„Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen“ (IDW PS 980) stark verbreitet, welcher sog. „Grundelemente“ eines CMS formuliert hat.190 Dazu zählen zunächst die Compliance-Kultur als Grundlage für die Angemessenheit und Wirksamkeit des CMS191 und die von den gesetzlichen Vertreter festgelegten Compliance-Ziele. Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, die Verstöße gegen einzuhaltende Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Basierend auf der Beurteilung der Compliance-Risiken wird ein Compliance-Programm eingeführt, das auf die Begrenzung der Compliance-Risiken und die Vermeidung von Compliance-Verstößen ausgerichtet ist.192 Das Management regelt die Aufbau- und Ablauforganisation und stellt die notwendigen Ressourcen zur Verfügung (Compliance-Organisation). Die betroffenen Mitarbeiter und Dritte sind über das Compliance-Programm zu informieren (Compliance-Kommunikation). Angemessenheit und Wirksamkeit des CMS sollen in geeigneter Weise überwacht werden (Compliance-Überwachung und Verbesserung). Voraussetzung hierfür ist eine ausreichende Dokumentation des CMS. Die gesetzlichen Vertreter sorgen ferner für die Durchsetzung des CMS, die Beseitigung der Mängel und die Verbesserung des Systems.193 Diese Grundelemente eines CMS entsprechen weitgehend denjenigen Elementen und „Bausteinen“, die als Kernbestandteile eines wirksamen Compliance Managements gelten.194
III. Erfolgsfaktoren für ein wirksames Compliance Management
51
Zu den Kernelementen und Erfolgsfaktoren, die in Literatur und Rechtsprechung als Anforderungen an ein wirksames Compliance Management erörtert werden,195 zählen insbesondere die Identifikation und Bestandsaufnahme der relevanten Compliance-Risiken, die Förderung einer nachhaltigen Compliance-Kultur, die kontinuierliche Information und Schulung aller Unternehmensangehörigen, die Kontrolle der Compliance-Maßnahmen sowie die Aufdeckung und Sanktionierung von Regelverletzungen.196 Diese Kernelemente entsprechen in vielerlei Hinsicht den Grundelementen des IDW PS 980,197 welche allerdings eine auf die individuellen Besonderheiten des betroffenen Unternehmens abgestimmte Compliance-Strategie nicht ersetzen können.198 Die Kernelemente werden daher nachfolgend in das Modell einer Strategie für ein wirksames Compliance Management integriert.
1. Gestaltungsermessen bei Strukturen, Prozessen und Systemen
52
Wie ausgeführt,199 richten sich die für ein wirksames Compliance Management zielführenden Maßnahmen nach den jeweiligen Besonderheiten des betroffenen Unternehmens und insbesondere nach seinem individuellen Compliance-Risikoprofil.200 Die Verbandsleiter haben bei der Ausgestaltung des Compliance Managements ein Handlungsermessen nach den Grundsätzen der sog. „Business Judgment Rule“201 hinsichtlich der Einführung geeigneter Strukturen, Prozesse und Systeme.202 Das Auswahlermessen umfasst etwa die Frage, ob die Geschäftsleitung die Compliance-Pflicht in vollem Umfang selbst erfüllt, oder ob sie bestimmte Compliance-Aufgaben an andere Unternehmenseinheiten oder Externe delegiert. In jedem Fall sind einerseits die Zulässigkeit der Delegation sowie andererseits deren Grenzen zu beachten.203
53
Die Compliance-Maßnahmen stehen ferner unter dem Vorbehalt der Erforderlichkeit und der Zumutbarkeit, der je nach den Besonderheiten des Unternehmens variiert.204 Während sich ab einer bestimmten Größe die Einrichtung einer Compliance-Organisation empfiehlt, können die Compliance-Aufgaben in kleineren Unternehmen auch durch die Geschäftsleiter (ggf. in Kooperation mit Externen) selbst wahrgenommen werden. Zielführend ist in jedem Fall ein strategischer Ansatz in Abstimmung mit der jeweiligen Unternehmensstrategie.
2. Konzeption einer individuellen Compliance-Strategie
54
Es sollte das Ziel jeder Unternehmens- und Verbandsleitung sein, geeignete und auf den Verband abgestimmte Rahmenbedingungen für ein regelkonformes und integres Verhalten der Verbandsangehörigen zu organisieren – dieser Organisationsauftrag ist Bestandteil der Leitungsverantwortung. Hierzu bedarf es unter anderem der systematischen Identifikation und Analyse des individuellen Compliance-Risikoprofils des Verbands, der Entwicklung und Förderung einer Compliance-Kultur205 (siehe unter Rn. 68ff.) sowie eines Konzepts zur Steuerung der maßgeblichen Compliance-Risiken.206 Ein wichtiger Bestandteil der Compliance-Strategie ist ferner die eindeutige Festlegung von Zuständigkeiten und Verantwortungsbereichen für Compliance-Maßnahmen (siehe unter Rn. 65f.). Die Compliance-Strategie sollte alle wesentlichen konzeptionellen Fragen und Strukturentscheidungen adressieren – diese fallen regelmäßig in den Zuständigkeitsbereich der Unternehmensleitung als Gesamtorgan.207
a) Fokussierung auf effektive Compliance-Maßnahmen
55
Im Hinblick auf das Ziel einer systematischen Prävention von Regelverletzungen und Fehlverhalten208 reicht die Organisationsaufgabe der Compliance über die bloße Einführung von Regeln und Richtlinien hinaus. Denn wie oben ausgeführt, kommt es nach den Vorgaben aktueller Rechtsprechung und Gesetzgebung entscheidend darauf an, ob die Compliance-Maßnahmen wirksam sind, also tatsächlich funktionieren.209 Zwar führte der Bundesgerichtshof in seiner Entscheidung vom 9.5.2017 als obiter dictum aus, für die Bemessung der Geldbuße sei auch von Bedeutung, „inwieweit das Unternehmen seiner Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss“.210 Allerdings wird diese Anforderung hier nicht näher konkretisiert. Im Zusammenhang der Entscheidungsbegründung und weiteren Stellungnahmen211 ist denkbar, dass der BGH die Begriffe „effizient“ und „effektiv“ an dieser Stelle nicht näher differenziert hat.212 Im Hinblick auf die maßgebliche Anforderung, dass das Compliance Management auf die Vermeidung von Rechtsverstößen ausgelegt sein muss, erscheint folgende Definition empfehlenswert213: Unter Effizienz wird die Beurteilung der Beziehung zwischen erbrachter Leistung und Ressourceneinsatz verstanden, während Effektivität die Beurteilung der Zielerreichung beschreibt, also in welchem Ausmaß die geplanten Ziele auch tatsächlich erreicht worden sind.214 Diese Beurteilung, inwieweit die gesetzten Ziele erreichbar sind, dürfte auch für das Compliance Management entscheidend sein, da dessen Zweck in der (bestmöglichen) Vermeidung von Regelverletzungen besteht.215 Für eine positive Berücksichtigung von Compliance-Maßnahmen durch Gerichte und Behörden kommt es stets darauf an, dass die Compliance Maßnahmen tatsächlich „gelebt“, also konsequent angewandt und regelmäßig aktualisiert werden.216 Nur so kann das Compliance Management seinen primären Zweck einer bestmöglichen Vermeidung von Rechtsverstößen erfüllen und erscheint nicht nur als bloßes Lippenbekenntnis.217 Nur ein effektives Compliance Management kann auch die weiteren intendierten Vorteile erreichen, namentlich den Schutz von Unternehmen, Geschäftsleitung und Mitarbeitern, die Sicherung der Reputation des Unternehmens, die rechtssichere Gründung und Gestaltung von Geschäftsmodellen sowie verbesserte Verteidigungsmöglichkeiten in Fällen von „Non-Compliance“.218
b) Wahl eines unternehmensspezifischen Organisationsmodells
56
Entsprechend der Vielfalt unternehmerischer Aktivitäten gibt es für Compliance Management ganz unterschiedliche Organisationsmodelle.219 In kleineren und mittelständischen Unternehmen wird die Compliance-Verantwortung meist vom Inhaber bzw. Gesellschafter-Geschäftsführer selbst wahrgenommen (soweit die betreffenden Personen die Notwendigkeit von Compliance Management erkannt haben),220 oder die Verantwortlichen beauftragen externe Anbieter (wie Rechtsanwälte oder Wirtschaftsprüfer) mit der Ausführung von Compliance-Aufgaben.221 Dagegen sind in größeren Unternehmen häufig nachgeordnete Unternehmenseinheiten wie die Rechtsabteilung, das Risikomanagement oder die