ein Compliance Management System zur Korruptionsbekämpfung ausgestaltet sein sollte.[8]
56
Der Leitfaden des Justizministeriums sieht ebenfalls vor, dass die Geschäftsführung dafür Sorge trägt, dass Unternehmen ein Hinweisgebersystem implementieren.[9]
cc) Sapin II
57
Der französische Sapin II ist seit dem 8.11.2016 in Kraft. Sapin II ist ein spezifisches Anti-Korruptionsgesetz. Es gilt für Unternehmen mit mehr als 500 Mitarbeitern oder einem Gesamtumsatz von 100 Mio. EUR pro Jahr.[10] Es enthält diverse Vorgaben für das Compliance Management System der betroffenen Unternehmen. Dieses muss jedenfalls folgende Elemente enthalten: (i) einen Code of Conduct, (ii) interne Hinweisgebermechanismen, (iii) Risikoanalysen, (iv) Prüfprozesse von Drittparteien (v) Buchhaltungskontrollen, (vi) Compliance Schulungen, (vii) Vorgaben zu arbeitsrechtlichen Maßnahmen bei Fehlverhalten, und (viii) ein internes Kontrollsystem.[11]
dd) ISO 37001
58
Der im Jahr 2016 veröffentlichte, internationale Standard für ein Anti-Korruptions-Compliance Management System ISO 37001 ist kein verpflichtender Standard, sondern ein Leitfaden für Unternehmen. Der Standard enthält dabei Mindestanforderungen für die Korruptionsbekämpfung im Unternehmen. Er kann unabhängig von der Größe, internationalen Ausrichtung oder Industrie des Unternehmens angewendet werden. Es besteht die Möglichkeit für Unternehmen, sich nach diesem Standard zertifizieren zu lassen.
59
In Abschnitt 8.9 enthält der ISO 37001 Vorgaben zu einem Hinweisgebersystem. Dieser sieht vor, dass (i) Mitarbeiter dazu angehalten werden, ehrliche Hinweise auf Korruption zu melden, dass (ii) die Hinweise vertraulich behandelt werden und (iii) anonym abgegeben werden können, (iv) Hinweisgebern keine negativen Konsequenzen drohen und (v) Anlaufstellen für Mitarbeiter zum Umgang mit Verdachtsmomenten geschaffen werden.[12]
ee) Spezielle Vorgaben für Pharma und Medizintechnik
60
Aufgrund des systeminhärenten Kontakts zwischen Pharmaunternehmen oder Medizingeräteherstellern und Ärzten oder Vertretern anderer Heilberufe, haben diverse Verbände ihren Mitgliedern Selbstverpflichtungen auferlegt, damit die besonderen Risiken in der Industrie durch Prozesse und Kontrollen reduziert werden.[13]
61
Auf europäischer Ebene agiert die „European Federation of Pharmaceutical Industries and Associations“ („EFPIA“) als Dachverband der Pharmaindustrie und erarbeitet industrieinterne Kodizes.[14] Der internationale Verband „International Federation of Pharmaceutical Manufacturers & Associations“ („IFPMA“) hat 2019 seinen Code Practice erneuert.[15] In Deutschland hat der „Arzneimittel und Kooperation im Gesundheitswesen e.V.“ einen Verhaltenskodex für seine Mitglieder veröffentlicht.[16]
62
Im Bereich der Medizingerätehersteller hat „MedTech Europe“ einen Code of Ethical Business Principles eingeführt.[17]
63
Die Grundsätze der Kodizes sind vor allem die Transparenz und der Umgang mit Zuwendungen oder Kooperationen mit Personen, die im Gesundheitswesen tätig sind. In vielen Ländern sind diese Personen Amtsträger, sodass besondere Regelungen im Umgang mit diesen Personen bestehen.[18] Welches Risiko diese Beziehungen bergen, verdeutlicht der Umstand, dass die Gesundheitsindustrie in der Historie des FCPA eine der Industrien ist, in der die meisten Untersuchungen wegen Korruptionsverstößen eingeleitet wurden.[19]
b) Internationale Standards im Bereich Kartellrecht
64
Zwar existieren neben den allgemeinen Standards ISO 19600 und IDW PS 980 auch für das Kartellrecht spezielle Leitlinien, diese sind bislang allerdings weniger bekannt als einige der Vorgaben zur Korruptionsbekämpfung.
aa) USA
65
Im Juli 2019 änderten die US-Behörden ihre bisherige Position zu CMS. Zuvor hatten die US-Behörden die Implementierung eines Kartellrechts-Compliance Management Systems im Unternehmen nicht als strafmildernden Faktor angesehen. Ähnlich wie der Evaluation Guide im Bereich Anti-Korruption gibt es nun einen Leitfaden für Staatsanwälte im Bereich des Kartellrechts mit detaillierten Vorgaben, wie sie ein CMS prüfen und dessen Effektivität bewerten sollen.[20]
66
In Abschnitt 7 enthält der Leitfaden diverse Aspekte, die im Hinblick auf ein Hinweisgebersystem überprüft werden sollen.[21]
bb) ICC-Toolkit
67
Von der Internationalen Handelskammer wurde 2013 das Antitrust Compliance Toolkit veröffentlicht.[22] Dabei handelt es sich um eine internationale Leitlinie, die Unternehmen mögliche Instrumente aufzeigt, um ein kartellrechtlich effektives Compliance Management System zu entwickeln. Die Leitlinie verdeutlicht, dass es keine „one-size-fits-all“-Lösungen für Unternehmen geben kann, denn die kartellrechtlichen Compliance-Anforderungen variieren stark nach der Größe des Unternehmens und der Industrie.[23] Dennoch zeigt die Leitlinie, teils anhand von konkreten Case Studies und Registerbeispielen, wie kartellrechtsspezifische Risiken aussehen können, und wie die Unternehmen diesen Risiken begegnen können. Eine wichtige Rolle soll dabei insbesondere die kartellrechtliche Due Diligence spielen. Insgesamt fordert die Leitlinie eine konsequente Berücksichtigung von kartellrechtlichem Know-how in der Gestaltung des CMS.[24]
c) Internationale Standards im Bereich Außenwirtschaftsrecht
68
Für das Außenwirtschaftsrecht wird Compliance unter anderem dann relevant, wenn es darum geht Embargoregelungen zu befolgen, Geschäftspartner mit Sanktionslisten abzugleichen, die auszuführenden Güter zu klassifizieren und möglicherweise erforderliche Ausfuhr- oder Verbringungsgenehmigungen zu erhalten.
69
Im Mai 2019 veröffentlichte das US Office of Foreign Assets Control („OFAC“) Leitlinien für ein CMS mit Fokus auf das Außenwirtschaftsrecht. Ganz ähnlich zu den Vorgaben des DOJ, fordert das OFAC folgende Elemente eine CMS: (1) Verpflichtung der Unternehmensleitung, (2) Risikoanalysen, (3) interne Kontrollen, (4) Prüfungen und Auditierungen sowie (5) Schulungen.[25]
d) Internationale Standards im Bereich Datenschutz
70
Die Relevanz von Datenschutz im Verhältnis zu anderen Rechtsgebieten nimmt aktuell erheblich an Bedeutung zu. Das liegt vor allem auch daran, dass durch die DSGVO und das darin enthaltene Haftungssystem empfindliche Strafen bei Verstößen drohen. Die ersten Folgen waren bereits im Jahr 2019 zu spüren, als zwei Geldbußen in Höhe von 10 Mio. EUR und 14 Mio. EUR für Verstöße im Bereich des mittleren bis unteren Ende des Schwerespektrums verhängt wurden.[26] Ein Nebenaspekt ist das Thema Cyber Security. Schützt ein Unternehmen
