Notfall 0160 4292953

Im Sommer 2020 hat die Bundesregierung den Entwurf eines Gesetzes zur Stärkung der Integrität in der Wirtschaft zur Einführung des Gesetzes zur Sanktionierung von verbandsbezogenen Straftaten (nachfolgend „Verbandssanktionengesetz“ genannt) beschlossen. Nachfolgende Anmerkungen befassen sich nur mit einigen ausgewählten, aber wichtigen Aspekten des Verbandssanktionengesetzes:

Warum ein Compliance Management System Regelverstöße nicht verhindert

War Korruption in Deutschland bis 1999 allenfalls moralisch anstößig, so hat insbesondere die Siemens Korruptionsaffäre 2006 – 2008 zu einem Umdenken in der deutschen Wirtschaft geführt. In der Folge entstanden in allen Unternehmen von Rang und Namen zumeist größere Compliance Abteilungen, die für die Einhaltung der Gesetze, aber auch interner Standards sorgen sollen. Gleichwohl zeigen zahlreiche Skandale auch der jüngsten Vergangenheit, dass auch die Existenz großer und hochangesehener Compliance Abteilungen gerade Regelverstöße erheblicher Art nicht verhindert. Gegen hohe kriminelle Energie scheint also „kein Kraut gewachsen“.

Warum man dennoch ein Compliance Management System haben muss

Richtig ist auch: das Verbandssanktionengesetz schreibt ein Compliance Management System (nachfolgend auch „CMS“ genannt) nicht zwingend vor. Eine harte Verpflichtung zur Einrichtung und Unterhaltung eines CMS besteht nur für bestimmte Branchen bzw. Unternehmensformen. Das Verbandssanktionengesetz erhöht aber nun den faktischen Zwang zum CMS für alle Unternehmen ganz entscheidend dadurch, dass ansonsten eine Haftungsbefreiung im Falle von Regelverstößen und deren Sanktionierung nicht in Betracht kommt. Das allein ist ein hinreichender Grund, ein CMS vorzuhalten. Während die sogenannten verbandsinternen Untersuchungen allenfalls zu einer Haftungsmilderung führen können (und zudem eine ständige Zusammenarbeit mit den Behörden erfordern), scheidet bei einem angemessenen CMS eine Haftung vollständig aus.

Die angemessene Stellung des Compliance Officers

Zentraler Bestandteil eines angemessenen CMS ist ein Compliance Officer mit angemessener Stellung. Wie sieht das in der Praxis aus? So findet man immer noch Compliance Officer, die diese Funktion auf nachgeordneten Führungsebenen wahrnehmen sollen – z. B. mit Berichtspflicht gegenüber dem Leiter der Rechtsabteilung. Häufig sollen sie auch für den Datenschutz zuständig sein oder zugleich als Geldwäschebeauftragter fungieren. Richtig – insbesondere auch im Hinblick auf die angestrebte Haftungsbefreiung – ist allein folgendes: Der Compliance Officer über eine hohe fachliche Qualifikation sowie eine über jeden Zweifel erhabene Integrität verfügen. Er muss ausschließlich als Compliance Officer tätig sein und darf keine operativen Aufgaben haben. Der Compliance Officer muss direkt an die Geschäftsleitung berichten. Er muss eine unabhängige Stellung in der Organisation haben (weitgehende Weisungsfreiheit, weitreichender Kündigungsschutz, eigenes Budget etc.). Der Compliance Officer sollte zudem eine direkte Berichtslinie zum Aufsichtsgremium bzw. zu den Anteilseignern haben, das bzw. die auch bei seiner Auswahl und Einstellung beteiligt werden sollte(n). Eine Unterstellung z. B. unter den Leiter der Rechtsabteilung ist schon deshalb falsch, weil dieser selbst auch Gegenstand der Compliance Überwachung ist. All das ist deshalb so, weil Überwachung der Compliance grundsätzlich Aufgabe der Geschäftsleitung ist, die überhaupt nur so wirksam delegiert werden kann. Eine unwirksame Pflichtendelegation allein ist schon ein Grund, die begehrte Haftungsbefreiung zu versagen.

Warum nur ein zertifiziertes Compliance Management System wirklich hilft

Wir hatten oben festgestellt, dass ein CMS gerade Regelverstöße der erheblichen Art – also solche, die durch Gesetz strafrechtlich sanktioniert sind – nicht verhindert. Kommt es nun zu einem solchen Regelverstoß, so ermöglicht das Verbandssanktionengesetz, dass nicht nur der Täter straf- und zivilrechtlich in Anspruch genommen wird, sondern es haftet jetzt auch das Unternehmen selbst – und zwar nicht mehr nur nach Ordnungswidrigkeitenrecht mit seiner Haftungshöchstgrenze von 10 Millionen Euro. Vielmehr ist das Risiko für Unternehmen mit einem durchschnittlichen Jahresumsatz von mehr als 100 Millionen Euro nunmehr, dass sie auf bis zu 10 Prozent ihres durchschnittlichen Jahresumsatzes haften. Das kann existenzvernichtend sein.

Damit nun gegen das Unternehmen keine Sanktion verhängt wird, muss der Nachweis gelingen, dass angemessene Vorkehrungen bestanden haben, die die Begehung solcher Straftaten zumindest wesentlich erschwert haben.

Wie aber ist ein solcher Nachweis zu führen? Es erscheint gewagt, darauf zu vertrauen, dass man im Fall der Fälle selbst den Nachweis wird führen können, beim eigenen CMS handele es sich um angemessene Vorkehrungen im Sinne des Gesetzes. Auch wenn niemand ohne Not Zeit und Geld in das Audit durch einen Dritten investieren mag, ist der zielführende Weg hier der der regelmäßigen Zertifizierung durch einen anerkannten Anbieter. Dabei geht es nicht darum, das unternehmensspezifische CMS einem „Schema F“ zu unterwerfen, vielmehr geht es bei der Zertifizierung ja unter anderem darum festzustellen, ob gerade die unternehmensspezifischen Anforderungen hinreichend berücksichtigt wurden. Für die Argumentation pro Haftungsbefreiung ist durch eine solche Zertifizierung jedenfalls viel gewonnen.

Warum die Trennung von internen Ermittlungen und Strafverteidigung richtig ist

Viel wurde gegen die nun vorgesehene Trennung von internen Ermittlungen und Strafverteidigung gewettert. Die Trennung ist aber schon aus folgendem Grund richtig: Erfolgreiche Strafverteidigung in Wirtschaftsstrafsachen beruht auf der Fähigkeit, hohe strafrechtliche sowie strafprozessuale Kompetenz mit hinreichendem Verständnis wirtschaftlicher Zusammenhänge zu verknüpfen und dies auch in der Dynamik einer streitigen Hauptverhandlung umsetzen zu können. Der Schwerpunkt der internen Ermittlungen hingegen liegt heutzutage weniger auf der Befragung von Arbeitnehmern als vielmehr auf der forensischen Identifikation, Aufbereitung und Auswertung riesiger Datenbestände mit Mitteln der IT. Das sind nicht nur verschiedene Kompetenzen – es sind auch unterschiedliche Rollen.