Es genügt nicht, etwas zu tun, sondern das Richtige ist richtig zu tun!

Haftung bei unzureichendem Risiko- und Compliancemanagement


Haftung bei unzureichendem Risiko- und Compliancemanagement: Es genügt nicht, etwas zu tun, sondern das Richtige ist richtig zu tun! Interview

In der Aufarbeitung seiner Korruptions-Affäre ist der Siemens-Konzern erfolgreich gegen ein weiteres ehemaliges Vorstandsmitglied geklagt. Der frühere Finanzvorstand Heinz-Joachim Neubürger konnte sich mit Siemens nicht auf einen Vergleich einigen und wurde daher vor dem Landgericht München zur Zahlung von 15 Millionen Euro Schadensersatz verurteilt. Die Richter haben in ihrer Begründung verdeutlicht, dass die Einrichtung eines mangelhaften Compliance-Systems und auch deren unzureichende Überwachung eine klare Pflichtverletzung des Vorstandes darstellt.

Das präventive Management von Chancen und (Compliance-)Risiken zählte immer schon zu den originären Leitungsaufgaben eines Vorstands bzw. Geschäftsführers. Insbesondere die "Business Judgement Rule"  regelt im deutschen Gesellschaftsrecht als Teil der Organhaftung, nach welchen Verstößen der Vorstand oder Aufsichtsrat für begangene schuldhafte Pflichtverletzungen persönlich haftet und den entstandenen Schaden ersetzen muss. So muss der Geschäftsführer bzw. Vorstand beispielsweise im Einzelfall nachweisen, dass er seine Entscheidung auf der Grundlage angemessener Information getroffen hat – und daher auch "Wetterwarnungen" auf dem Unternehmens-Radar hatte. Hierzu gehören eben auch Informationen über korruptes Verhalten von Mitarbeitern im Unternehmen, um Aufträge zu ergattern.

Die Richter haben deutlich gemacht, dass grenzüberschreitende Schmiergeldzahlungen eine Gesetzesverletzung darstellen, die sich nicht aus der Logik heraus rechtfertigen lässt, anderenfalls seien wirtschaftliche Erfolge auf korruptiven Auslandsmärkten nicht mehr möglich. Vielmehr muss ein Vorstandsmitglied oder ein Geschäftsführer dafür Sorge tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Korruptionshandlungen stattfinden.

Einer derartigen Organisationspflicht genügt der Vorstand nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance- bzw. Risikomanagement-Organisation einrichtet.

Wir sprachen mit Dr. Josef Scherer, Professor für Unternehmensrecht (Compliance), insbesondere Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht an der Technischen Hochschule Deggendorf und Seniorpartner der Wirtschaftsrechtskanzlei Prof. Dr. Scherer, Dr. Rieger und Partner mbB über die persönliche Haftung von Vorständen und Geschäftsleitern bei einem nicht vorhandenen oder unzureichenden Compliance- und Risikomanagement.

RiskNET:Vor wenigen Wochen wurde der ehemalige Siemens-Vorstand Heinz-Joachim Neubürger zu einem Schadensersatz von 15 Millionen Euro verurteilt (Az. 5 HK O 1387/10). Wie ist der Richterspruch aus einer Compliance-Perspektive zu bewerten?

Josef Scherer: Eigentlich enthält das Urteil nicht sehr viel Neues und ist auch grundsätzlich nicht überraschend, da bereits in der Vergangenheit viele Urteile zur rechtssicheren Unternehmensorganisation in die gleiche Richtung gingen. Interessant ist jedoch die Begründung des Urteils im Einzelnen: Da finden sich viele – bereits ebenfalls bekannte – wertvolle Hinweise für Manager (auch GmbH-Geschäftsführer), Aufsichtsratsmitglieder und Compliance-Verantwortliche.

Beispielsweise ist dort zu lesen, dass es eine Pflicht und damit keinen Ermessenspielraum zur Einrichtung eines funktionierenden Compliancemanagement-Systems gibt. Bezüglich der Ausgestaltung selbst gibt es Spielräume, wichtig ist jedoch, dass das Ziel, für Rechtssicherheit zu sorgen, erreicht wird. Hier geht es um die Angemessenheit. Auch zu den Grundsätzen ordnungsgemäßer Unternehmensführung und -überwachung, sprich einer guten Governance, sowie zur Prozess- und Beweisführung findet sich Lesenswertes. Die Beweislast steht zumeist zu Lasten des Managers. Sogar, wenn nicht klar ist, ob die mögliche Pflichtverletzung den Schaden verursacht hat, müssen Vorstand oder Geschäftsführer sich entlasten. An zahlreichen Stellen wird die Pflicht zur gewissenhaften Unternehmensführung und -überwachung ohne jeglichen Ermessensspielraum betont. Weitere wichtige Punkte: Bei entsprechenden Alarmzeichen ist angemessen (effektiv) zu reagieren. Klare, dokumentierte Zuständigkeitsregeln und die Ausstattung der zuständigen Mitarbeiter mit entsprechenden Ressourcen und Knowhow sind unverzichtbar. 

Der Vorstand beziehungsweise der Geschäftsführer muss sich selbst um Informationen kümmern und bei Delegation entsprechend überwachen. Bei Widerstand im Kollegium ist notfalls der Aufsichtsrat einzuschalten. Den Aufsichtsrat trifft hierbei übrigens eine eigene Pflicht, zu überwachen, ob ein gelebtes und funktionierendes Compliancemanagement-System vorhanden ist. Das Compliancemanagement-System muss dem anerkannten Stand von Wissenschaft und Praxis entsprechen. Bei Verletzung der angeführten Pflichten reicht bereits einfache Fahrlässigkeit, um zivilrechtlich als Geschäftsführer bzw. Vorstand persönlich auf Schadensersatz zu haften.

Der Aufsichtsrat und/oder die Gesellschafter sind sogar verpflichtet, vom Vorstand bzw. Geschäftsführer Schadensersatz einzuklagen, wenn dieser seine Pflichten verletzt hat. Es genügt also nicht, etwas zu tun, sondern das Richtige ist richtig zu tun!

RiskNET: Welche Konsequenzen hat das Urteil auf eine Risikomanagement- und Compliance-Organisation in der Praxis?

Josef Scherer: Jetzt wird es richtig interessant: Die Ausführungen in diesem und vielen anderen Urteilen sind nicht nur auf die Compliancefunktion, sondern auch auf Risikomanagement, Planung und Steuerung, Leistungserbringung, Personal, Informationstechnologie et cetera anzuwenden. Governance heißt, das Unternehmen in allen Bereichen so zu organisieren und zu beaufsichtigen, wie es ein gewissenhafter Unternehmer machen würde. So muss ein Risikomanagement- und Compliancemanagement-System dem anerkannten Stand von Wissenschaft und Praxis entsprechen.

RiskNET: Wie viele Insolvenzen könnten durch ein präventives Risiko- und Compliancemanagement verhindert werden?

Josef Scherer: Die Mehrzahl der Insolvenzen ließe sich verhindern. Die überwiegende Mehrheit der Insolvenzursachengutachten der  Verwalter zeigt, dass es kaum sogenannte "schwarze Schwäne", also nicht vorhersehbare oder steuerbare Ereignisse, gibt. Voraussetzung für die Absicherung des Unternehmens wäre aber mehr Transparenz, frühzeitige Analysen und Steuerungsmaßnahmen, mehr rationales und weniger intuitives Vorgehen beim Management. 

RiskNET: Wie kann ein Vorstand in einem Entscheidungsprozess beurteilen, ob er ein erhöhtes Risiko für eine persönliche Haftung ausgesetzt ist?

Josef Scherer: Persönliche Haftung ist das Resultat nicht erkannter oder behandelter Schwachstellen im Unternehmen. Es ist nicht nur eine Obliegenheit, sondern sogar eine Pflicht für das Management, regelmäßige Risiko- und Compliance-Checks durchzuführen und den Reifegrad dieser Funktionen festzustellen. Erst im Jahr 2012 hat der Bundesgerichtshof entschieden, dass der Geschäftsführer für eine Organisation sorgen muss, die ihm die zur Wahrnehmung seiner Pflichten erforderliche Übersicht über die wirtschaftliche und finanzielle Situation der Gesellschaft jederzeit ermöglicht. Die Differenzierung zwischen wirtschaftlicher und finanzieller Situation bedeutet, dass sich der Geschäftsführer nicht nur über Liquidität und Finanzzahlen im Klaren sein muss, sondern auch über den Ist-Stand in den übrigen Unternehmensbereichen. Dies kann nur funktionieren, wenn regelmäßige Analysen durchgeführt werden. Laut BGH muss der Geschäftsführer sodann bei krisenhaften Anzeichen unverzüglich eine nähere Überprüfung vornehmen. 

RiskNET: Was ist aus Ihrer Sicht erforderlich, um Manager für die Themen Risiko- und Compliancemanagement zu sensibilisieren?

Josef Scherer: Primär muss es ein größeres Verständnis gehen, was sich hinter den Begriffen "Governance, Risiko- und Compliancemanagement" tatsächlich verbirgt. Komplexe Theorien helfen dabei nicht. Bildhaft gesprochen bedeutet Governance, wie ein Kapitän sein Unternehmensschiff gut und erfolgreich zu steuern. Reeder und sonstige Institutionen wachen darüber.

Risikomanagement ist das Radar, das Gefahren von Abweichungen frühzeitig erkennen lässt und gegensteuern hilft, aber auch Chancen, beispielsweise günstige Winde, aufzeigt. Compliancemanagement sorgt hingegen dafür, dass die Beteiligten ihre Pflichten erfüllen. 

Wenn echtes Verständnis für den – messbaren – Wertbeitrag dieser Themen vorhanden ist, kommen die Sensibilität und der Wunsch, die Vorteile dieser Funktionen zu nutzen, von selbst!

 

Prof. Dr. Josef Scherer, Technische Hochschule DeggendorfRechtsanwalt Prof. Dr. Josef Scherer ist Professor für Unternehmensrecht (Compliance), insbesondere Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht an der Technischen Hochschule Deggendorf und Seniorpartner der Wirtschaftsrechtskanzlei Prof. Dr. Scherer, Dr. Rieger und Partner mbB. Zuvor arbeitete er als Staatsanwalt und Richter am Landgericht in einer Zivilkammer sowie als Insolvenzverwalter in mehreren Gerichtsbezirken.

In Kooperation mit TÜV sowie RiskNET konzipierte er als Studiengangsleiter und Referent den akkreditierten berufsbegleitenden Masterstudiengang Risikomanagement und Compliancemanagement an der Technischen Hochschule Deggendorf. Seit 2012 leitet er als Vorstand des Direktoriums das Internationale Institut für Governance, Management, Risk- und Compliancemanagement der Technischen Hochschule Deggendorf als Kompetenzzentrum.

[ Bildquelle Titelbild: © nito - Fotolia.com ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.