20
§ 91 Abs. 2 AktG legt die ausdrückliche Pflicht des Vorstands fest, ein internes Kontrollsystem zur Erkennung bestandsgefährdender Entwicklungen einzurichten. Die schon vor Einführung des § 91 Abs. 2 AktG aus der Leitungssorgfalt des Vorstands (§§ 76, 93 AktG) resultierende Compliance-Pflicht wird so nochmals – deklaratorisch – hervorgehoben.[44]
21
Häufig wird die allgemeine Compliance-Verpflichtung auch aus § 130 OWiG abgeleitet.[45] Zwar gibt § 130 OWiG selbst keinen konkreten Inhalt der Aufsichtspflichten vor.[46] Jedoch lässt sich aus der Verpflichtung zur Durchführung von Aufsichtsmaßnahmen zur Vermeidung von Straftaten eine allgemeine Compliance-Verpflichtung des Vorstands entnehmen. Die konkret gebotenen Compliance-Maßnahmen hat der Vorstand im Einzelfall, in den Grenzen des erlaubten Risikos und dem Vertrauensgrundsatz,[47] insbesondere im Hinblick auf die Größe des Betriebs, der Organisationsstruktur, der Bedeutung der zu beachtenden Vorschriften, der tatsächlichen Überwachungsmöglichkeit und den Erfahrungen in der Vergangenheit eigenverantwortlich festzulegen.[48]
22
Schließlich wird die allgemeine Pflicht zur Einrichtung eines Compliance-Systems in der Literatur auch aus verschiedenen spezialgesetzlichen Regelungen abgeleitet. Diese Regelungen legen für bestimmte Branchen konkrete Pflichten zur Erreichung und Einhaltung von Compliance fest. Zunächst ist hier § 33 Abs. 1 WpHG zu nennen. Hiernach müssen Wertpapierdienstleistungsunternehmen „angemessene Grundsätze aufstellen, Mittel vorhalten und Verfahren einrichten, die darauf ausgerichtet sind, sicherzustellen, dass das Wertpapierdienstleistungsunternehmen selbst und seine Mitarbeiter den Verpflichtungen [des WpHG] nachkommen, wobei insbesondere eine dauerhafte und wirksame Compliance-Funktion einzurichten ist, die ihre Aufgaben unabhängig wahrnehmen kann“. Diese Norm wird häufig als Rechtsgrundlage für Compliance-Organisation qualifiziert.[49] Weiterhin verpflichtet § 25a Abs. 1 Nr. 1, Abs. 4 KWG Finanzdienstleistungsinstitute dazu, ein angemessenes und wirksames Risikomanagement zu organisieren, wozu insbesondere interne Kontrollverfahren mit einem internen Kontrollsystem und einer internen Revision gehören. Nach § 52a Abs. 2 BImSchG hat „der Betreiber der genehmigungsbedürftigen Anlage […] der zuständigen Behörde mitzuteilen, auf welche Weise sichergestellt ist, dass die dem Schutz vor schädlichen Umwelteinwirkungen und vor sonstigen Gefahren, erheblichen Nachteilen und erheblichen Belästigungen dienenden Vorschriften und Anordnungen beim Betrieb beachtet werden“. Zuletzt ist in diesem Zusammenhang noch § 53 KrW/AbfG zu nennen, der bestimmt, dass der Betreiber einer genehmigungsbedürftigen Anlage der zuständigen Behörde mitzuteilen hat, „auf welche Weise sichergestellt ist, das die der Vermeidung, Verwertung und umweltverträglichen Beseitigung von Abfällen dienenden Vorschriften und Anordnungen beim Betrieb beachtet werden“.
23
Teilweise wird in der Literatur aus diesen spezialgesetzlichen Vorschriften im Wege einer Gesamtanalogiebildung eine allgemeine Rechtspflicht zur Erstellung eines Compliance-Systems abgeleitet.[50] Es ist allerdings fraglich, ob aus den zitierten spezialgesetzlichen Vorschriften eine allgemeine, branchenunabhängige Compliance-Verpflichtung für Aktiengesellschaften (und andere Gesellschaftsformen) abgeleitet werden kann und darf.[51] Insbesondere können der den jeweiligen Vorschriften zugrunde liegende Normzweck und die Interessenlage nicht ohne weiteres übertragen werden. Im Hinblick auf die gesellschaftsrechtlichen Verpflichtungen aus §§ 91 Abs. 2, 93 Abs. 1, 76 Abs. 1 AktG und § 130 OWiG besteht für eine solche Gesamtanalogie kein Bedürfnis.
(2) Unternehmensinterne Untersuchungen als Teil der Compliance
24
Wie festgestellt, trifft den Vorstand einer AG die Pflicht, für eine ausreichende Compliance-Organisation im Unternehmen zu sorgen. Da die genannten gesetzlichen Vorschriften jedoch keine konkreten Compliance-Maßnahmen vorschreiben, stellt sich die weitere Frage, ob die allgemeine Compliance-Pflicht auch eine konkrete Pflicht zur Durchführung von unternehmensinternen Untersuchungen begründet. Dies ist auch davon abhängig, wie man den aus dem amerikanischen Rechtsraum übernommenen Begriff der „Compliance“ definiert. In der Literatur hat sich bislang keine einheitliche Definition dieses Begriffs durchgesetzt.
25
Fasst man unter Compliance recht eng nur alle organisatorischen Maßnahmen zur Verhinderung von Gesetzes- und sonstigen Normverstößen, also Prävention durch Organisation und Koordination,[52] so kann das nachträgliche Einschreiten als Reaktion auf Verstöße nur i.S.e. Warnung zur Vermeidung weiterer Verstöße zur Compliance gezählt werden.[53] Ein breiteres Begriffsverständnis ist indes sachdienlicher. Unter Compliance ist ganz allgemein das Handeln in Übereinstimmung mit dem Gesetz bzw. mit den jeweils anwendbaren Regeln und die Sicherstellung dessen durch das Unternehmen, zu verstehen.[54] Nach diesem Verständnis gliedert sich Compliance in fünf Funktionen. Die Schutzfunktion, die Beratungs- und Informationsfunktion, die Qualitätssicherungs- und Innovationsfunktion, die Überwachungsfunktion sowie die Marketingfunktion.[55] Selbst im Lichte dieses gegliederten Definitionsansatzes ist bislang nicht abschließend geklärt, ob überhaupt und falls ja, welcher dieser Funktionen unternehmensinterne Untersuchungen zugeordnet werden können. Man kann unternehmensinterne Untersuchungen als Teil der Schutzfunktion betrachten. Denn durch die Untersuchungen wird das Unternehmen erst in die Lage versetzt, eine Kooperation mit Behörden auf Augenhöhe zu führen und so größeren Schaden für das Unternehmen abzuwenden und durch eine abschreckende Wirkung weitere Verstöße zu verhindern.[56] Es ist auch schlüssig, unternehmensinterne Untersuchungen der Überwachungsfunktion zuzuordnen.[57] Dann muss man unter Überwachung, gerade auch die Aufnahme von Ermittlungen bei einem Verdacht auf Compliance-Verstöße, verstehen.[58] Auch Aspekte der Reputationssicherung und der Marketing-Funktion werden durch unternehmensinterne Untersuchungen teilweise erfüllt. Verfügt ein Unternehmen über eine funktionierende Compliance-Organisation, so werden Gesetzesverstöße vermieden, was die Reputation des Unternehmens stärkt. Kommt es zu Verstößen und werden diese vom Unternehmen aufgedeckt und aufgearbeitet, so kann dies die Reputation stärken und damit dem Marketing dienen,[59] jedenfalls sofern die Vorfälle an die Öffentlichkeit geraten.
26
Zusammenfassend ist also festzuhalten, dass unternehmensinterne Untersuchungen unter die verschiedenen Funktionen der Compliance subsumierbar und damit grds. Teil eines funktionellen Compliance-Systems sind. Damit resultiert aus der allgemeinen Compliance-Pflicht auch eine Pflicht des Vorstands zur Durchführung unternehmensinterner Untersuchungen. Da die Compliance als Teil der Leitungsaufgaben des Vorstands eine Pflicht ist, ist auch die Einleitung unternehmensinterner Untersuchungen als Teil der Compliance eine dem Vorstand obliegende Pflicht.