Wann ist ein Compliance Management System („CMS“) eines Unternehmens angemessen? Diese Frage stellt sich der Käufer eines Unternehmens, wenn er oder seine Berater im Rahmen einer Transaktion eine Compliance Due Diligence bei dem Zielunternehmen durchführen. Diese Frage stellt sich aber auch ein Geschäftsführer einer Gesellschaft, der ein CMS einführen will oder muss, um seine Sorgfaltspflicht zu erfüllen und das Unternehmen zukunftsfähig zu machen.
In beiden Fällen ist die Frage mit dem Anliegen verbunden, im Falle eines Compliance-Verstoßes im Unternehmen die Haftung des Unternehmens, aber auch des Geschäftsführers möglichst weit zu minimieren oder gar auszuschließen. Dass dies möglich ist, ist durch die Rechtsprechung mittlerweile weitestgehend anerkannt, auch wenn es noch an einer konkreten Vorschrift hierzu fehlt. Dementsprechend kommt es am Ende im Haftungsprozess auf die Überzeugung des Gerichtes an, ob das CMS bei dem entsprechenden Unternehmen angemessen war.
Diese Frage lässt sich allerdings nicht so einfach beantworten, da es keine allgemeine gesetzliche Regelung hierzu gibt. Vielmehr wird bei der Frage immer wieder darauf verwiesen, dass es für die Einführung von Compliance-Strukturen keine One-Size-Fits-All Lösung gibt und geben darf, denn es kommt immer auch auf die Größe und Struktur des Unternehmens an und in welcher Branche es tätig ist.
Insoweit wurden in den letzten Jahren verschiedene Standards und Leitlinien entwickelt, die den Unternehmen Anhaltspunkte zur Ausgestaltung eines CMS geben.
DIN ISO 37301:2021
Die DIN ISO 37301:2021 ist eine internationale ISO Norm und beschreibt Anforderungen an ein CMS. Sie ist der Nachfolger der DIN ISO 19600:2016-12. In der Norm werden Anforderungen festgelegt und Leitlinien angeboten „für den Aufbau, die Entwicklung, die Umsetzung, die Bewertung, die Aufrechterhaltung und die Verbesserung eines wirksamen Compliance-Managementsystems innerhalb einer Organisation“. Hierzu wird u.a. auf die klassischen Themen wie die Festlegung von Compliance-Zielen, die Identifizierung von Compliance-Risiken, die Compliance-Risikobeurteilung, die Verantwortung des Managements, die Delegation der Verantwortung, die Anpassung des CMS bei Bedarf, die Schulung von Mitarbeitern, die Einführung eines Beschwerdesystems und die Durchführung von internen Untersuchungen sowie die Kontrolle und Verbesserung des CMS eingegangen. Durch die ISO Norm wird ein Rahmen für eine Compliance-Organisation gesetzt, in dem die Unternehmen das CMS ausgestalten können. Insoweit dient die ISO Norm als Grundlage für die Möglichkeit, ein CMS nach internationalen Standards zertifizieren zu lassen, sofern alle in der ISO Norm genannten Kriterien erfüllt werden.
IDW PS 980
Der IDW PS 980 ist ein vom Institut der Wirtschaftsprüfer entwickelter Prüfungsstandard zu den Grundsätzen ordnungsmäßiger Prüfung von Compliance Management Systemen. Der geltende Prüfungsstandard stammt aus dem Jahr 2011 und befindet sich derzeit in Überarbeitung. Das Institut der Wirtschaftsprüfer hat bereits den Entwurf einer Neufassung („EPS 980 n.F.“) veröffentlicht, zu dem bis Ende Mai 2022 die Möglichkeit zur Stellungnahme besteht. Laut des EPS 980 n.F. ist eine Neufassung notwendig, da sich bei der Einrichtung und Prüfung von Compliance Management Systemen Fortentwicklungen in der Unternehmens- und Prüfungspraxis ergeben haben, die entsprechend in der Überarbeitung der Grundelemente eines CMS und der Prüfungsdurchführung berücksichtigt wurden. Der EPS 980 n.F. beschreibt folgende Grundelemente eines CMS: die Compliance-Kultur als Grundlage für die Angemessenheit und Wirksamkeit des CMS, die Festlegung der Compliance-Ziele als Grundlage für die Beurteilung der Compliance-Risiken, die Identifizierung der Compliance-Risiken, die Einführung eines Compliance-Programms, das auf den ermittelten Compliance-Risiken basiert, die Compliance-Organisation als Teil der Unternehmensorganisation, die Compliance-Kommunikation an Mitarbeiter und Dritte sowie die Compliance-Überwachung und Verbesserung. Es wird insoweit gezielt auf bestimmte Compliance-Maßnahmen eingegangen und das Unternehmen erhält konkrete Hinweise zu Anforderungen an ein CMS. Die Prüfer wenden den Prüfungsstandard im Rahmen einer freiwilligen Prüfung von Compliance Management Systemen an. Demnach wird im EPS 980 n.F. festgestellt, dass „eine Prüfung der Wirksamkeit dieser Systeme durch einen unabhängigen Wirtschaftsprüfer nach diesem IDW Prüfungsstandard dem objektivierten Nachweis der ermessensfehlerfreien Ausübung der Organisations- und Sorgfaltspflichten des Vorstands und des Aufsichtsrats dienen“ kann.
DICO Standard Compliance-Management-Systeme
Der Arbeitskreis Compliance Management Systeme des Deutschen Instituts für Compliance (DICO) hat gemeinsam mit dem Viadrina Compliance Center unter Leitung von Prof. Dr. Bartosz Makowicz im März 2021 einen DICO Standard herausgegeben. Der „Standard-CMS umfasst in knapper Form allgemeine Empfehlungen zur Ausgestaltung eines CMS. Er ist auf alle Unternehmensarten anwendbar, unabhängig von ihrer Größe, Struktur und Komplexität.“ Unter den Überschriften Planung, Vorbeugen, Erkennen, Reagieren sowie regelmäßige Systemevaluierung und fortlaufende Optimierung werden wesentliche Teile eines CMS beschrieben. Hierzu gehören die Rolle der Unternehmensleitung, eine Compliance-Risiko-Analyse, Compliance-Funktionen, Verhaltenskodex und Compliance-Richtlinien, Kommunikation und Schulungen, Kompetenzsicherung, Überwachung, Hinweisgebersystem, Sanktionierung, Berichterstattung und Krisenmanagement. Dabei wird sehr konkret auf Compliance-Maßnahmen eingegangen, so dass der Standard gerade für kleine mittelständische Unternehmen ein sehr guter Ausgangspunkt für die Einführung eines CMS sein kann. In jedem Fall vermittelt er einen anschaulichen Überblick über die einzelnen möglichen Maßnahmen, ohne hier natürlich einen abschließenden Katalog aufzuführen.
DCGK
Ein Standard der ersten Stunde ist der Deutsche Corporate Governance Kodex (“DCGK“). Er „stellt wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften dar und enthält in Form von Empfehlungen und Anregungen international und national anerkannte Standards guter und verantwortungsvoller Unternehmensführung“. Der derzeitige DCGK stammt aus dem Jahr 2019. Am 21. Januar 2022 hat die Regierungskommission den Entwurf des Deutschen Corporate Governance Kodex 2022 beschlossen, zu dem bis Mitte März Stellungnahmen abgegeben werden können. Die bisher gültige Fassung enthält in den Grundsätzen nur die Forderung nach einem geeigneten und wirksamen internen Kontroll- und Risikomanagementsystems und konkretisiert in den Empfehlungen zu den Grundsätzen dann, dass der Vorstand für ein an der Risikolage des Unternehmens ausgerichtetes CMS sorgen soll. Dies wurde im Entwurf zur Neufassung nun deutlich erweitert. Danach steht bereits in den Grundsätzen, dass das interne Kontroll- und Risikomanagementsystem auch ein an der Risikolage des Unternehmens ausgerichtetes CMS umfasst. In den Empfehlungen zu diesen Grundsätzen heißt es sodann unter anderem: „[…] Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden. Im Lagebericht sollen die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems beschrieben werden und soll zur Angemessenheit und Wirksamkeit dieser Systeme Stellung genommen werden.“ Auch wenn der Kodex keine konkreten Compliance-Maßnahmen vorsieht, so betont er ausdrücklich und in Zukunft noch stärker die Notwendigkeit eines CMS. Der Kodex selbst stellt kein zwingendes Recht dar. Er steht jedoch durch die Regelung der Entsprechenserklärung in § 161 AktG in enger Verknüpfung mit dem zwingenden Recht, so dass § 161 AktG auch als „Transmissionsriemen“ des DCGK bezeichnet wird. Gemäß dieser Vorschrift ist der Vorstand und Aufsichtsrat einer börsennotierten Gesellschaft verpflichtet, jährlich zu erklären, dass den Empfehlungen der Regierungskommission Deutscher Corporate Governance Kodex entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden oder werden und warum nicht. Allerdings gilt dies nur für einen eingeschränkten Unternehmenskreis, dennoch hat der DCGK auch über diese Unternehmen hinaus einen hohen Stellenwert erlangt.
Gesetzliche Pflichten
Eine allgemeine Pflicht zur Einführung eines CMS gibt es nicht. Ausschließlich für Unternehmen, die Wertpapierdienstleistungen erbringen sowie für Kredit- und Finanzdienstleistungsinstitute besteht nach § 80 WpHG und § 25a KWG eine gesetzliche Pflicht zur Etablierung einer ordnungsgemäßen Geschäftsorganisation zur Einhaltung der gesetzlichen Bestimmungen. Eine ordnungsgemäße Geschäftsorganisation muss demnach auch ein angemessenes und wirksames Risikomanagement, eine umfassende Dokumentation der Geschäftstätigkeit sowie ein Hinweisgebersystem umfassen. Daneben sind kapitalmarktorientierte „große“ Unternehmen i.S.v. § 267 Abs. 3 S. 1 HGB mit mehr als 500 Arbeitnehmern im Jahresdurchschnitt verpflichtet, im Rahmen ihrer nichtfinanziellen Berichtspflichten Angaben zur Bekämpfung von Korruption und Bestechung zu machen, „wobei sich die Angaben beispielsweise auf die bestehenden Instrumente zur Bekämpfung von Korruption und Bestechung beziehen können“. Die Gesetze sprechen insoweit in sehr eingeschränktem Umfang einzelne Elemente eines CMS an. Insoweit wird die Bedeutung dieser Maßnahmen für ein CMS unterstrichen.
Inhaltlich darüber hinaus gehen insoweit die Leitlinien zur vorzeitigen Löschung einer Eintragung aus dem Wettbewerbsregister wegen Selbstreinigung sowie die diesbezüglichen praktischen Hinweise des Bundeskartellamtes. Diese nehmen auf § 8 Wettbewerbsregistergesetz Bezug, der eine vorzeitige Löschung der Eintragung aus dem Wettbewerbsregister wegen Selbstreinigung der Unternehmen vorsieht. Hierbei wird u.a. auf § 125 Gesetz gegen Wettbewerbsbeschränkungen verwiesen, der in Abs. 1 Nr. 3 feststellt, dass für eine Selbstreinigung auch erforderlich ist, dass das Unternehmen konkrete technische, organisatorische und personelle Maßnahmen ergriffen hat, die geeignet sind, weitere Straftaten oder weiteres Fehlverhalten zu vermeiden. In den Leitlinien und praktischen Hinweise werden insoweit „Compliance Maßnahmen“ als die notwendigen technischen und organisatorischen Maßnahmen beschrieben. Hierzu gehören die Risikoanalyse, die Anpassung der Organisations- und Aufsichtskultur, das Bekenntnis der Unternehmensleitung zu rechtskonformem Verhalten, die sorgfältige Auswahl, Schulung und Kontrolle der Unternehmensbeschäftigten, der Umgang mit Hinweisgebern und Hinweisgebersystemen, angemessene Ressourcen und Kompetenzen der verantwortlichen Personen sowie die Evaluation und Anpassung der Compliance-Maßnahmen. Damit werden vom Bundeskartellamt recht detailliert die Anforderungen an ein CMS beschrieben, um den Unternehmen eine Handreichung für die Selbstreinigung zu geben. Allerdings stellt das Bundeskartellamt in den Leitlinien auch klar, dass es bei der Frage der Angemessenheit der Maßnahmen immer auf den Einzelfall ankommt.
Ausländische Regelungen
Neben den oben genannten deutschen Standards gibt es zwei wichtige ausländische Leitlinien, die sich mich der Ausgestaltung eines CMS auseinandersetzen. Die sind zum einen die Leitlinien zum UK Bribery Act 2010 (The Bribery Act 2010 – Guidance (MoJ)) und der Leitfaden des U.S. Department of Justice, Criminal Division, Evaluation of Corporate Compliance Programs (Stand: June 2020 Guidance).
Die Leitlinien zum UK Bribery Act 2010 stellen sechs Prinzipien für die Organisation von Unternehmen auf, um Korruption zu verhindern. Diese sind: Proportionate procedures, Top-level commitment, Risk Assessment, Due diligence, Communication (including training), Monitoring and review.
Der Leitfaden des U.S. Department of Justice stellt drei Fragen in den Vordergrund: (i) Ist das CMS gut konzipiert? (ii) Verfügt das CMS über ausreichende Ressourcen und Befugnisse, um effektiv zu arbeiten? und (iii) Funktioniert das Compliance-Programm des Unternehmens in der Praxis? Zu der ersten Fragen werden die Themen Risk Assessment, Policies and Procedures, Training and Communications, Third Party Management, Confidential Reporting Structure and Investigation Process behandelt. Bei der zweiten Frage geht es um das Commitment des Managements, die Bereitstellung von Ressourcen sowie Incentivierungen und disziplinarische Maßnahmen. Die dritte Frage beschäftigt sich dann mit der Kontrolle des CMS sowie die Untersuchung und Sanktionierung von Fehlverhalten.
Auch wenn es sich um keine gesetzlichen Regelungen handelt, haben die Leitlinien in UK und USA eine hohe Bedeutung. Für deutsche Unternehmen lässt sich hieraus entnehmen, wie der internationale Standard aussieht und auf welche Maßnahmen es ankommt. Spannend ist, dass in beiden Leitlinien die Compliance Due Diligence bei M&A-Transaktionen als Teil des CMS angesprochen wird, der in Deutschland noch häufig eine geringe Bedeutung zukommt. Dies zeigt abermals, wie wichtig eine Compliance Due Diligence, insbesondere im internationalen Vergleich, ist.
Lessons Learned
Die gute Nachricht ist: Ja, es gibt sie – die Standards, Reglungen, Leitlinien, an denen Compliance Management Systeme gemessen werden können. Dies gilt sowohl im Rahmen einer Transaktion bei der Prüfung des CMS als Teil der Compliance Due Diligence wie auch bei der Einführung von Compliance Management Systemen. Beim Vergleich der Inhalte der oben genannten Standards wird deutlich, dass sie alle sehr ähnlich die wesentlichen Bestandteile eines CMS beschreiben. Unstreitig gehören u.a. die Compliance Risikoanalyse, ein Code of Conduct, diverse Compliance-Richtlinien, Tone from the Top, ein Whistleblowing-System, die Überprüfung des CMS sowie die Sanktionierung von Compliance-Verstößen zu den Grundelementen eines Compliance Managements Systems.
Die schlechte Nachricht ist: Ob das entsprechende CMS auch tatsächlich angemessen ist, bleibt letztlich eine Einzelfallentscheidung. Keiner der Standards und Leitlinien ist verbindlich, so dass selbst bei einer Zertifizierung oder Prüfung des CMS eine Haftung nicht automatisch auszuschließen ist. Sofern es zu einem Haftungsprozess kommt, steht es im Ermessen des Gerichts zu entscheiden, ob ein Compliance Management System angemessen ist. Dabei ist nicht nur die erstmalige Implementierung, sondern auch die gelebte Umsetzung des CMS im Unternehmen entscheidend.
Dennoch gilt: Wer kein CMS einführt, hat schon verloren, denn er wird in keinem Fall von der Möglichkeit der Enthaftung auf Grund interner Compliance-Strukturen Gebrauch machen können. Wer allerdings ein CMS einführt und dieses an den vorhandenen Standards und Leitlinien ausrichtet, hat gute Chancen, dass zumindest die Haftung minimiert, wenn nicht gar ausgeschlossen wird.
