Compliance

Das Thema "Compliance" ist auch für den Mittelstand brisant

Seit einigen Jahren sind Compliance-Pflichten von Vorstandsmitgliedern in Aktiengesellschaften ein viel diskutiertes und hoch brisantes Thema.

Im rechtswissenschaftlichen Schriftum (vgl. etwa Prof. Dr. Michael Korf, Compliance-Pflichten und Haftung von GmbH-Geschäftsführern, in: GmbH-Rundschau 2013, 566 mit weiteren Nachweisen) - ebenso wie in der anwaltlichen Praxis - setzt sich immer mehr die Überzeugung durch, dass auch Geschäftsführer mittelständischer und größerer GmbHs umfangreichen Compliance-Pflichten unterliegen.

In vielen Fällen werden - insbesondere bei international auftretenden Unternehmen - Großkunden, Banken oder sonstige Vertragspartner darauf bestehen, dass ihr Geschäftspartner aus Deutschland nachhaltig garantiert, nicht gegen Compliance-Pflichten zu verstoßen. Bei Unternehmenskäufen bildet die Überprüfung eines  funktionierenden Compliance-Management-Systems einen festen Bestandteil der Due Diligence.

Der Begriff der Compliance ist im deutschen Recht nicht gesetzlich definiert. Dies ist anders als etwa im US-amerikanischen und englischen Recht, wo die Compliance in den U.S. Federal Sentencing Guidelines respektive im UK Bribery Act 2010 ausführliche Regelungen erhalten hat. Im deutschen Recht findet die Compliance demgegenüber nur in einigen spezialrechtlichen Gesetzen Erwähnung, wie zum Beispiel im Wertpapierhandelsgesetz (WpHG) für Wertpapierdienstleistungsunternehmen.

Allgemein versteht man unter Compliance zunächst die Pflicht der Geschäftsleitung, sich norm- und regelrecht zu verhalten, also die Pflicht, nicht gegen Gesetze oder sonstige Normen zu verstoßen (Legalitätspflicht). Darüber hinaus beschreibt der Begriff der Compliance aber auch die Verpflichtung der Geschäftsführung, aktiv für eine solche Organisation von Verantwortlichkeitsstrukturen im Unternehmen zu sorgen, dass - soweit irgend möglich - die Einhaltung norm- und regelgerechten Verhaltens im Unternehmen insgesamt sichergestellt ist (Organisationspflicht des Geschäftsführers).

Einen viel beachteten Versuch der Begriffsklärung von Compliance enthält der für börsennotierte Aktiengesellschaften geltende Deutsche Corporate Governance Kodex (DCGK). Dort heißt es unter § 4.1.3: "Der Vorstand hat für die Einhaltung der gesetzlichen Regelungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance)".

Es fällt dementsprechend auch in den Verantwortungsbereich der Geschäftsleitung, die erforderlichen Vorkehrungen im Unternehmen dafür zu schaffen, dass die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien nicht nur durch sie selbst, sondern auch durch alle Mitarbeiter im Betrieb garantiert ist.

Soweit die Compliance-Pflichten der Geschäftsleitung einer GmbH Gegenstand der Prüfung sind, wird es zunächst allgemein  für zulässig gehalten, dass bei dem Bestehen eines mehrköpfigen Geschäftsführergremiums der Bereich der Compliance und der damit verbundenen Compliance-Pflichten bei einem Mitglied der Geschäftsleitung zentralisiert und auf dieses - horizontal - delegiert wird. Jedoch führt eine Zuweisung der Compliance-Aufgaben an bestimmte Mitglieder der Geschäftsleitung im Rahmen der Geschäftsverteilung nicht dazu, dass die anderen Mitglieder der Geschäftsleitung vollständig und endgültig aus der Verantwortung für Compliance - auch mit der Wirkung einer Haftungsfreistellung - entlassen sind. Vielmehr ergibt sich aus dem Grundsatz der Gesamtverantwortung der Geschäftsleitung, dass auch die Geschäftsführer, die im Rahmen der Geschäftsverteilung nicht primär für die Compliance verantwortlich sind, ihre zuständigen Kollegen kontinuierlich auf Verstöße gegen die Pflicht zur ordnungsgemäßen Organisation der Compliance, Verstöße gegen die Überwachungspflicht oder sogar eigene Regelverletzungen kontrollieren müssen.

Ebenso ist eine vertikale Delegation von Compliance-Aufgaben an unternehmensinterne Mitarbeiter oder externe Dritte außerhalb des Unternehmens (zum Beispiel Rechtsanwälte oder Wirtschaftsprüfer) zulässig. Allerdings ändert selbstverständlich auch dieses Outsourcing nichts an der Letztverantwortlichkeit aller Mitglieder der Geschäftsleitung für die Erfüllung der Compliance-Pflichten. Ein Geschäftsführer kann sich somit bei Eintritt eines Schadensfalls nicht hinter etwaigen Pflichtverletzungen der Fachabteilung "Compliance" oder extern beauftragten Rechtsanwälten "abducken".

Die Bereitstellung eines allgemein verbindlichen Pflichtenheftes "Compliance-Verantwortlichkeit" ist nicht möglich. Sie scheitert bereits an der Mannigfaltigkeit der möglichen GmbHs, etwa hinsichtlich Mitarbeiterzahl, Gesellschafterzahl und Umsatzgröße. Compliance-Pflichten werden allerdings überhaupt nur dann entstehen und verdichten sich umso mehr, je mehr die GmbH aufgrund ihrer Struktur eine gewisse "Risiko"-Klasse für spürbare Compliance-Verstöße erreicht hat. Nur in diesen Fällen wird sich im Unternehmen auch die Notwendigkeit ergeben, einen Compliance-Beauftragten (Compliance-Officer) zu bestellen.

Präzise Angaben sind im Vorhinein jedoch nur schwer möglich. Oft zeigt erst die gerichtliche Überprüfung, ob der konkrete Schadenfall auf eine Compliance-Pflichtverletzung zurückzuführen ist. Wegen dieser Unsicherheit bildet auch die Einrichtung einer tauglichen Organisationsstruktur zur Vermeidung von Compliance-Verstößen im individuellen Unternehmen eine besondere Herausforderung für die Geschäftsleitung.

In jedem Fall empfehlenswert dürfte auch für kleinere GmbHs sein, dass ein schriftlich dokumentierter Nachweis darüber vorhanden ist, dass sich die Unternehmensleitung überhaupt mit dem Thema "Compliance" befasst hat - selbst wenn dies im Ergebnis dazu geführt haben sollte, dass die Einleitung konkreter Maßnahmen aufgrund einer sorgfältig begründeten unternehmerischen Abwägung nicht für erforderlich gehalten wurde.

Allerdings ist davon abzuraten, diese Unterlage lediglich zu Alibizwecken in einem zwar wortreichen, im Ergebnis jedoch inhaltsleeren Commitment der Geschäftsleitung zu erschöpfen, im Unternehmen würden eh' alle Gesetze und Regelungen eingehalten.

Derart substanzlose Textbausteine mögen zwar mitarbeiterpsychologische Wirkung entfalten und im Außenverhältnis Marketing-Zecken dienen, sind aber in rechtlicher Hinsicht vollkommen bedeutungslos.

Überdies sollte im Hinblick auf den Aufbau einer Compliance-Organisation eine Festlegung der Compliance-Zuständigkeiten erfolgen (Geschäftsführer, interne Mitarbeiter, externe Dritte) sowie, falls es mehrere Ebenen von Compliance-Verantwortlichen gibt, eine hierarchische Zuordnung, was Information und Überwachung betrifft.

Zudem sollte ein Verfahren zur Vermeidung und Aufdeckung von Regelverstößen vorgesehen und schriftlich fixiert werden.

Schließlich muss eine Struktur für ein Mindestmaß an Transparenz im Unternehmen geschaffen werden. Dies betrifft gleichermaßen den Informationsfluss "von oben nach unten", speziell im Hinblick auf die Unterrichtung der Mitarbeiter über die einzuhaltenden Regeln und die rechtlichen Konsequenzen von Regelverstößen, wie auch den Informationsfluss "von unten nach oben", um auf der Geschäftsleitungsebene die erforderliche Tatsachenkenntnis für die Ergreifung von notwentigen Maßnahmen zur Vermeidung oder Behebung von Compliance-Verstößen sicherzustellen.

Hierfür müssen Ansprechpartner benannt werden, an die sich die Mitarbeiter bei erkannten Regelverletzungen wenden können. Umgekehrt dürfte die Zulässigkeit einer expliziten Verpflichtung durch die Geschäftsleitung zum "Whistleblowing" an den Persönlichkeits- und Datenschutzrechten der Arbeitnehmer scheitern.

Zu klären ist auch das Verhältnis der Compliance-Verantwortlichen im Unternehmen zu anderen - nicht unmittelbar operativ tätigen - Einheiten, wie etwa der Rechtsabteilung, der internen Revision oder dem Risiko-Controlling. Dabei ist es durchaus nicht ausgeschlossen, dass die Compliance-Verantwortung von Angehörigen dieser Abteilungen teilweise oder vollständig mit übernommen wird, wobei jedoch das Risiko von möglichen Interessenkollisionen im individuellen Unternehmen bedacht werden sollte.

Die Verletzung von Compliance-Pflichten durch die Geschäftsführer kann - abgesehen von der primären Haftung der Gesellschaft für die in ihrem Namen begangene Rechtsverletzung - auch zu einer persönlichen Haftung der einzelnen Geschäftsführer führen.

Dies gilt zivilrechtlich im Rahmen des § 43 GmbHG zunächst im Innenverhältnis gegenüber der GmbH selbst. In Betracht kommt nach der Rechtsprechung des BGH unter bestimmten Voraussetzungen aber auch eine Haftung im Außenverhältnis, also gegenüber unternehmensexternen Dritten. Dies gilt insbesondere bei einer Verletzung der allgemeinen Unternehmensorganisationspflicht. Hinzu kann in besonders gelagerten Fällen auch eine strafrechtliche Verantwortung des Geschäftsführers treten.

Die in früherer Zeit geführte Diskussion, ob bei aus der Sicht des Unternehmens auf den ersten Blick "nützlichen Pflichtverletzungen" eine Haftung ausscheidet, hat sich nach absolut herrschender Rechtsauffassung (und entsprechenden Äußerungen von Gesetzgebung und Rechtsprechung) zwischenzeitlich erledigt. Unter "nützlichen Pflichtverletzungen" wurde lange Zeit ein Verhalten verstanden, bei dem die Manager etwa in- oder ausländische Träger hoheitlicher Gewalt bestechen oder Mitarbeitern potentieller Geschäftspartner Vorteile in Form von Geschenken oder unentgeltlichen Vergünstigungen zum Zwecke der Herbeiführung eines Geschäftsabschlusses zukommen ließen.

Seit einigen Jahren hat sich hierzu allgemein die Erkenntnis durchgesetzt, dass solche Fälle von Korruption oder Bestechung, gleichgültig ob sie in dem jeweiligen Land oder Geschäftszweig üblich sind oder nicht, rechtswidrig sind und deshalb unter keinem denkbaren Gesichtspunkt im Unternehmensinteresse liegen können.

Das Thema "Compliance" und der Aufbau funktionierender Strukturen im Unternehmen zur Aufdeckung und Vermeidung von Compliance-Pflichtverletzungen ist somit auch für mittelständische GmbHs von einer nicht zu unterschätzenden Relevanz. Soweit das Unternehmen international aufgestellt ist, speziell mit Blickrichtung USA und Großbritannien, wird die Geschäftsleitung - schon im Hinblick auf die Erhaltung seiner Wettbewerbsfähigkeit - ohnehin bei der Akquisition neuer Geschäftspartner nicht um den Nachweis eines nachhaltigen Compliance-Managements-Systems (CMS) umhinkommen.

Doch auch für ausschließlich national ausgerichtete Unternehmen ist die Installierung eines tragfähigen CMS schon zum Schutz des Unternehmens vor Existenz gefährdenden Strafzahlungen und des Managements vor zivilrechtlicher Haftung und strafrechtlicher Verantwortung, zunehmend unverzichtbar.

zuerst abgedruckt in:

mittelstandsdialog, 19.12.2013