In Sammlung (en) In der gespeicherten
  1. Unternehmen
  2. Management

Wer muss eine Compliance-Prüfung neuer Geschäftspartner

Werbung 
200
BEITRÄGE COMPLIANCE MANAGEMENT
Mayer, Wer muss eine Compliance-Prüfung neuer Geschäftspartner freigeben?
CB-BEITRAG
Eric Mayer, RA
Wer muss eine Compliance-Prüfung neuer
Geschäftspartner freigeben?
Im folgenden Beitrag wird untersucht, welche nationalen und internationalen Mindestanforderungen zur organisatorischen Ausgestaltung von Geschäftspartnerprüfungsprozessen zu berücksichtigen sind. Dabei stehen
nicht die Inhalte derartiger Prüfungen im Vordergrund, sondern es wird insbesondere auf die hierarchische Stellung und die funktionale Verantwortung bei Entscheidungen und Freigaben von Geschäftspartnern eingegangen.
I. Einleitung
Die gerade aktuell erschienene OECD-Studie zu Auslandsbestechung1 hat einmal mehr wiederholt, was im Compliance-Geschäft
seit langen Jahren als immer wiederkehrendes Problem wohlbekannt
ist: in drei von vier Auslandsbestechungsfällen sind Intermediäre wie
Vertriebsmittler, Zwischenhändler, Makler oder Offshore-Mantelgesellschaften beteiligt. Die Gefahrenquellen solcher Compliance-Verstöße lassen sich also nicht auf die Grenzen eines Unternehmens
beschränken, vielmehr lauern nicht unerhebliche Compliance-Risiken
in der Zusammenarbeit mit externen Geschäftspartnern. Damit wird
klar, dass Geschäftspartnerprüfungen höchste Priorität beim Aufbau
und Betrieb moderner Compliance-Management-Systeme („CMS“)
genießen müssen. Bereits seit langem lässt sich eine deutliche internationale Tendenz in Gesetzgebung und Rechtsprechung beobachten, die Geschäftspartnerprüfungen als global einzuhaltenden Standard und wesentlichen Bestandteil eines CMS vorschreibt.2 Durch die
zunehmend intensivierte grenzüberschreitende Zusammenarbeit von
ausländischen Strafverfolgungsbehörden auf dem Feld der Korruptionsbekämpfung ist einer Verbreitung und verstärkten Einforderung
dieses Standards bereits der Weg gebahnt: Die neuere Geschichtsschreibung zur Multijurisdictional Cooperation as the „New Normal“
beginnt mit der erfolgreichen Zusammenarbeit US amerikanischer
und deutscher Strafverfolgungsbehörden im Fall Siemens und setzt
sich fort bis zur kürzlich von Kanada und den USA gemeinsam mit
dem Vereinigten Königreich und Australien gegründeten International
Foreign Bribery Taskforce („IFBT“) zur verbesserten Kooperation in
der internationalen Korruptionsbekämpfung und Unterstützung der
OECD- und UN-Konventionen.3
Im Lichte dieser Entwicklungen wird der vorliegende Beitrag die Frage nach dem „Ob“ der Verpflichtung zu Geschäftspartnerprüfungen
als eindeutig beantwortet voraussetzen. Solche Prüfungen stellen
unstreitig einen mittlerweile absolut notwendigen Bestandteil eines
modernen CMS dar. Im Folgenden soll vielmehr das „Wie“ solcher
Prüfungen untersucht werden, d. h. welche nationalen und internationalen Mindestanforderungen zur organisatorischen Ausgestaltung von Geschäftspartnerprüfungsprozessen zu berücksichtigen
sind.
II. Organisatorische Mindestanforderungen an die
Ausgestaltung von Geschäftspartnerprüfungen
1. Nationales Recht
a) Deutsches Gesellschaftsrecht
Ausdrückliche Regelungen zu Geschäftspartnerprozessen sind im
deutschen Gesellschaftsrecht nicht zu finden. § 91 Abs. 2 AktG
konstituiert die unmittelbare Verpflichtung des Vorstands, ein auf
systematische Schadensvermeidung und frühzeitige Risikokontrolle
ausgerichtete Unternehmensorganisation einzurichten.4 Zudem hat
der Vorstand gem. §§ 76 Abs. 1, 93 Abs. 1 AktG im Rahmen der allgemeinen Leistungssorgfalt eine Legalitätspflicht, der gemäß er sich
in allen Belangen gesetzestreu zu verhalten hat. In Verbindung mit
den weitgehenden Führungsbefugnissen und -pflichten des Vorstandes im Hinblick auf Unternehmen und Mitarbeiter ergibt sich daraus
nach ganz herrschender Meinung die Legalitätskontrollpflicht: der
Vorstand hat auch die Rechtsbefolgung durch die nachgeordneten
Mitarbeiter sicher zu stellen. Um dieser gesellschaftsrechtlichen
Überwachungspflicht zu genügen, sind Compliance-Maßnahmen unumgänglich und daher laut Rechtsprechung und Literatur zwingend
1
2
3
4
Compliance-Berater | 6/2015 | 2.6.2015
OECD Foreign Bribery Report – An Analysis of the Crime of Bribery of Foreign Public Officials vom 2.12.2014, abrufbar unter www.fcpablog.com/
blog/2014/12/2/oecd-most-bribes-are-paid-by-big-companes-with-seniormanage.html (Abruf: 7.5.2015).
Vgl. Becker/Ulrich/Ries, ZRFC 2014, 54; als wesentliche Maßnahme zur Reduktion von Compliance-Risiken bezeichnet Ghazvinian, Der Schweizer Treuhänder 2012, 968. Zusätzliche Fundstellen zur besonderen Bedeutung der
sorgfältigen Auswahl und Überprüfung von Geschäftspartnern in Moosmayer,
Compliance – Praxisleitfaden für Unternehmen, 2012, S. 29, 73; Mössner/
Kerner, CCZ 2011, 182; Görling/Inderst/Banneburg, Compliance – Aufbau,
Management, Risikobereiche, 2010, S. 425 ff.; Markfort, GeschäftspartnerCompliance, in: Korruptionsprävention – Ein Leitfaden für Unternehmen,
2014, S. 67 ff.
Der im Mai 2013 gegründeten IFBT gehören Experten der Royal Canadian
Mounted Police („RCMP“), des US Federal Bureau of Investigation („FBI“),
der City of London Police’s Overseas Anti-Corruption Unit und der Australian
Federal Police an; vgl. RCMP, New international taskforce combats foreign
bribery, 11.6.2013; abrufbar unter www.rcmp-grc.gc.ca/ottawa/ne-no/prcp/2013/0611-ifbt-gtice-eng.htm (Abruf: 7.5.2015).
Markfort, ZRFC 2014, 180.
Mayer, Wer muss eine Compliance-Prüfung neuer Geschäftspartner freigeben?
forderlich.5 Der Deutsche Corporate Governance Kodex greift diese
Pflicht in Ziff. 4.1.3. DCGK auf.6 Einen weiteren Ermessensspielraum
hat der Vorstand gemäß deutschem Gesellschaftsrecht hingegen bei
der Frage, wie Compliance im Unternehmen umzusetzen ist und welche Maßnahmen getroffen werden müssen.7 Hierbei ist die Business
Judgement Rule anwendbar, d. h. der Vorstand kann sich vor einer
persönlichen Haftung schützen, wenn die getroffenen Entscheidungen – hier die Ausgestaltung des CMS – sogfältig vorbereitet und am
Interesse des Unternehmens ausgerichtet sind. Nichtsdestotrotz wird
inzwischen auch bezüglich konkreter Compliance-Maßnahmen eine
„Ermessensreduktion auf null“ angenommen, wenn ein entsprechendes Risikoprofil – etwa bei international tätigen Großkonzernen – vorliegt.8 In diesem Zusammenhang wird überwiegend vertreten, dass
als präventive Pflichtmaßnahme und Grundstein eines jeden CMS
eine unternehmensweite Compliance-Risikoanalyse durchgeführt
werden muss.9 Bei ganzheitlichem Verständnis muss ein Geschäftspartnerprüfungsprozess, der in der Literatur zu Recht als maßgeblich
für die Vermeidung von Compliance-Verstößen angesehen wird,10 die
logische Implementierungsfolge sein. Da aber ausdrückliche gesellschaftsrechtliche Vorschriften zu seiner konkreten Ausgestaltung
fehlen, muss auf Gerichtsentscheidungen und auf internationale
Richtlinien und Best Practices zurückgegriffen werden.
b) Die „Neubürger“-Entscheidung des LG München I11
Diese Entscheidung des LG München I vom 10.12.2013 wurde in der
Literatur intensiv besprochen, äußerte sich doch damit erstmals ein
deutsches Gericht detailliert zu den gesellschaftsrechtlichen Compliance-Pflichten eines Unternehmensleitungsorgans. Streitgegenstand
war der Vorwurf an einen ehemaligen Finanzvorstand eines großen
Technolgiekonzerns, bei der Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters verletzt zu haben.
Insbesondere habe er es unterlassen, das Unternehmen so zu organisieren und zu überwachen, dass systematische Gesetzesverletzungen unterbunden werden können. Im Kern stellte das LG München I.
hierzu folgendes fest:
Im Rahmen seiner Leitungsaufgabe muss jedes einzelne Vorstandsmitglied dafür Sorge tragen, dass das Unternehmen so organisiert
und beaufsichtigt wird, dass systematische Gesetzesverstöße wie
z. B. Schmiergeldzahlungen nicht entstehen können.12 Diesbezüglich sind auch internationale rechtliche Bestimmungen zu berücksichtigen.13 Ist das Risikoprofil entsprechend ausgeprägt, erfüllt ein
Vorstandsmitglied seine Organisationspflicht nur dann, wenn es
eine auf die Vermeidung von Schaden und die Kontrolle von Risiko
ausgerichtete Compliance-Organisation implementiert und deren
Tauglichkeit auch fortlaufend überwacht. Mit der bloßen Einrichtung eines CMS ist es hingegen nicht getan. Das Gericht betont,
dass die Wahrnehmung der Compliance-Aufgabe – ein Begriff, der
aufgrund seines operativen Bezugs viel weiter geht als derjenige der
Compliance-Verantwortung – eine Daueraufgabe des Vorstands ist.
Er muss die Angemessenheit und Wirksamkeit eines CMS kontinuierlich überwachen und sich hierzu regelmäßig Bericht erstatten lassen. Gesteigerte Sorgfaltspflichten gelten bei konkret vorliegenden
Verdachtsmomenten zu Compliance-Verstößen. In solchen Fällen hat
ein Vorstandsmitglied unverzüglich „den Dingen auf den Grund“ zu
gehen, etwaige Verstöße abzustellen und zu sanktionieren. Versäumt
er dies, so liegt ein pflichtwidriges Unterlassen vor.
Neben dieser allgemeinen Verpflichtung zu Aufbau und Kontrolle eines
tauglichen CMS behandelt die Entscheidung im Einzelnen auch die
Prüfung von Geschäftspartnern und die damit zusammenhängenden
BEITRÄGE COMPLIANCE MANAGEMENT
201
Zuständigkeiten und Verantwortlichkeiten des obersten Unternehmensleitungsorgans und dessen Mitglieder. Den Antrag auf Klageabweisung begründete der Beklagte bspw. damit, dass ein Finanzvorstand eines global operierenden Konzerns nicht jede „Berechtigung
einer einzelnen Forderung“ kennen müsse und dass durch die Delegation der Compliance-Aufgaben die korrespondierende Verantwortung auf die zuständigen Ressorts übergegangen sei. Dem folgte das
Gericht nicht: Ein funktionierendes Kontrollsystem muss sehr wohl
auch gewährleisten, dass jeder individuelle Zahlungsvorgang – auch an
einen Geschäftspartner – dauerhaft nachvollziehbar bleibt.14 Dies gelte
gerade auch für Zahlungen auf der Grundlage von Beraterverträgen,15
die bekanntermaßen ein beliebtes und geeignetes Mittel zur Verschleierung von Korruptionszahlungen sind. Eine geeignete Maßnahme im
Rahmen eines CMS, um dies zu verhindern, wäre die „zentrale Erfassung sämtlicher Beraterverträge mit Dritten“ gewesen. Die Ausführungen des Beklagten, dass er selbst ebenso wenig wie die mit der
Überwachung von Compliance-Vorgaben beauftragten Personen keine
ausreichenden Weisungsbefugnisse gegenüber Einzelpersonen und
Konzerneinheiten gehabt hätte, waren zur Entlastung nicht geeignet.
Im Gegenteil sei dies wiederum nur ein weiteres Anzeichen für „das
Fehlen eines funktionierenden Compliance-Systems, das der Vorstand
im Rahmen seiner Gesamtverantwortung für die Einhaltung des Legalitätsprinzips hätte einrichten“ und wirksam kontrollieren müssen.
Mithin bestimmt diese Entscheidung deutliche Delegationsgrenzen,
sowohl was die Verantwortung für die Einrichtung eines effizienten
und effektiven CMS als Ganzen angeht, als auch zur Erfüllung der
5 Bicker, AG 2012, 543 mit umfangreichen weiteren Nachweisen.
6 Teilweise wird zur Begründung der Legalitätskontrollpflicht des Vorstands
auch auf die ordnungswidrigkeitenrechtliche Norm des § 130 OWIG rekurriert. Diese Vorschrift des öffentlichen Rechts postuliert jedoch eo ipse keine
im Innenverhältnis einer Aktiengesellschaft greifende Vorstandspflicht, vgl.
Bicker, ZWH 2013, 474.
7 Kort, in: Großkomm. AktG, 4. Aufl. 2006, § 91, Rn. 65; Mertens/Cahn, in: Kölner Kommentar zum AktG, 3. Aufl. 2005, § 91, Rn. 36.
8 Bicker, ZWH 2013,474 mit vielen weiteren Quellenangaben.
9 Bicker, ZWH 2013, 475.
10 Bicker, ZWH 2013, 477.
11 LG München I, 10.12.2013 – 5 HK O 1387/10, BB 2014, 850 Ls m. BB-Komm.
Grützner, CB 2014, 167 m. CB-Komm. Kränzlin/Weller; Späth/Weidmann, CB
2015, 8 ff; AG 2014, 332 ff.
12 AG 2014, 333.
13 LG München I, 10.12.2013 – 5 HK O 1387/10, BB 2014, 850 Ls m. BB-Komm.
Grützner, CB 2014, 167 m. CB-Komm. Kränzlin/Weller; Entscheidungsgründe,
Abschn. I. Ziff. 1. A. (1), S. 22; „Dabei gilt dies auch in Bezug auf die Einhaltung ausländischer Rechtsvorschriften, zu denen jedenfalls seit der auch im
innerstaatlichen Recht gültigen Vorgaben des OECD-Übereinkommens über
die Bekämpfung der Bestechung ausländischer Amtsträger im internationalen
Geschäftsverkehr vom 17.12.1997 gehört. Namentlich seit der Umsetzung in
innerstaatliches Recht durch Art. 2 § 1 EUBestG und Art. 2 § 2 IntBestG sind
Schmiergeldzahlungen an Amtsträger eines ausländischen Staates ebenso
unter Strafe gestellt wie Schmiergeldzahlungen an ausländische Privatpersonen, für die § 299 III. StGB gilt. Demgemäß bedeuten grenzüberschreitende
Schmiergeldzahlungen eine Gesetzesverletzung, die sich auch nicht aus der
Erwägung heraus rechtfertigen lässt, anderenfalls seien wirtschaftliche Erfolge
auf korruptiven Auslandsmärkten nicht mehr möglich.“; Fleischer, in: Spindler/
Stilz, AktG, 2. Aufl. 2010, § 93, Rn. 27; Bürgers/Israel, in: Bürgers/Körber,
AktG, 3. Aufl. 2014, § 93, Rn. 7; Bicker, AG 2012, 542, 543.
14 LG München I, 10.12.2013 – 5 HK O 1387/10, BB 2014, 850 Ls m. BB-Komm.
Grützner, CB 2014, 167 m. CB-Komm. Kränzlin/Weller; Entscheidungsgründe,
Abschn. I. Ziff. 1. A. (2) (b), S. 27.
15 LG München I, 10.12.2013 – 5 HK O 1387/10, BB 2014, 850 Ls m. BB-Komm.
Grützner, CB 2014, 167 m. CB-Komm. Kränzlin/Weller; Entscheidungsgründe,
Abschn. I. Ziff. 1. A. (2) (b), S. 28.
Compliance-Berater | 6/2015 | 2.6.2015
202
BEITRÄGE COMPLIANCE MANAGEMENT
damit zusammenhängenden Aufgaben.16 Diese können sogar die
zentrale Gestaltung, regelmäßiger Information und ständige Verbesserung von Geschäftspartnerprüfungsprozessen auch in weit entlegenen ausländischen Tochtergesellschaften umfassen, wobei das erkennende Gericht ausdrücklich nicht auf unternehmens-spezifische
Management-Strukturen (wie z. B. einen „Bereichsvorstand“) abstellt,
sondern den aktienrechtlichen Vorstand selbst in die Pflicht nimmt.
Die Verantwortung für Compliance darf nicht zu weit auf nachgeordnete Führungsebenen delegiert werden; ganz besonders nicht, wenn
bereits konkrete Gesetzesverstöße bekannt sind.
2. Internationales Recht
a) US Foreign Corrupt Practices Act
Die erste Gesetzgebung mit extraterritorialer Anwendbarkeit17 und
Relevanz für Geschäftspartnerprüfungen ist der US Foreign Corrupt
Practices Act („FCPA“) aus dem Jahr 1977.18 Dem vom US Justizministerium (Department of Justice/„DoJ“) gemeinsam mit der US Börsenaufsichtsbehörde (Securities and Exchange Commission/„SEC“)
am 14.11.2012 herausgegebenen FCPA Ressource Guide („FCPA Guide“)19 lassen sich weitere Hinweise entnehmen. Explizit wird formuliert, dass Geschäftspartnerprüfungsprozesse als solche ein besonderes Bewertungskriterium bei der Beurteilung der CMS-Tauglichkeit
bei einer Strafverfolgung auf Grundlage des FCPA darstellen. 20 Selbst
wenn das Ausmaß von Geschäftspartnerprüfungen in Unternehmen
unterschiedlicher Industriezugehörigkeiten, Größenordnungen oder
Ländern variieren kann, so beanspruchen die folgenden Prinzipien
doch allgemeine Anwendbarkeit:
– Implementierung eines risiko-basierten Geschäftspartnerprüfungsprozesses
– Kenntnis des konkreten Beauftragungsbedarfs
– Festlegung von Zahlungsbedingungen
– Vergleich mit Marktüblichkeit
– Zeitlicher Bezug der Involvierung des Geschäftspartners
– Überwachung
– Kommunikation der eigenen Compliance-Anstrengungen an den
Geschäftspartner
Der FCPA Guide schreibt explizit keine hierarchischen Mindestanforderungen im speziellen Zusammenhang von Geschäftspartnerprüfungen vor. Aus den allgemeinen Ausführungen zur notwendigen
Behandlung von Zahlungen an dritte Parteien jedoch lassen sich
wertvolle Angaben entnehmen.21 Nach dem FCPA ist Wissen zuzurechnen, wenn sich jemand darüber bewusst ist oder daran glaubt,
dass verdächtige Umstände vorliegen oder eine Bestechung mit einem hohen Grad an Vorhersehbarkeit stattfindet.22 Der US-Gesetzgeber will mit diesem weiten Kenntnis-Begriff nicht nur eine Strafbarkeit für tatsächliches Wissen erreichen, sondern ganz gezielt auch
diejenigen bestrafen, die bereits die Kenntniserlangung bewusst
vermeiden wollen.23 Daraus folgt, dass ein robuster, FCPA-tauglicher
Geschäftspartnerprüfungsprozess nur dann ein Unternehmen, dessen Leitungsorgane und Mitarbeiter von einer strafrechtlichen Verantwortung enthaftet, wenn eine zuverlässige Kenntniserlangung des
Top-Managements bereits bei Verdacht auf Fehlverhalten bei einzelnen fragwürdigen Geschäftspartnern gewährleistet werden kann.
b) US Sentencing Guidelines
Bei den US Federal Sentencing Guidelines („Sentencing Guidelines“)
handelt es sich um umfangreiche Strafzumessungsvorschriften in Ergänzung zum materiellen US-Strafrecht. Sie stellen unmissverständlich klar, dass Organisationen – bspw. Wirtschaftsunternehmen –,
Compliance-Berater | 6/2015 | 2.6.2015
Mayer, Wer muss eine Compliance-Prüfung neuer Geschäftspartner freigeben?
insofern sie durch Vertreter agieren, genau wie Individuen strafbar
sein können und daher ggf. auch strafrechtlich für das Fremdverschulden Dritter haften.24 Zugleich sieht das Sanktionsinstrumentarium der Sentencing Guidelines aber ausdrücklich Anreize für Organisationen vor, interne Mechanismen zur Vermeidung, Entdeckung
und Anzeige kriminellen Verhaltens zu implementieren. Diese Mechanismen müssen allerdings geeignet sein, die genannten Funktionen
zu erfüllen. So müssen gem. § 8 B 2.1. (a) (1) der Sentencing Guidelines effektive Compliance-Programme ganz grundsätzlich regelmäßige Due-Diligence-Prüfungen vorsehen, um kriminelles Verhalten
zu vermeiden bzw. zu entdecken. § 8 B 2.1. (b) schreibt expressis
verbis Mindeststandards vor, wie solche Due-Diligence-Prüfungen zu
gestalten sind. Zunächst müssen Unternehmen verbindliche Standards festlegen und geeignete Prozesse definieren, § 8 B 2.1. (b) (1).
Sodann muss das Unternehmen diese Standards und Prozesse auch
befolgen, überwachen und regelmäßig auf ihre Wirksamkeit hin untersuchen, § 8 B 2.1. (b) (5). Standards und Prozesse in diesem Zusammenhang müssen Verhaltensvorschriften und interne Kontrollen
darstellen, die nach vernünftigen Maßstäben auch schlechterdings
tauglich sind, die Eintrittswahrscheinlichkeit kriminellen Verhaltens
zu mindern.25 Darüber hinaus fordert § 8 B 2.1. (b) (2) (A) unmissverständlich, dass das Leitungsorgan des Unternehmens über den
Inhalt und den Betrieb des Compliance-Programms gut unterrichtet sein muss und die tatsächliche Einführung und Wirksamkeit des
Compliance-Programms zu beaufsichtigen hat.26 Dabei bezeichnet
der Begriff „Leitungsorgan“ das höchste Organ des Unternehmens,
also entweder das Board of Directors oder – falls nicht vorhanden –
das ansonsten höchste Leitungsgremium.27 Weiter wird in § 8 B 2.1.
16 LG München I, 10.12.2013 – 5 HK O 1387/10, BB 2014, 850 Ls m. BB-Komm.
Grützner, CB 2014, 167 m. CB-Komm. Kränzlin/Weller; Entscheidungsgründe,
Abschn. I. Ziff. 1. A. (2) (b), S. 31.
17 Zur Notwendigkeit der Beachtung ausländischen Rechts s. oben Fn. 13 mit
weiteren Nachweisen.
18 Abrufbar unter www.justice.gov/criminal/fraud/fcpa/docs/fcpa-english.
pdf (Abruf: 7.5.2015).
19 Abrufbar unter www.justice.gov/criminal/fraud/fcpa/guidance/guide.pdf
(Abruf: 7.5.2015); vgl. auch allgemein zur FCPA-Anwendbarkeit außerhalb
der USA: Spehl/Grützner, CCZ 2013, 198 ff.
20 FCPA Guide (Fn. 19), S. 60: Third Party Due Diligence and Payments.
21 FCPA Guide (Fn. 19), S. 21 ff.
22 Der FCPA Guide (Fn. 19), S. 22, spricht von „substantially certain“.
23 Das ominöse Vogel-Strauß-Syndrom bzw. „Kopf-in-den-Sand“ stecken – von
US DoJ und SEC abwechselnd als bewusste Vernachlässigung – „„conscious
disregard“, vorsätzliche Blindheit – „willful blindness“ oder absichtliche Ahnungslosigkeit – „deliberate ignorance“ – bezeichnet – soll als mögliche
Einwendung zu Gunsten einer Unternehmensleitung umfassend bekämpft
werden gerade dann, wenn nach vernünftigen Maßstäben klar erkennbare
Alarmsignale wie „Rote Flaggen“ wie unmäßig hohe Kommissionszahlungen
an einen Geschäftspartner oder dessen Verlangen nach Bezahlung auf ein
Bankkonto in einem Offshore-Finanzplatz vorliegen. Vgl. FCPA Guide (Fn. 19),
S. 22.
24 Sentencing Guidelines i. d. F. vom 1.11.2014; Chapter 8, Introductory Comment, P. 495; abrufbar unter www.ussc.gov/sites/default/files/pdf/guidelines-manual/2014/CHAPTER_8.pdf (Abruf: 7.5.2015).
25 Sentencing Guidelines, Commentary § 8 B 2.1, Application Notes, 1. Definitions, „Standards and procedures“.
26 „The organization’s governing authority shall be knowledgeable about the
content and operation of the compliance and ethics program and shall exercise
reasonable oversight with respect to the implementation and effectiveness of
the compliance and ethics program.“
27 Sentencing Guidelines, Commentary § 8 B 2.1, Application Notes, 1. Definitions, „Governing authority“
Mayer, Wer muss eine Compliance-Prüfung neuer Geschäftspartner freigeben?
(b) (2) (B) oberen Führungskräften die Pflicht auferlegt, das tatsächliche Vorhandensein eines wirksamen Compliance Programms im Unternehmen sicherzustellen. Besondere Mitarbeiter innerhalb dieses
Kreises der oberen Führungskräfte sollen mit der Verantwortung für
das Compliance-Programm betraut werden.28 Schließlich soll nach
§ 8 B 2.1. (b) (2) (C) einzelnen Mitarbeitern außerhalb des o. g. Personenkreises – d. h. nicht notwendigerweise obere Führungskräfte – die
operative Verantwortung für den Betrieb des Compliance-Programms
übertragen werden. Allerdings haben die derart Beauftragten in regelmäßigen Abständen an die jeweiligen oberen Führungskräfte und,
falls notwendig, auch an das oberste Leitungsgremium oder eine geeignete Untergruppierung davon zu berichten. Um diese operative
Verantwortung auch tatsächlich wahrnehmen zu können, müssen
diese besonderen Mitarbeitern über angemessene Mittel, ausreichende Entscheidungskompetenz und einen direkten Zugang zum
obersten Leitungsorgan (oder einer geeigneten Untergruppierung
davon) verfügen.29 Mitarbeiter mit bekannt rechtswidrigen Vorverhalten dürfen gem. § 8 B 2.1. (b) (3) nicht in den Personenkreis der
genannten oberen Führungskräfte oder besonderen Mitarbeiter berufen werden.
Auffällig ist der hohe Detaillierungsgrad, mit dem die Sentencing
Guidelines in der Kommentierung zu § 8 A 1.2 die betroffenen Mitarbeiterkreise näher bestimmen.30 Der „obere Führungskreis“ i. S. d.
Vorschrift zeichnet sich durch eine weitreichende Kontrolle über die
Unternehmensorganisation aus oder verfügt über maßgeblichen Einfluss zur Vorgabe verbindlicher Vorschriften innerhalb des gesamten Unternehmens. Beispielhaft werden Direktoren, Vorstände oder
die Leiter von Geschäftseinheiten/Unternehmensfunktionen (z. B.
Vertrieb oder Finanzen) aufgeführt. Gleichermaßen in diesen Kreis
gehören Eigentümer größerer Unternehmensanteile. Die Sentencing Guidelines führen diese Definitionen bis hin zur Beschreibung
des oberen Führungskreises in Unternehmenseinheiten aus, wobei
durchgehend auf Kontrollvermögen und Vorschriftenerlass – ggf. im
Wirkungsbereich der jeweiligen Unternehmenseinheit – abgestellt
wird. 31 Im Rahmen der Sanktionierung eines beschuldigten Unternehmens wird dem Vorhandensein und der Ausformung eines CMS
durch ein Punkte-basiertes System Rechnung getragen: Verfügt das
Unternehmen über ein tatsächlich wirkungsvolles Compliance-Programm, so werden in strafmildernder Weise drei Punkte von der Gesamtwertung nach § 8 C 2.5 (f) (1), die Maßstab für die Schuld des
Unternehmens ist, abgezogen. Im Falle einer Beteiligung eines Leiters einer Unternehmenseinheit an einer Rechtsverletzung werden
drei Punkte zur Strafverschärfung aufgeschlagen. Gehört der gleiche
Leiter einer Unternehmenseinheit gleichzeitig dem oberen Führungskreis des Gesamtunternehmens an, werden sogar vier (Straf-)Punkte
addiert.
Daraus wird ersichtlich, dass – ähnlich wie bei FCPA und der Neubürger-Entscheidung – auch hier ein Unterlassen der oberen Führungskreisangehörigen („strategisches Wegschauen“) letztendlich
eine schärfere Sanktionierung nach sich zieht als der gleiche Vorwurf
gegenüber nachgeordneten Mitarbeitern. Deshalb sollten sich gerade auch die Mitglieder des obersten Führungskreises um eine möglichst unmittelbare Kontrolle über Compliance-Prozesse (wie eben
Geschäftspartnerprüfungen) auch in nachgeordneten ausländischen
Unternehmenseinheiten bemühen.
c) UK Bribery Act
Am 1.7.2011 trat der UK Bribery Act 201032 in Kraft, der ähnlich
wie der US-FCPA über eine große exterritoriale Reichweite verfügt.
BEITRÄGE COMPLIANCE MANAGEMENT
203
Ergänzend zum Gesetzestext hat das britische Justizministerium (Ministry of Justice) eine Bribery Act 2010 Guidance herausgegeben, worin u. a. auch auf die Notwendigkeit von Geschäftspartnerprüfungen
eingegangen wird.33 Insbesondere wird klargestellt, dass Unternehmen ganz allgemein einen beträchtlichen Vorsorgeaufwand betreiben
müssen, bevor sie in neue Geschäftsbeziehungen eintreten. Einer
sorgfältigen Due Diligence und Risikokontrolle kommt bei jeder neuen rechtsverbindlichen Verpflichtung hohe Bedeutung zu. Dementsprechend kann das Vorhandensein eines tatsächlich im Unternehmen implementierten Compliance-Programms – einschließlich Due
Diligence- bzw. Geschäftspartnerprüfungsprozessen – gem. Section
7. II. des UK Bribery Acts von einer strafrechtlichen Zurechnung des
korrupten Verhaltens Dritter enthaften. In Ermangelung konkreter
weiterer Vorgaben ist bei der Gestaltung solcher Geschäftspartnerprüfungsprozesse auf den allgemeinen Grundsatz der Risiko-Angemessenheit anzuknüpfen.
28 „High-level personnel of the organization shall ensure that the organization
has an effective compliance and ethics program, as described in this guideline.
Specific individual(s) within high-level personnel shall be assigned overall responsibility for the compliance and ethics program.“ (3) The organization shall
use reasonable efforts not to include within the substantial authority personnel
of the organization any individual whom the organization knew, or should have
known through the exercise of due diligence, has engaged in illegal activities or
other conduct inconsistent with an effective compliance and ethics program.
29 „Specific individual(s) within the organization shall be delegated day-to-day
operational responsibility for the compliance and ethics program. Individual(s)
with operational responsibility shall report periodically to high-level personnel
and, as appropriate, to the governing authority, or an appropriate subgroup
of the governing authority, on the effectiveness of the compliance and ethics
program. To carry out such operational responsibility, such individual(s) shall
be given adequate resources, appropriate authority, and direct access to
the governing authority or an appropriate subgroup of the governing authority.“
30 Sentencing Guidelines, § 8 A 1.2., Commentary, Application Notes 3. (B):
„High-level personnel of the organization“ means individuals who have substantial control over the organization or who have a substantial role in the
making of policy within the organization. The term includes: a director; an
executive officer; an individual in charge of a major business or functional unit
of the organization, such as sales, administration, or finance; and an individual
with a substantial ownership interest. (…)
31 Sentencing Guidelines, § 8 C 2.5., Commentary, Application Notes 2. und
3.: 2. „For purposes of subsection (b), „unit of the organization“ means any
reasonably distinct operational component of the organization. For example, a
large organization may have several large units such as divisions or subsidiaries, as well as many smaller units such as specialized manufacturing, marketing, or accounting operations within these larger units. For purposes of this
definition, all of these types of units are encompassed within the term „unit
of the organization.“ 3. „High-level personnel of the organization“ is defined
in the Commentary to § 8A1.2 (Application Instructions – Organizations). With
respect to a unit with 200 or more employees, „high-level personnel of a
unit of the organization“ means agents within the unit who set the policy
for or control that unit. For example, if the managing agent of a unit with 200
employees participated in an offense, three points would be added under
subsection (b) (3); if that organization had 1,000 employees and the managing
agent of the unit with 200 employees were also within high-level personnel of
the organization in its entirety, four points (rather than three) would be added
under subsection (b)(2).“
32 Vgl. www.legislation.gov.uk/ukpga/2010/23/contents (Abruf: 7.5.2015).
33 Vgl. The UK Bribery Act 2010 Guidance, S. 27, Principle 4: Due Diligence;
abrufbar unter www.justice.gov.uk/downloads/legislation/bribery-act2010-guidance.pdf (Abruf: 7.5.2015).
Compliance-Berater | 6/2015 | 2.6.2015
204
BEITRÄGE COMPLIANCE MANAGEMENT
3. Internationale Richtlinien
a) OECD Richtlinie Typologies on the Role of Intermediaries in
International Business Transactions
Nicht nur die internationale Gesetzgebung, sondern auch die Richtlinien internationaler Organisationen sind als Erkenntnisquellen zu
berücksichtigen. 2009 hat die Arbeitsgruppe für internationale Korruptionsbekämpfung der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (Organisation for Economic Cooperation and
Development, „OECD“) eine Richtlinie zu Intermediären in internationalen Geschäftsvorgängen herausgegeben34. Ziff. 87 dieser OECDRichtlinie bietet Hinweise zu den Anforderungen an die Auswertung
und Freigabe von Geschäftspartnerprüfungen.35 Dabei werden drei
funktionsfähige Modelle unterschieden: Bei einem zentralisierten
Konzept ist der Chief Compliance Officer der letzte Entscheider zur
Freigabe eines Geschäftspartners; Geschäftseinheiten können dazu
Empfehlungen machen. Anders liegt bei einem dezentralen Ansatz
die letzte Entscheidungskompetenz bei den einzelnen Geschäftseinheiten. Zwischen diesen beiden Extremen besteht die Möglichkeit
eines Mischmodells. In jedem Fall sind gemäß dieser OECD-Vermittler-Richtlinie bei der Freigabe von Geschäftspartnern mit erkennbar
höherem Risiko weitreichendere Untersuchungen durchzuführen und
die Freigabe durch eine Compliance-Abteilung oder sogar den Chief
Compliance Officer zu erteilen.36
b) ICC Guidelines on Agents, Intermediaries and Other Third
Parties
Die Internationale Handelskammer (International Chamber of Commerce/„ICC“) hat im Jahr 2010 Richtlinien zu Agenten, Intermediären und anderen dritten Parteien formuliert.37 In Abschn. III. wird
Konzeption eines Geschäftspartnerprüfungsprozesses als Notwendigkeit beschrieben.38 Da es allerdings keine einheitliche Lösung für
alle Unternehmen geben könne, müssen spezifische Konzepte für
die jeweilige Sondersituation des einzelnen Unternehmens entworfen werden und zwar in Abhängigkeit von Unternehmensgröße, Ressourcen und einschlägigem Risikoprofil. Als Grundsatz empfiehlt die
ICC-Richtlinie aber eine klare Funktionstrennung in Form eines Bewertungs- und eines Freigabeprozesses, welcher verbindlich die Einschaltung einer unabhängigen Unternehmensfunktion vorschreibt.
Neben der „unterstützenden Abteilung“ mit einem Eigeninteresse
an der Beauftragung eines Geschäftspartners soll als Gegenpol eine
„beaufsichtigende Abteilung“ – z. B. eine Rechts- oder ComplianceAbteilung – bei der Freigabe involviert werden. 39 Zur Vermeidung von
Interessenskollisionen wird in Abschn. VII. dazu weiter ausgeführt,40
dass Mitarbeiter mit Freigabeverantwortung außerhalb von unterstützenden Abteilungen über einen direkten Zugang zum Vorstandsvorsitzenden oder dem Unternehmensleitungsgremium („Board of
Directors“) verfügen sollten, um ihre Unabhängigkeit zu stärken. Es
kann sogar empfehlenswert erscheinen, dass die beaufsichtigenden
Abteilungen im Unternehmen für alle Geschäftspartnerprüfungen
und -freigaben allein zuständig sind. Als Alternative dazu kann ein
Unternehmensausschuss aus unabhängigen Mitgliedern mit der
Freigabeentscheidung betraut werden. In diesem Fall muss laut den
ICC-Guidelines ein solcher Ausschuss mindestens mit Vertretern aus
Finanz-, Rechts- und Compliance-Abteilungen besetzt sein. Welchen
Führungskreisen oder Managementebenen diese Mitglieder angehören sollten bleibt allerdings offen. Zusammenfassend ergibt sich aus
der Analyse dieser ICC-Guidelines die explizit genannte Notwendigkeit einer funktionalen Trennung der Abteilung, welche die Geschäftspartnerprüfung beaufsichtigen sollte, von den operativ betroffenen
Compliance-Berater | 6/2015 | 2.6.2015
Mayer, Wer muss eine Compliance-Prüfung neuer Geschäftspartner freigeben?
Abteilungen. Implizit fordert die Richtlinie darüber hinaus eine angemessene Hierarchiestufe der beaufsichtigenden Abteilung, sodass
ein unmittelbarer Zugang zum Vorstandsvorsitzenden oder zum Unternehmensleitungsorgan sichergestellt ist.
c) WEF/PACI Good Practice Guidelines on Conducting Third
Party Due Diligence und PACI Principles for Countering
Bribery
Die Partnering Against Corruption Initiative („PACI“) des Weltwirtschaftsforums (World Economic Forum, „WEF“) hat im Jahr 2013
Richtlinien zur Durchführung von Geschäftspartnerprüfungen41 veröffentlicht, welche die schon seit 2009 eingeführten PACI-Prinzipien
zur Korruptionsbekämpfung42 konkretisieren. Dort schreibt insbesondere das PACI-Prinzip 5.2 Unternehmen vor, eigene ComplianceProgramme auch auf alle externen Geschäftsbeziehungen auszudehnen. In diesem Zusammenhang sind Geschäftspartnerprüfungen von
34 Richtlinie der OECD Workinig Group on Bribery in Internation Business Transactions vom 9.10.2009.
35 Vgl. www.oecd.org/investment/anti-bribery/anti-briberyconvention/
43879503.pdf (Abruf: 7.5.2015); Ziff. 87, S. 19: „As for who will assess a
potential intermediary and make the decision to hire, there are three different
models. Some companies use a strictly centralised system: the chief compliance officer assesses the candidates and makes the final hiring decision,
though a business unit may make a recommendation. Other companies use a
decentralised system in which business units have the final say. Lastly, some
companies use a hybrid model. Intermediaries that prima facie have higher risk
may be subject to closer scrutiny and approval by the company’s compliance
department or even the chief compliance officer.“
36 Nota bene: hier wird nicht exakt definiert, ob es sich um „eine“ ComplianceAbteilung oder „die“ (einzige, weil zentralisierte?) Compliance-Abteilung eines Unternehmens handeln soll.
37 ICC-Guidelines vom 19.11.2010.
38 Document 195-11 Rev2 Final EN VS/zse, S. 2, III. Selecting a Due Diligence
Process; abrufbar unter www.iccwbo.org/Advocacy-Codes-and-Rules/Document-centre/2010/ICC-Guidelines-on-Agents,-Intermediaries-and-OtherThird-Parties/ (Abruf: 7.5.2015).
39 ICC Guidelines (Fn. 37), S. 3: „Additionally, an enterprise might – at least where
a certain risk for bribery is feared – establish a process for the due diligence
review and approval of Third party transactions that requires the participation
of a designated function independent from the business unit that may have
an interest in engaging the Third party („the Sponsoring Department“), e.g.
Compliance or Legal („the Reviewing Departments“) (see chapter VII below).
For small to medium sized enterprises that do not have the internal resources
to support an independent Compliance or Legal organization, the due diligence
review and approval process could be managed by individuals who are independent of the Sponsoring Department. Some enterprises may consider involving outside legal or compliance or accounting experts in the due diligence
process.“
40 ICC Guidelines (Fn. 37), S. 6, VII. Approval of Third Party Transactions: „Because of the potential for conflicts of interest described above, persons with
responsibility or accountability for approving relationships with Third parties
may need to be situated outside of the Sponsoring Department because of
the potential for conflicts of interest as described above in chapter V.1. In addition, it may be useful for persons with this type of responsibility to have direct
access to the CEO or the Board of Directors to ensure their independence
and accountability. As a result, enterprises may want to nominate Reviewing
Departments to be responsible or accountable for all decisions regarding the
approval of Third parties that present bribery risks. Alternatively, enterprises
could appoint a committee of individuals who are independent of the sponsoring entity or employee and, at minimum, comprised of representatives from
e.g. the finance and legal/compliance departments.“
41 Abrufbar unter www3.weforum.org/docs/WEF_PACI_ConductingThirdParty
DueDiligence_Guidelines_2013.pdf (Abruf: 7.5.2015).
42 Abrufbar unter www3.weforum.org/docs/WEF_PACI_Principles_2009.pdf
(Abruf: 7.5.2015).
Mayer, Wer muss eine Compliance-Prüfung neuer Geschäftspartner freigeben?
maßgeblicher Bedeutung und erfordern einen besonderen Prozess
sowohl für das Stadium der Freigabe als auch die Phase einer Geschäftsbeziehung nach der Freigabe.43 Für beide Phasen empfiehlt
die WEF/PACI Geschäftspartnerprüfungs-Richtlinie in Abschn. 4.
eine starke Partnerschaft zwischen der Geschäftseinheit, die einen
Geschäftspartner beauftragen will und der zuständigen ComplianceAbteilung – wiederholt damit aber implizit auch das bereits oben
beschriebene Prinzip einer funktionalen Trennung. Detaillierte Ausführungen in Abschn. 4. A. beschreiben die erforderliche Unterscheidung von Geschäftspartnern mit niedriger Risikoausprägung und
solchen mit mittlerer- oder hoher Risikoneigung. Ein klar definierter
Freigabe-Prozess trägt einer solchen Differenzierung in abgestufter
Weise Rechnung. Während es genügen soll, dass Geschäftspartner
mit niedrigem Risiko von der Leitung der für die beabsichtige Geschäftsbeziehung zuständigen Geschäftseinheit selbst freigegeben
werden, sind in Fällen von mittlerer oder hoher Risikoausprägung die
Leitungsebenen von mindestens zwei Geschäftseinheiten am Freigabe-Prozess zu beteiligen. Dabei soll es sich neben der potentiell beauftragenden Abteilung auch um eine Geschäftseinheit handeln, die
keine Vorteile aus der geplanten Geschäftspartnerbeziehung ziehen
kann, z. B. eine Compliance-Abteilung.44 Ergänzend ist ein Rückgriff
auf die PACI-Prinzipien von 2009 hilfreich. Diese stellen klar, dass
neben einer funktionalen Trennung mehrerer freigebender Unternehmenseinheiten auch höchstmögliche Seniorität – i. S. d. hierarchischen Stellung – des Compliance Managements zu gewährleisten
ist.45 Das PACI-Prinzip 5.1.1 weist dem höchsten Unternehmensleitungsorgan – hier als Board of Directors bezeichnet – nicht nur die
Aufsichtspflicht für die Entwicklung und Einführung eines wirkungsvollen Compliance-Programmes zu. Gemäß 5.1.2 wird vielmehr auch
der Vorstandsvorsitzende expressis verbis in die Pflicht genommen,
für die nachhaltige Ausführung des Compliance-Programms und klare Befugnisse Sorge zu tragen. Die Übertragung der Aufgabe, ein
Compliance-Programm – einschließlich eines Geschäftspartnerprüfungs- und -freigabeprozesses – zu implementieren, kann folglich nur
an einen Angehörigen des oberen Führungskreises mit direkter Berichtslinie zum Vorstandsvorsitzenden ergehen.46
III. Ergebnis
Nach der Auswertung der beschriebenen Quellen kann zunächst
zusammengefasst werden, dass derzeit (noch) kein weltweit einheitlicher Rechtsstandard zur konkreten Beschreibung von Mindestanforderungen an die Freigabe von Geschäftspartnerprüfungen besteht.
Aus den Ausführungen zur zivilrechtlichen Verantwortung von Vorständen für Compliance-Programme im Allgemeinen und für Geschäftspartnerprüfungsprozesse im Speziellen in der „Neubürger“Entscheidung des LG München I, den granularen Legaldefinitionen
der für den Betrieb eines wirkungsvollen Compliance Programms
erforderlichen Unternehmenshierarchieebenen im 8. Kapitel der US
Sentencing Guidelines sowie den ausdrücklichen Vorgaben zu der
Leitungsverantwortung von Geschäftseinheiten im Geschäftspartnerprüfungs- und Freigabeprozess der WEF/PACI-Richtlinie folgt jedoch,
dass die Verantwortung wie auch die Aufgabe der Durchführung bzw.
Freigabe von Geschäftspartnerprüfungsprozessen in international
tätigen Unternehmen nicht beliebig weit delegiert werden kann.
Die obersten Organe der Unternehmensleitung – also der aktienrechtliche Vorstand oder die Geschäftsführung einer GmbH – haben
BEITRÄGE COMPLIANCE MANAGEMENT
205
die unmittelbare Verantwortung für Aufbau, Überwachung, Betrieb
und konsequente Weiterentwicklung eines wirkungsvollen CMS inne
und können diese nicht mit befreiender Wirkung abgeben. Unter
Berücksichtigung bestimmter Bedingungen kann allerdings eine Delegation der Aufgabenerfüllung in gewissen Grenzen vorgenommen
werden. Wenn keine konkreten Hinweise zu wiederholten Rechtsverstößen gegen nationales oder internationales Recht vorliegen, kann
die Übertragung von Freigaben für Geschäftspartnerprüfungen bspw.
auf die Leitung von Landesgesellschaften zulässig sein.
Geschäftspartnerprüfungsprozesse können schließlich unter Einhaltung des bspw. in den ICC- und WEF/PACI-Richtlinien formulierten
Grundsatzes einer funktionalen Trennung zwischen einer potentiell
beauftragenden Geschäftseinheit und einer unabhängigen Compliance-Abteilung sowie mit dem Konzept einer risiko-orientierten Abstufung unterschiedlicher Freigabe-Erfordernisse unter notwendiger
Beteiligung der Compliance-Abteilung bei Geschäftspartnern mit
höherer Risikoausprägung so ausgestaltet werden, dass sie ein optimales (zivil- wie straf-)rechtliches Enthaftungspotential für das Unternehmen und dessen Leitungsorganmitglieder bieten. Konsequent im
ganzen Unternehmen implementiert und kontinuierlich fortentwickelt
ermöglichen derart gestaltete Geschäftspartnerprüfungsprozesse
darüber hinaus auch handfeste betriebswirtschaftliche Vorteile in der
täglichen Zusammenarbeit mit einer Vielzahl von unterschiedlichen
Geschäftspartnern dank deutlich verbesserter Transparenz und Kontrolle der jeweiligen Geschäftsbeziehung.
AUTOR
Eric Mayer, RA, ist Partner bei Pohlmann &
Company in München. Er berät internationale Unternehmen bei Konzeption, Aufbau und
Betrieb von Compliance-Management-Systemen. Den Schwerpunkt seiner Beratung
bildet die Implementierung von geschäftsbezogenen, risikobasierten Compliance Prozessen, -Kontrollen und -Tools. Dabei ist er
spezialisiert auf Geschäftspartnerprüfungen
und M&A-Compliance-Due-Diligences.
43 WEF/PACI-Richtlinie, S. 13, 4. Approval Process and Post-Approval Risk Mitigation.
44 WEF/PACI Richtlinie (Fn. 43), 4. a. Approval Process. „Once the risk assessment and due diligence processes are complete, the organization should apply
a clear system of approval for determining whether or not to move forward with
the third party:
– For low-risk third parties, it is appropriate for the management of the business unit to be responsible for approving the business relationship.
– For medium- to high-risk third parties, there should be a minimum of two
business units involved in the approval process:
– the management of the business unit, and
– another level of management which has nothing to gain from the selection of the third party (e.g. the compliance or legal department).“
45 PACI-Prinzipien (Fn. 42), S. 14, 5.1.
46 Zusätzlich nimmt das PACI Prinzip 5.1.3. das Board of Directors, den Vorstandsvorsitzenden (CEO) und das gesamte Senior Management in die Verantwortung für ein klar erkennbares und aktives Bekenntnis zur Implementierung aller PASCI-Prinzipien zur Korruptionsbekämpfung.
Compliance-Berater | 6/2015 | 2.6.2015
Herunterladen
Werbung