19
Bei der GmbH gelten im Ansatz vergleichbare Grundsätze wie in der Aktiengesellschaft. Die Geschäftsleiterverantwortung ist dort insoweit abgemildert, als eine (wirksame und rechtmäßige) Weisung der Gesellschafter zur Enthaftung der Geschäftsführung führt.[27] Gleichwohl tut auch ein Unternehmen in der Rechtsform der GmbH gut daran, eine Compliance-Organisation einzurichten, die der nationalen und internationalen Verkehrssitte (best practice) entspricht. Die Pflicht zur Einrichtung eines Risikomanagementsystems i.S.d. § 91 Abs. 2 AktG gilt (analog) auch für die GmbH.[28]
2. Strafrechtliche Organisationspflichten
20
Neben dem Gesellschaftsrecht enthält das Strafrecht, namentlich das Ordnungswidrigkeitenrecht, Rechtsquellen für Organisationspflichten, die sich auf die Compliance-Organisation im Unternehmen unmittelbar auswirken.[29] Einschlägig sind insoweit insbesondere die §§ 9, 30 und 130 OWiG.
21
§ 30 OWiG eröffnet die Möglichkeit, Geldbußen gegen juristische Personen und Personenvereinigungen zu verhängen. Voraussetzung dafür ist, dass Organmitglieder oder bestimmte weitere Personen in leitender Stellung eine Straftat oder Ordnungswidrigkeit begehen, durch die Pflichten verletzt werden, welche die juristische Person treffen oder durch die die juristische Person bereichert wird oder werden soll. In einem solchen Fall kann gegen die juristische Person eine Geldbuße festgesetzt werden, die bei Vorsatztaten bis zu 10 Mio. EUR und bei fahrlässigen Straftaten bis zu 5 Mio EUR beträgt (§ 30 Abs. 2 OWiG). Dieser Rahmen kann aber leicht überschritten werden, denn die Geldbuße soll auch den wirtschaftlichen Vorteil, den der Täter aus der Tat gezogen hat, übersteigen (§ 30 Abs. 3 i.V.m. § 17 Abs. 4 OWiG).
22
Ein Beispiel aus der jüngeren Vergangenheit zeigt dies anschaulich: § 30 OWiG ist bspw. einschlägig bei Korruptionstaten und ihren typischen Begleitdelikten wie etwa Steuerhinterziehung. Im Fall Siemens führte dies im Jahr 2007 im Hinblick auf einen bestimmten Tatkomplex zu einer Sanktion nach § 30 OWiG in Höhe von insgesamt 201 Mio. EUR. Davon entfielen 1 Mio. EUR auf die reine Geldbuße nach § 30 Abs. 2 S. 1 Nr. 1 OWiG und 200 Mio. EUR auf die Gewinnabschöpfung nach § 30 Abs. 3 i.V.m. § 17 Abs. 4 OWiG.[30]
23
Das Beispiel zeigt: Rechtsverstöße, auch wenn sie im vermeintlichen Interesse des Unternehmens begangen werden, können drastische Sanktionen nicht nur für den einzelnen Täter, sondern für das ganze Unternehmen nach sich ziehen. Daher ist es geboten, durch organisatorische Maßnahmen sicherzustellen, dass solche Rechtsverstöße möglichst nicht vorkommen. § 30 OWiG flankiert damit die bereits aus der allgemeinen Geschäftsleiterverantwortung folgende Pflicht zur Einrichtung einer Compliance-Organisation.
24
§ 130 OWiG wird im Hinblick auf Organisationspflichten noch konkreter: Ordnungswidrig handelt danach, wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig diejenigen Aufsichtsmaßnahmen unterlässt, welche erforderlich sind, um im Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber als solchen treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen zählen nach § 130 Abs. 1 S. 2 OWiG insbesondere die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.[31] Auch hier ist der Sanktionsrahmen grundsätzlich Geldbuße bis zu 1 Mio. EUR (§ 130 Abs. 3 S. 1 OWiG). Eine höhere Geldbuße ist möglich, wenn die begangene Pflichtverletzung, die durch gehörige Aufsicht hätte vermieden werden sollen, mit höheren Sanktionen belegt ist (§ 130 Abs. 3 S. 2 und 3 OWiG).[32] § 130 OWiG ist daher das direkte strafrechtliche Analogon zur gesellschaftsrechtlichen Organisationspflicht im Hinblick auf die Rechtschaffenheit im Unternehmen.
25
Schließlich ist noch auf § 9 OWiG hinzuweisen. Die Vorschrift betrifft Delikte, für deren Tatbestandsmäßigkeit besondere persönliche Merkmale erforderlich sind, wie bspw. die Institutseigenschaft im Bereich der Pflicht zur Identifizierung von Personen nach dem Geldwäschegesetz, §§ 17 Abs. 1 Nr. 1, 2 Abs. 1–3, 1 Abs. 4 GwG. In diesem Fall reicht es gem. § 9 Abs. 1 OWiG, dass dieses Merkmal beim Unternehmen vorliegt. Ist das der Fall, handelt der Vertreter des Unternehmens selbst ordnungswidrig, auch wenn bei ihm persönlich dieses Merkmal nicht vorliegt. Gleiches kann nach der Rechtsprechung des BGH auch im Bereich einer möglichen Strafbarkeit nach dem StGB gelten. Die Strafbarkeit einer Führungskraft setzt nicht zwingend voraus, dass diese ein Delikt eigenhändig begangen hat.[33] Daraus wird deutlich, dass Geschäftsleiter nicht nur in der Pflicht stehen, für die Einhaltung der das Unternehmen treffenden Pflichten zu sorgen. Sie werden strafrechtlich letztlich mit dem Unternehmen gleichgestellt und tragen damit ein nicht unerhebliches persönliches Risiko der Strafbarkeit für unternehmensbezogene Delikte.[34]
26
Aus alledem wird deutlich, dass die im Ordnungswidrigkeitenrecht enthaltenen Organisationspflichten die gesellschaftsrechtlichen Organisationspflichten hinsichtlich der Sicherstellung organisierter Rechtschaffenheit im Unternehmen ergänzen und flankieren. Gleichwohl ist es wichtig, hierbei das richtige Rangverhältnis im Auge zu behalten. An erster Stelle stehen die gesellschaftsrechtlichen Pflichten; denn sie begründen eine allgemeine Legalitätspflicht, aus der entsprechende Organisationspflichten erwachsen. Die Pflichten des Ordnungswidrigkeitenrechtes setzen dagegen stets einen strafbaren oder zumindest ordnungswidrigen Compliance-Verstoß voraus und sind daher im Ausgangspunkt enger als die gesellschaftsrechtliche Legalitätspflicht. In praktischer Hinsicht darf allerdings nicht übersehen werden, dass die im täglichen Leben besonders relevanten Compliance-Felder durchgängig straf- bzw. bußgeldbewehrt sind, wie nicht zuletzt ein Blick auf die Bereiche Korruption,[35] Geldwäsche, Steuerhinterziehung, Insiderrecht, Kapitalmarktpublizität, Kartellrecht und Produktsicherheit zeigt. Insoweit treten die ordnungswidrigkeitenrechtlichen Organisationspflichten gleichberechtigt neben die diesbezüglichen gesellschaftsrechtlichen Pflichten.
27
Auf Ebene des Strafrechts ist schließlich im Hinblick auf Compliance-Pflichten die mögliche Geschäftsleiterhaftung wegen Unterlassens zu beachten, auch soweit es um Straftaten aus dem Unternehmen heraus gegenüber Dritten geht. Eine derartige Garantenpflicht gegenüber unternehmensexternen Dritten hat der BGH für den Leiter der Rechtsabteilung und Innenrevision einer Anstalt des öffentlichen Rechts angenommen und in einem obiter dictum ausdrücklich eine regelmäßige Garantenstellung von Compliance Officern für die Verhinderung von aus dem Unternehmen heraus begangenen Straftaten postuliert.[36]
3. Spezialgesetzliche Compliance-Pflichten
28
Neben den allgemeinen gesellschaftsrechtlichen und ordnungswidrigkeitenrechtlichen Grundlagen einer Compliance-Organisation existieren spezialgesetzliche Compliance-Vorschriften. Einige dieser Vorschriften, wie z.B. § 12 Abs. 1 AGG,[37] sind grundsätzlich auf alle Unternehmen anwendbar, andere Vorschriften hingegen lediglich branchen- oder tätigkeitsspezifisch. Letzteres gilt bspw. für die besonderen Compliance-Pflichten von Finanzdienstleistern,[38] Banken und Versicherungen oder die zusätzlichen Organisationspflichten, denen börsennotierte Unternehmen im Hinblick auf die Vermeidung von Insiderhandel und zur Sicherstellung