Schadensprävention und Risikokontrolle durch Compliance Management Systeme

Inhaltsverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Zielsetzung
1.3 Vorgehensweise

2 Grundlagen
2.1 Gesetzliche Vorgaben
2.2 Ziele von Compliance
2.3 Urteil zur BSR - Az. 5 StR 394/08

3 Umsetzungsmöglichkeiten in Unternehmen

4 Fazit

Literaturverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Problemstellung

Die Überwachung und Kontrolle zur Einhaltung der Regelkonformität und Gesetzestreue im Sinne der Compliance stellt Unternehmen vor immer größer werdende Herausforderungen. Bereits Großkonzerne wie Siemens, Telekom, Volkswagen und Daimler erlangten durch Compliance-Verstöße in Form von Bestechungsskandalen, Kartellbildungen und illegalen Preisabsprachen, internationale Aufmerksamkeit (Vgl. Kalbhenn, Handelsblatt, 2012, o.S.). Dabei betrifft die Thematik gleichermaßen auch mittelständische Unternehmen sowie Einrichtungen des öffentlichen Rechts, wie die im Jahr 2009 wegen Betrugsvorwürfen in die Schlagzeilen geratene Berliner Stadtreinigung (Vgl. Buermeyer, hrr-Strafrecht, 2009, o.S.). Neben bleibenden Reputationsschäden können Compliance- Verstöße mitunter weitreichende Rechtsfolgen nach sich ziehen und sowohl auf zivil- als auch auf strafrechtlicher Ebene verfolgt und belangt werden. Die zunehmende Digitalisierung und Ubiquität bietet Unternehmen nicht nur Vorteile, sondern verlangt auch die Berücksichtigung einer Vielzahl neueinzuhaltender Gesetze, Verordnungen sowie Gefahren im Bereich der Wirtschaftskriminalität. Eine erste Abhilfe zur Überwachung unternehmensinterner Regelwerke sowie zur Einhaltung der Legalitätspflicht im Hinblick auf externe Gesetzgebungen sowie Rechtsprechungen bieten Compliance Management Systeme.

1.2 Zielsetzung

Im Kontext zur beschriebenen Problemstellung sollen neben den gesetzlichen Grundlagen zum Thema Compliance, auch die Ziele sowie eine mögliche Umsetzung eines Compliance-Systems unter Einbeziehung des Urteils des Bundesgerichtshofs vom 17. Juli 2009 (Az. 5 StR 394/08, Entscheidungsname: Berliner Stadtreinigung) in einem Unternehmen dargestellt werden.

1.3 Vorgehensweise

Um die in der Zielsetzung beschriebenen Aufgabenstellungen zu erreichen, wird der Autor im Folgenden die gesetzlichen Grundlagen sowie Ziele eines Compliance-Systems erläutern.

Darauf aufbauend wird das Urteil des Bundesgerichthofs vom 17.07.2009 (Az. 5 StR 394/08) analysiert, beschrieben sowie eine mögliche Umsetzung in einem Unternehmen in Anlehnung an das Urteil dargestellt.

2 Grundlagen

2.1 Gesetzliche Vorgaben

Die gesetzlichen Grundlagen zur Sicherstellung der Compliance umfassen sowohl nationale als auch internationale Gesetzgebungen und Rechtsprechungen. In Deutschland gelten in Abhängigkeit der gültigen Rechtsform des Unternehmens sowie der Branchenausrichtung, unterschiedliche Gesetzesgrundlagen sowie einzuhaltende Verpflichtungen. Im Rahmen des 1998 in Kraft getretenen Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), wurde erstmals die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern erweitert sowie Bestimmungen zur Einführung von Risikofrüherkennungssystemen getroffen (Vgl. Wagner, 2017, S. 1). Durch § 91 Abs. 2 Aktiengesetz (AktG) werden Aktiengesellschaften sowie Unternehmen, welche unter die Ausstrahlungswirkung fallen, dazu verpflichtet, entsprechende Systeme sowie Maßnahmen zur Aufdeckung von unternehmensgefährdenden Entwicklungen einzuführen. Darüber hinaus werden Vorstandsmitglieder nach § 93 AktG dazu verpflichtet, unternehmerische Entscheidungen stets zum Wohle der Gesellschaft zu treffen sowie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Durch § 130 des Ordnungswidrigkeitsgesetzes (OWiG) handeln Inhaber eines Unternehmens durch vorsätzliche oder fahrlässige Unterlassung von Aufsichtsmaßnahmen zur Verhinderung von Pflichtverstößen ordnungswidrig und können mit Bußgeldern belangt werden (Vgl. Gramespacher, dejure, 2013, o.S.). Des Weiteren sind Institutionen welche unter § 25a des Kreditwesengesetzes (KWG) fallen, durch die Geschäftsführer zu einer ordnungsgemäßen Geschäftsorganisation sowie zur Beachtung geltender gesetzlicher Bestimmung verpflichtet. Durch den Deutschen Corporate Governance Kodex (DCGK) werden börsennotierte Unternehmen nach § 161 AktG zur Abgabe und Veröffentlichung einer Entsprechenserklärung über die Einhaltung definierter Richtlinien verpflichtet. Nach dem Urteil vom 17.07.2009 (Az. 5 StR 394/08) hat der Bundesgerichtshof (BGH) entschieden, dass Compliance Beauftragte strafrechtlich zur Verantwortung gezogen werden können, wenn diese im Rah- men ihres Aufgabengebietes nach § 13 Abs. 1 Strafgesetzbuch (StGB) eine Garantenpflicht treffe und sie somit Straftaten die aus dem Unternehmen heraus begangen werden, zu verhindern haben (Vgl. Buermeyer, hrr-Strafrecht, 2009, o.S.). Des Weiteren wurde erstmalig durch die Rechtsprechung des Landesgericht (LG) München I vom 10.12.2013 (5 HK O 1387/10) ein Vorstandsmitglied aufgrund eines unzureichend implementierten Compliance-System zur Schadensersatzzahlung verpflichtet (Vgl. Mayer, fgvw, 2014, o.S.). Ausgehend des Urteils ist sowohl der Gesamtvorstand einer AG, als auch die Geschäftsführung einer GmbH, zur Einrichtung und fortlaufenden Überprüfung eines effizienten Compliance-Systems verpflichtet. Durch die Rechtsprechung des BGH vom 09.05.2017 (1 StR 265/16) wurde erstmalig eine Strafminderung durch ein effizientes Compliance-System anerkannt. Die zur Einhaltung der gesetzlichen Bestimmungen oftmals notwendigen Compliance Management Systeme (CMS), unterliegen in ihrem Aufbau keinen gesetzlichen Vorgaben, sondern orientieren sich oftmals an etablierten Standards und Normen. Hierzu zählt insbesondere der Prüfungsstandard für Compliance Management Systeme (PS 980) vom Institut der Wirtschaftsprüfer (IDW), sowie die Industrienorm 19600. Neben den national geltenden Bestimmungen müssen Unternehmen mit ausländische Geschäftsbeziehungen und Niederlassungen, auch international geltendes Recht berücksichtigen. Hierzu zählen unter anderem der UK Bribery Act, welcher unterschiedliche Bestechungstatbestände unter Strafe stellt, das amerikanische Anti-Korruptionsgesetz - Foreign Corrupt Practices Act (FCPA), die Financial Action Task Force on Money Laundering (FATF) zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung sowie die dritte, vierte und fünfte EU-Geldwäscherichtlinie.

2.2 Ziele von Compliance

Die grundlegenden Ziele von Compliance umfassen neben der Einhaltung externer Rechtsprechungen, Gesetze und Verordnungen auch die Berücksichtigung und kontinuierliche Überprüfung unternehmensinterner Richtlinien und Kodizes (Vgl. Wecker & Ohl, 2013, S. 4). Aufgrund des gesetzes- und regelkonformen Verhalten können sowohl zivil- als auch strafrechtliche Risiken reduziert und abgewehrt werden. Darüber hinaus kann durch die Einführung eines unternehmensweiten Compliance-Systems die Einhaltung geltender Gesetze und Bestimmungen über mehrere Standorte hinweg sichergestellt werden. Durch die fortlaufende Überwachung und Kontrolle können Risiken reduziert sowie Schadensersatzansprüche und die daraus oftmals entstehenden Reputationsschäden im innen- und Außenverhältnis minimiert sowie gänzlich vermieden werden. Im Innenverhältnis können Unternehmen durch definierte Verhaltensregeln und Kodizes ein ethisch und moralisch einwandfreies Verhalten der Mitarbeiter und Führungskräfte fördern und dieses regelmäßig überprüfen. Ebenfalls kann durch die Offenlegung interner Richtlinien die Transparenz gegenüber internen und externen Teilhabern und Geschäftspartnern sichergestellt werden. Nach Kreipl (2020) unterstützt Compliance sowohl bei der Aufklärung krimineller Aktivitäten, dem Eindämmen von Risiken sowie bei der Prävention von Schä­den und Straftaten (Vgl. Kreipl, 2020, S. 133).

2.3 Urteil zur BSR - Az. 5 StR 394/08

Im Rahmen des vom BGH gesprochenen Urteils vom 17.07.2009 (Az. 5 StR 394/08) wurde entschieden, dass Aufgabenträgern welche nach § 13 Abs. 1 StGB eine Garantenpflicht treffe, Straftaten die innerhalb des Unternehmens begangen werden, zu verhindern haben (Vgl. Hensche, Hensche, 2016, o.S.). Somit kann ein Compliance-Officer, welcher Straftaten aus dem eigenen Unternehmen nicht unterbindet, strafrechtlich zur Verantwortung gezogen werden. Im Falle der Berliner Stadtreinigung (BSR) war der Angeklagte Leiter der Rechtsabteilung, des Stabsbereich Gremienbetreuung sowie der Innenrevision (Vgl. Buermeyer, hrr-Strafrecht, 2009, S.1). Bei der Tarifkalkulation für die anfallenden Aufwände, welche größtenteils durch die Anlieger getragen werden, wurde den Anliegern infolge eines Versehens, zu hohe Kosten berechnet. Hierbei war der Angeklagte Leiter der Projektgruppe und war sich dem Berechnungsfehler bewusst. In der folgenden Tarifperiode sollte der Berechnungsfehler entsprechend korrigiert werden, dies wurde auf Anweisung eines früheren Mitangeklagten, welcher als Vorstandsvorsitzender fungierte, nicht durchgeführt. Der Angeklagte berichtete das Fehlverhalten sowie die fehlerhafte Aufwandskalkulation in der Folgezeit weder an ein weiteres Vorstandsmitglied, noch an den Aufsichtsrat. Durch die Verabschiedung des Tarifes wurden den Anliegern ein Mehraufwand in Höhe von 23 Millionen Euro berechnet (Vgl. Buermeyer, hrr-Strafrecht, 2009, S.2). Der Angeklagte war durch § 13 Abs. 1 StGB verpflichtet, den von ihm frühzeitig erkannten Fehler pflichtgemäß zu beanstanden. Infolge seiner übernommenen Aufgabenbereiche sowie Positionen innerhalb der BSR, wäre der Angeklagte im Rahmen seiner Garantenstellung dafür verantwortlich gewesen, den Einritt des tatbestandlichen Erfolgs der zu hohen Aufwandsberechnung zu unterbinden. Durch das pflichtwidrige Unterlassen, die betrügerische Handlung des Vorstandsvorsitzenden entsprechend zu unterbinden, hat sich der Angeklagte hierbei zur Beihilfe zum Betrug durch Unterlassen nach § 27 Abs. 1 StGB strafbar gemacht (Vgl. Buermeyer, hrr-Strafrecht, 2009, S.6) .

3 Umsetzungsmöglichkeiten in Unternehmen

Aufgrund der unterschiedlichen Anforderungen die an ein Compliance-System ausgehend der Unternehmensgröße, Tätigkeitsschwerpunkt sowie gültigen Rechtsform gestellt werden, sollte zur Implementierung stets eine individuelle und kontextabhängige Anforderungsanalyse stattfinden. Zum inhaltlichem Aufbau und Ausgestaltung des Systems bestehen keine gesetzlichen Vorgaben, jedoch gibt es Normen, Standards und Empfehlungen, welche wesentliche Kernelemente und Anforderungen beschreiben. Hierbei ist auf das Urteil des LG München I (5 HK O 1387/10) zu verweisen, wonach der Gesamtvorstand einer AG sowie die Geschäftsführung einer GmbH, zur Einrichtung und fortlaufenden Überprüfung eines effizienten Compliance-Systems verpflichtet sind (Vgl. Mayer, fgvw, 2014, o.S.). Nach Schettgen-Sarcher et al. (2014) gilt es während des Implementierungsprozesses darauf zu achten, rechtliche Regelungen, betriebswirtschaftliche Prozesse, psychologische Strukturen sowie ethische Moral- und Wertvorstellungen gleichermaßen zu berücksichtigen (Vgl. Schettgen-Sarcher et al., 2014, S. 13). Zwar wird durch die Richtlinien des DCGK das Themenfeld Compliance als Leitungsaufgabe deklariert und damit der Geschäftsleitung / dem Gesamtvorstand unterstellt, ein regel- sowie gesetzeskonformes Verhalten sollte jedoch als grundlegende Moral im gesamten Unternehmen und durch alle Hierarchieebenen hinweg etabliert werden. Zielführend ist somit eine vollumfängliche Integrierung in bestehende Unternehmensstrukturen und Prozesse. Wie bereits unter Kapitel 2: Grundlagen - Punkt 2.1 Gesetzliche Vorgaben beschrieben, gelten in Abhängigkeit verschiedener Faktoren individuell zu berücksichtigende Gesetze, Rechtsprechungen und Verordnungen. Aus diesem Kontext lässt sich schließen, dass der erste Schritt in der Analyse der rechtlichen Rahmenbedingungen liegen sollte. Zu erwähnen ist hierbei, dass bei Niederlassungen oder Geschäftsbeziehungen ins Ausland auch international geltendes Recht, wie der FCPA oder UK Bribery Act zu berücksichtigen sind. Auf Grundlage der Analyse können die zu beachtenden Gesetze und Risikofelder bestimmt, sowie potenzielle Regelverstöße und deren Schadensausmaße geprüft werden. Die ermittelten Faktoren dienen als Ausgangsbasis für die Festlegung von Regelwerken und Verhaltensabläufen bei Verstößen sowie zur Identifizierung von Verantwortlichkeiten. In diesem Rahmen sollte nach Quentmeier (2012) ein unternehmensweiter Verhaltenskodex (Code of Conduct) erarbeitet und veröffentlicht werden (Vgl. Quentmeier, 2012, S. 21). Mithilfe dessen kann sowohl gegenüber externen Teilhabern, als auch gegenüber der eigenen Belegschaft die notwendige Pflichtverschreibung zur Regel- und Gesetzeskonformität kommuniziert werden. Darauf aufbauend sind nach Kreipl (2020) die erforderlichen Schritte zur Risikominimierung innerhalb bestehender Prozessabläufe zu ermitteln (Vgl. Kreipl, 2020, S. 155). Nach Festlegung der Verhaltensabläufe, Anpassung bestehender Unternehmensprozesse sowie Veröffentlichung des Code of Conduct, ist ein Aufgabenträger zur Sicherstellung der Compliance zu ernennen. Diesbezüglich ist nach Auffassung des LG München I im Rahmen der Rechtsprechung vom 10.12.13 (5 HKO 1387/10) festgehalten worden, dass bei einer besonderen Gefährdungslage sowie entsprechender Unternehmensgröße eine klare organisatorische Zuordnung der Compliance- Verantwortlichkeit durchzuführen ist (Vgl. Mayer, fgvw, 2014, o.S.). Besonders in mittelständischen Unternehmen ist das Aufgabengebiet Compliance oftmals der Rechtsabteilung, Innenrevision, Controlling oder IT-Abteilung unterstellt. In diesem Kontext ist auf das Urteil des BGH vom 17.07.2009 (Az. 5 StR 394/08) zu verweisen, bei dem der Leiter der Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen, zu einer Geldstrafe verurteilt worden ist. Durch die Übernahme eines definierten Aufgabenbereiches kann dem jeweiligen Aufgabenträger nach § 13 Abs.1 StGB eine Garantenpflicht treffen, wodurch er Rechtsverstöße die aus dem Unternehmen heraus begangen werden, zu verhindern hat. Hierzu ist ausschlaggebend, ob der Verantwortungsbereich des Compliance-Beauftragten lediglich darin liegt, gegen das Unternehmen gerichtete Rechtsverstöße aufzudecken und zu verhindern, oder auch vom Unternehmen ausgehende Rechtsverstöße zu unterbinden (Vgl. Buermeyer, hrr-Strafrecht, 2009, S.1). Insofern ist durch die Unternehmensleitung im Vorfeld zu prüfen, welche Tätigkeiten und Aufgabenbereiche durch den Compliance-Beauftragten erfüllt werden sollen. Durch die Übergabe von Obhutspflichten an einen Compliance-Beauftragten sind Geschäftsführer sowie Vorstandsmitglieder in der Lage, ihr persönliches Haftungsrisiko zu senken (Vgl. Georgi, 2015, o.S.). Durch diesen Umstand und der immer größer werdenden Relevanz von Compliance, sollte das Aufgabengebiet nur an entsprechend qualifiziertes Fachpersonal delegiert werden. In Anbetracht der gesetzlichen Verpflichtung zur Einführung eines effizienten CMS, sollte im Anschluss der Konzeptionierung ein Audit durchgeführt werden. In diesem Rahmen bieten sowohl der IDW mit dem Prüfungsstandard 980, der TÜV sowie die Internationale Organisation für Normung, eine Überprüfung und Zertifizierung unter Berücksichtigung der Angemessenheit und Wirksamkeit des Systems an.

4 Fazit

Das Ziel der vorliegenden Hausarbeit war es, die gesetzlichen Grundlagen und Ziele eines Compliance-Systems zu erläutern sowie eine mögliche Umsetzung in einem Unternehmen unter Berücksichtigung des Urteils vom BGH (17.07.09 - Az. 5 StR 394/08) darzustellen. Dazu wurden sowohl Publikationen zum Thema Compliance als auch in diesem Kontext geltende Rechtsprechungen und Gesetze analysiert und ausgewertet. Im Rahmen der durchgeführten Literaturanalyse konnte ermittelt werden, dass sowohl § 91 Abs. 2, § 93 und § 161 des Aktiengesetzes sowie § 130 des Ordnungswidrigkeitsgesetzes und § 13 Abs. 1 des Strafgesetzbuches, wesentliche Inhalte zur Implementierung, Überprüfung sowie möglichen Haftungsrisiken im Rahmen der Compliance regeln. Des Weiteren sind international geltende Bestimmungen und Verordnungen wie der UK Bribery Act oder die FCPA zu beachten. In diesem Rahmen ebenfalls zu berücksichtigen sind die Rechtsprechungen des BGH vom 17.07.09 (Az. 5 StR 394/08), 09.05.17 (1 StR 265/16) sowie des LG München I vom 10.12.13 (5 HK O 1387/10). Die primären Ziele von Compliance sowie Compliance Management Systemen bestehen in der Pflichtverschreibung zur Einhaltung von Gesetzen sowie der Überwachung der Gesetzes- und Regelkonformität des Unternehmens sowie aller Mitarbeiter. Daraus ergibt sich für die Unternehmen die Möglichkeit der Risikokontrolle, Schadensprävention sowie Reputationssicherung innerhalb der Außen- und Innenwirkung. Die Konzeptionierung, Implementierung und Abnahme des Compliance-Systems kann unter Zuhilfenahme geltender Standards und Normen, wie beispielsweise der IDW PS 980 durchgeführt werden. Wichtig ist hierbei auf die möglichen Haftungsrisiken von Compliance-Verantwortlichen hinzuweisen. Ausgehend der übernommenen Aufgabenbereiche kann diese nach § 13 Abs.1 StGB eine Garantenpflicht treffen, wodurch sie zur Unterbindung von Straftaten verpflichtet sind und persönlich dafür haftbar gemacht werden können, wenn sie dieser Verpflichtung nicht oder nur teilweise nachkommen. Aufgrund der Komplexität und steigenden Relevanz des Themas, sollte eine Implementierung sowie eine nachgelagerte Betreuung des Themengebietes nur durch entsprechendes Fachpersonal erfolgen.

[...]