Zu berücksichtigen ist hier allerdings der Schwerpunkt des FCPA. Dieser ist primär darauf ausgerichtet, Bestechung von (aus US-Sicht) ausländischen Amtsträgern und damit zusammenhängende Buchhaltungsverstöße zu verhindern.[5] Für die Bestechung im geschäftlichen Verkehr sind die Hinweise nur indirekt anwendbar. Gleiches gilt für die Bestechlichkeit der eigenen Mitarbeiter.
54
Der FCPA enthält selbst keine Pflicht zur Einführung eines Hinweisgebersystems. Der FCPA Resource Guide 2020 vom DOJ und der SEC erachtet ein Hinweisgebersystem aber als einen wesentlichen Bestandteil eines CMS.[6]
bb) UK Bribery Act und adequate procedures
55
Der UK Bribery Act („UKBA“) ist mittlerweile seit zehn Jahren in Kraft und hat sich zu einem der primären internationalen Standards für die Korruptionsbekämpfung entwickelt. Der UKBA verbietet umfassend Bestechung von ausländischen und inländischen Amtsträgern, sowie Bestechung im geschäftlichen Verkehr. Er enthält eine Haftung des Unternehmens, wenn es zu Korruption aus dem Unternehmen heraus gekommen ist. Das Unternehmen kann sich exkulpieren, wenn es nachweisen kann, dass es sogenannte „adequate procedures“, also angemessene Sicherungsvorkehrungen implementiert hatte, um Fehlverhalten vorzubeugen.[7] Die entsprechenden Leitfäden enthalten eine Vielzahl von Vorgaben, wie aus Sicht der britischen Behörden ein Compliance Management System zur Korruptionsbekämpfung ausgestaltet sein sollte.[8]
56
Der Leitfaden des Justizministeriums sieht ebenfalls vor, dass die Geschäftsführung dafür Sorge trägt, dass Unternehmen ein Hinweisgebersystem implementieren.[9]
cc) Sapin II
57
Der französische Sapin II ist seit dem 8.11.2016 in Kraft. Sapin II ist ein spezifisches Anti-Korruptionsgesetz. Es gilt für Unternehmen mit mehr als 500 Mitarbeitern oder einem Gesamtumsatz von 100 Mio. EUR pro Jahr.[10] Es enthält diverse Vorgaben für das Compliance Management System der betroffenen Unternehmen. Dieses muss jedenfalls folgende Elemente enthalten: (i) einen Code of Conduct, (ii) interne Hinweisgebermechanismen, (iii) Risikoanalysen, (iv) Prüfprozesse von Drittparteien (v) Buchhaltungskontrollen, (vi) Compliance Schulungen, (vii) Vorgaben zu arbeitsrechtlichen Maßnahmen bei Fehlverhalten, und (viii) ein internes Kontrollsystem.[11]
dd) ISO 37001
58
Der im Jahr 2016 veröffentlichte, internationale Standard für ein Anti-Korruptions-Compliance Management System ISO 37001 ist kein verpflichtender Standard, sondern ein Leitfaden für Unternehmen. Der Standard enthält dabei Mindestanforderungen für die Korruptionsbekämpfung im Unternehmen. Er kann unabhängig von der Größe, internationalen Ausrichtung oder Industrie des Unternehmens angewendet werden. Es besteht die Möglichkeit für Unternehmen, sich nach diesem Standard zertifizieren zu lassen.
59
In Abschnitt 8.9 enthält der ISO 37001 Vorgaben zu einem Hinweisgebersystem. Dieser sieht vor, dass (i) Mitarbeiter dazu angehalten werden, ehrliche Hinweise auf Korruption zu melden, dass (ii) die Hinweise vertraulich behandelt werden und (iii) anonym abgegeben werden können, (iv) Hinweisgebern keine negativen Konsequenzen drohen und (v) Anlaufstellen für Mitarbeiter zum Umgang mit Verdachtsmomenten geschaffen werden.[12]
ee) Spezielle Vorgaben für Pharma und Medizintechnik
60
Aufgrund des systeminhärenten Kontakts zwischen Pharmaunternehmen oder Medizingeräteherstellern und Ärzten oder Vertretern anderer Heilberufe, haben diverse Verbände ihren Mitgliedern Selbstverpflichtungen auferlegt, damit die besonderen Risiken in der Industrie durch Prozesse und Kontrollen reduziert werden.[13]
61
Auf europäischer Ebene agiert die „European Federation of Pharmaceutical Industries and Associations“ („EFPIA“) als Dachverband der Pharmaindustrie und erarbeitet industrieinterne Kodizes.[14] Der internationale Verband „International Federation of Pharmaceutical Manufacturers & Associations“ („IFPMA“) hat 2019 seinen Code Practice erneuert.[15] In Deutschland hat der „Arzneimittel und Kooperation im Gesundheitswesen e.V.“ einen Verhaltenskodex für seine Mitglieder veröffentlicht.[16]
62
Im Bereich der Medizingerätehersteller hat „MedTech Europe“ einen Code of Ethical Business Principles eingeführt.[17]
63
Die Grundsätze der Kodizes sind vor allem die Transparenz und der Umgang mit Zuwendungen oder Kooperationen mit Personen, die im Gesundheitswesen tätig sind. In vielen Ländern sind diese Personen Amtsträger, sodass besondere Regelungen im Umgang mit diesen Personen bestehen.[18] Welches Risiko diese Beziehungen bergen, verdeutlicht der Umstand, dass die Gesundheitsindustrie in der Historie des FCPA eine der Industrien ist, in der die meisten Untersuchungen wegen Korruptionsverstößen eingeleitet wurden.[19]
b) Internationale Standards im Bereich Kartellrecht
64
Zwar existieren neben den allgemeinen Standards ISO 19600 und IDW PS 980 auch für das Kartellrecht spezielle Leitlinien, diese sind bislang allerdings weniger bekannt als einige der Vorgaben zur Korruptionsbekämpfung.
aa) USA
65
Im Juli 2019 änderten die US-Behörden ihre bisherige Position zu CMS. Zuvor hatten die US-Behörden die Implementierung eines Kartellrechts-Compliance Management Systems im Unternehmen nicht als strafmildernden Faktor angesehen. Ähnlich wie der Evaluation Guide im Bereich Anti-Korruption gibt es nun einen Leitfaden für Staatsanwälte im Bereich des Kartellrechts mit detaillierten Vorgaben, wie sie ein CMS prüfen und dessen Effektivität bewerten sollen.[20]
66
In Abschnitt 7 enthält der Leitfaden diverse Aspekte, die im Hinblick auf ein Hinweisgebersystem überprüft werden sollen.[21]
bb) ICC-Toolkit
67
Von der Internationalen Handelskammer wurde 2013 das Antitrust Compliance Toolkit veröffentlicht.[22] Dabei handelt es sich um eine internationale Leitlinie, die Unternehmen mögliche Instrumente aufzeigt, um ein kartellrechtlich effektives Compliance Management System zu entwickeln. Die Leitlinie verdeutlicht, dass es keine „one-size-fits-all“-Lösungen für Unternehmen geben kann, denn die kartellrechtlichen Compliance-Anforderungen variieren stark nach der Größe des Unternehmens und der Industrie.[23] Dennoch zeigt die Leitlinie, teils anhand von konkreten Case Studies und Registerbeispielen, wie kartellrechtsspezifische Risiken aussehen können, und wie die Unternehmen diesen Risiken begegnen können. Eine wichtige Rolle soll dabei insbesondere die kartellrechtliche Due Diligence spielen. Insgesamt fordert die Leitlinie eine konsequente Berücksichtigung von kartellrechtlichem Know-how in der Gestaltung des CMS.[24]
c) Internationale Standards im Bereich Außenwirtschaftsrecht
68
Für das Außenwirtschaftsrecht wird Compliance unter anderem dann relevant, wenn es darum geht Embargoregelungen zu befolgen, Geschäftspartner mit Sanktionslisten abzugleichen, die auszuführenden Güter zu klassifizieren und möglicherweise erforderliche Ausfuhr- oder Verbringungsgenehmigungen zu erhalten.