Wachsende Bedeutung kommt der Compliance Due Diligence zu. Unter Compliance versteht man nicht nur die „Binsenweisheit“,452 dass ein Unternehmen das Recht zu beachten hat, sondern darüber hinaus die Gesamtheit aller erforderlichen Maßnahmen, um ein rechtmäßiges Verhalten des Unternehmens, seiner Organmitglieder und seiner Mitarbeiter zu gewährleisten.453
241
Compliance-Verstöße können nicht nur zu empfindlichen, manchmal sogar existenzbedrohlichen Bußgeldern (etwa bei Verstößen gegen die DSGVO) oder Haftungsrisiken (z.B. Kartellschadensersatzansprüche) führen, sondern Reputationsschäden bei der Zielgesellschaft und dem Erwerber begründen oder sogar das Geschäftsmodell der Zielgesellschaft in Frage stellen. Weist die Zielgesellschaft hinreichenden Bezug zu den USA (FCPA) oder UK (UK Bribery Act) auf, ist sogar eine Compliance Due Diligence im Interesse des Erwerbers geboten, um eine anderenfalls drohende Durchgriffshaftung des Erwerbers zu vermeiden.
242
Regelmäßig dürften die Organe der Bietergesellschaft bzw. des Erwerbsinteressenten gesellschaftsrechtlich (also als Organe gegenüber ihrer Gesellschaft aufgrund der Verpflichtung, eine unternehmerische Entscheidung wie die eines Unternehmenskaufs nur auf „angemessener Informationsgrundlage“ zu treffen und wie im Allgemeinen mit der Möglichkeit interner und externer Delegation) sogar verpflichtet sein, zumindest eine compliance-bezogene „Risikoanalyse“454 durchzuführen und sich mit der Frage zu befassen, ob die Zielgesellschaft eine funktionsfähige Compliance-Organisation hat und ob es aufgrund des Risikoprofils der Zielgesellschaft Verdachtsmomente oder sogar konkrete Anhaltspunkte für Compliance-Verstöße gibt. Hat die Zielgesellschaft ein erhöhtes Risikoprofil, wird man zur Schaffung einer „angemessenen Informationsgrundlage“ im Sinne der Business Judgement Rule darüber hinaus im Rahmen der Compliance Due Diligence eine genauere Analyse des Compliance-Systems der Zielgesellschaft auf dessen Funktionsfähigkeit hin sowie detaillierte Nachfragen im Rahmen des vorvertraglichen Auskunftsprozesses (Q&A-Process) zu Verstößen in der Vergangenheit und risikoerhöhenden Umständen erwarten müssen.455
243
Die Compliance Due Diligence wird oft, aber nicht notwendigerweise im Rahmen der Legal Due Diligence durchgeführt. Sie hat zwei Stoßrichtungen: Zum einen die Feststellung, ob die Zielgesellschaft eine Geschäftsorganisation hat, die materiell-rechtliche Verstöße etwa gegen Datenschutzrecht,456 Kartell- und Wettbewerbsrecht, Außenwirtschaftsrecht (AWG, AWVO, EU-VO 428/2009, „Dual-Use“-Verordnung), Geldwäschevorschriften (§ 261 StGB, Geldwäschegesetz), Anti-Korruptions-Vorschriften (§§ 299, 300 StGB, 331–334 StGB, der UK Bribery Act, der US Foreign Corrupt Practices Act, FCPA) oder spezielle branchenspezifische Vorschriften verhindert. Zum anderen die Feststellung möglicher Compliance-Fälle, also Sachverhalte in der Gegenwart oder Vergangenheit, hinsichtlich derer ein entsprechender Verstoß oder der Verdacht eines Verstoßes vorliegt.
244
Umfang und Tiefe der Compliance Due Diligence sind im Einzelfall zu bestimmen und richten sich nach dem Risikoprofil der Zielgesellschaft, also insbesondere danach, ob (i) es z.B. branchenspezifische Anforderungen gibt, die die Zielgesellschaft zu erfüllen hat, (ii) aus Kreditverträgen457 oder anderen Verträgen Compliance-Anforderungen erwachsen, (iii) sie in korruptionsanfälligen Branchen oder Staaten aktiv ist458 oder (iv) sie eine intensive US-Verbindung aufweist.459
245
Wesentliche Bausteine der zu prüfenden Compliance-Organisation und Struktur sind:460
– Organisation der Compliance-Funktion im engeren Sinne, einschließlich personeller Besetzung, Berichtslinien, Einbindung externer Berater,
– Existenz oder Fehlen eines Mitteilungssystems für Compliance-Verstöße,
– Existenz oder Fehlen von Hotlines, insbesondere für „Whistleblower“,
– Existenz oder Fehlen von eingerichteten Verfahren zur Ermittlung von Compliance-Verstößen im Übrigen,
– Existenz oder Fehlen von eingerichteten Prozessen für das Zusammenwirken verschiedener Unternehmensbereiche in Bezug auf Compliance,
– Existenz oder Fehlen eines eingerichteten Case Managements zur Abarbeitung gemeldeter Verdachtsfälle/Verstöße,
– System zur Einrichtung einer Dokumentation von Compliance-Verdachtsfällen und -Verstößen,
– Existenz, Inhalt und Verankerung unternehmensinterner Compliance-Regeln,
– Existenz und Intensität von Schulungsmaßnahmen.
Sie sollten im Rahmen der Due Diligence abgefragt werden.
246
In der Regel sollte es (i) für den Käufer kein Problem sein, im Rahmen sog. Desktop-Reviews von öffentlich verfügbaren Informationen ohne Mitwirkung des Verkäufers oder der Zielgesellschaft eine erste Risikoeinschätzung zu bekommen und (ii) für den Verkäufer und die Zielgesellschaft kein Problem sein, den Erwerbsinteressenten im Rahmen der Due Diligence hinreichend über die Compliance-Organisation zu informieren. Dies ist im Zusammenspiel mit einer ersten Analyse der Branche und der geografischen Abdeckung der Zielgesellschaft oft ein erster wichtiger Gradmesser461 für den Erwerber im Hinblick auf unentdeckte potenzielle Compliance-Verstöße, denn dies legt einen verantwortungsvollen Umgang mit Compliance-Risiken nahe.
247
Als außerordentlich schwierig kann sich die Prüfung (potenzieller) Compliance-Verstöße erweisen. Gerade besonders gravierende Verstöße sind in der Regel nicht dokumentiert, sodass der übliche Document Review im Rahmen der Due Diligence typischerweise nicht hilft. Mögliche Haftungsrisiken werden sehr oft auch der Zielgesellschaft (noch) nicht bekannt sein. Sind sie der Zielgesellschaft bekannt, müssen sie oft im HGB-Jahresabschluss nicht durch Bildung einer Rückstellung ausgewiesen werden, solange nicht mehr Gründe für als gegen eine Inanspruchnahme (so die Formel der Rechtsprechung462) im Zusammenhang mit dem Compliance-Verstoß sprechen. Demnach muss eine Rückstellung regelmäßig noch nicht gebildet werden, wenn entsprechende konkrete Risiken im Rahmen einer internen Untersuchung festgestellt wurden. Umgekehrt muss sie regelmäßig gebildet werden, wenn eine zuständige Behörde bereits Ermittlungsmaßnahmen eingeleitet hat oder sogar bereits ein Bußgeldbescheid der Zielgesellschaft zugegangen ist.463 Ähnliches gilt für den IAS-Abschluss. Auf sog. Ersatzangaben nach IAS 37.92 dürfte die Zielgesellschaft regelmäßig verzichten (dürfen), weil dadurch erst Behörden und Gläubiger auf einen Compliance-Verstoß aufmerksam gemacht werden, mithin „schlafende Hunde“ erst geweckt werden.464 Verkäufer und Zielgesellschaft werden in dem Stadium, in dem typischerweise die Due Diligence stattfindet, nicht bereit sein (und im Gesellschaftsinteresse oft auch nicht bereit sein dürfen), erkannte Risiken oder Verstöße, die sich noch nicht in dem Sinne materialisiert haben, dass eine Behörde darauf aufmerksam wurde, einem Erwerbsinteressenten oder gar mehreren Bietern offenzulegen. Die Untersuchungstiefe, mit der ein Unternehmen üblicherweise im Rahmen von „Internal Investigations“ selbst potenzielle Compliance-Verstöße prüft, wird ein Erwerbsinteressent im Rahmen der Due Diligence – selbst im Rahmen einer sog. Confirmatory Due Diligence465 zwischen Signing und Closing466 – nie erreichen können. Daher werden oft auch der vorvertragliche Auskunftsprozess (Q&A-Process) und Expertengespräche (Expert Sessions) in dieser Hinsicht unergiebig bleiben. Hier gerät die Compliance Due Diligence an ihre Grenzen. Das ändert nichts daran, dass ein sorgfältig agierender Käufer durch geeignete Fragen nach bekannten und potenziellen Compliance-Verstößen oder -Risiken, „gefahrgeneigten“ Geschäften (in welchen Staaten wird/ist die Zielgesellschaft aktiv, exportiert die Zielgesellschaft Produkte oder Technologien, die