IDW PS 980: Neufassung 2022 / 4 Gestiegene Haftungsrisiken bei Verzicht auf ein Compliance Management System

Die mittlerweile erheblich gestiegenen Haftungsrisiken gesetzlicher Vertreter beim Verzicht auf ein CMS werden umfassend gewürdigt. Die Einleitung des Standards verweist ausdrücklich auf die Legalitätspflicht des Vorstands und die daraus folgende Gesamtverantwortung des Vorstands für die Einrichtung eines funktionierenden CMS aus § 91 Abs. 2, 3 AktG sowie der Empfehlung D.3. des DCGK. Die aktuelle Version des DCGK enthält im Grundsatz 5 erstmals die Anforderung an den Vorstand, ein an der Risikolage des Unternehmens ausgerichtetes CMS einzurichten. Diese Änderungen zählen daher zu den Treibern der Neuformulierung des PS 980, vgl. Kapitel 2.

Deshalb wurde die Einleitung ergänzt: "Die Einhaltung der gesetzlichen Vorschriften gehört zu den Organisations- und Sorgfaltspflichten der gesetzlichen Vertreter. Nach der Rechtsprechung hat der Vorstand im Rahmen seiner Legalitätspflicht dafür Sorge zu tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass Gesetzesverstöße verhindert werden. Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage dann, wenn es eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet. Die Einhaltung des Legalitätsprinzips und demgemäß die Einrichtung eines funktionierenden Compliance Management Systems gehört zur Gesamtverantwortung des Vorstands."^[1]

Die Neufassung benennt mehrfach Beispiele für mögliche Mängel eines CMS. Diese werden dem Grunde nach als "falsche Darstellung in der CMS-Beschreibung" eingestuft.^[2] Sofern bei einem trotz eingerichtetem CMS eingetretenen Compliance-Verstoß die CMS-Beschreibung also vor Gericht enthaften soll, dürfte diese (auf der Basis des PS 980 n. F.) einer wesentlich kritischeren Würdigung ausgesetzt sein.

Wechselwirkung zwischen CMS-Prüfung und Vorstandshaftung

Nach dem PS 980 n. F. kann bei Mängeln des CMS kein uneingeschränktes Prüfungsurteil erfolgen. Ein partielles oder vollumfängliches Scheitern einer Prüfung entfaltet an sich und rein rechtlich jenseits der Rufschädigung bei "Mitwissern" keine Bedeutung, weil es nach wie vor keine gesetzesterminologisch konkretisierte Pflicht zur Vorhaltung eines CMS gibt, solange eben unabhängig davon der unter anderem in § 91 AktG postulierten Legalitätspflicht genügt wird und keine Compliance-Verstöße verursacht werden.

Allerdings mehren sich in Legislative und Judikative aktuell ernstzunehmende Anzeichen für eine CMS-Pflicht. Insbesondere der Entwurf des Bayerischen Rettungsdienstgesetzes 2022 sieht in Art. 13 Abs. 3 Satz 5 vor: "Der Durchführende hat im Rahmen des Auswahlverfahrens ein Konzept zur Einhaltung zeitgemäßer Standards für Maßnahmen, Strukturen und Prozesse zur Sicherstellung von Regelkonformität (Compliance-Management-System) vorzulegen."

Auch das OLG Nürnberg^[3] urteilte im Jahr 2022 in beeindruckender Deutlichkeit bereits in Leitsatz zwei: "Zum Umfang der Pflichten eines Geschäftsführers im Rahmen der internen Unternehmensorganisation (hier: Schaffung von Compliance-Strukturen zur gehörigen Überwachung von Mitarbeitern)", präzisiert in Rz. 79: "Aus der Legalitätspflicht folgt die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern." und schlussfolgert in Rz. 102: "Eine Pflichtverletzung des Beklagten ist bereits deshalb gegeben, weil dieser es unterlassen hat, im Rahmen der internen Unternehmensorganisation der Klägerin Compliance-Strukturen zu schaffen, die ein rechtmäßiges und effektives Handeln gewährleisten und die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter – auch mittels Überwachungs- und Kontrollmaßnahmen – verhindern."

Gesetzlich ist ein CMS deshalb zwar weiterhin nur ein mögliches, wenn auch nach Auffassung der Autoren das beste Instrument, sich rechtskonform zu verhalten und dadurch Haftungsrisiken, insbesondere aus Zivil-, Straf- und Steuerrecht zu vermeiden.

Äußerst relevant wird das CMS hingegen in entdeckten Verstoßfällen. Dabei lohnen drei Konstellationen unterschiedlicher Betrachtung, ohne die insbesondere sanktionenrechtlichen Tiefen aus dem Recht der Ordnungswidrigkeiten sowie Kern- und Nebenstrafrecht auszuloten.

Fall eins spielt in der Welt eines tatsächlich "perfekten" und bestzertifizierten CMS mit einem folgerichtig systemisch unvermeidbaren Verstoß aufgrund Individualversagens. Dort greift die im Spannungsfeld zwischen strafverfolgender Rückwärtsermittlung und unternehmensseitiger Verstoßprävention maximal mögliche Enthaftungswirkung für alle lediglich Systemverantwortlichen und damit regelmäßig die Leitungsebenen.

Im eher unwahrscheinlichen Fall zwei ist das CMS zwar mangelhaft oder ungenügend und führte zu einer eingeschränkten oder gänzlich gescheiterten Zertifizierung, diese Diagnose bleibt den bereits befassten Behörden und Gerichten jedoch unbekannt. Dann greifen, gänzlich unabhängig vom...