Compliance-Standard IDW PS 980

Die Bedeutung von Compliance in Unternehmen hat in den letzten Jahren stetig zugenommen. Compliance bedeutet Regelgerechtigkeit. Sie umfasst eine unternehmensweite Organisationsanforderung, die Grundsätze und Maßnahmen vorsieht, um ein rechtskonformes Verhalten im Unternehmen zu gewährleisten. Eine „gute“ Compliance ist Aufgabe der Unternehmensleitung. Kommt diese ihren Überwachungs- und Organisationspflichten bzw. Verkehrssicherungspflichten nicht nach, sieht sie sich erheblichen Haftungsrisiken im Zivil-, Straf- und Ordnungswidrigkeitenrecht ausgesetzt. (Ausführlich zu strafrechtlichen Risiken für geschäftsführende Gesellschaftsorgane, Schemmel/Ruhmannseder, AnwBl 2010, 647–650).

Entwicklung eines Compliance Management Systems

Zur Risikobegrenzung und Haftungsvermeidung empfiehlt sich ein Compliance Management System. Es erleichtert der Unternehmensleitung, etwaige Risikofelder zu identifizieren und potenzielle Regelverstöße zu vermeiden.

Erstaunlicherweise verfügt bislang nur eine Minderheit der mittelständischen und kommunalen Beteiligungsunternehmen über ein Compliance Management System.

Im Mittelpunkt dieses Beitrags steht der im März 2011 vom Institut für Wirtschaftsprüfer (IDW) herausgegebene Compliance-Standard (IDW PS 980). Er vermittelt Unternehmen erstmals konkrete Ansätze, um ein angemessenes Compliance Management System zu entwickeln und einzuführen. Gleichzeitig hilft dessen Einführung, einer Haftung der Geschäftsleitung bei Gesetzesverstößen durch Mitarbeiter vorzubeugen.

Ausgangslage

Kommt ein Gesellschaftsorgan seinen Überwachungs- und Organisationspflichten nicht nach, kann dies zu einer zivilrechtlichen Haftung der jeweiligen Gesellschaftsorgane gegenüber Dritten führen (Hüffer, Aktiengesetz, 9. Aufl. 2010, § 93 Rn. 20a.).

Zugleich kann ein pflichtwidriges Verhalten im Außenverhältnis eine Verletzung der Pflicht zur ordentlichen Geschäftsführung und damit eine Pflichtverletzung im Innenverhältnis darstellen. Die jeweiligen Gesellschaftsorgane haften dann gegenüber der Gesellschaft.

Typische strafrechtliche Risiken liegen für leitende Gesellschaftsorgane in der Untreue (§ 266 StGB), in Betrugsdelikten (§§ 263 ff. StGB), in Bestechungsdelikten (§§ 331 ff.; 299 ff. StGB), in Geldwäsche- (§ 261 StGB) und Insolvenzdelikten (§ 283 ff. StGB). Von Bedeutung ist insoweit nicht nur ein aktives Tun, sondern auch das pflichtwidrige Unterlassen der gebotenen Handlung (§ 13 StGB). Denn leitende Organe tragen eine persönliche Garantenpflicht zur Verhinderung betriebsbezogener Straftaten (Fischer, StGB, 56. Auflage, 2009, § 13 Rn. 37; zur Garantenpflicht eines Compliance-Officers, BGH, NJW 2009, 3173, 3175). Schreiten Vorstandsmitglieder eines kommunalen Beteiligungsunternehmens gegen die ihnen bekannt gewordenen Straftaten von Unternehmensangehörigen nicht ein, machen sie sich wegen einer Unterlassungstat strafbar (Spindler/Stilz, Aktiengesetz, 2. Aufl. 2010, § 91 Rn. 63; BGH, NJW 2009, 3173, der die Garantenpflicht eines Compliance-Officers bejahte).

Haftung nach § 130 Abs. 1 OWiG

Zu einer weiteren Ausweitung der Haftungsrisiken der Unternehmensleitung führt § 130 Abs. 1 und 3 OWiG. Danach haftet der Inhaber eines Betriebes für betriebsbezogene Zuwiderhandlungen, die mit Strafe oder Bußgeld bedroht sind, wenn er seinerseits Aufsichtspflichten vorsätzlich oder fahrlässig verletzt und seine Aufsichtspflichtverletzung für die Zuwiderhandlung eines Mitarbeiters kausal ist. Die Haftung ist nicht auf den Betriebsinhaber begrenzt. Sowohl der Vorstand einer AG als auch der Geschäftsführer einer GmbH gehören als vertretungsberechtigte Organe zum möglichen Täterkreis des § 130 Abs. 1 OWiG. Sie sind dem dort genannten Inhaber eines Betriebes gleichgestellt.

§ 130 Abs. 1 OWiG zwingt die Unternehmensleitung folglich dazu, bereits im Vorfeld von etwaigen Pflichtverletzungen Vorkehrungen in der Organisation des Unternehmens vorzunehmen, die geeignet sind, Gesetzesverstöße von Mitarbeitern zu verhindern.

Das Ausmaß der Aufsichtspflicht hängt stets von den Umständen des Einzelfalls ab (OLG Düsseldorf, Urt. v. 05. 04. 2006, Az.: VI-2 Kart 5/05; Thüringer Oberlandesgericht, Beschl. v. 02. 11. 2005, Az.: 1 Ss 242/05; KG, Beschl. v. 31. 10. 2001, Az.: 2 Ss 223/00-5 Ws; OLG Düsseldorf, Beschl. v. 12. 11. 1998, Az.: 2 Ss 385/98-112/98 III). Zum Pflichtenkatalog zählen u. a. die sorgfältige Auswahl des Personals, eine hinreichende Aufgabenverteilung und Organisation, die Instruktion und Aufklärung des Personals, die Überwachung und Kontrolle sowie als Ultima ratio die Androhung und Verhängung betrieblicher Sanktionen (OLG Düsseldorf, Urt. v. 05. 04. 2006, Az.: VI-2 Kart 5/05; Rogall, in: Karlsruher Kommentar zum OWiG, 3. Aufl. 2006, § 130 Rn. 52 ff.). Die einzelnen Aufsichtshandlungen müssen den geschäftsführenden Gesellschaftsorganen aber objektiv zumutbar sein. Der Rechtsprechung zufolge liegt die Grenze bei wirklichkeitsfremden und unrealistischen Maßnahmen, welche die Eigenverantwortung der Betriebsangehörigen völlig außer Acht lassen (OLG Düsseldorf, Urt. v. 05. 04. 2006, Az.: VI-2 Kart 5/05; Rogall, in: Karlsruher Kommentar zum OWiG, 3. Aufl. 2006, § 130 Rn. 49).

Die betriebsbezogene Zuwiderhandlung kann sich je nach Einzelfall auf unterschiedliche Gesetzesverstöße beziehen. Neben strafrechtlichen Vorschriften (fahrlässige Körperverletzung gem. § 222 StGB) kommen vor allem bußgeldbedrohte Normverstöße im Kartellrecht, Arbeitsrecht, Umweltrecht (Naturschutzrecht, Abfallrecht, Energierecht, Bodenschutzrecht), Steuerrecht, Sozialversicherungsrecht oder Straßenverkehrsrecht in Betracht (OLG Köln, Beschl. v. 03. 09. 2004, Ss 336/04 B; Thüringer Oberlandesgericht, Beschl. v. 02. 11. 2005, Az.: 1 Ss 242/05).

Entscheidend ist lediglich, dass die Verstöße durch Mitarbeiter oder weisungsabhängige Dritte begangen werden (OLG Celle, Beschl. v. 28. 02. 2007, Az.. 322 Ss 39/07).

Kommt es zu einem Ordnungswidrigkeitenverfahren, wird die Unternehmensleitung regelmäßig aufzeigen müssen, dass sie die erforderliche Sorgfalt bei der Unternehmensorganisation beachtet hat. Es empfiehlt sich daher, ein auf Haftungsvermeidung und Risikoerkennung ausgelegtes Compliance System einzurichten. Der Unternehmensleitung steht bei der konkreten Ausgestaltung ein weitgehendes Ermessen zu (BGH ZIP 1997, 883; Spindler/Stilz, Aktiengesetz, 2. Aufl. 2010, § 91 Rn. 53; eingehend zum Ermessen, vgl. Bürkle, BB 2005, 565, 568 f.). Eine allgemeingültige richtige Compliance-Struktur für alle Unternehmen gibt es nicht (Bock wistra 2011, 201, 205). Maßgebend sind stets die Größe des Unternehmens, die mit dem jeweiligen Geschäftsfeld verbundenen Risiken und die in der Vergangenheit aufgetretenen Missstände (Fleischer CCZ 2008, 1, 2; Schemmel/Ruhmannseder AnwBl 2010, 647, 649).

Risiko- und Haftungsbegrenzung mit Hilfe des Compliance Standards IDW PS 980

Seit März 2011 gibt es einen klaren Standard zum Thema Compliance bzw. Compliance Management Systemen, erarbeitet vom Institut der Wirtschaftsprüfer (IDW PS 980). Er wird die Richtschnur für alle Prüfungen sein, die zum Thema Compliance durchgeführt werden. Kennzeichnend für den Compliance Standard sind vier Schritte:

• In einem ersten Schritt nimmt die Unternehmensleitung eine Risikoanalyse vor. In welchen Bereichen kann es zu mehr als unerheblichen Rechtsverstößen kommen? Hier wird es auf Elemente wie Häufigkeit von Regelverletzungen, auf die mögliche Schadenshöhe und die Schadensart (geht es um Image-Schäden oder drohen z. B. Todesfälle wegen einer unzureichender Schneeräumung) ankommen.
• In einem zweiten Schritt werden unternehmensinterne Regelungen für einen angemessenen Umgang mit diesen Risiken (in der Sprache des neuen Prüfungsstandards: „angemessenes System“) definiert.
• In einem dritten Schritt führt die Unternehmensleitung das Compliance System ein („Implementierung“).
• Schließlich sichert sie in einem vierten Schritt die Wirksamkeit des Systems („Wirksamkeit“).

Unternehmen bekommen somit ein klar strukturiertes Instrument zur Hand, um ihre Compliance im Wege eines Compliance Management Systems zu optimieren. Ausgehend von der Analyse der typischen Risikofelder richtet die Unternehmensleitung ein angemessenes Compliance Management System (CMS) ein (Eine Möglichkeit, die Angemessenheit, Implementierung und Wirksamkeit eines CMS zu überprüfen, bietet das vom Institut der Wirtschaftsprüfer am 11. 03. 2011 beschlossene IDW PS 980. Es enthält Grundsätze für eine angemessene Prüfung von CMS). Dreh- und Angelpunkt eines CMS ist die seitens der Unternehmensleitung formulierte sogenannte Compliance-Kultur. Sie wird vor allem durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans („tone at the top“) geprägt. Auch legt die Unternehmensleitung die Ziele fest, die mit dem CMS erreicht werden sollen. Wichtig ist in Bezug auf den vierten Schritt (Sicherung der Wirksamkeit), dass die jeweils betroffenen Mitarbeiter über das Compliance-Programm sowie die festgelegten Rollen und Verantwortlichkeiten informiert und geschult werden. Nur so können sie ihre Aufgaben im CMS ausreichend verstehen und sachgerecht erfüllen. Die Unternehmensleitung muss schließlich für die Durchsetzung des CMS, die Beseitigung der Mängel und die Verbesserung des Systems sorgen.

Bei der organisatorischen Umsetzung hat die Unternehmensleitung mehrere Möglichkeiten zur Auswahl. Sie kann eine eigenständige Compliance-Abteilung parallel zu der bestehenden Unternehmensorganisation aufbauen. Ihr steht es aber auch frei, einen Compliance-Officers zu bestellen, der in Zusammenarbeit mit der Innenrevision die Verantwortung für Compliance im Unternehmen trägt. Mit Blick auf die begrenzten Ressourcen bietet sich insbesondere für mittelständische und kommunale Beteiligungsunternehmen die Übertragung von Compliance Aufgaben an einen Compliance Officer an.

Dies ermöglicht dem Vorstand bzw. Geschäftsführer, seine zivilrechtliche und strafrechtliche Verantwortung in weiten Teilen an Dritte zu übertragen (BGH, NJW 2009, 3173, 3175). Die Unternehmensleitung braucht insoweit nur noch für die ordnungsgemäße Auswahl, Einweisung und Überwachung des Compliance Officers einstehen (BayObLG, Beschl. v. 10. 08. 2001, Az.: 3 ObOWi 51/2001; Krieger NZA 2010, 367, 369).

Eine wirksame Delegation von Organisations- und Sorgfaltspflichten setzt aber voraus, dass der bestellte Compliance Officer hinreichend geeignet ist und die für die Erfüllung der delegierten Pflicht notwendigen Mittel bereitge-
stellt werden (Krieger NZA 2010, 367, 369).

Fazit

Im Rahmen der Besorgung ihrer Organisations- und Überwachungspflichten sehen sich die leitenden Gesellschaftsorgane zahlreichen Haftungsrisiken ausgesetzt, insbesondere nach § 130 Abs. 1 OWiG. Eine Möglichkeit, die eigene Haftung zu begrenzen, liegt in der Einrichtung eines Compliance Management Systems. Richtschnur wird künftig der Compliance Standard IDW PS 980. Ein CMS erleichtert es sowohl der Unternehmensleitung als auch den Mitarbeitern des Unternehmens, bestimmte Risikofelder zu identifizieren und potenzielle Regelverstöße zu vermeiden. Die konkrete Ausgestaltung des CMS hat dabei stets die Besonderheiten des jeweiligen Unternehmens zu berücksichtigen.

Hinweis der Redaktion: Zu diesem Thema findet im Februar 2012 ein Roundtable in Berlin statt.