalten;
- die wiederholte Belehrung der Mitarbeiter über rechtlich gebotenes und verbotenes Verhalten (z.B. über regelmäßige Schulungen und/oder Belehrungsschreiben);
- die stichprobenartigen Kontrollen der Mitarbeiter (z.B. durch geeignete und zuverlässige Aufsichtsperson vor Ort und/oder durch entsprechende Software-Lösungen); man spricht auch vom Monitoring und Reporting; sowie
- die Einstellung eines Compliance-Mitarbeiters und/oder die Einrichtung einer Compliance-Abteilung mit angemessener personeller Besetzung und sachlicher Ausstattung.
5. Fazit
- Compliance meint Rechtsbefolgung, also das Handeln im Einklang mit dem geltenden Recht.
- Um die Einhaltung der Gesetze zu überwachen und empfindliche Strafen zu verhindern, sollten Unternehmen jeder Größe Compliance-Maßnahmen implementieren.
- Hintergrund ist die Vorschrift des § 130 OWiG, die bei Verletzung der Aufsichtspflicht hohe Geldbußen vorsieht und auch Unternehmen treffen kann (§ 30 OWiG).
- Ist ein effizientes Compliance-System implementiert, wirkt sich dies positiv auf die Höhe einer evtl. Geldbuße aus.
- Der Umfang der erforderlichen Aufsichtspflicht lässt sich nicht abstrakt bestimmen, sondern ist im Einzelfall unter Berücksichtigung aller Umstände zu ermitteln.
- Abhilfe schaffen eine sorgfältige Auswahl der Mitarbeiter, deren wiederholte Belehrung und stichprobenartige Überwachung sowie ggf. eigene Compliance-Mitarbeiter/Abteilungen.