a) Fokussierung auf effektive Compliance-Maßnahmen
55
Im Hinblick auf das Ziel einer systematischen Prävention von Regelverletzungen und Fehlverhalten208 reicht die Organisationsaufgabe der Compliance über die bloße Einführung von Regeln und Richtlinien hinaus. Denn wie oben ausgeführt, kommt es nach den Vorgaben aktueller Rechtsprechung und Gesetzgebung entscheidend darauf an, ob die Compliance-Maßnahmen wirksam sind, also tatsächlich funktionieren.209 Zwar führte der Bundesgerichtshof in seiner Entscheidung vom 9.5.2017 als obiter dictum aus, für die Bemessung der Geldbuße sei auch von Bedeutung, „inwieweit das Unternehmen seiner Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss“.210 Allerdings wird diese Anforderung hier nicht näher konkretisiert. Im Zusammenhang der Entscheidungsbegründung und weiteren Stellungnahmen211 ist denkbar, dass der BGH die Begriffe „effizient“ und „effektiv“ an dieser Stelle nicht näher differenziert hat.212 Im Hinblick auf die maßgebliche Anforderung, dass das Compliance Management auf die Vermeidung von Rechtsverstößen ausgelegt sein muss, erscheint folgende Definition empfehlenswert213: Unter Effizienz wird die Beurteilung der Beziehung zwischen erbrachter Leistung und Ressourceneinsatz verstanden, während Effektivität die Beurteilung der Zielerreichung beschreibt, also in welchem Ausmaß die geplanten Ziele auch tatsächlich erreicht worden sind.214 Diese Beurteilung, inwieweit die gesetzten Ziele erreichbar sind, dürfte auch für das Compliance Management entscheidend sein, da dessen Zweck in der (bestmöglichen) Vermeidung von Regelverletzungen besteht.215 Für eine positive Berücksichtigung von Compliance-Maßnahmen durch Gerichte und Behörden kommt es stets darauf an, dass die Compliance Maßnahmen tatsächlich „gelebt“, also konsequent angewandt und regelmäßig aktualisiert werden.216 Nur so kann das Compliance Management seinen primären Zweck einer bestmöglichen Vermeidung von Rechtsverstößen erfüllen und erscheint nicht nur als bloßes Lippenbekenntnis.217 Nur ein effektives Compliance Management kann auch die weiteren intendierten Vorteile erreichen, namentlich den Schutz von Unternehmen, Geschäftsleitung und Mitarbeitern, die Sicherung der Reputation des Unternehmens, die rechtssichere Gründung und Gestaltung von Geschäftsmodellen sowie verbesserte Verteidigungsmöglichkeiten in Fällen von „Non-Compliance“.218
b) Wahl eines unternehmensspezifischen Organisationsmodells
56
Entsprechend der Vielfalt unternehmerischer Aktivitäten gibt es für Compliance Management ganz unterschiedliche Organisationsmodelle.219 In kleineren und mittelständischen Unternehmen wird die Compliance-Verantwortung meist vom Inhaber bzw. Gesellschafter-Geschäftsführer selbst wahrgenommen (soweit die betreffenden Personen die Notwendigkeit von Compliance Management erkannt haben),220 oder die Verantwortlichen beauftragen externe Anbieter (wie Rechtsanwälte oder Wirtschaftsprüfer) mit der Ausführung von Compliance-Aufgaben.221 Dagegen sind in größeren Unternehmen häufig nachgeordnete Unternehmenseinheiten wie die Rechtsabteilung, das Risikomanagement oder die Interne Revision mit Compliance-Aufgaben betraut. In großen Unternehmen und Konzernen werden bestimmte Compliance-Aufgaben oft einem zentralen „Chief Compliance Officer (CCO)“ zugewiesen, welcher dann bestimmte Compliance-Aufgaben an weitere Compliance Officer in den einzelnen Geschäftseinheiten delegiert.222 In dem – ebenfalls in größeren Unternehmen zu findenden – Modell einer sog. Matrix-Organisation wird die Compliance-Funktion durch ein besonderes Gremium (z.B. durch ein sog. „Compliance Committee“) koordiniert, dem die Repräsentanten anderer Unternehmenseinheiten wie etwa Rechtsabteilung, Revision, Finanzen, Personalabteilung sowie die Fachbereiche angehören.223 Mit Ausnahme spezialgesetzlicher Organisationserfordernisse liegt die Ausgestaltung der organisatorischen Einzelheiten im Handlungsermessen der Geschäftsleiter.224 Entscheidend ist jeweils die genaue Abstimmung der Compliance-Maßnahmen auf die individuelle Unternehmenssituation und die Anpassung an die jeweils verfolgte Unternehmensstrategie.
c) Ermittlung des besonderen Compliance-Risikoprofils
57
Aufgrund des oben beschriebenen Zusammenhangs zwischen Compliance Management und Risikomanagement ist die Entwicklung eines Konzepts zur systematischen Steuerung relevanter Rechts- und Compliance-Risiken ein zentraler Bestandteil der Compliance-Strategie.225 Die Compliance-Risikostrategie bildet die Basis für die Identifizierung, Bewertung und Überwachung der Compliance-Risiken sowie die Konzeption adäquater Maßnahmen.226 Sie ist als Bestandteil der Leitungssorgfaltspflicht nicht delegierbar.227 Das Eingehen von Risiken ist Bestandteil jeder unternehmerischen Aktivität, auch ein umfassendes Compliance Management kann die Risiken der „Non-Compliance“ nicht völlig ausschließen. Aus Sicht eines wirksamen Compliance Managements kommt es jedoch darauf an, die Gefahren aus vorsätzlichem oder fahrlässigem Fehlverhalten der Unternehmensangehörigen so weit wie möglich zu reduzieren.228 Wie ausgeführt,229 ist dabei die Einbeziehung von Methoden und Verfahren des Risikomanagements hilfreich,230 die Besonderheiten der Compliance-Risiken sind jedoch stets zu beachten.231 Die Einzelheiten des Compliance-Risikomanagements richten sich nach den unternehmensindividuellen Besonderheiten, Ausgangspunkt ist das jeweils individuelle „Compliance-Risikoprofil“ des Unternehmens.232
aa) Systematische Identifikation von Compliance-Risiken
58
Rechts- und Compliance-Risiken können sich zunächst aus dem rechtlichen Umfeld des Unternehmens ergeben. Zur Identifikation relevanter Compliance-Risiken ist daher eine sorgfältige Analyse des jeweiligen Unternehmens ebenso erforderlich wie eine genaue Prüfung des Umfelds, in dem sich das Unternehmen bewegt. Dazu zählt eine Bestandsaufnahme von Vorgaben des rechtlichen Umfelds, d.h. sämtlicher für das Unternehmen einschlägiger Normen und Rechtspflichten.233 Diese kann je nach Wettbewerbsumfeld, Branche und Geschäftsmodell ganz unterschiedlich ausfallen, gleichwohl gibt es zahlreiche Compliance-Risiken, die alle Unternehmen und Verbände betreffen. Dazu gehören etwa Risiken im Zusammenhang mit arbeitsrechtrechtlichen, datenschutzrechtlichen und steuerrechtlichen Pflichten, weitere besondere Risiken ergeben sich für viele Unternehmen etwa im Zusammenhang mit dem Wettbewerbs- und Kartellrecht, dem Außenwirtschaftsrecht oder Antikorruptionsvorschriften.234 Je nach Branchenzugehörigkeit, Größe und geographischer Präsenz können weitere Risiken hinzukommen, etwa aus der Nichtbeachtung von Vorschriften des internationalen oder ausländischen Rechts. Zur systematischen Erfassung empfiehlt sich, die einschlägigen Normen und Rechtspflichten in einem digitalen Bestandsverzeichnis zu archivieren und zu dokumentieren. Die Analyse des Umfelds sollte neben Rechts- und Compliance-Risiken ferner besondere länder- und branchenspezifische Risiken einbeziehen.235
59
Die Analyse des Umfelds des Unternehmens sollte mit einer sorgfältigen Analyse des individuellen Geschäftsmodells des Unternehmens und seiner Unternehmenseinheiten verknüpft werden.236 So sind bestimmte Abteilungen wie etwa Einkauf und Vertrieb besonders anfällig für „Non-Compliance“ durch Korruption oder Verletzungen des Wettbewerbsrechts.237 Grundsätzlich sollte jede Abteilung und Unternehmensfunktion eine „Risiko-Inventur“ durchführen, unter Zusammenarbeit der jeweiligen Leiter mit dem Compliance Officer, der Rechtsabteilung oder externen Rechtsberatern.
bb) Analyse und Bewertung
60
Die ermittelten Compliance-Risiken sind in einem weiteren Schritt zu analysieren und zu bewerten, maßgebliche Kriterien sind dabei das potenzielle Schadensausmaß sowie die Eintrittswahrscheinlichkeit. Allerdings besteht ein wichtiger Unterschied zum allgemeinen Risikomanagement darin, dass es nicht nur um
