ein eindeutiges Bekenntnis der Unternehmensleitung zur Korruptionsbekämpfung, die unternehmensweite Einführung von Antikorruptionsmaßnahmen, effektive Risikomanagement-Prozesse sowie die fortlaufende Prüfung des Korruptionsrisikos.178
bb) Leitfaden des Department of Justice (USA)
49
Eine weitere nützliche Orientierungshilfe für die Ausgestaltung des Compliance Managements bietet der Leitfaden des US-amerikanischen Justizministeriums (US DOJ) zur Bewertung von Compliance-Programmen (Evaluation of Corporate Compliance Programs), der 2019 in zweiter Auflage veröffentlicht wurde.179 In den USA gibt es diverse Leitfäden und Empfehlungen zur Evaluierung von Compliance-Maßnahmen; Compliance-Maßnahmen werden von den Behörden bei Regelverstößen regelmäßig im Rahmen der Strafzumessung berücksichtigt.180 Voraussetzung für eine Sanktionsmilderung ist allerdings stets die Wirksamkeit („effectiveness“) der implementierten Compliance-Strukturen und Maßnahmen.181 Hinsichtlich der Konkretisierung dieses Wirksamkeitserfordernisses legt der Leitfaden des US-amerikanischen Justizministeriums dabei unter anderem fest, nach welchen Maßstäben vorhandene Compliance-Maßnahmen berücksichtigt werden können.182 Danach ist anhand von drei zentralen Kernfragen die Wirksamkeit („effectiveness“)183 der Compliance-Maßnahmen (sowohl zum Zeitpunkt der Tat als auch zum Zeitpunkt der Sanktionierung) zu bewerten.184 So ist erstens prüfen, ob das Compliance-System gut konzipiert ist185 und zweitens, ob es auch ernsthaft und in gutem Glauben umgesetzt wurde. Drittens ist zu prüfen, ob das Compliance-System auch tatsächlich in der Praxis funktioniert.186 Zur Beantwortung dieser drei Kernfragen zählt der Leitfaden zentrale Elemente eines wirksamen Compliance-Systems sowie jeweils weitere Detailfragen zu diesen Elementen auf, die für die Bewertung relevant sind.187 Diese Kriterien und Leitfragen sind teilweise etwas redundant, im Hinblick auf die relevanten Maßnahmen aber sehr detailliert formuliert. Das gilt insbesondere für die mit den einzelnen Wirksamkeitsanforderungen verknüpften Umsetzungsprozesse im Unternehmen: So ist in Bezug auf das Compliance-Risikomanagement nach den verwendeten Ressourcen, Methoden und Aktualisierungszyklen zu fragen. Bei der Prüfung der Compliance-Kultur ist das Verhalten der Geschäftsleitung ebenso zu eruieren wie das des oberen und mittleren Managements. Hinsichtlich der Wirksamkeit der Compliance-Abteilung spielen ihr Status, ihre Autonomie und ihre Ausstattung eine wichtige Rolle, auch die Qualifikation der Compliance Officer wird überprüft. Betont werden ferner eine Integration von Know-how aus anderen Unternehmensbereichen sowie das Erfordernis kontinuierlicher Weiterentwicklung und Neubewertung der Compliance-Maßnahmen.188 Unabhängig von seiner Anwendbarkeit auf deutsche Unternehmen bietet der Leitfaden daher eine Fundgrube für die Optimierung des Compliance Managements.189
f) Compliance-Standards als Orientierungshilfe (Beispiel IDW PS 980)
50
Compliance steht zudem seit geraumer Zeit auch im Blickfeld diverser Organisationen und Verbände, die Standards und Leitlinien zu Compliance bzw. zu Compliance-Management-Systemen (CMS) veröffentlicht haben. In der Praxis ist insbesondere der vom Institut der Wirtschaftsprüfer in Deutschland (IDW) verabschiedete Standard „Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen“ (IDW PS 980) stark verbreitet, welcher sog. „Grundelemente“ eines CMS formuliert hat.190 Dazu zählen zunächst die Compliance-Kultur als Grundlage für die Angemessenheit und Wirksamkeit des CMS191 und die von den gesetzlichen Vertreter festgelegten Compliance-Ziele. Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, die Verstöße gegen einzuhaltende Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Basierend auf der Beurteilung der Compliance-Risiken wird ein Compliance-Programm eingeführt, das auf die Begrenzung der Compliance-Risiken und die Vermeidung von Compliance-Verstößen ausgerichtet ist.192 Das Management regelt die Aufbau- und Ablauforganisation und stellt die notwendigen Ressourcen zur Verfügung (Compliance-Organisation). Die betroffenen Mitarbeiter und Dritte sind über das Compliance-Programm zu informieren (Compliance-Kommunikation). Angemessenheit und Wirksamkeit des CMS sollen in geeigneter Weise überwacht werden (Compliance-Überwachung und Verbesserung). Voraussetzung hierfür ist eine ausreichende Dokumentation des CMS. Die gesetzlichen Vertreter sorgen ferner für die Durchsetzung des CMS, die Beseitigung der Mängel und die Verbesserung des Systems.193 Diese Grundelemente eines CMS entsprechen weitgehend denjenigen Elementen und „Bausteinen“, die als Kernbestandteile eines wirksamen Compliance Managements gelten.194
III. Erfolgsfaktoren für ein wirksames Compliance Management
51
Zu den Kernelementen und Erfolgsfaktoren, die in Literatur und Rechtsprechung als Anforderungen an ein wirksames Compliance Management erörtert werden,195 zählen insbesondere die Identifikation und Bestandsaufnahme der relevanten Compliance-Risiken, die Förderung einer nachhaltigen Compliance-Kultur, die kontinuierliche Information und Schulung aller Unternehmensangehörigen, die Kontrolle der Compliance-Maßnahmen sowie die Aufdeckung und Sanktionierung von Regelverletzungen.196 Diese Kernelemente entsprechen in vielerlei Hinsicht den Grundelementen des IDW PS 980,197 welche allerdings eine auf die individuellen Besonderheiten des betroffenen Unternehmens abgestimmte Compliance-Strategie nicht ersetzen können.198 Die Kernelemente werden daher nachfolgend in das Modell einer Strategie für ein wirksames Compliance Management integriert.
1. Gestaltungsermessen bei Strukturen, Prozessen und Systemen
52
Wie ausgeführt,199 richten sich die für ein wirksames Compliance Management zielführenden Maßnahmen nach den jeweiligen Besonderheiten des betroffenen Unternehmens und insbesondere nach seinem individuellen Compliance-Risikoprofil.200 Die Verbandsleiter haben bei der Ausgestaltung des Compliance Managements ein Handlungsermessen nach den Grundsätzen der sog. „Business Judgment Rule“201 hinsichtlich der Einführung geeigneter Strukturen, Prozesse und Systeme.202 Das Auswahlermessen umfasst etwa die Frage, ob die Geschäftsleitung die Compliance-Pflicht in vollem Umfang selbst erfüllt, oder ob sie bestimmte Compliance-Aufgaben an andere Unternehmenseinheiten oder Externe delegiert. In jedem Fall sind einerseits die Zulässigkeit der Delegation sowie andererseits deren Grenzen zu beachten.203
53
Die Compliance-Maßnahmen stehen ferner unter dem Vorbehalt der Erforderlichkeit und der Zumutbarkeit, der je nach den Besonderheiten des Unternehmens variiert.204 Während sich ab einer bestimmten Größe die Einrichtung einer Compliance-Organisation empfiehlt, können die Compliance-Aufgaben in kleineren Unternehmen auch durch die Geschäftsleiter (ggf. in Kooperation mit Externen) selbst wahrgenommen werden. Zielführend ist in jedem Fall ein strategischer Ansatz in Abstimmung mit der jeweiligen Unternehmensstrategie.
2. Konzeption einer individuellen Compliance-Strategie
54
Es sollte das Ziel jeder Unternehmens- und Verbandsleitung sein, geeignete und auf den Verband abgestimmte Rahmenbedingungen für ein regelkonformes und integres Verhalten der Verbandsangehörigen zu organisieren – dieser Organisationsauftrag ist Bestandteil der Leitungsverantwortung. Hierzu bedarf es unter anderem der systematischen Identifikation und Analyse des individuellen Compliance-Risikoprofils des Verbands, der Entwicklung und Förderung einer Compliance-Kultur205 (siehe unter Rn. 68ff.) sowie eines Konzepts zur Steuerung der maßgeblichen Compliance-Risiken.206 Ein wichtiger Bestandteil der Compliance-Strategie ist ferner die eindeutige Festlegung von Zuständigkeiten und Verantwortungsbereichen für Compliance-Maßnahmen (siehe unter Rn. 65f.). Die Compliance-Strategie sollte alle wesentlichen
