45
Auch der aktuelle Entwurf eines Verbandssanktionengesetzes enthält keine konkreten Vorgaben zu der Einführung und den Bestandteilen eines CMS. Da das Vorhandensein eines effektiven CMS aber nach diesem neuen Konzept dazu führen kann, dass eine Haftung des Unternehmens und der Geschäftsführung nicht eintritt oder das CMS jedenfalls bei der Zumessung der Sanktionshöhe einen positiven Effekt hat, besteht eine gewisse Obliegenheit, ein CMS einzuführen.[1]
46
Für die überwiegende Anzahl der Unternehmen, nämlich all diejenigen Unternehmen, die international tätig sind, ist die dogmatische Suche nach der richtigen Rechtsgrundlage in der Praxis irrelevant. In zahlreichen Ländern bestehen allgemeine Voraussetzungen, die ein CMS erfüllen muss. Gleiches gilt für bestimmte Industrien oder Rechtsgebiete. Operieren Unternehmen in diesen Märkten oder Industrien, müssen sie unausweichlich diese Vorgaben befolgen, um die Haftungsrisiken so gering wie möglich zu halten. Im nachfolgenden Abschnitt stellen wir einige dieser internationalen Regelungen und Vorgaben vor.
47
Aus der Gesamtschau der lokalen und internationalen Vorgaben folgt, dass Unternehmen ab einer gewissen Größe und internationalen Ausrichtung ihres Geschäfts verpflichtet sind, ein adäquates CMS zu implementieren.[2] Das CMS darf an die Umstände des jeweiligen Unternehmens angepasst sein. Der Umsatz, die internationale Ausbreitung, die Industrie, das Marktumfeld, die Kundenlandschaft oder der Umfang der Datennutzung sind relevante Faktoren, die eine Rolle dabei spielen, wie das Compliance Management System in den einzelnen Rechtsbereichen ausgestaltet sein sollte.[3]
Anmerkungen
Vgl. Behr/Guttenberger DB 2020, 1218, 1221.
Vgl. dazu auch LG München I (Neubürger) NZWiSt 2014, 183, 187.
Withus/Hein CCZ 2011, 125, 131.
2. Kapitel Grundprinzipien eines Compliance Management Systems › I. Grundlagen › 3. Internationale Vorgaben und Ansätze zum Aufbau eines Compliance Management Systems
3. Internationale Vorgaben und Ansätze zum Aufbau eines Compliance Management Systems
48
International gibt es einige Standards, die Hilfestellungen dabei bieten können, wie ein CMS ausgestaltet sein sollte. ISO 19600 (künftig ISO 37301)[1] sowie der IDW PS 980 sind die bekanntesten Standards. Sie geben einen groben Rahmen vor, den das jeweilige Unternehmen für die unterschiedlichen Rechtsbereiche beachten muss.
49
Für einzelne Rechtsgebiete stehen darüber hinaus teils weitere internationale Standards und Vorgaben zur Verfügung. Auch wenn diese Standards möglicherweise keine rechtsverbindliche Wirkung entfalten, können sie dennoch hilfreich sein, den richtigen Maßstab für ein angemessenes CMS zu bestimmen.
50
Die aktuell relevantesten Rechtsgebiete, die im Fokus von CMS stehen, sind allgemein Anti-Korruption, das Kartellrecht, Geldwäsche, das Außenwirtschaftsrecht und Datenschutz. Die meisten CMS sehen zudem Regelungen zu Interessenkonflikten vor. Hierbei handelt es sich zwar nicht um ein eigenes Rechtsgebiet und häufig stellen Verstöße gegen die entsprechenden Vorgaben keine Verstöße gegen Gesetzesrecht dar. Dennoch ist der Umgang mit Interessenkonflikten ein wichtiger Gradmesser für die Compliance-Kultur in einem Unternehmen.
a) Internationale Standards zur Korruptionsbekämpfung
51
Besonders im Bereich der Korruptionsbekämpfung haben diverse Länder internationale Organisationsstandards veröffentlicht, die für Unternehmen hilfreiche Hinweise enthalten, wie ein Compliance Management System zur Korruptionsbekämpfung ausgestaltet sein sollte.
aa) US Foreign Corrupt Practices, DOJ- und SEC-Vorgaben, sowie Sentencing Guidelines
52
Aus den Vorgaben rund um den US Foreign Corrupt Practices Act („FCPA“) können Unternehmen eine Vielzahl von wertvollen Vorgaben ableiten, wie ein CMS ausgestaltet sein sollte.[2] Zum einen enthalten die veröffentlichten Entscheidungen der US-Behörden zahlreiche Hinweise, welche Schwachstellen in CMS bestehen können und wie diese nach Vorstellung der US-Behörden geschlossen werden sollten. Zum anderen veröffentlichen die US-Behörden, allen voran das US Justizministerium („DOJ“), sowie die US Börsenaufsicht („SEC“), regelmäßig überarbeitete Stellungnahmen zu CMS. Zuletzt gab das DOJ am 1.6.2020 eine adaptierte Richtlinie zur Bewertung von Compliance-Programmen heraus, welche die Versionen aus den Jahren 2017 und 2019 ersetzt.[3] Die Leitlinie beinhaltet die Erwartungen und Standards, die US-amerikanische Staatsanwälte bei der Bewertung eines Compliance-Programms während einer Untersuchung anwenden. Nur ein Monat später wurde gemeinsam mit der SEC Anfang Juli 2020 auch der Leitfaden zum FCPA[4] neu herausgegeben.
53
Diese Vorgaben bieten aufgrund ihres Detailreichtums und ihrer Transparenz wichtige Hinweise, wie ein CMS zur Korruptionsbekämpfung ausgestaltet sein sollte. Zu berücksichtigen ist hier allerdings der Schwerpunkt des FCPA. Dieser ist primär darauf ausgerichtet, Bestechung von (aus US-Sicht) ausländischen Amtsträgern und damit zusammenhängende Buchhaltungsverstöße zu verhindern.[5] Für die Bestechung im geschäftlichen Verkehr sind die Hinweise nur indirekt anwendbar. Gleiches gilt für die Bestechlichkeit der eigenen Mitarbeiter.
54
Der FCPA enthält selbst keine Pflicht zur Einführung eines Hinweisgebersystems. Der FCPA Resource Guide 2020 vom DOJ und der SEC erachtet ein Hinweisgebersystem aber als einen wesentlichen Bestandteil eines CMS.[6]
bb) UK Bribery Act und adequate procedures
55
Der UK Bribery Act („UKBA“) ist mittlerweile seit zehn Jahren in Kraft und hat sich zu einem der primären internationalen Standards für die Korruptionsbekämpfung entwickelt. Der UKBA verbietet umfassend Bestechung von ausländischen und inländischen Amtsträgern, sowie Bestechung im geschäftlichen Verkehr. Er enthält eine Haftung des Unternehmens, wenn es zu Korruption aus dem Unternehmen heraus gekommen ist. Das Unternehmen kann sich exkulpieren, wenn es nachweisen kann, dass es sogenannte „adequate procedures“, also angemessene Sicherungsvorkehrungen implementiert hatte, um Fehlverhalten
