Compliance

Gesellschafts- und kapitalmarktrechtliche Grundlagen von

Compliance

Prof. Dr. Guido Holzhauser, Vorstandsvorsitzender des Institute for European Business Law SRH Hochschule Heidelberg

Vortrag im Rahmen des Seminars „ Prävention und Management aktueller

Unternehmensrisiken: Compliance in Unternehmen" des Deutschen

Aktieninstituts am 22. April 2008 in der Industrie und Handelskammer Frankfurt

am Main.

_______________________________________________

1. Compliance – a new science ?

Wann wird eine Materie, ein Fachgebiet, zur Wissenschaft ?

Typische Anzeichen sind Publikationen in Fachzeitschriften, das Erscheinen von Büchern, die Herausgabe von mindestens einer periodisch erscheinenden Fachzeitschrift und die Veranstaltung von Vorträgen und Seminaren zum Thema.

Wenn es danach geht, ist Compliance als Wissenschaft angekommen, denn alle genannten Merkmale treffen inzwischen zu, wie ja gerade auch die heutige Veranstaltung beweist.

Doch was verbirgt sich hinter dem Begriff ? Sind es neue Entwicklungen und Erkenntnisse oder ist es nur alter Wein in neuen Schläuchen ?

Ist Skepsis angebracht , so wie der Geschäftsführer eines weltweit bekannten mittelständischen Unternehmens anlässlich eines Vortrags, den ich im letzten Jahr zum Thema Compliance gehalten habe, äußerte : Na ja, was sie sich alles einfallen lassen, die Bürokraten, erst haben wir ISO gemacht, dann Risikomanagement, jetzt machen wir halt Compliance.“

Das Thema, um das es geht, ist angesiedelt im Dreigestirn Corporate Governance, Risikomanagement und Compliance.

Corporate Governance wird vielfach als rechtlicher und faktischer Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens bezeichnet (vgl.v.Werder, Deutscher Corporate Governance Kodex, Rdnr.1 m.w.N. in Fn.3).

Ob dieser Umschreibung wirklich ein eigenständiger Definitionsgehalt zukommt, bleibe dahingestellt. Fakt ist, dass Corporate Governance zunächst einmal Unternehmensleitung bedeutet und deshalb nicht selbst das Regelungswerk darstellt, sondern Objekt von Regelungen ist, die die Unternehmensleitung zum Gegenstand haben. Dies sind Gesetze und Verordnungen, sonstige Regelungswerke sowie für börsennotierte Unternehmungen der erstmals im Jahre 2002 aufgestellte Deutsche Corporate Governance Kodex, der neben auszugsweiser Wiederholung von Gesetzestexten international und national anerkannte Standards guter und verantwortungsvoller Unternehmensführung enthält. Er soll wie entsprechende Corporate Governance Regeln in über 50 anderen Länderndie Unternehmensführung transparent und nachvollziehbar machen und das Vertrauen der internationalen und nationalen Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Leitung und Überwachung deutscher börsennotierter Gesellschaften fördern ( vgl.1.Präambel DCGK idF v. 14.6.2007;v.Werder a.a.O. Rdnr.3,4 ; Keitsch, Risikomanagement, S.17), eine sicherlich außerordentlich begrüßenswerte und permanent aktuelle Zielsetzung.

Der zweite Begriff im Zusammenhang ist Risikomanagement.

Risikomanagement im weiteren Sinne bedeutet Früherkennung, Bewertung, Kontrolle, Kommunikation und Steuerung von Finanz- operativen und allgemeinen (Höhere Gewalt, politische und ökonomische) Risiken mit dem Ziel der möglichst weitgehenden Reduzierung und Vermeidung von Verlusten ( vgl. Hüffer, AktG, § 91 Rdnr.9 ; Keitsch a.a.O. S.1 ff) . Damit ist, was unmittelbar einleuchtet, Risikomanagement automatisch Bestandteil von Corporate Governance im Sinne guter und verantwortungsvoller Unternehmensführung, denn wie sollte eine solche ohne unternehmensadäquates Risikohandling aussehen ?

2. Definition Compliance

Was aber ist nun Compliance ?

Wenn wir Corporate Governance als gute und verantwortungsvolle Unternehmensführung begreifen , die notwendig ein Risikomanagement beinhaltet, dann kann Compliance eigentlich nur die Sicherstellung der Übereinstimmung der Unternehmensführung mit allen relevanten Regeln bedeuten, denn nur , wer dafür Sorge trägt, die Einhaltung der Regeln so weit wie möglich sicherzustellen, kann für sich beanspruchen, ein Unternehmen gut und verantwortungsvoll zu führen und Risiken, die nicht bewusst und gewollt eingegangen werden, vorzubeugen.

Damit definiert sich Compliance notwendig als organisatorischer Mechanismus:

Sie ist nicht das Postulat der Notwendigkeit von Regelkonformität dieses folgt aus den rechtlichen und faktischen Rahmenbedingungen per se sondern deren organisatorische Sicherstellung , m.a.W. Compliance oder spezifischer Corporate Compliance, bedeutet die Sicherstellung der Regelkonformität eines Unternehmens durch Organisation.

Womit wir wieder beim Thema Bürokratie wären, einem Vorbehalt, dem sich jeder gegenübersieht , der sich anschickt, organisatorische Standards für Unternehmen zu definieren. Natürlich bedeutet die Einführung von Compliance Systemen in Unternehmen zusätzlichen Aufwand , aber der wird bei weitem durch die Vorteile überwogen : Ein Unternehmen mit guter Compliance hat geringere Haftungsrisiken, geringeren internen Reparaturaufwand für Fehlfunktionen und Schadenfälle und damit nicht nur Kostenvorteile, sondern auch motiviertere Mitarbeiter, damit verbunden Wettbewerbsvorteile und daraus resultierend einen höheren Unternehmenswert.

Also : Dont complain about compliance : Unternehmen sollten sich nicht über die Notwendigkeit der Implantierung von Compliance Systemen beklagen, sondern den Focus auf die Vorteile richten.

3. Gesellschafts und kapitalmarktrechtliche Ansätze

Doch sind wir mit der Formulierung Notwendigkeit von Compliance nicht über das Ziel hinausgeschossen ? Woraus ergibt sich die Notwendigkeit ? Im Einzelfall mag sie aus betrieblicher Opportunität oder gar faktischen Zwängen folgen, jedoch sind dies keine rechtlichen Kategorien.

Reicht der Blick auf den Deutschen Corporate Governance Kodex in der Fassung vom 14. Juni 2007, in dessen Ziffer 4.1.3 es nunmehr heißt, dass der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen habe und auf deren Beachtung durch die Konzernunternehmen hinwirke , wobei am Schluß in Klammern Compliancedahintersteht ?

Wohl kaum, da der Deutsche Corporate Governance Kodex selbst keinen normativen Charakter besitzt, sondern bewusst nur Empfehlungen als Vorgaben für eine entsprechende Selbstverpflichtung der Unternehmen enthält.

Also muß wohl der einschlägige Normenbestand darauf überprüft werden, ob sich aus einzelnen Normen oder einer Gesamtschau die singuläre oder generelle Pflicht zur Implantierung von Corporate Compliance Systemen ableiten lässt.

Dabei bedarf es aber einer methodischen Eingrenzung : Betrachtet man Compliance primär unter Haftungsvermeidungsgesichtspunkten, liegt die Versuchung nahe, in Normen, die Haftung für Fehlverhalten normieren , im Wege ergänzender Auslegung eine Pflicht zur Fehlervermeidung und damit Compliance hineinzuinterpretieren. Dies wäre aber eine Überstrapazierung der Gesetzesauslegung, denn der Umstand, dass eine bestehende Haftungslage faktisch Vorkehrungen zur Vermeidung des Eintritts einer Haftung erfordert, heißt noch lange nicht, dass der Gesetzgeber insoweit eine konkrete Regelungsabsicht hatte. Die Norm muß also zumindest einen Anhaltspunkt liefern und wenn wir Compliance als Sicherstellung der Regelkonformität durch Organisation verstehen, bedeutet dies, dass für unseren Zusammenhang nur solche Normen in Betracht kommen, die entweder ausdrücklich einen organisationsrechtlichen Inhalt haben oder zumindest eine eindeutige Regelungstendenz aufweisen.

( 1) §§ 91 Abs.2 AktG, 264, 289, 315, 315a, 342b HGB

Erste in Betracht kommende Norm könnte § 91 Abs 2 AktG sein.

(1.1) § 91 Abs.2 AktG

Nach dem durch das Gesetz zur Kontrolle und Transparenz ( KonTraG) 1998 in das Aktiengesetz eingeführten § 91 Abs.2 trifft den Vorstand eine Pflicht, geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Die Reichweite dieser Verpflichtung ist, seit es die Norm gibt, umstritten.

Teile der Betriebswirtschaftslehre und der Wirtschaftsprüferpraxis interpretieren sie im Sinne der gesetzlichen Anordnung eines generellen Risikomanagementsystems ( risk management ). Die strenger am Wortlaut und der Entstehungsgeschichte überwiegend unter Juristen vertretene Auffassung beschränkt die Pflichten des Vorstands auf geeignete Maßnahmen zur Früherkennung bestandsgefährdender d.h.für die Darstellungsanforderungen des § 264 Abs.2 HGB relevanter nachteiliger Veränderungen der Vermögens-,Ertrags-, oder Finanzlage der AG und die Überwachung der Einhaltung dieser Maßnahmen, verneint also eine generelle Pflicht zur permanenten Risikoüberwachung aus § 91 Abs.2 AktG ( vgl.Hüffer , §91 AktG Rdnr.6 9 ).

Wie dem auch sei lässt sich jedenfalls eine Pflicht zur Einrichtung eines Corporate Compliance Systems aus § 91 Abs.2 AktG nicht ableiten, denn Corporate Compliance ist viel weiter definiert als Risikoüberwachung : Sie betrifft die Sicherstellung der Übereinstimmung der Unternehmensführung mit allen Regeln, sowohl externen ( Gesetze , Verordnungen, Richtlinien, technischen Normen usw) als auch internen ( Betriebliche Richtlinien, Anordnungen, vertragliche Bindungen usw). Aus dem relativ engen Blickwinkel der Früherkennung bestandsgefährdender Risiken Schlussfolgerungen für eine Verpflichtung zur organisatorischen Sicherstellung genereller Regelkonformität ziehen zu wollen, wäre methodisch verfehlt und unzulässig.

(1.2) §§ 264, 289, 297, 315, 315a, 342b HGB

Möglicherweise lässt sich die Notwendigkeit von Compliance aber aus den einschlägigen Vorschriften über den Jahresabschluß und den Lagebericht von Kapitalgesellschaften ableiten. Gestatten Sie mir deshalb einen kurzen Überblick, auch wegen der durch das Transparenzrichtlinie Umsetzungsgesetz im letzten Jahr erfolgten Modifikationen.

Nach §§264 Abs.2 S.1 , 297 Abs.2 S.2 HGB haben der Jahresabschluß einer Kapitalgesellschaft und eines Konzerns ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz-, und Ertragslage zu vermitteln ( true and fair view Prinzip) oder im Anhang zu erklären, weshalb das nicht der Fall ist ( S.2 bzw.3 der genannten Vorschriften). Bei börsennotierten Unternehmen haben nach dem durch das Transparenzrichtlinie Umsetzungsgesetz - TUG 2007 eingefügten S.3 bzw. S.4 der vorgenannten Vorschriften die gesetzlichen Vertreter bei der Unterzeichnung schriftlich zu versichern, dass der Jahresabschluß nach bestem Wissen ein den tatsächlichen Verhältnissen entsprechendes Bild vermittelt oder der Anhang klarstellende Angaben enthält ( sog.Bilanzeid).

Nach § 289 Abs.1 HGB ist im Lagebericht der Kapitalgesellschaft ebenfalls ein den tatsächlichen Verhältnissen entsprechendes Bild zu vermitteln (S.1) . Er hat eine ausgewogene und umfassende, dem Umfang und der Komplexität der Geschäftstätigkeit entsprechende Analyse zu enthalten (S.2). Darüberhinaus ist die voraussichtliche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu erläutern ( S.4). Für börsennotierte Kapitalgesellschaften hat das TUG 2007 den Bilanzeid auf den Lagebericht erstreckt : Auch insoweit müssen die gesetzlichen Vertreter versichern, dass der Geschäftsverlauf und das Ergebnis nach bestem Wissen so dargestellt sind, dass sie den tatsächlichen Verhältnissen entsprechen und dass die wesentlichen Chancen und Risiken beschrieben sind (S.5).

Für den Konzernlagebericht enthält § 315 HGB eine für den hiesigen Zusammenhang im wesentlichen entsprechende Regelung.

Für Konzernabschlüsse nach internationalen Rechnungsstandards ( IAS / IFRS) bleiben gem. § 315a HGB die Regelungen nach §§ 297 Abs.2 S.4 ( Bilanzeid) und § 315 ( Lagebericht mit Erstreckung des Bilanzeids) anwendbar). Für den Jahresabschluß enthält Ziff.1.10 IAS eine § 264 Abs.2 HGB entsprechende Vorschrift zur Darstellung entsprechend den tatsächlichen Verhältnissen - fair presentation ( vgl.Merkt in Baumbach Hopt ,HGB § 264 Rdnr.28). Bereits durch das Bilanzkontrollgesetz ( BilKoG) 2004 wurde § 342 b HGB eingefügt, der die Grundlage für die Schaffung der Prüfstelle für das Rechnungswesen (DPR e.V.) bildete. Diese hat die Befugnis, Abschlüsse auf ihre Vereinbarkeit mit HGB und internationalen Standards in Kooperation zu prüfen. Die Durchsetzung der Prüfung mit hoheitlichen Mittel und ggf. die Veröffentlichung von Rechnungslegungsfehlern ist der Bundesanstalt für Finanzdienstleistungsaufsicht gem. §§ 37 n ff. WpHG vorbehalten ( vgl. Merkt a.a.O. § 342b HGB Rdnr.3,4).

Zusammengefasst lässt sich also festhalten, dass die nunmehr nach Inkrafttreten des Transparenzlinie - Umsetzungsgestzes einschlägigen Regelungen über den Jahresabschluß und den Lagebericht verlangen, dass die tatsächlichen Verhältnisse zutreffend analysiert und angegeben werden, die wesentlichen Chancen und Risiken zutreffend dargestellt werden, das Ganze nach bestem Wissen versichert wird und gegebenenfalls noch von staatlich autorisierten Stellen geprüft werden kann.

Was bedeutet das nun für die Fragestellung nach der Notwendigkeit von Compliance?

Ausdrücklich gefordert wird sie nicht. Aber : Wenn die gesetzlichen Vorschriften die dargestellten Anforderungen festschreiben, dann wird doch vorausgesetzt, dass ein funktionierendes Informationsmanagementsystem ,das einen zentralen Bestandteil von Compliance bildet, existiert, denn wie soll bei der Komplexität der hier in Frage stehenden Unternehmen und Vorgänge ein Vorstand oder Geschäftsführer sonst guten Gewissens alle Angaben richtig machen und die Richtigkeit nach bestem Wissen versichern können ?

Die Rechnungslegungs und Prüfungsregeln in ihrer neuesten Fassung, üben damit zwar keinen unmittelbaren rechtlichen aber doch einen mittelbaren- faktischen- Druck zur Einrichtung von Compliance aus.

(1.3) BiMoG 2008 Regierungsentwurf

Dieser Befund wird verstärkt durch den Regierungsentwurf des Bilanzrechtsmodernisierungsgesetzes, das vorraussichtlich im Laufe dieses Jahres in Kraft treten wird und mehrere EU Richtlinien, u.a. die Abschlußprüferrichtlinie vom 17.5.2006 umsetzen wird.

Ein wesentliches Anliegen der Reform ist die Verbesserung der Aussagekraft der handelsrechtlichen Jahresabschlüsse, um die Unternehmen von dem Druck zu befreien, internationale Rechnungsstandards anwenden zu müssen. ( vgl. Pressemitteilung des Bundesministeriums der Justiz vom 8.11.2007). In unserem Zusammenhang sind vor allem folgende Regelungen von Bedeutung:

a) Nach § 289 Abs.5 n.F. haben kapitalmarktorientierte Kapitalgesellschaften im Sinne des neuen § 264d im Lagebericht die wesentlichen Merkmale des internen Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozeß zu beschreiben.

b) Börsennotierte und gleichgestellte Aktiengesellschaften haben nach § 289a n.F. eine Erklärung zur Unternehmensführung in den Lagebericht aufzunehmen.

Diese hat außer der Konformitätserklärung nach § 161 AktG relevante Angaben zu über die gesetzlichen Anforderungen hinausgehenden Unternehmensführungspraktiken sowie eine Beschreibung der Arbeitsweise von Vorstand, Aufschtsrat und Ausschüssen zu enthalten.

c) Nach der Neufassung des § 107 AktG kann der Aufsichtsrat , wenn er die Aufgabe nicht selbst wahrnehmen will oder kann, einen Prüfungsausschuß einsetzen, der u.a. den Rechnungslegungsprozeß und die Wirksamkeit der internen Risikomanagementsysteme überwacht, wobei mindestens ein Mitglied des Aufsichtsrats bzw. des Prüfungsausschusses unabhängig sein und über Sachverstand auf den Gebieten Rechnungslegung oder Abschlussprüfung verfügen muss.

Mit diesen Neuregelungen wird zum einen die gesetzgeberische Tendenz, durch Erklärungs und Offenlegungspflichten einen mittelbaren, faktischen Druck zur Einrichtung von Compliance Systemen zu begründen ,fortgesetzt ;die Normierung einer konkreten Prüfungspflicht und die Institutionalisierung eines Prüfungsausschusses gehen jedoch noch darüber hinaus, da sie eine wesentlich höhere organisationsrechtliche Regelungsintensität in Richtung Compliance Strukturen aufweisen.

( 1.4 ) § 161 AktG i.V.m. Corporate Governance Kodex

Durch das Bilanzrechtsmodernisierungsgesetz wird auch § 161 AktG eine Änderung erfahren : Außer der Erstreckung auf andere Wertpapieremittenten als börsennotierte ist zukünftig nicht mehr nur zu erklären, dass Empfehlungen des Corporate Governance Kodex nicht angewandt wurden, sondern auch warum nicht.

Es gilt also zukünftig nicht mehr Comply or explain sondern Comply or explain why not .Außerdem ist die Erklärung zukünftig Bestandteil der Erklärung zur Unternehmensführung nach § 289a n.F., die entweder in den Lagebericht aufzunehmen oder als gesonderter Bericht auf der Internetseite darzustellen ist. Ob dieser Mechanismus im Hinblick auf Compliance einen verstärkten Druck zur Implantierung ausübt erscheint allerdings fraglich. Der Corporate Governance Kodex von 2007 hat zwar Compliance als gesetzliche Aufgabe beschrieben , aber mangels konkretisierender Empfehlungen keinen Erklärungszwang aufgebaut. Ziffer 4.1.3. beschreibt, dass der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen hat und auf deren Beachtung durch die Konzernunternehmen hinwirkt. Dies ist aber eine Selbstverständlichkeit und folgt bereits aus § 93 Abs.1 S.1 AktG. Die eigentliche Bedeutung der Ziffer 4.1.3. besteht wohl darin, dass der Begriff Compliance in Klammern hinter diese Verweisung auf die Rechtslage gesetzt wurde und damit ausdrücklich Eingang in den Corporate Governance Kodex gefunden hat. Normative Wirkung hat die Regelung ,wie eingangs bereits ausgeführt nicht. Aber immerhin ist sie ein Hinweis auf die Notwendigkeit von Compliance Strukturen.

(1.5) Sarbanes Oxley Act 2002

Im Gegensatz zum Deutschen Corporate Governance Kodex setzt der amerikanische Sarbanes Oxley Act von 2002 nicht auf das Prinzip der Selbstverpflichtung sondern enthält zwingende und für den Fall der Nichtbefolgung mit z.T. drakonischen Sanktionen bewehrte Normierungen.

Er zählt auch in Deutschland zu den kapitalmarktrechtlich zu beachtenden Regelungen, da er nicht nur für börsennotierte Unternehmen in USA sondern auch für deren ausländische Tochtergesellschaften gilt.

Wesentliche Punkte sind im hiesigen Zusammenhang folgende , wobei es mittlerweile im deutschen Recht aufgrund der neuesten Gesetzgebung z.T. Entsprechungen gibt bzw. geben wird.

a) Den Vorstand trifft eine Pflicht zur Richtigkeitserklärung hinsichtlich der eingereichten Berichte gegenüber der SEC ( Security and Exchange Commission ) ; insoweit enthalten die Neureglungen des HGB zum Bilanzeid und dessen Erstreckung auf den Lagebericht eine Parallele. Allerdings drohen bei Verstößen in USA Geldbußen bis zu 5Mio US $ und Haftstrafen bis zu 20 Jahren.

b) Das Unternehmen muß ein Audit Comittee einrichten, das für Bestellung und Überwachung der Abschlußprüfer zuständig ist und aus independant directors bestehen muß. Auch insoweit wird es in Deutschland nach Inkrafttreten des Bilanzrechtsmodernisierungsgesetzes eine Parallele geben.

c) Deutlich über die deutschen Regelungen hinaus geht die Pflicht zur Einrichtung eines internen Kontrollsystems (disclosure controls u. financial controls), das sicherstellt, dass wesentliche Informationen über das Unternehmen zeitnah zur Verfügung stehen und die Pflicht zur Installation eines zweckentsprechenden und effizienten Informationsmanagementsystems, also eines Kernstücks von Compliance ( efficient disclosure controls and procedures). Beides muß vom Vorstand im Bericht bestätigt werden. Bei Verstößen droht z.B. eine persönliche Haftung des Vorstandes und die Pflicht zur Rückzahlung erfolgsabhängiger Vergütungen

(1.6) §§ 33 WpHG, 25a KWG, 64a VAG

Der deutsche Gesetzgeber hat mittlerweile für einzelne Unternehmen mit besonders sensiblen Geschäftsbereichen, Compliance Organisationsnormen erlassen.

Ausgangspunkt war § 25 a KWG, der in Satz 1 die Anforderungen an eine Compliance Struktur und deren Funktion in der Art eines kategorischen Imperativs beschreibt, ohne den Begriff Compliance zu benutzen, wenn es dort heißt :

Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der von den Instituten zu beachtenden gesetzlichen Bestimmungen gewährleistet In den nachfolgenden Sätzen und Abschnitten werden dann konkretere Anforderungen an Strukturen und Prozesse z.B. der Verteilung von Verantwortlichkeiten, des Risikomanagements und weiterer zentraler Themen formuliert.

§ 33 WpHG in der Fassung des Finanzmarktrichtlinie Umsetzungsgesetzes vom 16.7.2007 knüpft in Abs. 1 an den kategorischen Imperativ des § 25 a Abs.1 des Kreditwesengesetzes an und erklärt ihn auch für Wertpapierdienstleistungsunternehmen für verbindlich.

Die für unseren Zusammenhang bedeutsamste Regelung befindet sich aber in den Nummern 1 und 5 des Satzes 2 , denn dort ist erstmals ausdrücklich eine Pflicht zur Implantierung von Compliance festgeschrieben.

Nr.1 lautet :

Ein Wertpapierdienstleistungsunternehmen muss angemessene Grundsätze aufstellen, Mittel vorhalten und Verfahren einrichten, die darauf ausgerichtet sind, sicherzustellen, dass das Wertpapierdienstleistungsunternehmen selbst und seine Mitarbeiter den Verpflichtungen dieses Gesetzes nachkommen, wobei insbesondere eine dauerhafte und wirksame Compliance-Funktion einzurichten ist, die ihre Aufgabe unabhängig wahrnehmen kann

Nr.5 regelt die Berichtspflicht der mit der Compliance Funktion betrauten Mitarbeiter und Nr.6 die Pflicht zur Überwachung, Bewertung und ggf. Verbesserung der getroffenen organisatorischen Maßnahmen.

Mit diesen Regelungen hat der Begriff Compliance Eingang in die Terminologie der deutschen Rchtsetzung erlangt. Es erfolgt zwar keine Definition des Begriffs und noch nicht einmal der Versuch einer deutschen Umschreibung, aber der Regelungskontext bestätigt jedenfalls den eingangs gewonnenen Befund, dass Compliance ein organisationsrechtliches Element ist, das der Sicherstellung der Regelkonformität eines Unternehmens dient.

Die dritte Regelung im Zusammenhang , § 64a VAG idF vom 23.12.2007 , verzichtet auf eine ausdrückliche Compliance Regelung und begnügt sich mit der Anlehnung an § 25a KWG.

(1.7) §§ 93 AktG, 43 GmbHG

Der letzte aber keineswegs schwächste hier beschriebene Ansatz für Compliance findet sich in § 93 AktG.

Dort wurde bekanntlich durch das Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts vom 22.9.2005 ( UMAG ) als Quintessenz der ständigen Rechtsprechung des BGH die sog. Business Judgement Rule eingefügt. Danach liegt eine Verletzung der Pflicht , die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden, nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.

Nach § 93 Abs.2 AktG trifft beim Schadensregreß der Gesellschaft auf die Vorstandsmitglieder diese im Streitfall die Beweislast dafür, dass sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben.Aus diesem Regelungszusammenhang folgt ein mittelbarer faktischer Zwang zur Einrichtung eines Informationsmanagementsystems ( Information Life Circle Management System ), eines wesentlichen Compliance Elements. Regelkonformität eines Unternehmens kann nur sichergestellt werden, wenn die erforderlichen Informationen und sonstigen Entscheidungsgrundlagen jederzeit vollständig und aktuell zur Verfügung stehen.

Wie soll ein Vorstand von Einzelfallkonstellationen einmal abgesehen bei Fehlentscheidungen aufgrund Informationsdefiziten einer der Hauptursachen schlechthin in komplexen Ursache Wirkungszusammenhängen den Nachweis führen, dass er seine Entscheidung auf der Grundlage angemessener Information getroffen hat, wenn das Unternehmen nicht über ein strukturiertes Informationsmanagementsystem verfügt ?

Es ist nur eine Frage der Zeit, bis in Schadensersatzprozessen entsprechende Urteile ergehen und sich Versicherer im Rahmen der D & O Versicherung bei Fehlen von Compliance Systemen auf Leistungsfreiheit wegen Obliegenheitsverletzung berufen.

Nicht unerwähnt soll bleiben, dass entsprechende Haftungsgefahren ebenso Geschäftsführern von GmbH `s drohen, da der Sorgfaltsmaßstab des Aktiengesetzes auch im Rahmen von § 43 GmbHG nach Rechtsprechung und h.M. anzuwenden ist und die Beweislastumkehr jedenfalls dann entsprechend greift, wenn eine Schadensursache aus dem Pflichtenkreis des Geschäftsführers herrührt (vgl.Zöllner/Noack in Baumbach/Hueck GmbHG § 43 Rdnr. 17,36 ff ), was bei Nichtimplementierung von Compliance der Fall ist. Die anstehende GmbH Reform durch den Regierungsentwurf des Gesetzes zur Modernisierung des GmbH Rechts und zur Bekämpfung von Missbräuchen ( MoMiG) vom 23.5.2007 wird, soweit ersichtlich, an diesem Rechtszustand nichts ändern.

4. Must have or nice to have

(1) Zusammenschau

Die vorstehende Betrachtung von gesellschafts- und kapitalmarktrechtlichen Vorschriften hat gezeigt, dass sich eine unmittelbare rechtliche Pflicht zur Einrichtung von Compliance Systemen nur sehr punktuell ableiten läßt. Dabei wurden nun nicht alle möglichen, in Frage kommenden Vorschriften erörtert, sondern nur solche mit zentraler Bedeutung. Sicherlich könnte man z.B.auch noch die insiderrechtlichen Regeln des Wertpapierhandelsgesetzes oder sonstige Normen organisatorischen Inhalts heranziehen. Verlässt man den Rahmen der gesellschafts- und kapitalmarktrechtlichen Normierungen, stößt man auf eine Unzahl gesetzlicher Regelungen von Organisationspflichten für Unternehmen.

Nur : Der Befund ändert sich dadurch nicht. Eine generelle und allgemeine Pflicht zur Implantierung von Compliance Systemen ist de lege lata nicht vorgesehen.

Ein gegenteiliges Ergebnis lässt sich auch nicht aus der Zusammenschau aller Regelungsansätze gewinnen, auch nicht unter Einbeziehung straf- und ordnungswidrigkeitenrechtlicher Vorschriften wie z.B. § 130 OWiG, der die Verletzung bestimmter qualifizierter Aufsichtspflichten mit Geldbußen bis zu 1 Million Euro sanktioniert. Dafür sind die gesetzgeberischen Anlässe, Motive und Zwecke viel zu unterschiedlich, als dass sie sich zu einer einheitlichen gesetzgeberischen Intention verdichten ließen.

(2) Tendenz

Was sich aber aus der Zusammenschau der unterschiedlichen Normen ableiten lässt, ist eine sichtbar werdende Tendenz des Gesetzgebers, Unternehmen und zwar insbesondere kapitalmarktorientierte punktuell unmittelbar ( siehe die dargestellten Regeln des WpHG, KWG und VAG ) oder in der Breite mittelbar bzw faktisch zur Einführung von Compliance Systemen zu veranlassen.

Letzteres trifft insbesondere unter dem Gesichtspunkt der Haftungsvermeidung zu. Sollen Haftungsrisiken vermieden werden, ist um die Einrichtung unternehmensadäquater Compliance Strukturen nicht herumzukommen.

Es gilt daher die Devise :Comply or die !

5. Ausblick

Wenn es auch auf den ersten Blick so scheinen mag, sind Diskussionen um Corporate Governance, Risikomanagement oder auch Compliance nicht erst in den letzten Jahren entstanden. Schlechte Unternehmensführung hat es zu allen Zeiten gegeben und insbesondere in Deutschland haben Klagen über die mangelnde Effizienz von Führungskräften und die Suche nach Möglichkeiten der Verbesserung lange Tradition ( vgl. v.Werder, in Handelsblatt Wirtschaftslexikon S.1137).

Was die Thematik aber international und national so in den Vordergrund geschoben hat, war das Ausmaß des in den spektakulären Fällen zu Tage getretenen Missmanagements ,das zur Wiederherstellung des eingetretenen Vertrauensverlustes Regeln zur Herstellung von Transparenz, Nachvollziehbarkeit und Korrektheit der Unternehmensführung erzwang und erzwingt.

Parallel dazu erfordern die durch Globalisierung immer stärker verflochtene Weltwirtschaft und die Liberalisierung der Kapitalmärkte die Anwendung global einheitlicher Standards , um Investments und Anlageentscheidungen auf verlässlicher Grundlage fällen zu können ( vgl. v.Werder a.a.O.)

Speziell in Europa kommt noch das Bestreben nach Harmonisierung und Angleichung der Rechts- und Wirtschaftsordnungen in der EU als Katalysator hinzu. Nicht von ungefähr stellt eine Vielzahl der oben dargestellten Regelungen eine Umsetzung von EU Richtlinien dar.

Da sich an den dargestellten Faktoren voraussichtlich auch zukünftig nichts ändern wird es wird immer Missmanagement geben, die Globalisierung wird fortschreiten und auch das Vereinheitlichungsbestreben der EU wird sich nicht verringern braucht man kein Prophet zu sein, um vorherzusagen, dass uns die Themen Corporate Governance, Risikomanagement und Compliance noch lange und nachhaltig beschäftigen werden.

_______________________________________________________

> zum Thema Compliance und Unternehmensrechtsabteilung

Corporate Compliance und Mittelstand mehr

Die Corporate Compliance-Struktur für mittelständische Unternehmen muss sich an den Besonderheiten des Mittelstandes ausrichten. Obgleich mittelständische Unternehmen überwiegend die Sinnhaftigkeit von Corporate Compliance-Strukturen im Unternehmen erkannt haben, gibt es jedoch Vorbehalte, solche Kontroll- und Informationsstrukturen im Unternehmen einzuführen.
» mehr