43
Mit Blick auf die rechtlichen Risiken führt ein effektives CMS primär dazu, dass die Haftungsrisiken des Unternehmens, der Geschäftsleitung und auch der Mitarbeiter deutlich reduziert sind.
2. Kapitel Grundprinzipien eines Compliance Management Systems › I. Grundlagen › 2. Rechtsgrundlagen im deutschen Recht
2. Rechtsgrundlagen im deutschen Recht
44
In Deutschland werden seit jeher dogmatische Diskussionen darüber geführt, welche gesetzlichen Grundlagen bestehen, die deutsche Unternehmen verpflichten, ein CMS einzuführen. Sowohl im Gesellschaftsrecht, als auch im Straf- und Ordnungswidrigkeitenrecht, finden sich Rechtsgrundlagen für unterschiedliche Rechtsformen, Industrien oder Rechtsgebiete. Diese verpflichten die Unternehmen, im Rahmen des jeweiligen Anwendungsbereichs der Normen, ein Compliance Management System einzuführen. Beispielhaft seien die folgenden Vorschriften aufgelistet:
| – | § 91 Abs. 2 AktG, |
| – | §§ 30, 130 OWiG, |
| – | § 12 Abs. 1 S. 2 AGG, |
| – | § 25a Abs. 1 S. 1 KWG. |
45
Auch der aktuelle Entwurf eines Verbandssanktionengesetzes enthält keine konkreten Vorgaben zu der Einführung und den Bestandteilen eines CMS. Da das Vorhandensein eines effektiven CMS aber nach diesem neuen Konzept dazu führen kann, dass eine Haftung des Unternehmens und der Geschäftsführung nicht eintritt oder das CMS jedenfalls bei der Zumessung der Sanktionshöhe einen positiven Effekt hat, besteht eine gewisse Obliegenheit, ein CMS einzuführen.[1]
46
Für die überwiegende Anzahl der Unternehmen, nämlich all diejenigen Unternehmen, die international tätig sind, ist die dogmatische Suche nach der richtigen Rechtsgrundlage in der Praxis irrelevant. In zahlreichen Ländern bestehen allgemeine Voraussetzungen, die ein CMS erfüllen muss. Gleiches gilt für bestimmte Industrien oder Rechtsgebiete. Operieren Unternehmen in diesen Märkten oder Industrien, müssen sie unausweichlich diese Vorgaben befolgen, um die Haftungsrisiken so gering wie möglich zu halten. Im nachfolgenden Abschnitt stellen wir einige dieser internationalen Regelungen und Vorgaben vor.
47
Aus der Gesamtschau der lokalen und internationalen Vorgaben folgt, dass Unternehmen ab einer gewissen Größe und internationalen Ausrichtung ihres Geschäfts verpflichtet sind, ein adäquates CMS zu implementieren.[2] Das CMS darf an die Umstände des jeweiligen Unternehmens angepasst sein. Der Umsatz, die internationale Ausbreitung, die Industrie, das Marktumfeld, die Kundenlandschaft oder der Umfang der Datennutzung sind relevante Faktoren, die eine Rolle dabei spielen, wie das Compliance Management System in den einzelnen Rechtsbereichen ausgestaltet sein sollte.[3]
Anmerkungen
Vgl. Behr/Guttenberger DB 2020, 1218, 1221.
Vgl. dazu auch LG München I (Neubürger) NZWiSt 2014, 183, 187.
Withus/Hein CCZ 2011, 125, 131.
2. Kapitel Grundprinzipien eines Compliance Management Systems › I. Grundlagen › 3. Internationale Vorgaben und Ansätze zum Aufbau eines Compliance Management Systems
3. Internationale Vorgaben und Ansätze zum Aufbau eines Compliance Management Systems
48
International gibt es einige Standards, die Hilfestellungen dabei bieten können, wie ein CMS ausgestaltet sein sollte. ISO 19600 (künftig ISO 37301)[1] sowie der IDW PS 980 sind die bekanntesten Standards. Sie geben einen groben Rahmen vor, den das jeweilige Unternehmen für die unterschiedlichen Rechtsbereiche beachten muss.
49
Für einzelne Rechtsgebiete stehen darüber hinaus teils weitere internationale Standards und Vorgaben zur Verfügung. Auch wenn diese Standards möglicherweise keine rechtsverbindliche Wirkung entfalten, können sie dennoch hilfreich sein, den richtigen Maßstab für ein angemessenes CMS zu bestimmen.
50
Die aktuell relevantesten Rechtsgebiete, die im Fokus von CMS stehen, sind allgemein Anti-Korruption, das Kartellrecht, Geldwäsche, das Außenwirtschaftsrecht und Datenschutz. Die meisten CMS sehen zudem Regelungen zu Interessenkonflikten vor. Hierbei handelt es sich zwar nicht um ein eigenes Rechtsgebiet und häufig stellen Verstöße gegen die entsprechenden Vorgaben keine Verstöße gegen Gesetzesrecht dar. Dennoch ist der Umgang mit Interessenkonflikten ein wichtiger Gradmesser für die Compliance-Kultur in einem Unternehmen.
a) Internationale Standards zur Korruptionsbekämpfung
51
Besonders im Bereich der Korruptionsbekämpfung haben diverse Länder internationale Organisationsstandards veröffentlicht, die für Unternehmen hilfreiche Hinweise enthalten, wie ein Compliance Management System zur Korruptionsbekämpfung ausgestaltet sein sollte.
aa) US Foreign Corrupt Practices, DOJ- und SEC-Vorgaben, sowie Sentencing Guidelines
52
Aus den Vorgaben rund um den US Foreign Corrupt Practices Act („FCPA“) können Unternehmen eine Vielzahl von wertvollen Vorgaben ableiten, wie ein CMS ausgestaltet sein sollte.[2] Zum einen enthalten die veröffentlichten Entscheidungen der US-Behörden zahlreiche Hinweise, welche Schwachstellen in CMS bestehen können und wie diese nach Vorstellung der US-Behörden geschlossen werden sollten. Zum anderen veröffentlichen die US-Behörden, allen voran das US Justizministerium („DOJ“), sowie die US Börsenaufsicht („SEC“), regelmäßig überarbeitete Stellungnahmen zu CMS. Zuletzt gab das DOJ am 1.6.2020 eine adaptierte Richtlinie zur Bewertung von Compliance-Programmen heraus, welche die Versionen aus den Jahren 2017 und 2019 ersetzt.[3] Die Leitlinie beinhaltet die Erwartungen und Standards, die US-amerikanische Staatsanwälte bei der Bewertung eines Compliance-Programms während einer Untersuchung anwenden. Nur ein Monat später wurde gemeinsam mit der SEC Anfang Juli 2020 auch der Leitfaden zum FCPA[4] neu herausgegeben.
53
Diese Vorgaben bieten aufgrund