Das Urteil des Landgerichts (LG) München I ist ein Paukenschlag: Erstmals hat sich ein deutsches Gericht umfassend mit den Pflichten eines Geschäftsleiters zur Compliance befasst und dabei strenge Sorgfaltsmaßstäbe für die Organisation von Compliance in Unternehmen aufgestellt. Vorstände und Geschäftsführer sollten den Richterspruch zum Anlass nehmen, sich ernsthaft mit der Einführung und Überwachung eines funktionsfähigen Compliance-Systems zu beschäftigen. Ansonsten drohen Schadenersatzansprüche.
Im Streitfall wurde der frühere Finanzvorstand eines großen deutschen Industriekonzerns zur Zahlung von Schadenersatz in Höhe von 15 Millionen Euro verurteilt, da er nach den Feststellungen des Gerichts seine Compliance-Pflichten verletzt hatte (Urteil vom 01. Dezember 2013, Aktenzeichen 5 HKO 1387/10). Nur auf den ersten Blick ging es in dem Verfahren um Selbstverständlichkeiten. Streitgegenstand waren erhebliche Schmiergeldzahlungen im Ausland. In Ermangelung eines Compliance-Management-Systems konnten – so das Gericht – Korruptionszahlungen aus "schwarzen Kassen" geleistet werden. Diese lassen sich nicht mit dem Argument rechtfertigen, anderenfalls seien wirtschaftliche Erfolge auf korrupten Auslandsmärkten nicht möglich. In Deutschland sind Bestechungen im Ausland strafbar. In diesem Zusammenhang stellten die Richter klar: Ein Vorstandsmitglied muss dafür Sorge tragen, dass sein Unternehmen so organisiert und beaufsichtigt wird, dass derartige Gesetzesverletzungen nicht stattfinden. Diese Aussagen geben die Gesetzeslage wieder und sind für sich genommen nicht außergewöhnlich. Äußerst praxisrelevant sind jedoch die weitergehenden Anforderungen, die die Richter für den Bereich Compliance aufgestellt haben.
Demnach muss ein Vorstand bei einer entsprechenden Gefährdungslage eine Compliance-Organisation einrichten, die auf Schadensprävention und Risikokontrolle angelegt ist. Zwar besteht dazu außerhalb des Finanzsektors in Deutschland keine gesetzliche Verpflichtung. Dennoch hat das Gericht unmissverständlich klargestellt: Der Gesamtvorstand ist zur Schaffung eines funktionierenden Compliance-Systems verpflichtet und muss außerdem dessen Effizienz überwachen.
Die Konsequenz: Jedes einzelne Vorstandsmitglied muss darauf hinwirken, dass ein funktionierendes Compliance-System beschlossen und umgesetzt wird. Findet der Manager mit Verbesserungsvorschlägen bei seinen Kollegen kein Gehör, muss er ihnen "Gegenvorstellungen" unterbreiten und notfalls den Aufsichtsrat einschalten. Die Richter legen hier strenge Sorgfaltsmaßstäbe an. Die Einrichtung eines mangelhaften Compliance-Systems und eine unzureichende Überwachung stufen sie als Pflichtverletzungen ein. Der Gesamtvorstand muss demnach eine klare Regelung schaffen, wer auf seiner Ebene die Hauptverantwortung trägt.
Laufende Überprüfung und Beschäftigung mit "Historie" gefordert
Auch zur Arbeitsweise des eingerichteten Compliance-Systems hat das LG München Stellung bezogen. Die klare Botschaft der Richter: Mit der Einrichtung des Compliance-Systems hat der Vorstand noch nicht alle Pflichten erfüllt. Der Gesamtvorstand ist vielmehr verpflichtet, sich umfassend und fortlaufend über bekanntgewordene Vorfälle Kenntnis zu verschaffen. Das verantwortliche Vorstandsmitglied muss sich also regelmäßig darüber informieren, welche Ergebnisse interne Ermittlungen erbracht haben. Auch muss es prüfen, ob personelle Konsequenzen gezogen wurden – und ob und wie beispielsweise ein Bestechungssystem bekämpft wird. Wichtig: Der Manager muss sich auch über frühere Verstöße im Unternehmen informieren und eine entsprechende "Historie" erstellen. Das bedeutet: Er muss frühere Gesetzesverletzungen kategorisieren sowie dokumentieren, ob und welche Konsequenzen daraus gezogen wurden.
Wie im Streitfall geurteilt, kann sich ein Vorstandsmitglied nicht darauf berufen, es habe Vorgänge in seiner eigenen Zuständigkeit nicht gekannt. Auch fehlende Weisungsbefugnisse gegenüber Personen oder Geschäftsbereichen sind keine Entschuldigung, sondern vielmehr ein Indiz für mangelhafte Compliance.
Interview mit WP/StB Dr. Frank Hülsberg, Senior Partner bei Warth & Klein Grant Thornton
Was bedeutet das Urteil für die Praxis?
Das Urteil enthält zweifellos jede Menge Zündstoff. Erstmals hat ein deutsches Gericht klare Vorgaben zum Thema Compliance gemacht, wer diese vernachlässigt, muss mit unerfreulichen Konsequenzen rechnen. Die Einrichtung eines Compliance-Management-Systems und dessen Überwachung sollten jetzt ganz oben auf der Agenda von Vorständen und Geschäftsführern stehen.
Welche Konsequenzen können auf Betroffene zukommen?
Zunächst einmal haften betroffene Leitungsorgane persönlich auf Schadensersatz und müssen - bei Verwirklichung von Straftatbeständen - mit strafrechtlicher Verfolgung rechnen. Daneben gerät das Unternehmen in die Schlagzeilen und erleidet einen Imageschaden. Ineffiziente Prozesse können zu einer Schwächung des Unternehmenswerts führen. Hinzu kommt: Unternehmen, die ihre Compliance-Anforderungen nicht erfüllen, werden oft von Lieferantenlisten gestrichen. Bei grenzüberschreitend agierenden Firmen besteht zudem immer die Gefahr, gegen internationale Anti-Korruptionsgesetze zu verstoßen, der UK-Bribery-Act und sein US-amerikanisches Pendant FCPA sind da gute Beispiele.
Was bedeutet das Urteil für den Mittelstand?
Im Kreuzfeuer der Medien standen die schlagzeilenträchtigen Berichte über Skandale bei DAX-Konzernen. Dies sollte aber nicht darüber hinwegtäuschen, dass auch Mittelständler einem erheblichen Regelungsdickicht unterliegen und folglich umfangreiche Compliance-Vorgaben erfüllen müssen. Sie sollten das Thema Compliance nicht ausschließlich negativ sehen, sondern umgekehrt Compliance als Instrument der Risikovorsorge begreifen, das die Wettbewerbsposition stärkt. Themen sind beispielswiese die angesprochenen Lieferantenketten, die IT-Compliance und Kartellverstöße, da diese oft ohne Wissen der Geschäftsführung geschehen. Eine funktionsfähige Compliance bietet zahlreiche Vorteile, so werden beispielswiese Aufträge heute immer häufiger an Unternehmen vergeben, die funktionierende Compliance-Strukturen nachweisen können.
Könnten Sie dies an einem Beispiel verdeutlichen?
Nehmen Sie zum Beispiel einen deutschen Safthersteller, der aus China Äpfel bezieht, daraus in Deutschland Apfelsaft herstellt und diesen an eine US-amerikanische Handelskette liefert. Diese fordert nun von ihm eine Compliance-Erklärung für die gesamte Lieferkette. Der Safthersteller hat jetzt ein Problem: Bei Verstößen in China ist seine Existenz gefährdet, kann er die Compliance-Erklärung nicht abgeben, wird er von der Lieferantenliste in den USA gestrichen. Dies zeigt, wie wichtig bei international agierenden Unternehmen die Einhaltung aller Compliance-Anforderungen ist.
Zurück zum Urteil. Wer ist denn für die Einrichtung des Compliance-Management-Systems zuständig?
Zuständig für die Einrichtung und Kontrolle eines Compliance-Systems ist die Unternehmensführung als Kollektiv. Das bedeutet: Jedes einzelne Mitglied der Unternehmensführung muss auf die Einführung eines funktionsfähigen Compliance-Systems hinwirken und seine Umsetzung kontrollieren. Künftig können sich Vorstandsmitglieder nicht mehr darauf berufen, mit Vorschlägen bei den Kollegen nicht durchgedrungen zu sein. In diesem Fall müssen notfalls der Aufsichtsrat bzw. die Gesellschafter informiert werden. Trotz kollektiver Verantwortung muss innerhalb des Vorstands ein Hauptverantwortlicher bestimmt werden. Wichtig ist: Die mit der Überwachung der Compliance-Vorgaben beauftragten Personen müssen mit entsprechenden Kompetenzen und Weisungsrechten ausgestattet werden, sodass sie aus Verstößen auch Konsequenzen ziehen können.
Wie sieht es mit der Verantwortung des Aufsichtsrats aus?
Der Aufsichtsrat hat seiner Überwachungspflicht gemäß Paragraf 107 Absatz 3 Aktiengesetz nachzukommen. Hierzu ist es ratsam, für das Compliance-Management ein Compliance-Audit nach IDWPS 980 einzuholen. Um weitere Überwachungspflichten abzudecken, entwickelt das Institut der Wirtschaftsprüfer derzeit Standards zu den weiteren Bereichen Interne Revision, Risikomanagement und Internes Kontrollsystem.