Fest steht, dass die Geschäftsleitung eine Pflicht trifft, erforderliche, zumutbare und angemessene Maßnahmen zu ergreifen, um drohende Schäden frühzeitig zu erkennen und sie abzuwenden.[5] Dem Streit kommt also eine geringe praktische Bedeutung zu, da sich eine Verpflichtung jedenfalls faktisch für jedes Unternehmen ergibt, das die Einhaltung von Rechtsvorschriften anstrebt und Schäden abwenden will.[6]
41
Zudem lässt sich die Notwendigkeit der Einrichtung eines Risikomanagementsystems aus mehreren Vorschriften ableiten, wodurch ein etwaiges Ermessen der Unternehmensleitung dahingehend, ob eine Compliance-Organisation eingerichtet wird oder nicht, erheblich eingeschränkt,[7] wenn nicht sogar auf Null reduziert ist.
42
Im Folgenden sollen diejenigen Vorschriften dargestellt werden, aus denen sich jedenfalls die Notwendigkeit der Einrichtung eines Compliance-Systems ableiten lässt.
43
Der gesetzliche Ursprung der Compliance in Deutschland wird in § 33 WpHG gesehen. Hierin findet sich die rechtliche Grundlage für Compliance in der Reglementierung der Organisationsrichtlinien von Wertpapierdienstleistungsunternehmen für das Wertpapiergeschäft.
44
§ 33 WpHG war die erste Vorschrift in Deutschland unter Compliance-Gesichtspunkten. Dies erklärt auch, warum sich Compliance in Deutschland zunächst auf die Einhaltung der Regeln des Wertpapiergeschäfts ausrichtete.[8] Bekanntermaßen ist Compliance mittlerweile nicht mehr auf die Wertpapieraufsicht beschränkt, sondern hat sich auf alle anderen Wirtschaftsbereiche ausgeweitet.
45
Compliance-Programme wurden erstmals außerhalb des Wertpapierrechts im Zusammenhang mit dem Kartellordnungswidrigkeitenrecht erwähnt. Die Rechtsprechung der Kartellgerichte und die Praxis des Bundeskartellamtes haben in Zusammenhang mit § 130 OwiG als „erforderliche Aufsichtsmaßnahmen“ auf die Einrichtung von Compliance-Programmen hingewiesen und damit die fehlende Konkretisierung des Gesetzgebers ausgefüllt. Auch wenn sich die Rechtsprechung in Bezug auf den Inhalt solcher Compliance-Systeme und damit der Frage nach dem „wie“ entschieden zurückhält, so legt sie sich jedenfalls in Bezug auf die Frage nach dem „ob“ fest.
46
Eine Pflicht zur Schaffung eines Überwachungssystems ergibt sich auch aus dem im Jahr 1998 neu eingeführten § 91 Abs. 2 AktG,[9] wonach „der Vorstand geeignete Maßnahmen zu treffen hat, insbesondere ein Frühwarnsystem einzurichten, damit den Fortbestand des Unternehmens gefährdende Entwicklungen früh erkannt werden.“ Die Norm ist 1998 durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)[10] eingeführt worden und entfaltet laut der Gesetzesbegründung Ausstrahlungswirkung auf die GmbH. Auch wenn § 91 Abs. 2 AktG nicht explizit vorschreibt, welche Maßnahmen der Vorstand zur Früherkennung von Risiken zu treffen hat, so bietet sich die Einrichtung eines umfassenden Risikomanagementsystems jedenfalls dringend an, um der Vorschrift gerecht zu werden. Mehr noch ist eine Alternative für den Vorstand, diese rechtliche Pflicht zu erfüllen, nicht erkennbar.
47
Aus der systematischen Auslegung des § 91 Abs. 2 AktG ergibt sich bereits, dass das geforderte Risikomanagementsystem nicht etwa Aufgabe einzelner, möglicherweise eines bestimmten hierfür gewählten Vorstandsmitglieds, sondern vielmehr des gesamten Vorstandes ist.[11]
48
Eine Delegation ist damit zwar nicht unmöglich, gleichwohl werden die Vorstandsmitglieder dadurch gerade nicht aus der Verantwortung entlassen. Vielmehr muss sich der Vorstand berichten lassen, überwachen und vor allem bei Fehlern einschreiten.[12]
49
Für börsennotierte Unternehmen gilt zudem die Regelung des § 317 HGB. Hiernach wird im Rahmen der Abschlussprüfung durch den Wirtschaftsprüfer beurteilt, ob der Vorstand die Pflichten des § 91 Abs. 2 AktG zureichend erfüllt und die Maßnahmen zur Risikovermeidung in ausreichendem Maße getroffen hat und das bestehende Überwachungssystem geeignet ist, seine Aufgaben zu erfüllen.[13]
50
Im Falle von börsennotierten Unternehmen schlägt sich das Risikomanagement auch in der Rechnungslegung nieder. Nach § 289 Abs. 1 S. 4 HGB muss das Unternehmen im Lagebericht Stellung zu den aktuellen Risikomanagementzielen und Methoden nehmen.
51
Börsennotierte Unternehmen müssen zusätzlich auch im Rahmen der Abschlussprüfung dahingehend geprüft werden, ob der Vorstand seinen Pflichten aus § 91 Abs. 2 AktG nachgekommen ist. Gem. § 317 Abs. 4 HGB ist dies vom Wirtschaftsprüfer zur beurteilen, dem hierfür ein eigener Prüfstandard an die Hand gegeben wird.
52
Auch mit dem Entwurf des neunten Gesetzes zur Änderung des Versicherungsaufsichtsgesetzes[14] wird in Form des § 64a VAG eine weitere Rechtsnorm die Grundsätze der Compliance ansprechen. § 64a VAG befasst sich mit den wesentlichen Inhalten einer ordnungsgemäßen Geschäftsorganisation. Damit geht das VAG über die allgemeinen Regeln des Aktiengesetzes hinaus und wird die Auslegung und Konkretisierung der Generalklauseln des Aktiengesetzes beeinflussen.[15]
53
Während sich in den genannten gesetzlichen Bestimmungen vornehmlich abstrakte Anhaltspunkte für die Bedeutung und die Anforderungen an Compliance finden, so wird der Deutsche Corporate Governance Index (DCGK)[16] in seinen Bestimmungen konkreter.
54
Die neuere Fassung des DCGK enthält erstmals den Begriff „Compliance“. In Ziff. 4.1.3. ist geregelt, dass „der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen“ und „auf deren Beachtung durch die Konzernunternehmen“ hinzuwirken hat.
55
Damit wird dem Vorstand die Verantwortung für die Einhaltung externer und interner Vorgaben zugewiesen. Er soll beide Verhaltensanforderungen durch organisatorische Vorkehrungen erfüllen. Der DCGK versteht Compliance damit als übergeordneten Begriff, der die Leitungsverantwortung des Vorstandes in eine Organisations- und eine Legalitätspflicht unterteilt.[17]
56
Durch die „unternehmensinternen Richtlinien“ muss das Unternehmen seinen Mitarbeitern Verhaltensmaßstäbe an die Hand geben, die ihr Verhalten in Risikosituationen reglementieren. Unternehmensinterne Richtlinien können in Satzungen, Arbeitsverträgen, internen Arbeitsanweisungen, in der Geschäftsordnung oder in einem Verhaltenskodex geregelt sein.
57
In den internen Richtlinien kann und sollte das Unternehmen auch seine ethischen und moralischen Regeln und Wertvorstellungen festlegen. Denn nicht nur die Einhaltung gesetzlicher, sondern auch ethischer Regeln darf und sollte Bestandteil der Compliance sein. Das Unternehmen wird solche Richtlinien in einem sog. Code of Conduct, d.h. einer Sammlung von Verhaltensweisen festlegen. Ein solcher Code of Conduct ist weniger eine zwingende Vorschrift, sondern vielmehr eine freiwillige Verpflichtung, bestimmten Vorgaben zu Verhaltensmustern zu folgen oder sie zu unterlassen. Damit kann das Unternehmen vorgeben, wie sich seine Mitarbeiter in bestimmten Situationen in verschiedenen Zusammenhängen verhalten sollten und Sorge dafür tragen, dass keiner sich durch die Umgehung der Richtlinien Vorteile verschafft.
58
Schließlich empfiehlt sich die Implementierung eines Compliance-Systems auch aufgrund der verschärften Regelungen der Banken zur Kreditvergabe Basel II, wonach Banken verpflichtet sind, ihre Kunden einem Rating zu unterziehen.[18]
59