25
Da die Missachtung ethischer Verhaltenserwartungen der Stakeholder ebenso zu Imageschäden und Reputationseinbußen führen kann wie die Missachtung rechtlicher Vorgaben,100 sollte die Unternehmensleitung im Einzelfall erwägen, zum Schutz vor Reputationsverlusten auf eine Gewinnoptimierung aus ethischen Aspekten zu verzichten.101 Wie die im Nachhaltigen Aktionsplan (NAP)102 formulierten Erwartungen der Regierung an verantwortliches Handeln der Unternehmen und die damit verbundene Diskussion um die Notwendigkeit eines sog. „Lieferkettengesetzes“ exemplarisch zeigen, kann es sich für die jeweilige Unternehmensleitung empfehlen, das eigene Geschäftsmodell und die Unternehmensstrategie nicht allein auf Rechtskonformität, sondern auch auf ethisch einwandfreie Gestaltungen hin zu überprüfen.
26
Die gezeigten Beispiele umfangreich bestehender Rechtspflichten sowie neuer Anforderungen und weitergehender Trends zur „Verrechtlichung“ vormals freiwilliger Verantwortungsbereiche verdeutlichen, dass Compliance Management für Unternehmen und Verbände sowie deren Leitungsorgane eine dauerhafte und anspruchsvolle Aufgabe ist.103 Infolge vielfältiger, komplexer sowie teils unklarer bzw. auslegungsbedürftiger Vorgaben müssen Entscheidungen häufig unter Rechtsunsicherheit getroffen werden.104
II. Vorgaben und Orientierungshilfen für Compliance Management
1. Compliance-Organisationspflicht als verbandsübergreifende Ausprägung der Leitungsverantwortung
27
Wie ausgeführt, steht im Fokus prominenter Regelverstöße häufig die Frage nach der Verantwortung der Geschäftsleiter für fehlendes oder mangelhaftes Compliance Management.105 Denn eine der Besonderheiten von Compliance-Fällen liegt in der Pflicht von Geschäftsleitern, nicht nur das eigene, sondern auch das rechtmäßige Verhalten aller Unternehmensangehörigen sicherzustellen (Legalitäts- bzw. Legalitätskontrollpflicht).106 Ursprung, Umfang und Grenzen dieser Pflicht sind seit langem prominenter Gegenstand rechtswissenschaftlicher Diskussion und beschäftigen zunehmend die Gerichte.107
28
Allerdings empfiehlt es sich, hierbei zu differenzieren.108 Die Compliance-Pflicht im Sinne einer Organisationspflicht zur Einhaltung rechtlicher Vorgaben und der Verhinderung regelwidrigen Verhaltens im Unternehmen ist zutreffend als ein allgemeiner, rechtsformübergreifender Grundsatz des Verbandsrechts beschrieben worden,109 denn sie stellt eine besondere Ausprägung der Leitungsverantwortung dar, wonach jeder Geschäftsleiter im Rahmen seiner sog. Leitungssorgfaltspflicht auf die Normeinhaltung durch den Verband und im Verband zu achten hat.110 Compliance ist eine rechtsform-, struktur- und größenunabhängige Pflichtaufgabe eines jeden Geschäftsleiters,111 denn jeder Verband ist so zu organisieren, dass Rechts- und Regelverstöße verhindert werden.112
29
Soweit die Geschäftsleiter nicht selbst und höchstpersönlich für die Erfüllung von Rechtspflichten verantwortlich sein sollen (z.B. im Zusammenhang mit steuer- und sozialversicherungsrechtlichen Anforderungen, datenschutzrechtlichen Vorgaben oder Pflichten im Zusammenhang mit einer Insolvenz),113 müssen sie entsprechende organisatorische Maßnahmen treffen, um rechtskonformes Verhalten der Unternehmensangehörigen sicherzustellen und Regelverletzungen möglichst zu vermeiden.114 Dieser Organisationsauftrag115 der Geschäftsleitung umfasst sowohl die Entscheidung über die Einführung von Compliance-Maßnahmen als auch über die wesentlichen Strategie- und Strukturentscheidungen bezüglich des Compliance Managements.116 Dieses Kernbestands an Organisationsaufgaben kann sich die Unternehmensleitung nicht entäußern bzw. durch Delegation entziehen.117
2. Individuelle Ausgestaltung des Compliance Managements
30
Dagegen richtet sich die jeweilige Ausgestaltung des Compliance Managements, d.h. Art und Umfang der erforderlichen Compliance-Maßnahmen (einschließlich einer etwaigen „Compliance-Organisation“) stets nach dem individuellen Risikoprofil und den Besonderheiten des jeweiligen Unternehmens oder Verbands. Als relevante Kriterien für die individuelle Ausgestaltung gelten u.a.:118
– Branche bzw. Industriesektor;
– regulatorisches Umfeld;
– Unternehmensgröße und Struktur;
– Kapitalmarktzugang;
– Geschäftsmodell (insbesondere Vertriebsstruktur);
– internationale Präsenz bzw. Auslandsaktivitäten;
– Compliance-Verstöße in der Vergangenheit („Compliance-Historie“), Wahrscheinlichkeit einer Normverletzung.119
31
Abgesehen von besonderen gesetzlichen Organisationsvorgaben für bestimmte Branchen120 richtet sich der erforderliche Organisationsgrad des Compliance Managements nach der Analyse der oben genannten Kriterien. Diese Analyse beantwortet auch die Frage, ob es einer eigenständigen Compliance-Organisation bedarf oder ob es ausreicht, etwa eine separate Compliance-Funktion bzw. einen Compliance Officer zu bestellen.
32
Darüber hinaus enthalten Strafrecht und Zivilrecht für alle Unternehmen bestimmte allgemeine Vorgaben für Aufsichts-, Kontroll- und Untersuchungspflichten, welche die Gerichte fallbezogen konkretisiert haben.121 Derartige „Leitplanken“ zur Unternehmensorganisation sind Ausgangspunkt und integraler Bestandteil jedes Compliance Managements.
3. Vielfalt an Vorgaben und Orientierungshilfen
33
Zwar enthält das deutsche Recht – mit Ausnahme bestimmter branchenspezifischer Normen – bislang keine speziellen Vorschriften für ein Compliance Management.122 Allerdings enthalten diverse Rechtsnormen allgemeine Vorgaben und Grundsätze, die bei der Erfüllung der Compliance-Pflicht durch organisatorische Maßnahmen zu berücksichtigen sind.123 Diese Vorgaben sind durch die Gerichte fallbezogen präzisiert sowie durch Rechtswissenschaft und Rechtspraxis kommentiert worden und bilden ein Muster organisatorischer (Mindest-)Anforderungen für eine ordnungsgemäße Unternehmensführung. Für bestimmte Branchen bestehen darüber hinaus (teils selbst geschaffene) Regelwerke und Verhaltenskodizes, in denen zentrale Compliance-Themen behandelt und Handlungsempfehlungen entwickelt werden.124 Ferner ist das Thema Compliance seit längerem Regelungsgegenstand verschiedener Standardisierungsorganisationen, zu nennen sind insbesondere der Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW PS 980),125 die ISO 19600 (Compliance-Management-Systeme)126 sowie die ISO 37001 (Anti-Korruptions-Management-Systeme).127 Diese Regelwerke und Standards sind grundsätzlich nicht rechtsverbindlich,128 enthalten aber häufig nützliche Empfehlungen und Leitlinien für die Gestaltung eines auf das jeweilige Unternehmen passenden Compliance Managements. Zudem haben Wissenschaft und Praxis einen Katalog an Mindestanforderungen für ein wirksames Compliance Management entwickelt.129
a) Branchenspezifische Sonderregeln als Erkenntnisquelle
34
Besondere