Aktualisierte DOJ-Richtlinien für die Evaluierung von Compliance-Management-Systemen

Alle diejenigen unter uns, die schon „ein paar Tage“ Compliance betreiben, erinnern sich sicherlich noch gut an den Entwurf zum Verbandssanktionen­gesetz (VerSanG) und dessen Gesetzesbegründung. Dort hieß es unter anderem bei der Frage, ob und wie der ­Gesetzgeber nähere Vorgaben zur Frage der Ausgestaltung eines Compliance-Management-Systems (CMS) machen könne, sinngemäß, dass die Materie so komplex und im Fluss sei, dass weitere Vorgaben durch den Gesetzgeber nicht möglich seien. Interessanterweise ist das US-amerikanische Justizministerium (Department of Justice, DOJ) in den letzten 18 Monaten gleich zweimal in der Lage gewesen, entsprechende Hinweise (guidance) für die Praxis zur Evaluierung von CMS herauszugeben. Zuletzt hatte dieses im März 2023 seine Hinweise zur Evaluierung von Compliance-Management-Programmen (Guidance on the Evaluation of Corporate Compliance Programs (ECCP)) veröffentlicht. Diese sind nun im September 2024 erneut überarbeitet worden. Dieser Beitrag zeigt die wesentlichen Änderungen auf und geht kurz darauf ein, ob und was wir in Deutschland daraus lernen können.

Änderungen der jüngsten ECCP

Die jüngsten Änderungen der ECCP stellte Principal Deput Assistant Attorney General Nicole Argentieri anlässlich ihrer Rede auf der Konferenz der Society of Corporate Compliance and Ethics am 23.09.2024 vor. Im Wesentlichen greifen die Änderungen der ECCP neue technologische Entwicklungen, insbesondere den Gebrauch von künstlicher Intelligenz (KI) auf. Im Kern gehen diese Änderungen auf eine interne ­Anweisung von Deputy Attorney General Lisa Monaco ­zurück, die diese bereits im März 2024 anlässlich einer Veranstaltung der American Bar Association gehaltenen Rede zur Bedeutung des disruptiven Effekts neuer Technologien grob skizzierte.

Betonung des Gebrauchs von Daten und neuer Technologien

In mehr oder weniger sechs separaten Bereichen schärft das DOJ die ECCP nach und macht engere beziehungsweise ­genauere Vorgaben:

Drei dieser Bereiche können unter der Überschrift „Risiken im Zusammenhang mit dem Gebrauch von neuen Techno­logien“ zusammengefasst werden. So ergänzt das DOJ ­zunächst im Bereich „Risk-Assessment“ die ECCP um Fragen zum Einsatz von modernen Technologien und inwiefern Unternehmen die Risiken durch den Einsatz solcher Technologien beim Design ihres CMS berücksichtigt haben (beziehungsweise sollten). Dabei legt es auch nahe, im Enterprise Risk Management (ERM) diese Risiken mit aufzunehmen und zu adressieren. Daneben wurden die ECCP – ebenfalls im Bereich Risk-Assessment – um einen Abschnitt „Management of Emerging Risk to Ensure Compliance with Applicable Law“ ergänzt. Hier werden zehn Fragen aufgeworfen, die bei der Beantwortung der vorstehenden Frage hilfreich sein könnten (als Hinweis: Die ECCP arbeiten vielfach mit Fragen, deren Beantwortung Rückschlüsse auf Qualität und Reifegrad eines CMS zulassen sollen). Zuletzt ist im Bereich „Policies and Procedures“ die Erwartung des DOJ formuliert worden, dass die internen Richtlinien und Verfahren risikobasiert, das heißt unter Einschluss der sich ändernden ­Risiken aus modernen Technologien, evaluiert und angepasst werden.

Daneben beschäftigen sich die Änderungen der ECCP auch mit den möglichen Erleichterungen aus dem Gebrauch ­moderner Technologien und ob und wie bei M&A-Transaktionen die verschiedenen IT- und Datensysteme integriert worden sind. Der hinter den entsprechenden Fragen ­stehende Gedanke ist wohl, dass zunehmend die Integration von IT-Infrastruktur und Datenbanken einen kritischen Einfluss auf die Integrität (unter anderem auch) von Compliance-Management-Systemen hat.

Darüber hinaus gehen die aktualisierten ECCP auf die Bedeutung von Informationen und deren rechtzeitiger Verfügbarkeit ein. So sollen unter anderem Punkte wie (i) ausreichende und zeitgerechte Verfügbarkeit von Informationen/Daten für die Compliancemitarbeiter oder (ii) Einsatz von „state of the art“ Informationsverarbeitungstools oder (iii) Ausstattung der Complianceabteilung (mit Software aber auch finanziellen Mitteln) im Vergleich zu anderen Abteilungen des Unternehmens zukünftig stärkere Bedeutung erlangen. Gerade beim zuletzt genannten Punkt ist interessant, dass das DOJ offensichtlich der Ansicht ist, dass die Complianceabteilung (in Relation) die gleichen finanziellen, personellen und sonstigen Mittel erhalten soll wie andere Abteilungen des Unternehmens auch.

Schließlich finden sich noch Passagen zu Hinweisgebern ­(beziehungsweise dem Umgang mit diesen) und der internen Kommunikation und Schulung von Mitarbeitern. Hier liegt insbesondere der Fokus auf der Frage, ob und wie „lessons learned“ sowohl aus dem eigenen Unternehmen als auch von Marktteilnehmern in die Evaluierung und Anpassung des ­eigenen CMS Eingang finden.

Vorbild für die Complianceberatung in Deutschland?

Ja, sicherlich! Wie schon in der Vergangenheit können die ECCP als sehr gutes Referenzwerk für die Compliance­beratung in Deutschland herangezogen werden. Zum einen bewegen wir uns in diesem Rechtsgebiet ohnehin in einem „Metabereich“, das heißt mangels kodifizierter Regeln steigt der „Drang“ zu einer Best-Practice aller Marktteilnehmer. Zum anderen ist die US-amerikanische Compliance­beratung der deutschen schlicht einige Jahre voraus. Besonders ­interessant und bemerkenswert erscheint, dass das DOJ die innergesellschaftliche Gleichbehandlung so stark betont. Hierin kommt sehr augenscheinlich zum Ausdruck, dass das Aschenputtel-Dasein der Complianceabteilung ein Ende hat! Compliance ist kein „Bremser“ mehr, sondern ein „Treiber“ des Geschäfts. Es wäre schön, wenn sich diese Sicht auch bei uns durchsetzen könnte.

Und was wird nach MAGA davon bleiben?

Und selbstverständlich kann dieser Beitrag nicht enden, ohne auch etwas zu MAGA – „Make America Great Again“ – zu sagen. Wir alle erinnern uns sicherlich noch an die ­berühmten Worte in der Vorlesung Verwaltungsrecht: „Verfassungsrecht vergeht, Verwaltungsrecht besteht“. Die hierin zum Ausdruck kommende „Trägheit“ der Verwaltung ist letztlich den dort tätigen Personen geschuldet, die trotz einer veränderten Führung nicht von heute auf morgen ihre Einstellungen und/oder Arbeitsweisen ändern. Daher wird eine von President-elect Trump eingesetzte neue Führungsebene bestimmt versuchen, die im Wahlkampf adressierten Versprechen umzusetzen. Ob dies jedoch in einer Verwaltung wie dem DOJ, die schon immer sehr selbstbewusst agierte und wahrscheinlich und weiterhin so agieren wird, so ohne weiteres verfangen wird, bleibt abzuwarten.