für die Konzeption und Weiterentwicklung von Maßnahmen des Compliance-Risiko-Managements kann die Berücksichtigung ganzheitlicher bzw. integrativer Perspektiven sein. So wurde in der Betriebswirtschaftslehre ein integrierter Managementansatz von Governance, Risk und Compliance (sog. GRC-Ansatz) entwickelt.157 Wenngleich nicht alle Unternehmen über eigenständige Kontroll-, Risikomanagement- und Compliance-Funktionen verfügen, erscheint es sinnvoll, über die wirkungsvolle Verknüpfung der durch diese Funktionen institutionalisierten Prozesse nachzudenken. So sollen nach dem Model der „Three-Lines-of-Defense“158 in erster Linie bei den operativen Unternehmenseinheiten adressiert, in zweiter Linie durch das Risikomanagement und die Compliance Funktion und in dritter Linie durch die interne Revision verhindert bzw. gesteuert werden.159 Daraus lässt sich die Notwendigkeit eines differenzierten und abgestuften Prozesses für die Steuerung von Compliance-Risiken ableiten und insbesondere die Notwendigkeit einer Einbettung des Compliance-Risikomanagements in die relevanten Geschäftsprozesse.160
c) Anforderungen an Aufsichts- und Überwachungsmaßnahmen
45
Auch aus dem Gesetz über Ordnungswidrigkeiten, insbesondere aus § 130 OWiG, lassen sich allgemeine Anforderungen für das Compliance Management ableiten.161 Die Vorschrift gilt rechtsformübergreifend für alle Verbände.162 Nach § 130 OWiG handelt ordnungswidrig, wer als Inhaber eines Betriebs oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist. Der Normadressat hat seine Aufsichtspflichten dabei so zu erfüllen, dass grundsätzlich sämtliche betriebsbezogene Pflichten eingehalten werden.163 Die Gerichte haben in langjähriger Entscheidungspraxis die relevanten Pflichten nach § 130 OWiG konkretisiert.164 Daraus folgt zwar bislang keine ausdrückliche Verpflichtung zu einer bestimmten Compliance-Organisation, wohl aber ergeben sich konkrete Anforderungen an die Erfüllung der geforderten Aufsichtspflichten, etwa hinsichtlich der sorgfältigen Auswahl und Bestellung von Aufsichtspersonen, ihrer Instruktion und Überwachung sowie hinsichtlich der Untersuchung, Aufklärung und Sanktionierung von Verstößen.165 In den Regelungen zur Haftung des Aufsichtspflichtigen (§§ 130, 9 OWiG) und zur Haftung des Unternehmens bei Fehlverhalten von Aufsichtspflichten (§§ 30, 130, 9 OWiG) wird daher eine zentrale Rechtsgrundlage für Compliance gesehen.166
d) Vorgaben der Unternehmensorganisationspflichten und Garantenpflichten
46
Eine weitere Quelle für die Konkretisierung der Compliance-Pflicht ist die Rechtsprechung zu den sog. Unternehmensorganisationspflichten. Die Gerichte haben auf der Basis deliktsrechtlicher Verkehrssicherungs- und Organisationspflichten sowie strafrechtlicher Garantenpflichten167 umfangreiche Anforderungen entwickelt, für deren Verletzung die Unternehmen (sowie unter bestimmten Umständen auch die Geschäftsleiter persönlich) haften.168 In einer umfangreichen Kasuistik wurden zahlreiche Organisationspflichten statuiert: Hierzu zählen u.a. Pflichten zu ordnungsgemäßer Betriebsorganisation, Informationsversorgung, Risikosteuerung, Delegation, Instruktion, Überwachung und Kontrolle sowie Dokumentation.169
e) Beispiele von Leitfäden anderer Rechtsordnungen
47
Für international tätige Unternehmen können sich weitere Anforderungen und Vorgaben für erforderliche Compliance-Maßnahmen auch aus anderen Rechtsordnungen ergeben.170 Grenzüberschreitende Geschäftstätigkeit führt insofern zu einer Risiko- und Komplexitätserhöhung in Bezug auf das Compliance Management. So sind häufig besondere Vorgaben zu beachten, etwa beim Export von Gütern171 oder bei jeder Übermittlung personenbezogener Daten.172 Ein zusätzliches Risiko ist die extraterritoriale Geltung ausländischer Gesetze für inländische Unternehmen, die schon bei einer geringfügigen Geschäftsverbindung mit einer anderen Rechtsordnung eintreten kann.173
aa) UK Bribery Act (Vereinigtes Königreich)
48
Ein Beispiel bietet der UK Bribery Act,174 dessen Strafandrohung für Korruptionsdelikte sich auf alle Unternehmen erstreckt, die im Vereinigten Königreich geschäftstätig sind.175 Erfasst werden durch seinen weiten Anwendungsbereich auch zahlreiche deutsche Unternehmen mit relevanter Geschäftsbeziehung. Allerdings zeigt das Beispiel des britischen Korruptionsstrafgesetzes, dass Unternehmen und Verbände auch bestimmten Leitlinien und Empfehlungen der Behörden für die Ausgestaltung ihrer Compliance-Maßnahmen nutzen können. So können die betroffenen Unternehmen einer Sanktion nach dem UK Bribery Act dann entgehen, wenn sie die Umsetzung angemessener Vorkehrungen (adequate procedures) zur Korruptionsverhinderung nachweisen.176 Als angemessene Maßnahmen gelten nach der „Guidance“ des „Ministry of Justice“177 ein eindeutiges Bekenntnis der Unternehmensleitung zur Korruptionsbekämpfung, die unternehmensweite Einführung von Antikorruptionsmaßnahmen, effektive Risikomanagement-Prozesse sowie die fortlaufende Prüfung des Korruptionsrisikos.178
bb) Leitfaden des Department of Justice (USA)
49
Eine weitere nützliche Orientierungshilfe für die Ausgestaltung des Compliance Managements bietet der Leitfaden des US-amerikanischen Justizministeriums (US DOJ) zur Bewertung von Compliance-Programmen (Evaluation of Corporate Compliance Programs), der 2019 in zweiter Auflage veröffentlicht wurde.179 In den USA gibt es diverse Leitfäden und Empfehlungen zur Evaluierung von Compliance-Maßnahmen; Compliance-Maßnahmen werden von den Behörden bei Regelverstößen regelmäßig im Rahmen der Strafzumessung berücksichtigt.180 Voraussetzung für eine Sanktionsmilderung ist allerdings stets die Wirksamkeit („effectiveness“) der implementierten Compliance-Strukturen und Maßnahmen.181 Hinsichtlich der Konkretisierung dieses Wirksamkeitserfordernisses legt der Leitfaden des US-amerikanischen Justizministeriums dabei unter anderem fest, nach welchen Maßstäben vorhandene Compliance-Maßnahmen berücksichtigt werden können.182 Danach ist anhand von drei zentralen Kernfragen die Wirksamkeit („effectiveness“)183 der Compliance-Maßnahmen (sowohl zum Zeitpunkt der Tat als auch zum Zeitpunkt der Sanktionierung) zu bewerten.184 So ist erstens prüfen, ob das Compliance-System gut konzipiert ist185 und zweitens, ob es auch ernsthaft und in gutem Glauben umgesetzt wurde. Drittens ist zu prüfen, ob das Compliance-System auch tatsächlich in der Praxis funktioniert.186 Zur Beantwortung dieser drei Kernfragen zählt der Leitfaden zentrale Elemente eines wirksamen Compliance-Systems sowie jeweils weitere Detailfragen zu diesen Elementen auf, die für die Bewertung relevant sind.187 Diese Kriterien und Leitfragen sind teilweise etwas redundant, im Hinblick auf die relevanten Maßnahmen aber sehr detailliert formuliert. Das gilt insbesondere für die mit den einzelnen Wirksamkeitsanforderungen verknüpften Umsetzungsprozesse im Unternehmen: So ist in Bezug auf das Compliance-Risikomanagement nach den verwendeten Ressourcen, Methoden und Aktualisierungszyklen zu fragen. Bei der Prüfung der Compliance-Kultur ist das Verhalten der Geschäftsleitung ebenso zu eruieren wie das des oberen und mittleren Managements. Hinsichtlich der Wirksamkeit der Compliance-Abteilung spielen ihr Status, ihre Autonomie und ihre Ausstattung eine wichtige Rolle, auch die Qualifikation der Compliance Officer wird überprüft. Betont werden ferner eine Integration von Know-how aus anderen Unternehmensbereichen sowie das Erfordernis kontinuierlicher Weiterentwicklung und Neubewertung der Compliance-Maßnahmen.188 Unabhängig von seiner Anwendbarkeit auf deutsche Unternehmen bietet der Leitfaden daher eine Fundgrube für die Optimierung des Compliance Managements.189
f) Compliance-Standards als Orientierungshilfe (Beispiel IDW PS 980)
50
Compliance steht zudem seit geraumer Zeit auch im Blickfeld diverser Organisationen und Verbände, die Standards und Leitlinien zu Compliance bzw. zu Compliance-Management-Systemen