Compliance im Rahmen von M&A-Transaktionen: darauf kommt es in der Praxis an
Von Dr. Dirk Stiller und Dr. Clemens Maschke

Beitrag als PDF (Download)

Einführung

In den USA ist das Thema Compliance spätestens mit der Einführung des Foreign Corrupt Practices Act (FCPA) im Jahr 1977 in die Unternehmenskultur eingeflossen. Dementsprechend überrascht es nicht, dass sich im angloamerikanischen Rechtsraum die Durchführung von Compliance-Due-Diligences im Rahmen von M&A-Transaktionen als Standard etabliert hat. Hingegen hat das Thema Compliance in Deutschland erst mit den spektakulären Millionenstrafen führender deutscher Unternehmen, der Einführung des UK Bribery Act und der aktuellen Debatte über die Einführung eines Unternehmensstrafrechts eine breite Aufmerksamkeit erfahren. Vor diesem Hintergrund und im Sinne der Spruchweisheit des US-Investors Warren Buffett, wonach es „20 Jahre dauert, um einen guten Ruf aufzubauen, und fünf Minuten, um ihn zu ruinieren“, werden nachfolgend im Rahmen eines Best-Practice-Sharings die Planung und die Durchführung von Complianceprüfungen im Rahmen von M&A-Transaktionen dargestellt.

Anlass, Gründe und Ziele einer Complianceprüfung

Eine saubere und transparente Unternehmensführung hat für deutsche Großkonzerne stark an Bedeutung gewonnen. Dies ist allein angesichts immenser Vergleichszahlungen deutscher Unternehmen an US-amerikanische Behörden innerhalb der vergangenen sechs Jahre verständlich.

Mithin ist es naheliegend, dass sich Großkonzerne systematisch vor dem Risiko eines „Zukaufs“ von Korruptions- und Complianceproblemen im Rahmen von M&A-Transaktionen schützen. Darüber hinaus ist es aber gerade auch für international agierende Mittelständler von grundlegender Bedeutung, sich anlässlich geplanter Unternehmenserwerbe/Joint Ventures oder des Aufbaus von Vertriebsstrukturen im Ausland durch eine präventive Complianceprüfung im Vorfeld von Vertragsabschlüssen zu schützen. Denn sowohl der US Foreign Corrupt Practices Act (seit 1977) als auch der UK Bribery Act (seit 2011) haben einen internationalen Anwendungsbereich und stellen lediglich darauf ab, dass „Handlungen zur Förderung von Korruptionszahlungen auf dem Hoheitsgebiet der USA“ erfolgen oder dass ausländische Unternehmen eine gewisse Geschäftstätigkeit in Großbritannien aufweisen. Ferner hat sich auch in Deutschland die Korruptionsbekämpfung verschärft. Während Inlandskorruption seit jeher verfolgt wird, ist auch die Auslandskorruption spätestens seit Abschaffung der steuerlichen Privilegierung von Schmiergeldzahlungen im Ausland und den medialen Straf- und Steuerverfahren gegen deutsche Konzerne ab den Jahren 2007 konsequent in den Fokus der Strafverfolger gerückt. Dabei können mögliche Sanktionen nicht nur das Ziel- und Erwerberunternehmen, sondern auch das Management des Ziel- und Erwerberunternehmens treffen. Die Sanktionierung auf der Unternehmensebene erfolgt insbesondere auf Basis des im Jahr 2013 angepassten Ordnungswidrigkeitsgesetzes. Eine mögliche (zivil- und strafrechtliche) Haftung des Managements beruht zum einen auf den Vorschriften des Deutschen Corporate Governance Kodexes (im Zusammenhang mit der Abgabe der jährlichen Entsprechungserklärung) und zum anderen auf der neueren Rechtsprechung der deutschen Gerichte. Nach dieser aktuellen Rechtsprechung ist es integraler Bestandteil der Überwachungs- und Kontrollpflichten von Geschäftsführern, auch bei Tochterunternehmen auf die Einhaltung von Recht und Gesetz zu achten.

Die Ziele einer Complianceprüfung bei M&A-Transaktionen sind regelmäßig sowohl retrospektiv als auch prospektiv ausgerichtet. Einerseits müssen die in der Vergangenheit liegenden Compliancerisiken identifiziert werden, um so im Rahmen der Unternehmenskaufentscheidung oder bei der Verhandlung der Unternehmenskaufverträge Berücksichtigung finden zu können. Andererseits muss die Compliancestruktur des Zielunternehmens hinsichtlich ihrer Integrierbarkeit in das Compliancesystem des Erwerbers überprüft werden. Treten bei der Complianceprüfung wesentliche Compliancerisiken zutage, sollte wegen möglicher Reputationsschäden, Bußgeldhaftungen und strafrechtlicher Konsequenzen (das zuletzt auch in Deutschland vieldiskutierte Unternehmensstrafrecht existiert bereits in den meisten europäischen Ländern) die Kaufentscheidung per se hinterfragt werden. Zumindest aber sollten Compliancerisiken im Rahmen von Kaufpreisanpassungsmechanismen, Garantien und Freistellungen im Kaufvertrag abgebildet werden. Soll der Prozess bei noch nicht vollständig aufgeklärter Tatsachenlage fortgesetzt werden, kann es im Einzelfall möglich und empfehlenswert sein, die Durchführung des Kaufs (Closing) unter die aufschiebende Bedingung einer nachfolgenden (zufriedenstellenden) Complianceprüfung zwischen Signing/Closing (Supplementary Compliance Review) zu stellen.

Durchführung einer Complianceprüfung

In einem ersten Schritt werden vorab abstrakte Entscheidungsparameter definiert. Dies erleichtert zum einen die generelle Entscheidung für oder gegen eine Complianceprüfung und ermöglicht zum anderen, den Umfang der jeweiligen Compliance-Due-Diligence festzulegen. Wesentliche Entscheidungsparameter sind (a) die Existenz von Compliancevorfällen in der Vergangenheit des Zielunternehmens (auch bezogen auf das Management und die Gesellschafter), (b) die Tätigkeit des Zielunternehmens in einer compliancesensitiven Branche (etwa regulierte Branchen wie die Pharmaindustrie oder Banken- und Versicherungen), (c) die Durchführung compliancesensitiver Tätigkeiten durch das Zielunternehmen (etwa Durchführung von Großprojekten oder Regierungsaufträgen) und (d) die Tätigkeit des Zielunternehmens in compliancesensitiven Regionen/Ländern (vgl. tabellarisches Ranking von Transparency International unter https://www.transparency.org/cpi2014/results).

In einem zweiten Schritt ist das anwendbare Recht für die Complianceprüfung zu bestimmen. Der anwendbare Rechtsrahmen wird regelmäßig mehrere Rechtsordnungen betreffen. Denn am Beispiel einer Bestechung zur Anbahnung von Aufträgen wird deutlich, dass diese (insbesondere abhängig von der Staatsbürgerschaft, dem Tatort und dem handelnden Rechtsträger) meist nach dem auf den jeweiligen Staatsbürger anwendbaren Recht, dem nationalen Recht am Tatort und dem für den Unternehmensträger maßgeblichen Recht verboten sein wird.

Zur Festlegung konkreter Prüfungsmaßnahmen wird schließlich ein Compliance-Due-Diligence-Plan festzulegen sein. In diesem sollten (a) die Quellen der Informationsgewinnung (etwa Pressemitteilungen/sonstige öffentliche Informationen bezogen auf das Zielunternehmen, lokale Ansprechpartner/Industrie- und Branchenvertreter, Botschaften, Informationen von Business-Intelligence-Anbietern, Daten-/Informationsanforderung auf Basis einer maßgeschneiderten Compliance-Due-Diligence-Anforderungsliste) sowie (b) die Phasen und Teilnehmer der Complianceprüfung festgelegt werden. Während die Durchführung eines Quick Checks von öffentlich zugänglichen Quellen über das Zielunternehmen selbstverständlich sein dürfte und zumeist wohl schon von dem Kaufinteressenten selbst durchgeführt wird, sind die Zusammenstellung einer maßgeschneiderten Compliance-Due-Diligence-Anforderungsliste sowie die Abhaltung einer oder mehrerer interviewbasierter Befragungen der Complianceverantwortlichen des Zielunternehmens üblicherweise ein Schwerpunkt der M&A-Berater des Kaufinteressenten. Die Durchführung von interviewbasierten Befragungen der Complianceverantwortlichen hat sich dabei als effektives Mittel für eine erste umfassende Informationsgewinnung erwiesen. Denn Complianceprobleme sind meist gerade nicht (sauber) dokumentiert, weshalb der direkte Kontakt zu den Verantwortlichen wesentlich ist. Ferner werden meistens auch die Struktur des jeweiligen M&A-Verkaufsprozesses und rechtliche Gründe gegen eine zeitaufwendige und detaillierte Complianceprüfung vor Unterzeichnung der Transaktionsverträge sprechen. Denn sowohl in einem exklusiven Verkaufsprozess als auch in einem Bieterverfahren wird der Zeitraum zur Durchführung von Due Diligences, Managementbefragungen etc. regelmäßig sehr kurz sein. Außerdem werden oft insbesondere wettbewerbsrechtliche und datenschutz- oder telekommunikationsrechtliche Gründe gegen eine Offenlegung sämtlicher Informationen – das heißt insbesondere sensitiver Daten zu Kunden, Preisen, Mitarbeitern und deren E-Mail-Kommunikation etc. – oder sogar die Durchführung (digitaler) forensischer Ermittlungen bei dem Zielunternehmen sprechen. Dementsprechend bietet sich meist eine Zwei-Phasen-Complianceprüfung an. In einer ersten Phase wird die wesentliche Compliancedokumentation (z.B. Dokumente zu bestehenden Complianceprogrammen, der Complianceorganisation, den Compliancefunktionsträgern) geprüft und schließlich im Wege von interviewbasierten Befragungen der Complianceverantwortlichen die Umsetzung der Compliancesysteme hinterfragt sowie der Umgang mit möglichen Compliancezwischenfällen ausgeleuchtet. Abhängig von den Ergebnissen dieser Phase 1 der Complianceprüfung wird schließlich mit dem Kaufinteressenten entschieden, welche wesentlichen Erkenntnisse in einer Phase 2 detailliert (etwa durch Mitarbeiterbefragungen und Prüfung von E-Mail-Korres-pondenzen) zu prüfen sind. Ferner wird zu klären sein, welche Konsequenzen entsprechende Complianceverstöße bei dem Zielunternehmen für die Erwerberin haben können.

Gegenstand der Compliance-Due-Diligence in Phase 1 ist zum einen die funktionelle Prüfung der Compliancesysteme und zum anderen die materielle Prüfung historischer Compliancevorfälle sowie (möglicher) zukünftiger Complianceprobleme.

Die funktionelle Prüfung des jeweiligen Compliancesystems orientiert sich insbesondere an den regulatorischen Vorgaben (etwa branchenspezifischen Vorgaben für Banken, Versicherungen) sowie den einschlägigen Prüfungsstandards (z.B. IDW PS 980). Ferner wird aber auch die nationale und internationale Best Practice den Maßstab dafür bilden, ob das zu prüfende Compliancesystem strukturell in der Lage ist, integres Verhalten der Mitarbeiter/Führungskräfte des Zielunternehmens zu sichern. Die Funktionalität eines Compliancesystems wird im Wesentlichen davon abhängig sein, ob (a) Verhaltensregeln individuell vertraglich verankert wurden, (b) Verhaltensregeln von unabhängigen und kompetenten Compliancefunktionsträgern vermittelt und überprüft werden (durch interne und externe Complianceaudits) und (c) im Fall von Complianceverstößen diese auch konsequent sanktioniert werden.

Die materielle Complianceprüfung wird auf Basis identifizierter Risikofaktoren (z.B. landes-/industrie-/geschäftsspezifische Anforderungen) typische Risikobereiche (z.B. Verkaufs-/Einkaufsabteilung/Rechnungswesen, IT-Risiken, Kartellrechts-, Wettbewerbsrechts-, Korruptions-, Datenschutz-, Zoll-/Außenwirtschaftsrechtsverstöße) auf historische und (mögliche) zukünftige Complianceprobleme hin untersuchen.

Post-Merger-Compliance-Integration

Schließlich muss im Rahmen einer M&A-Transaktion auch schon die Post-Merger-Compliance-Integration ins Visier genommen werden. Das heißt insbesondere, dass die Complianceorganisation des Zielunternehmens funktionell in das Erwerberunternehmen eingegliedert werden muss und die im Rahmen der Complianceprüfung aufgenommenen Compliancevorfälle oder -risiken geklärt werden. Als Sonderfall ist beim Aufbau eines Joint Ventures darauf zu achten, dass schon im Rahmen der Joint-Venture-Gesellschaftervereinbarungen der umfassende Aufbau/Abgleich der bestehenden Compliancesysteme geregelt ist. Dabei ist entscheidend, dass die Fähigkeit des jeweiligen Joint-Venture-Partners zur Übernahme der eigenen Compliancestandards im Vorhinein beurteilt und vertraglich vereinbart wird und dass die Parteien insbesondere verpflichtet sind, Compliancepositionen zu schaffen, interne und externe Compliancekontrollen durchzuführen/zu dulden sowie bestimmte Compliancekodizes zu übernehmen, eine strukturierte Geschäftspartnerevaluierung durchzuführen, gegenseitiges Informationsrecht zu gewähren und Complianceverstöße konsequent zu sanktionieren.

Fazit

Festzuhalten bleibt, dass der Durchführung einer Complianceprüfung im Vorfeld eines Unternehmenserwerbs wesentliche Bedeutung für die Kaufentscheidung, den Inhalt und die Verhandlung der Transaktionsverträge und eine Enthaftung im Fall (unentdeckter) Complianceprobleme zukommt. Denn letztlich bleibt einem Erwerber im Nachgang zu einer vollzogenen M&A-Transaktion im Wesentlichen nur die Möglichkeit, sich mit dem Nachweis angemessener Schutzvorkehrungen zu verteidigen, um so Bußgelder oder sogar eine Strafbarkeit abzuwenden.

dirk.stiller@pwclegal.com

clemens.maschke@de.pwclegal.com

Aktuelle Beiträge