Neue DOJ-Leitlinie zur Beurteilung von Complianceprogrammen

US-Leitlinie ist für viele international tätige deutsche und europäische Unternehmen praktisch relevant

Gastbeitrag von Dr. Sven Henrik Schneider, LL.M. (Berkeley), und Dr. Lukas Ritzenhoff

Beitrag als PDF (Download)

Ende April 2019 hat das US Department of Justice (DOJ), genauer gesagt dessen Abteilung „Criminal Division, Fraud Section“ seine bisher detaillierteste Leitlinie zur Beurteilung von Complianceprogrammen veröffentlicht („Evaluation of Corporate Compliance Programs“, HIER). Sie soll die bislang schwierige Beurteilung in unterschiedlichen Staaten, Sektoren und Kulturen vereinfachen oder zumindest die Beurteilungskriterien vereinheitlichen. Die Qualität eines Complianceprogramms spielt etwa eine zentrale Rolle, wenn die Behörde die Einleitung eines (Straf-)Verfahrens prüft, ein Bußgeld festlegt oder über die Einsetzung eines unabhängigen Monitors entscheidet.

Orientierung für Behörden und Unternehmen
Die Leitlinie ersetzt eine nur für Betrugsfälle geltende kürzere Vorfassung von 2017. Deren rasche Aktualisierung und Erweiterung nach nur zwei Jahren verdeutlicht den andauernden behördlichen Fokus auf Complianceprogramme. Die Leitlinie beinhaltet vergleichsweise konkrete und ausführliche Anhaltspunkte dafür, was das DOJ zur Beurteilung eines Complianceprogramms für relevant erachtet. Dabei setzt sie neue Schwerpunkte, insbesondere bei der Funktionsweise eines Programms in der Praxis, bei der Aufarbeitung von Verstößen und darauf aufsetzende organisatorische Fortentwicklungen durch die betroffenen Unternehmen und der Überprüfbarkeit der Wirksamkeit der Systeme auf Grundlage handfester Daten, Umfragen und Erhebungen aus dem Unternehmen. Die Beurteilung geht also über die reine Einrichtung eines Complianceprogramms mit einem Code of Conduct, Schulungen, internen Policies und einer Hotline hinaus. Dem DOJ kommt es vielmehr darauf an zu prüfen, ob das Complianceprogramm in der Praxis funktional ist, es also Auswirkungen auf das Verhalten der Mitarbeiter hat und zur Verhinderung zukünftiger Verstöße geeignet ist.
Ursprünglich hatte das DOJ im Jahr 2015 die Position eines Compliance-Counsels geschaffen, der zentral für die US-Staatsanwaltschaft die Beurteilung von Complianceprogrammen übernehmen sollte. Dieser Ansatz wurde offenbar modifiziert, und die Rolle wurde wieder abgeschafft. Stattdessen wird nun ein eher dezentraler Ansatz verfolgt, der jedem US-Staatsanwalt aufgibt, Complianceprogramme in seinem Tätigkeitsfeld zu beurteilen.

Design, Umsetzung und erfolgreiche Praxis als Maßstäbe
Die (dezentrale) Beurteilung von Complianceprogrammen soll sich an drei Grundfragen orientieren:
1. Ist das Complianceprogramm des Unternehmens gut an dessen Funktionsweise und Organisationsstrukturen angepasst („well designed“)?
2. Ist das Complianceprogramm effektiv implementiert?
3. Funktioniert das Complianceprogramm in der ­Praxis?
Erstens: Ist das Complianceprogramm gut an das Unternehmen angepasst? Dazu gehören Maßnahmen, um mit maximaler Effektivität künftige Verstöße zu verhindern, Fehlverhalten aufzudecken sowie Rückendeckung durch das Topmanagement für Compliancebemühungen sicherzustellen. Zentraler Bestandteil des Designs ist die Risikoanalyse. Sie muss für die jeweilige Branche, das regulatorische Umfeld und das Unternehmen maßgeschneidert sein. Weitere Bestandteile sind interne Leitlinien und Prozesse, Schulungen und Kommunikation, Whistleblowing und Untersuchungsrichtlinien, Drittparteiencompliance und M&A-Compliance. Die US-Staatsanwaltschaft soll bei der Beurteilung zum Beispiel auch die Compliancekultur des Unternehmens einbeziehen – die das Unternehmen dazu regelmäßig anhand von breitangelegten Compliance-Surveys ermittelt.
Zweitens: Ist das Complianceprogramm effektiv implementiert oder ein Papiertiger? Dies betrifft die unabhängige Aufbau- und Ablauforganisation des Programms ohne interessengeleiteten Einfluss des Managements, ausreichende personelle und finanzielle Ressourcen, die wirkungsvolle Einführung und unternehmensweite Kommunikation des Programms durch das Management („Tone from the Top“) und positive wie negative Anreize für die Einhaltung oder Nichteinhaltung des Complianceprogramms (etwa Bonusstruktur oder – spiegelbildlich – Disziplinarprozess).
Drittens: Funktioniert das System in der Praxis? Dazu gehört die Ausgestaltung als selbstlernendes System mit der Möglichkeit zur laufenden Anpassung an ein sich stetig veränderndes, nicht statisches Risikoumfeld. Entscheidend ist hierfür, ob und wie das Programm zur Zeit des Verstoßes grundsätzlich funktioniert hat, ob das Unternehmen im Rahmen einer Complianceuntersuchung die Ursachen für den Verstoß ermitteln konnte (Root-Cause-Analyse) und ob das Complianceprogramm daraufhin an entscheidenden Stellen weiterentwickelt wurde. Das DOJ vermeidet dabei den Rückschaufehler, dass ein Verstoß immer ein überarbeitungsbedürftiges Complianceprogramm indiziert. Vielmehr soll die US-Staatsanwaltschaft prüfen, inwiefern das Complianceprogramm zur Aufdeckung des Verstoßes beigetragen und mit welchem Aufwand das Unternehmen sich anschließend um die Untersuchung und Aufklärung gekümmert hat.

Leitlinie trägt der Entwicklungsdynamik Rechnung
Die gute Nachricht lautet mit anderen Worten: Es ist der DOJ-Leitlinie zufolge ausdrücklich denkbar, dass ein Verstoß nicht geahndet wird, wenn das Complianceprogramm zum Zeitpunkt des Verstoßes State of the Art war. Falls es den Verstoß nicht verhindern konnte, soll es dem Unternehmen nicht zum Nachteil gereichen, wenn das Complianceprogramm zur Aufdeckung des Verstoßes und damit zur Offenlegung gegenüber den US-Behörden geführt hat. Der Fokus der Untersuchung der US-Staatsanwaltschaft wird in einer solchen Situation darauf liegen, wie das Complianceprogramm zur Aufdeckung des Verstoßes beigetragen hat, ob das Complianceprogramm erforderlichenfalls bei Mängeln bereits entsprechend verbessert worden ist und wie effektiv das Unternehmen den Verstoß intern untersucht hat.
Sowohl die Kontrollbehörde des US-Finanzministeriums (Office of Foreign Assets Control, OFAC), als auch die DOJ Antritrust Division haben kurz nach Veröffentlichung der DOJ-Leitlinie bereits im Mai in einer eigenen Leitlinie (OFAC, HIER) sowie in einem öffentlichen Statement (DOJ Antitrust Division) klargemacht, dass die Qualität des Complianceprogramms maßgeblichen Einfluss auf die Ahndung eines Verstoßes hat. Es muss kohärent alle Rechtsbereiche abdecken, seien es Betrug, Korruption, Sanktionen, Kartellrecht oder andere.

Auswirkungen auf deutsche und europäische Unternehmen
Die Auswirkungen der DOJ-Leitlinie auf deutsche und europäische Unternehmen dürften vielfältig sein. Zum einen reicht die Kompetenz des DOJ nach US-Vorstellung bekanntlich weit über die USA hinaus, wenn die Behörde einen hinreichenden US-Nexus sieht. Damit ist die Leitlinie für viele international tätige deutsche und europäische Unternehmen praktisch unmittelbar relevant. Zum anderen können deutsche Strafverfolgungsbehörden etwa bei der Ahndung von Ordnungswidrigkeiten die Funktionsfähigkeit der Compliancesysteme einschließlich deren Weiterentwicklung nach Aufdeckung von Complianceverstößen berücksichtigen (siehe auch BGH-Urt. v. 09.05.2017 – 1StR 265/16, HIER). Dabei dürften – in Ermangelung eigener formalisierter Regelungen hierzulande – die Kriterien der Leitlinie als eine „Best US-Practice“ eine wichtige Rolle spielen. Das bedeutet nicht, dass die Leitlinie kritiklos als Blaupause für Fälle auch ohne US-Bezug verwendet werden soll oder muss. Ein Complianceprogramm zeichnet sich gerade dadurch aus, dass es in Bezug auf das Unternehmen, das regulatorische Umfeld und die Kultur stimmig ist.

sven.schneider@hengeler.com

lukas.ritzenhoff@hengeler.com