für Wertpapierhandelsunternehmen sowie für Versicherungsunternehmen.130 So muss gemäß § 25a KWG ein Institut über eine ordnungsgemäße Geschäftsorganisation verfügen, welche die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Eine ordnungsgemäße Geschäftsorganisation im Sinne dieser Vorschrift muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat. Das Risikomanagement umfasst insbesondere die Festlegung einer auf die nachhaltige Entwicklung gerichteten Geschäftsstrategie und einer damit konsistenten Risikostrategie (§ 25a Abs. 1 Nr. 1 KWG), Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit (§ 25a Abs. 1 Nr. 2 KWG) sowie die Einrichtung interner Kontrollverfahren mit einem internen Kontrollsystem und einer Internen Revision (§ 25a Abs. 1 Nr. 3 KWG).
35
Für Wertpapierhandelsunternehmen werden diese Organisationspflichten gemäß § 33 WpHG insbesondere durch die Verpflichtung erweitert, eine dauerhafte und wirksame Compliance-Funktion einzurichten.131 Diese stellt einen wesentlichen Bestandteil des internen Kontrollsystems des Wertpapierdienstleistungsunternehmens im Sinne des § 25a Abs. 1 Satz 3 Nr. 1 KWG dar.132 Damit ist jedes Wertpapierhandelsunternehmen zur Beschäftigung eines Compliance-Beauftragten verpflichtet, nähere Einzelheiten zur Ausgestaltung der Compliance-Funktion ergeben sich aus der Wertpapierdienstleistungs-, Verhaltens- und Organisationsverordnung (WpDVerOV).133 Neben Auslegungshinweisen seitens der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zur Konkretisierung der organisatorischen Anforderungen haben kapitalmarktorientierte Unternehmen weitere Vorschriften bzw. aufsichtsbehördliche Empfehlungen zu beachten.134
36
Versicherungsunternehmen haben die Vorgaben des § 29 VAG zu beachten. Gemäß § 29 Abs. 1 VAG müssen Versicherungsunternehmen über ein wirksames internes Kontrollsystem verfügen, das mindestens Verwaltungs- und Rechnungslegungsverfahren, einen internen Kontrollrahmen, eine angemessene unternehmensinterne Berichterstattung auf allen Unternehmensebenen sowie eine Funktion zur Überwachung der Einhaltung der Anforderungen (Compliance-Funktion) umfasst. Zu den Aufgaben der Compliance-Funktion gehört gemäß § 29 Abs. 2 VAG die Beratung des Vorstands in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die für den Betrieb des Versicherungsgeschäfts gelten. Außerdem hat die Compliance-Funktion die möglichen Auswirkungen von Änderungen des Rechtsumfeldes für das Unternehmen zu beurteilen und das mit der Verletzung der rechtlichen Vorgaben verbundene Risiko (Compliance-Risiko) zu identifizieren und zu beurteilen.
37
Bei den genannten Normen handelt es sich allerdings um spezielle Regelungen im Hinblick auf die besonderen Risiken von Finanz- und Versicherungsdienstleistungen, an die der Gesetzgeber besondere (aufsichts-)rechtliche Anforderungen stellt. Daher besteht weitgehend Konsens, dass diese besonderen Anforderungen und Maßstäbe nicht einfach auf das Compliance Management in Unternehmen außerhalb dieser Industriesektoren übertragen werden können.135 Ebenso wenig ergibt sich die Verpflichtung zu einer Compliance-Organisation im Wege einer Gesamtanalogie zu diesen (und ausgewählten weiteren) Vorschriften.136
38
Dem steht es allerdings nicht entgegen, die Vorgaben besonderer Branchen als Anschauungsmaterial für Fragen der Ausgestaltung des Compliance Managements zu nutzen. Denn bei allgemeinen Fragen, wie etwa hinsichtlich der Anforderungen an eine wirksame Compliance-Funktion, können die Branchenregelungen und die hierzu verfügbaren Quellen und Kommentierungen eine wertvolle Erfahrungs- und Erkenntnisquelle sein.137 Dies gilt etwa im Hinblick auf die Unabhängigkeit des Compliance Officers, seine Berichtspflichten und für Regelungen zur Vermeidung von Interessenkollisionen.
b) Erkenntnisse des Risikomanagements
39
Wie ausgeführt,138 besteht zwischen Compliance Management und Risikomanagement ein enger Zusammenhang. So verpflichtet die Vorschrift des § 91 Abs. 2 AktG den Vorstand einer Aktiengesellschaft nach ihrem Wortlaut dazu, geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten. Demnach hat der Vorstand als Gesamtorgan für eine Organisation zu sorgen, welche die Erkennung von bestandsgefährdenden Entwicklungen sicherstellt.139 Bestandsgefährdende Risiken können auch aus „Non-Compliance“ resultieren: Dies gilt etwa bei hohen Geldstrafen bzw. Bußgeldern, z.B. im Zusammenhang mit Kartellrechtsverstößen oder beim Ausschluss von Projekten öffentlicher Auftraggeber.140 Existenzbedrohend können auch die geplanten Verbandssanktionen nach dem Regierungsentwurf zum Verbandssanktionengesetz sein.141
40
Zwar ist die Geltungsreichweite von § 91 Abs. 2 AktG („Ausstrahlungswirkung“) für andere Unternehmens- und Verbandsformen im Einzelnen umstritten,142 doch ist die Pflicht zur Risikoprävention (ebenso wie die Compliance-Organisationspflicht) eine Ausprägung der Leitungssorgfalt der Verbandsleitung und gilt daher grundsätzlich in jeder Unternehmens- und Verbandsform.143 Jedenfalls in dem Umfang, in dem Risiken aus Rechtsverletzungen bestandsgefährdende Ausmaße annehmen, werden sie durch § 91 Abs. 2 AktG (analog) erfasst.144 Für die Steuerung der sonstigen (nicht bestandsgefährdenden) Compliance-Risiken bestehen zahlreiche Parallelen zum allgemeinen Risikomanagement, da sich auch für Compliance-Risiken die systematische Identifizierung sowie Analyse und Bewertung mit anschließender Einleitung risikosteuernder Maßnahmen empfiehlt.145 Dabei sind allerdings die Besonderheiten von Compliance-Risiken zu beachten.
aa) Besonderheiten von Compliance-Risiken
41
Bei der Steuerung von Compliance-Risiken geht es stets um den Umgang mit menschlichem (Fehl-)Verhalten, welches einer juristischen Bewertung bedarf. Die rechtliche Bewertung durch Gerichte und Behörden ist ein dynamischer Prozess und in unterschiedlichen Rechtsordnungen unterschiedlich ausgeprägt – eine rein rechnerische Betrachtung von Compliance-Risiken erscheint daher nicht angebracht.146
42
Eine weitere Besonderheit von Compliance-Risiken folgt ferner aus dem dargelegten Verständnis von Compliance Management als Organisationspflicht zur systematischen Prävention regelwidrigen Verhaltens. Denn bei Compliance-Verstößen steht regelmäßig der Vorwurf fehlender bzw. unzureichender präventiver Maßnahmen im Mittelpunkt.147 Dieses Risiko unzureichender Unternehmensorganisation ist aufgrund des oben dargestellten dynamischen rechtlichen Umfelds hoch, die sog. Legalitätspflicht der Geschäftsleiter hat sich zu einer umfassenden Legalitätskontrollpflicht entwickelt.148 Diese Legalitätskontrollpflicht schließt die Verantwortung für das rechtmäßige Verhalten der Unternehmensangehörigen ein.149 Zu den besonderen Merkmalen von „Non-Compliance“-Fällen zählen ferner besondere Image- und Reputationsrisiken, ihre Vermeidung bzw. Minimierung steht oft im Mittelpunkt von Compliance-Maßnahmen.150
43
Eine wesentliche Besonderheit von Compliance-Risiken und Compliance Management besteht zudem darin, dass der staatliche Rechtsdurchsetzungsanspruch grundsätzlich keine wirtschaftliche Risikoabwägung kennt151 – sog. „nützliche Pflichtverletzungen“ werden rechtlich nicht toleriert und sind regelmäßig Compliance-Verstöße.152 Wie das oben erwähnte Urteil des Landgerichts München bestätigt hat, können insbesondere regionale Geschäftsgepflogenheiten in anderen Ländern in keinem Fall Bestechungshandlungen rechtfertigen.153 Die Leitgedanken dieser Entscheidung – Organisationspflicht zur Vermeidung von Rechtsverstößen in Abhängigkeit von dem jeweiligen Compliance-Risikoprofil – lassen sich grundsätzlich auf alle Unternehmen und Verbände übertragen.154 Es empfiehlt sich daher, auf Basis der vielfältigen Organisationsanforderungen der Rechtsordnung155 eine unternehmensspezifische Risikoinventur als Ausgangspunkt für das Compliance Management zu wählen (siehe unter 57ff.) und dabei die Besonderheiten von Compliance-Risiken zu beachten.156
bb) Berücksichtigung integrativer Perspektiven (Beispiel