Compliance – ein Feld, das große Teile der Praxis in Atem hält und vor erhebliche rechtliche und organisatorische Herausforderungen stellt. Gerade auch in Zeiten von Arbeit 4.0 und der Novellierung des europäischen Datenschutzrechtsrahmens sehen sich Unternehmen zwingend mit der Frage konfrontiert, unter welchen Voraussetzungen sie auf die Daten ihrer Arbeitnehmer zugreifen dürfen, um internen oder externen Compliance-Anforderungen zu genügen. Der folgende Beitrag bildet einen ersten Auftakt zur Durchleuchtung dieses gleichermaßen spannenden wie praxisrelevanten Themas, indem er die rechtlichen Rahmenbedingungen und unternehmerischen Umsetzungsbedarfe darstellt.
Play by the rules: Begriff der „Compliance“
In der juristischen Diskussion wird der Begriff Compliance gemeinhin verstanden als „Einhaltung, Gesetzestreue, Befolgung und Übereinstimmung” oder auch „die Gesamtheit der Maßnahmen, die das rechtmäßige Verhalten eines Unternehmens, seiner Organe und Mitarbeiter im Hinblick auf alle gesetzlichen und unternehmenseigenen Gebote und Verbote gewährleisten sollen“. Kurzum: Compliance ist gleichzusetzen mit der Erfüllung von Pflichten und regelkonformem Verhalten.
Gesetzliche Vorgaben und flankierende Selbstregulierung
Compliance ist dabei keinesfalls bloßer Selbstzweck von Unternehmen. Vielmehr wird ihre Einhaltung von der Rechtsordnung an vielen Stellen gefordert. Den Compliance-relevanten Grundstock gesetzlicher Vorgaben bilden hierbei insbesondere Vorschriften aus dem Straf- und Ordnungswidrigkeitenrecht, Aktiengesetz und GmbH-Gesetz.
In strafrechtlicher Hinsicht besteht zunächst nach den Grundsätzen der sog. „strafrechtlichen Geschäftsherrenhaftung“ eine Verantwortlichkeit der Führungsebene für eigenes Fehlverhalten. Da es geschäftsleitenden Organen praktisch unmöglich und daher unzumutbar ist, ihren Aufgaben und Pflichten jederzeit und an jedem Ort eigenständig nachzukommen, besteht die Möglichkeit horizontaler und vertikaler Delegation. Hierbei kommt es aber keinesfalls zu einer vollständigen Überleitung von Verantwortlichkeiten. Die Unternehmensleitung kann sich also nicht gänzlich ihrer Überwachungspflichten entledigen. Stattdessen findet eine Transformation in Aufsichts-, Kontroll- und Überwachungspflichten statt.
Compliance-Verstöße können bereits in strafrechtlicher Hinsicht einige Konsequenzen nach sich ziehen, darunter die Abschöpfung von durch die Tat erlangter Vorteile mittels Verfall (§ 73 Abs. 3 StGB) oder Einziehung (§§ 75, 76a StGB) oder die Beschlagnahme von – unter Umständen auch äußerst sensiblen – Geschäftsunterlagen. Flankierend sieht sich das Unternehmen der Gefahr ausgesetzt, im Falle der Zuwiderhandlung nach § 30 OWiG eine empfindliche Geldbuße zahlen zu müssen. Als taugliche Anknüpfungstat für eine solche Unternehmenssanktionierung kann auch eine Aufsichtspflichtverletzung von Inhabern oder Geschäftsführer eines Betriebs oder Unternehmens dienen, welche nach das Gesetz wiederum gemäß § 130 OWiG mit einem Bußgeld belegt werden kann. Aus dem Zusammenspiel von § 30 Abs. 2 Satz 3 und § 130 Abs. 3 Satz 2 OWiG drohen Unternehmen insgesamt horrende Zahlungsverpflichtungen.
Mit Spannung bleibt zudem abzuwarten, wie sich die zivilrechtliche Rechtsprechung im Zusammenhang mit der Verletzung von Compliance-Pflichten entwickelt. Jedenfalls das LG München I schien hier eine harte Linie fahren zu wollen, verurteilte es einen Manager wegen der nicht vorgenommenen Implementierung eines angemessenen Compliance-Management-Systems zu einer Schadensersatzzahlung aufgrund Organisationspflichtverletzung in Höhe von 15 Millionen (!) Euro (LG München I, Urteil vom 10.12.2013 – 5 HK O 1387/10; das später beim OLG München – 7 U 113/14 – anhängige Verfahren wurde aufgrund außergerichtlichen Vergleichs beendet).
Compliance-Pflichten werden Unternehmen zum einem explizit vom Gesetz auferlegt, wobei insbesondere Regelungen im AktG und GmbHG eine Rolle spielen. 93 Abs. 1 Satz 1 und 2 AktG gibt Vorstandsmitgliedern auf, die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Hiervon umfasst sind auch unter der Berücksichtigung angemessener Informationen zum Wohle der Gesellschaft, was notwendig die Durchführung Compliance-relevanter Maßnahmen einschließt. Die Vorschrift wird flankiert von § 91 Abs. 2 AktG. Danach muss der Vorstand geeignete Maßnahmen treffen, insbesondere ein Überwachungssystem einrichten, um den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig zu erkennen. Ähnliche Pflichten bestehen gemäß § 43 Abs. 1 GmbHG auch für den Geschäftsführer einer GmbH.
Aber auch jenseits der klaren gesetzlichen Vorgaben wird mittlerweile auf die Einhaltung von Compliance gedrängt. Teile der juristischen Literatur sprechen sich dafür aus, eine gesetzliche Obliegenheit zur Einführung angemessener und geeigneter Compliance-Strukturen für sämtliche Unternehmen anzunehmen, soweit es sich nicht um Kleinunternehmen handelt oder kein nennenswertes Geschäftsvolumen bzw. Umsatz vorliegt.
Neben den gesetzlichen Vorgaben zur Compliance wird das Thema auch im deutschen Corporate Governance Kodex (den aktuellen Novellierungsentwurf können Sie hier abrufen) im Bereich der Selbstregulierung reflektiert. Der deutsche Corporate Governance Kodex dient dem Ziel, Vertrauen der Stakeholder in deutsche börsennotierte Gesellschaften zu fördern. Der Kodex entfaltet zumindest insofern normative Wirkung, als sich Vorstände und Aufsichtsrat der börsennotierten Gesellschaft bei Beitritt zum Kodex zu dessen (Nicht-)Anwendbarkeit zu erklären haben (vgl. z. B. 161 Abs. 1 Satz 1 AktG; sog. „comply or explain“). Vorstand und Aufsichtsrat der börsennotierten Gesellschaft müssen hierbei ausführen, ob und inwiefern die Vorgaben des Kodexes entsprochen und aus welchen Gründen auf bestimmte Empfehlungen verzichtet wird (die jeweiligen Entsprechungserklärungen der im DAX und MDAX gelisteten Unternehmen finden Sie hier).
Erstes Zwischenfazit und Ausblick
Bereits die vorangegangene überblicksartige Darstellung verdeutlicht, dass Unternehmen das Thema Compliance keinesfalls unterschätzen sollten. Es geht es dabei nicht nur um die Abwendung materieller, sondern auch immaterieller Schäden, sei es etwa in Gestalt von Reputationsverlusten oder im Hinblick auf etwaige Belastungen von Geschäftsbeziehungen im B2B- und/oder B2C-Bereich.
Ob die im aktuellen Koalitionsvertrag von CDU/CSU und SPD getroffene Ankündigung, gesetzliche Anreize zur Aufklärungshilfe durch Internal Investigations und zur anschließenden Offenlegung der hierauf gewonnenen Erkenntnisse zu schaffen (dort S. 126), letztlich auch umgesetzt werden, bleibt abzuwarten. Fest steht jedoch: Das Thema Compliance wird zukünftig noch an Bedeutung gewinnen und Unternehmen sind gut beraten, wenn sie sich frühzeitig und umfassend mit den rechtlichen Risiken in ihrem Geschäftsbereich auseinandersetzen. Dies gilt insbesondere auch für den Beschäftigtendatenschutz, der Gegenstand einer Fortsetzung dieses Beitrags wird.