Haftung bei allen Organmitgliedern gemeinsam (Grundsatz der Allzuständigkeit jedes einzelnen Organmitglieds). Jeder einzelne ist dann folglich umfassend aufsichtspflichtig.
Je nach konkreter Betriebsorganisation besteht darüber hinaus ein nicht unerhebliches Haftungsrisiko für leitende Angestellte nach § 9 Abs. 2 OWiG, sofern sie mit der eigenverantwortlichen und selbständigen Wahrnehmung von Aufgaben des Betriebsinhabers betraut sind. Ungeklärte Zuständigkeiten führen dabei nicht zu Enthaftungseffekten, sondern – ganz im Gegenteil – zu Haftungsvervielfachungen, wie sie aus dem Modell der Allzuständigkeit in der Krise bekannt sind.
Zwar ist die Geschäftsleitung nicht verpflichtet und auch gar nicht imstande, höchstpersönlich die unmittelbar notwendigen Maßnahmen zu ergreifen, mittelbar muss sie aber ein hierarchisches System etablieren, durch welches rechtmäßiges Handeln sichergestellt wird. Konkreter bedeutet es die Erfüllung der Grundsätze sorgfältiger Personalauswahl, Organisation und Überwachung. Sie hat darauf zu achten, dass die ihr direkt unterstellte Leitungsebene entweder selbst die beschriebenen Anforderungen erfüllt oder ihrerseits durch nachgeordnete Hierarchieebenen erfüllen lässt. Das System muss also jedenfalls in seiner Wirkweise Straftaten und Ordnungswidrigkeiten vermeiden, wobei Kenntnisdefizite nicht entlasten. Falls notwendige Aufsichtsmaßnahmen nicht oder lediglich unzureichend erfolgen, entsteht eine hierarchisch gestaffelte Verletzungskette von Aufsichtspflichten, die letztlich zu einem Pflichtenverstoß und damit zur Geschäftsleitungshaftung nach §§ 130 Abs. 1, 9 Abs. 1 Nr. 1 OWiG führt.
Alle Straftaten und Ordnungswidrigkeiten können Bezugstaten i. S. d. § 130 OWiG bilden. Als Folge drohen hier nach § 130 Abs. 3 S. 1 OWiG Individualgeldbußen für Täter und Teilnehmer von bis zu einer Million Euro, wobei nach § 130 Abs. 3 S. 2, 3 OWiG rechnerisch sogar noch höhere Summen möglich sind.
Zugleich ist auch die Gesellschaft als juristische Person möglicher Adressat von Bußgeldbescheiden nach § 30 OWiG. Als tatbestandlich vorausgesetzte, betriebsbezogene Bezugstaten kommen wiederum die genannten sanktionsbewehrten Verstöße, nun einschließlich § 130 OWiG, in Betracht. Nach § 30 Abs. 2 Nr. 1 OWiG drohen bereits bis zu 10 Millionen Euro Bußgeld, welches wiederum nach § 30 Abs. 2 S. 2, 3 OWiG rechnerisch höher liegen kann. Obendrein ist durch die Verweisung von § 30 Abs. 3 OWiG auf § 17 Abs. 4 OWiG die um ein Vielfaches höhere und insbesondere von süddeutschen Staatsanwaltschaften gerade in der jüngeren Vergangenheit mehrfach in Anspruch genommene Abschöpfungsmöglichkeit zu beachten.
2.1.2 Zivilrechtliche Haftungsrisiken
Haftung im Innenverhältnis gegenüber der Gesellschaft
Zivilrechtliche Haftungsrisiken bestehen auf Leitungsebene beispielsweise nach § 93 Abs. 2 S. 1 AktG oder § 43 Abs. 2 GmbHG, wenn ein Vorstand oder Geschäftsführer seine Sorgfalts- oder Treuepflichten verletzt und der Gesellschaft daraus Schäden erwachsen. Insbesondere trifft die Unternehmensleitung die Pflicht, ausschließlich im Interesse der Gesellschaft zu handeln und sie vor Schäden zu bewahren.
Bei der Wahrnehmung der Pflichten kommt ihr nach den Maßstäben der »Business Judgement Rule« aus § 93 Abs. 1 S. 2 AktG (ggf. analog) ein unternehmerischer Ermessensspielraum zu. Hiernach sind auf der Basis einer ex-ante Betrachtung vernünftige unternehmerische Entscheidungen auf der Grundlage angemessener Informationen zum Wohle der Gesellschaft zu treffen. Dies findet seine Grenze im Legalitätsprinzip als der Kardinalpflicht zu rechtmäßigem Handeln, denn für illegales Verhalten darf es auch im Unternehmen keinen »sicheren Hafen« geben.
Ein eindrucksvolles Beispiel aus jüngerer Vergangenheit für die Bedeutung gesetzestreuen Vorstandsverhaltens bildet das Siemens/Neubürger-Urteil des Landgerichts (LG) München I mit der Verurteilung des ehemaligen Finanzvorstands zu 15 Millionen Euro Schadenersatz wegen Verletzung von Aufsichtspflichten. Laut LG München I muss ein Vorstandsmitglied in der Weise für eine Organisation und Beaufsichtigung im Unternehmen sorgen, dass Gesetzesverletzungen unterbleiben. Erforderlich sind daher Prävention und Ahndung inklusive Abstellung von Verstößen, mithin ein komplett funktionsfähiges CMS. Insbesondere folgt hieraus die Verpflichtung jedes einzelnen Vorstandsmitglieds zu ausreichenden Maßnahmen zur Aufklärung, Untersuchung und Unterbindung von zur Kenntnis gebrachten Gesetzesverletzungen. Die aus gesellschaftsrechtlichen Pflichtverletzungen entstehenden Schäden muss der Vorstand der Gesellschaft erstatten; D&O-Versicherungen greifen aufgrund Vorsatzausschlusses nicht.
Neben die sanktionenrechtliche tritt daher die persönliche zivilrechtliche Haftung von Leitungsorganen. Insbesondere haften sie gegenüber ihrer Gesellschaft für Schäden aus schuldhaften Sorgfaltspflichtverstößen in unbegrenzter Höhe. Die Pflichtverletzungen können aus Verstößen gegen das Legalitätsprinzip und gegen weitere Compliance-Pflichten, insbesondere Aufklärung und Untersuchung, Abstellung und Ahndung von Verstößen, resultieren. Die Schadensbemessung und damit auch die Ersatzpflicht des Geschäftsleitungsmitglieds richtet sich nach den allgemeinen zivilrechtlichen Grundsätzen aus §§ 249 ff. BGB. Für den Schadensumfang werden zwei Vermögenslagen verglichen: die tatsächliche Situation und die fiktive Lage ohne das als schädigend identifizierte Ereignis. Hierbei ergeben sich leicht Millionensummen, weil auch sämtliche Schadensermittlungs- und Feststellungskosten (auch Berater- und Rechtsanwaltskosten) zum ersatzfähigen Schaden gehören.
Da es parallel zum Strafrecht zur Gefahrenabwehr verpflichtende zivilrechtliche Garantenstellungen kraft Verantwortungsübernahme gibt, können auch Compliance-Verantwortliche haftbar sein. Unabhängig von Personen und Verantwortungsebenen kann nämlich jeder Regel- und damit Compliance-Verstoß zur Haftung des Unternehmens führen. Also droht jedem Compliance-Verantwortlichen aufgrund Überwachungs- oder Meldeversagens der freilich arbeitsrechtlich beschränkte Innenregress.
Haftung gegenüber Dritten
Zivilrechtlich haften Unternehmen, Gesellschafter und Leitungsorgane je nach Rechtsform im Außenverhältnis vertraglich und deliktisch beschränkt oder unbeschränkt. Bei Compliance-Verantwortlichen entsprechen sich die Grundlagen strafrechtlicher Verantwortlichkeit und deliktischer Außenhaftung aufgrund wiederum paralleler Garantenpflichten. Dabei können externe Geschädigte Compliance-Verantwortliche in Abhängigkeit von deren Verantwortungsbereich und -spielraum im Wege deliktischer Durchgriffshaftung insbesondere auf Schadensersatz in Anspruch nehmen. Ein vertragliche Außenhaftung scheidet hingegen regelmäßig aus, weil Arbeitsverträge üblicherweise keinen Drittschutzcharakter besitzen.
2.2 Reduzierung von Haftungsrisiken durch ein wirksames CMS
In einer großen Organisation hat ein Vorstand, Geschäftsführer oder auch Compliance Manager nicht die Chance, jeden denkbaren Rechtsverstoß persönlich zu verhindern. Was er jedoch tun kann und sollte, ist ein wirksames CMS einzurichten und zu betreiben. Aus Rechtsprechung und Verwaltung ergeben sich Hinweise zur haftungsreduzierenden Wirkung eines funktionsfähigen CMS.
Die Formulierungen in den Leitsätzen des o. g. Siemens/Neubürger-Urteils aus dem Jahr 2013 lassen den Rückschluss zu, dass das Urteil anders ausgefallen wäre, wenn der Beklagte eigene belastbare Überprüfungen der Funktionsfähigkeit des CMS hätte nachweisen können.
Im Mai 2016 hat das Bundesministerium der Finanzen mit Rundschreiben den Anwendungserlass zu § 153 AO geändert. Hintergrund ist die Unterscheidung zwischen der Berichtigung der Steuererklärung nach § 153 AO und der strafbefreienden Selbstanzeige nach § 371 AO. In dem Rundschreiben heißt es:
»Hat der Steuerpflichtige ein innerbetriebliches Kontrollsystem eingerichtet, das der Erfüllung der steuerlichen Pflichten dient, kann dies ggf. ein Indiz darstellen, das gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit sprechen kann, jedoch befreit dies nicht von einer Prüfung des jeweiligen Einzelfalls.«
Damit umreißt auch die Finanzverwaltung ihre Erwartungen an Einrichtung und Wirksamkeit eines CMS in dem Fall eines Tax CMS, und lässt erkennen, dass sich der Nachweis eines funktionierenden Tax CMS bei einem (dennoch auftretenden) steuerlichen Rechtsverstoß strafmindernd auf die gesetzlichen Vertreter auswirkt.
Im Mai 2017 hat der BGH in einem steuerstrafrechtlichen Revisionsverfahren ausdrücklich hervorgehoben, dass bei der Strafzumessung nach § 30