Aktuelle Entwicklungen der Rechtslage
Die Anzahl von Ermittlungsverfahren gegen Unternehmensverantwortliche und die häufig damit einhergehende Verhängung von Verbandsgeldbußen auf Grundlage des § 130 OWiG gegen Unternehmen ist in den vergangenen Jahren stark angestiegen. Neben dem Bereich des Kartellrechts sind hier das Steuerrecht und der Bereich Korruption als größte Risikofelder erwachsen.
Während in früheren Jahren bei Verfehlungen auf Mitarbeiterebene ausschließlich gegen die betreffende Person ermittelt wurde, prüfen Behörden mittlerweile in solchen Konstellationen regelmäßig, ob der Leitungsebene eine Beteiligung an Straftaten vorgeworfen werden kann, oder zumindest, ob eine Verletzung der Aufsichtspflicht nach § 130 OWiG gegeben ist. Die einzige Möglichkeit, das Risiko für solche Ermittlungen erheblich zu senken, ist das Vorhandensein einer nachweislich gelebten Compliancestruktur.
Da zahlreiche Unternehmen mittlerweile zumindest „auf dem Papier“ Grundelemente eines Compliancemanagementsystems (CMS) haben, legen die Behörden im Rahmen etwaiger Ermittlungsverfahren größten Wert darauf, dass die vorhandenen Strukturen durch regelmäßige Aktualisierungen auf dem neusten Stand sind und die Mitarbeiter in den jeweiligen Rechtsgebieten in vertretbaren Abständen geschult werden.
In den nächsten Jahren sind in diesem Bereich zudem erhebliche Verschärfungen zu erwarten. Es ist insbesondere mit der Einführung des Verbandssanktionengesetzes zu rechnen, welches die Bedeutung von Compliance nochmals ganz erheblich erhöhen wird (der Gesetzentwurf sieht derzeit Bußgelder von bis zu 10% des Unternehmensumsatzes vor). In den bisherigen Erläuterungen zu dem Regierungsentwurf wird sehr deutlich, dass von den Unternehmen ein auf die eigenen Risiken abgestimmtes Compliancesystem erwartet wird. Dementsprechend sollten Unternehmen mit Blick auf diese Entwicklung – unabhängig von den bereits vorhandenen Strukturen – auf Basis einer Risikoanalyse prüfen, ob sie mit ihrem derzeit vorhandenen CMS sämtliche für sie konkret bestehenden Risikobereiche abdecken.
Die Konzernstruktur als wesentlicher Faktor für die Ausgestaltung eines angemessenen CMS
Das oben dargestellte Haftungsregime ist am Rechtsträgerprinzip ausgerichtet. Adressat der Geldbuße ist grundsätzlich die Gesellschaft, deren handelnde Mitarbeiter in Leitungsfunktion eine Straftat oder Ordnungswidrigkeit begangen haben (BGH, NJW 2012, 164, 165). Auch die normierte Leitungsverantwortung der Geschäftsleitung bezieht sich grundsätzlich stets allein auf „die Gesellschaft“. Diesen in § 76 Abs. 1 AktG statuierten Grundsatz dezentraler Leitungsverantwortung bringt auch Ziff. 4.1.3 des Deutschen Corporate Governance Kodex zum Ausdruck, wonach der Vorstand auf eine Konzerncompliance lediglich „hinwirken“ muss.
In der Praxis wird dieser Grundsatz jedoch durch eine verstärkte und weite Anwendung des dargestellten § 130 OWiG durchbrochen, der die Sanktionierung der Leitungsebene im Fall der Verletzung von Aufsichtspflichten erlaubt. Die Aufsichtspflicht soll in Konzernsachverhalten neben den jeweiligen Tochtergesellschaften (Rechtsträger) ergänzend die Holding betreffen. Die Leitungsebene einer Gruppenholding soll bußgeldbewehrt für die der Gesellschaft unterstellten Tochtergesellschaften verantwortlich sein, wenn die Gruppenholding das Handeln der Tochtergesellschaft beeinflussen kann und dadurch die Gefahr der Verletzung betriebsbezogener Pflichten begründet wird (OLG München, Beschluss vom 23.09.2014 – 3 Ws 599, 600/14, CCZ 2016, 44).
Compliancerechtlich führt die Schaffung einer dezentralen Konzernstruktur damit zu einer „doppelstöckigen“ Verantwortlichkeit. Neben den Geschäftsleitern der jeweiligen Bereichsholdings und der weiteren betroffenen Tochtergesellschaften hat auch die Geschäftsleitung der Holding dafür Sorge zu tragen, dass die Töchter über eine funktionierende Complianceorganisation verfügen.
Sollte es also in einer der Tochtergesellschaften zu einer Straftat oder Ordnungswidrigkeit kommen, könnte für diesen Vorfall nicht nur die Geschäftsführung der betreffenden Tochtergesellschaften unter Compliancegesichtspunkten haften, sondern auch die Holdinggeschäftsleitung selbst. Dies wäre dann der Fall, wenn die Holding nicht sichergestellt hätte, dass die Tochterunternehmen ihrerseits ihren Compliancepflichten ordnungsgemäß nachkommen und auch an die Holding entsprechend berichten. Insoweit geht es aus Sicht der Holding also darum, ein ordnungsgemäßes CMS zu implementieren und dieses auch nachweisen zu können, so dass es sich im Fall eines etwaigen Vorfalls stets um einen „Ausreißer“ oder „Einzelfall“ handelt, aber nicht um einen „Systemfehler“.
Konkrete Handlungsempfehlungen in dezentralen Holdingstrukturen
Auch in einer dezentral gestalteten Gruppenstruktur verbleibt, wie dargestellt, grundsätzlich ein nicht unerhebliches Maß an Complianceaufsichtspflichten bei der Gruppenholding. Dieser nicht delegierbaren Aufsichtsverantwortung ist auf Holdingebene dadurch zu begegnen, dass der Themenkomplex „Compliance“ ausdrücklich einem Mitarbeiter der Holding oder (etwa im Geschäftsverteilungsplan) einem Geschäftsleiter der Konzernholding zugewiesen wird.
Ausgehend von diesem „Kopf“ des CMS der Konzerngruppe (der auch als Chief Compliance Officer für die gesamte Gruppe handeln kann, aber nicht zwingend muss), muss sodann der ihm obliegenden Complianceverantwortung durch Einführung angemessener Compliancestrukturen (und deren Überwachung) in den jeweiligen Tochterunternehmen Rechnung getragen werden. Als ein Baustein zur Erfüllung der Aufsichtsverpflichtung auf Ebene der Holdinggesellschaften ist es insbesondere möglich, dass jedes Tochterunternehmen eine verantwortliche Complianceperson benennt (dies kann auch ein einzelner Geschäftsleiter sein).
Ausgangspunkt der neuen Compliancestruktur in den jeweiligen Tochterunternehmen sollte dabei in jedem Fall eine dokumentierte Risikoanalyse der bestehenden Compliancerisiken sein. Erforderlich ist hierfür ein protokollierter Austausch zwischen den wesentlichen Mitarbeitern/der Geschäftsleitung der jeweiligen Unternehmen, mittels dessen die jeweiligen Risken herausgearbeitet werden.
Die in einer solchen Risikoanalyse identifizierten Risiken (typischerweise insbesondere in den Bereichen Korruption, Kartell- und Wettbewerbsrecht, Datenschutzrecht sowie gegebenenfalls bei arbeitsrechtlichen Themen) sollten im jeweiligen Compliancesystem durch gesonderte Regelungen ausdrücklich adressiert werden.
In den Tochterunternehmen sind zudem die Mitarbeiter zu den in den Risikoanalysen jeweils identifizierten Risiken regelmäßig zu schulen. Die Schulungen sind zu dokumentieren. Auch sämtliche Anfragen von Mitarbeitern zu Handlungsempfehlungen in konkreten Situationen sind zu dokumentieren, um so verfolgen zu können, ob eine Sensibilisierung der Mitarbeiter für die identifizierten Risiken stattgefunden hat.
In größeren Organisationen bietet sich zudem ein Complianceausschuss als festes Gremium an. Ein solcher Ausschuss kann entweder dezentral in den jeweiligen Bereichen der Konzernstruktur installiert werden, oder es wird ein zentrales Gremium mit Zuständigkeit für sämtliche Konzerngesellschaften eingerichtet.
Zusammenfassung
Auch in einer dezentral gestalteten Konzernstruktur verbleibt ein nicht unerhebliches Maß an Complianceaufsichtspflichten bei der Konzernmutter. Dieser nicht delegierbaren Aufsichtsverantwortung ist durch Implementierung eines gruppenweiten Compliancesystems Rechnung zu tragen, dessen Einhaltung laufend durch Verantwortliche der Konzernmutter überwacht wird. Die Verteilung der entsprechenden Zuständigkeiten ist dabei entscheidend. Sowohl auf Ebene der Konzernmutter (für das konzernweite CMS) als auch auf Ebene der einzelnen Tochterunternehmen (für das jeweilige CMS des Rechtsträgers) sind Verantwortliche zur Überwachung der Einhaltung des CMS zu benennen. Abhängig von der Größe einzelner Konzernbereiche ist zudem die Installierung eines Complianceausschusses für einzelne Bereiche oder aber (nur) für den Gesamtkonzern denkbar.
