Die zivilrechtliche, aber auch die strafrechtliche Verantwortlichkeit des Compliance-Officers gewinnt infolge eines geradezu inflationären Zuwachses an Compliance-Aufgaben zunehmend an Brisanz. Das Risiko, bei schweren Regelverstößen auch strafrechtlich buchstäblich in Haft genommen zu werden, ist nicht zu unterschätzen.
Keine gesetzlich normierte Compliance-Pflicht
Eine allgemein gesetzlich normierte Pflicht zur Implementierung eines Compliance-Managements und damit zur Bestellung eines Compliance-Officers existiert im deutschen Recht bisher nur für Unternehmen der Finanzwirtschaft gemäß § 32 WHPG. §§ 76 Abs. 1, 93 Abs. 1 AktG normieren allerdings auch für Aktiengesellschaften Sorgfaltspflichten betreffend die Einhaltung der gesetzlich normierten Standards bei der Verfolgung ihrer Unternehmensziele. Auch in der Rechtsprechung ist die vorsichtige Tendenz zu erkennen, das Fehlen innerbetrieblicher Maßnahmen zur Verhinderung von Gesetzesverstößen, also eines fehlenden Compliance-Managements, als mögliche Verletzung der unternehmerischen Sorgfaltspflicht zumindest bei größeren Unternehmen zu bewerten.
Was genau sind die Aufgaben des Compliance-Officers?
Der Compliance-Officer trägt die Verantwortung für die Rechtskonformität aller Prozesse und Geschäftsabläufe innerhalb eines Unternehmens. Er hat die Aufgabe sicherzustellen, dass Organisation und der Betrieb eines Unternehmens in den unterschiedlichen Unternehmenssegmenten wie Produktion, Einkauf, Vertrieb, werblicher Außendarstellung sowie im Umgang mit dem Personal den geltenden Gesetzen sowie den Standards entspricht, die das Unternehmen sich selbst – beispielsweise in seinen Compliance-Richtlinien – verordnet hat oder wie sie für börsennotierte Gesellschaften im „Deutschen Corporate Governance Codex (DCGK)“ festgeschrieben sind.
Umfangreiche Kontroll- und Überwachungspflichten des Compliance-Officers
Um diesen Aufgaben gerecht zu werden, muss der Compliance-Officer sämtliche betrieblichen Prozesse und Abläufe kontinuierlich überwachen. Hierzu bedarf es eines funktionierenden Informationssystems, mit dessen Hilfe der Compliance-Officer die Daten sämtlicher Geschäftsbereiche des Unternehmens erfassen und analysieren kann. Auf Grundlage solcher Analysen hat er
- eine Organisationsstruktur zu schaffen, die die Einhaltung der gesetzlichen Regeln gewährleistet,
- diese Organisationsstruktur in den Unternehmensprozessen systematisch zu verankern,
- ein System von Kontrollmechanismen zu implementieren, das die Einhaltung der Regeln überwacht und Verstöße gegebenenfalls sanktioniert,
- ein anonymes Hinweisgebersystem für Whistleblower anzubieten,
- ein sogenanntes Approval-Management zum gesetzeskonformem Umgang mit Geschenken und Einladungen einzurichten,
- bei den Mitarbeitern die Sensorik für die einzuhaltenden Regeln zu schärfen, beispielsweise durch die Einführung von Schulungsprogrammen (LG München I, Urteil v. 10.12.2013, 5 HK O 1387/10)
Compliance-Officer ist in die Unternehmensziele eingebunden
Dieses Tätigkeitsbild des Compliance-Officers darf nicht darüber hinwegtäuschen, dass der Compliance-Officer seinem Wesen nach keine über dem Unternehmen stehende außerbetriebliche Moralinstanz ist, sondern als Mitarbeiter des Unternehmens dem Unternehmensinteresse und damit den Unternehmenszielen zu dienen hat. Diese weite Spreizung des Aufgabenfeldes des Compliance-Officers erscheint nur auf den ersten Blick widersprüchlich. Im Ergebnis dient ein präziser und sorgfältig arbeitender Compliance-Officer seinem Unternehmen dadurch, dass er durch seine Tätigkeit einen wichtigen Beitrag zur Reputation seines Unternehmens in der Öffentlichkeit und damit zum Unternehmensimage leistet und bei erfolgreicher Tätigkeit Reputationsverluste seines Hauses in der Öffentlichkeit – man denke nur an Unternehmensskandale der letzten Jahre von Deutsche Bank, Siemens oder Wirecard – zu verhindern hilft.
Pflicht zur kontinuierlichen Analyse von Compliance-Risiken
Um reputationsschädliche Unternehmensskandale effektiv zu verhindern, hat der Compliance-Officer ein System zur ständigen Risikoanalyse im Unternehmen zu implementieren, d.h. er muss Unternehmensprozesse und Strukturen ständig darauf hin untersuchen, inwieweit sie das Risiko von Rechtsverletzungen beinhalten oder sogar fördern. Diese Risiken hat er durch entsprechende Struktur- und Regelanpassungen zu minimieren.
Verbesserung innerbetrieblicher Regelwerke
Erkennt der Compliance-Officer einen solchen Änderungsbedarf bei innerbetrieblichen Regelungen, so hat er in der Regel keine eigene Änderungsbefugnis, sondern muss die erforderlichen Anpassungen den zuständigen betrieblichen Gremien bzw. der Geschäftsleitung vorschlagen. Zu beachten ist hierbei, dass bei Betrieben, in denen ein Betriebsrat eingerichtet ist, Regelungen, die verschärfte Maßstäbe für das Verhalten von Mitarbeitern postulieren, gemäß § 87 Abs. 1 Nr. 1 BetrVG mitbestimmungspflichtig sind.
Vermehrte Compliance-Aufgaben durch neues Lieferkettengesetz
Ein weites Feld für eine effektive Compliance-Arbeit bietet das am 11.6.2021 vom Deutschen Bundestag beschlossene „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (LkSG)“. Das Gesetz ist zwar erst zum 1.1.2023 für in Deutschland ansässige Unternehmen mit mindestens 3.000 Beschäftigten und ab 1.1.2024 für Unternehmen mit mindestens 1.000 Beschäftigten anwendbar. Dennoch sollte jeder verantwortungsbewusste Compliance-Officer die betroffenen Unternehmen schon jetzt sorgfältig auf dieses Gesetz vorbereiten.
Pflichtenkatalog für den Compliance-Officer nach dem LkSG
Das LkSG befasst sich mit der „Corporate Social Responsibility“, d.h mit den ethischen, menschen- und umweltrechtlichen Risiken in den globalen Wertschöpfungsketten. Die wichtigsten Pflichten für die betroffenen Unternehmen und damit für den Compliance-Officer lauten:
- Einrichtung eines Risikomanagements in allen maßgeblichen Geschäftsabläufen,
- die Benennung eines Verantwortlichen (Compliance-Officer) für die Überwachung des Risikomanagements,
- die Durchführung regelmäßiger Risikoanalysen,
- die Verankerung von Präventionsmaßnahmen für die Einhaltung der Menschenrechte in der Lieferkette,
- die Ergreifung von Abhilfemaßnahmen bei Verstößen,
- die Einrichtung eines Beschwerdeverfahrens sowie
- Dokumentations- und Berichtspflichten.
Im Fall von Regelverletzungen drohen Geldbußen bis zu 2 % des durchschnittlichen Jahresumsatzes.
Compliance-Officer sollte unabhängig von der Rechtsabteilung sein
Infolge der sachlichen Nähe des Aufgabenbereichs des Compliance-Officers zu rechtlichen Fragestellungen ist der Compliance-Officer in größeren Unternehmen in der Praxis häufig der Rechtsabteilung zugeordnet. Dies wird inzwischen von Unternehmensjuristen wegen hieraus resultierender möglicher Interessenkonflikte eher kritisch gesehen. Empfohlen wird daher, dass der Compliance-Officer unmittelbar der Geschäftsleitung bzw. dem Vorstand zugeordnet ist und diesem direkt und ungefiltert berichtet. Einige große Unternehmen stellen ihren Compliance-Officern inzwischen eigenständige Compliance-Abteilungen zur Seite.
Compliance-Officer muss Straftaten aktiv verhindern
Auch in der Rechtssprechung wird das Verantwortungsprofil des Compliance-Officers immer deutlicher und differenzierter geregelt. Den Anfang dieser Entwicklung markiert ein Urteil aus dem Jahre 2009, in welchem der BGH in einem „obiter dictum“ die persönliche Rechtspflicht eines Compliance Officers postulierte, die Begehung von Straftaten durch Mitarbeiter des Unternehmens aktiv zu verhindern (BGH, Urteil v. 17.9.2009, 5 StR 394/08). Auch dieses Aufgabenfeld ist umfangreicher geworden, da mit der Verschärfung des Korruptionsstrafrechts und der Einführung des Geschäftsherrenmodells der Strafrahmen erweitert wurde.
Nach der § 299 StGB erfasst der Straftatbestand der Korruption im Geschäftsverkehr auch
- Handlungen eines Angestellten oder Beauftragten eines Unternehmens,
- die dieser ohne Einwilligung des Geschäftsherrn vornimmt und
- mit denen er seine Verpflichtungen gegenüber dem Geschäftsherrn verletzt und
- für die er sich einen persönlichen Vorteil gewähren lässt.
- Hierunter fallen Kick-Back-Provisionen, Schmiergeldzahlungen, aber auch schon Essenseinladungen oder Weihnachtsgeschenke.
Die Gesetzesänderung bezweckte die Angleichung des deutschen Strafrechts an andere europäischer Rechtsordnungen, deren Korruptionsstrafrecht nicht den Wettbewerb, sondern Vermögen und Entscheidungsbefugnisse des Geschäftsherren schützt.
Schlüsselfunktion des Compliance-Officers führt zur strafrechtlichen Garantenstellung
Mit seiner Einsetzung eines Compliance-Officers überträgt das Unternehmen regelmäßig eigene Leitungs- und Kontrollaufgaben und damit einen Teil seiner Herrschaftsbefugnisse auf diesen. Er übernimmt damit die Verantwortung für die Einhaltung der rechtlichen Mindeststandards auch durch die übrigen Mitarbeiter.
Daraus leitet sich eine funktionale Herrschaftsstellung ab, deren strafrechtliche Kehrseite nach dem Urteil des BGH notwendigerweise eine strafrechtliche Garantenstellung des Compliance-Officers gemäß § 13 Abs.1 StGB ist.
Compliance-Officer mit quasi hoheitlichen Aufgaben
Indem der Aufgabenkreis des Compliance-Officers auch die Abwendung von Straftaten umfasst, wird der Compliance-Officer damit quasi zum verlängerten Arm der Staatsgewalt. Entscheidend für diese, mit erheblichen Rechtsfolgen verbundene Garantenstellung ist, dass
- der dem Compliance-Officer vom Unternehmen erteilte Auftrag - in der Regel in Form des geschlossenen Dienstvertrages - ausdrücklich die Übertragung des Schutzes des Unternehmens vor Rechtsverstößen enthält,
- der Compliance-Officer bei der Erfüllung seiner Aufgaben eine gewisse Selbstständigkeit hat
- und er eine funktionale Nähe zur Unternehmensleitung - beispielsweise durch organisatorische Anbindung an den Vorstand - hat.
Wichtig: Für die strafrechtliche Beurteilung kommt es nicht auf die formale Bezeichnung als Compliance-Officer, sondern auf die inhaltliche Gestaltung seines Auftrages an.
Auch zivilrechtliche Haftungsrisiken des Compliance-Officers sind hoch
Die Rechtsprechung birgt für den Compliance-Officer nicht nur ein hohes strafrechtliches Risiko, sondern ebenso ein schadensrechtliches. Die strafrechtliche Verantwortung kann nämlich unmittelbar zu einem deliktischen Schadensersatzanspruch eines Geschädigten, insbesondere auch des geschädigten Unternehmens, führen. Dass es hierbei um sehr hohe Summen gehen kann, braucht nicht erwähnt zu werden. Das Risiko der Innenhaftung ist immens.
Auch hohe Bußgelder sind möglich
Diese Rechtsprechung hat auch noch eine ordnungsrechtliche Komponente. Nach überwiegender Auffassung folgt aus der Garantenstellung auch eine Aufsichtspflicht des Compliance-Officers gemäß §§ 9, 30, 130 OWiG. Damit ist der Compliance-Officer auch potentieller Adressat von Bußgeldbescheiden durch Ordnungsbehörden, was im Einzelfall ebenfalls zu erheblichen finanziellen Belastungen führen kann. Seit der BGH im Urteil vom 9.5.2017 festgestellt, dass bei der Bußgeldbemessung gegen juristische Personen und Personenvereinigungen (§ 30 OWiG) sowohl die Existenz eines Compliance-Management-Systems (CMS), als auch die das CMS betreffenden Optimierungsmaßnahmen, von Bedeutung sind, ist die Compliance-Arbeit hier von noch größeren Belang.
Eine gute Versicherung ist die halbe Miete
Aus all diesen Gründen sollten Compliance-Officer grundsätzlich darauf achten, dass sie als versicherte Person in der D&O Versicherung des Unternehmens aufgeführt werden. Dies kann zumindest vor zivilrechtlichen Schadensersatzansprüchen schützen, nicht dagegen vor strafrechtlichen Sanktionen. Die Versicherung kann aber so ausgestaltet werden, dass auch Rechtskosten von dem Versicherungsschutz, also beispielsweise für eine Verteidigung in einem Strafverfahren, erfasst werden.
Fazit: Jeder Compliance-Officer ist gut beraten, wenn er sich mit den haftungsrechtlichen Folgen von Pflichtverstößen dezidiert auseinandersetzt und sich versicherungsrechtlich möglichst umfassend gegen Haftungsrisiken schützt.
Weitere News zum Thema:
Worauf ist beim Abschluss einer D&O-Versicherung zu achten?