Compliance und Criminal Compliance
Criminal Compliance dient der Vermeidung unternehmensbezogener Straf- und Bußgeldverfahren. Der Begriff Compliance bedeutet „Einhaltung der Gesetze und (unternehmensinternen) Regeln“. Das Ziel von Criminal Compliance ist deshalb die Vermeidung von Straftaten und Ordnungswidrigkeiten, die im Zusammenhang mit der unternehmerischen Tätigkeit stehen. Denn Strafverfahren sind für Unternehmen nicht nur teuer, sondern ziehen in der Regel auch erhebliche Image-Schäden nach sich.
Compliance als eigener Rechtsbereich?
Die Diskussion von Compliance als eigenen Rechtsbereich findet ihren Ausgangspunkt in der sog. Siemens-Korruptionsaffäre aus dem Jahr 2006. Die Korruptionsaffäre gilt als einer der größten Skandale in der deutschen Wirtschaftsgeschichte. Die massiven Folgen des Korruptionsskandals für Siemens schafften in diversen Unternehmen erstmals ein Bewusstsein dafür, wie wichtig Maßnahmen zur Prävention von unternehmensbezogenen Straftaten sind. Seither gewinnt das Thema Compliance nicht nur in der Praxis, sondern auch in der Wissenschaft an Bedeutung. So existiert mit der Fachzeitschrift CCZ (Corporate Compliance Zeitschrift) mittlerweile eine eigene Fachzeitschrift, die ausschließlich Fachbeiträge zu Compliance-Themen publiziert.
Besteht eine Compliance-Pflicht?
Bislang ist ungeklärt, ob es eine allgemeine Verpflichtung zur Einrichtung einer Compliance-Organisation gibt. Einen ersten Anhaltspunkt zur Beantwortung dieser Frage bietet die sog. Neubürger-Entscheidung des LG München I (in Zivilsachen). Das LG München I leitete eine Pflicht des Vorstands zur Einrichtung einer Compliance-Organisation aus der Legalitätspflicht des Vorstandes her (§§ 76 I, 93 I 1 AktG). Die Legalitätspflicht ist ihrerseits Bestandteil der Sorgfaltspflicht des Vorstandes aus § 93 I 1 AktG, der die Vorstandsmitglieder die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters auferlegt. Andere wollen eine Compliance-Pflicht aus § 130 OWiG herleiten. Nach § 130 I 1 OWiG hat der Betriebsinhaber die Pflicht, jene Aufsichtsmaßnahmen zu treffen, die erforderlich sind, um im Betrieb Pflichtverletzungen zu verhindern.
Elemente eines Compliance-Management-Systems (CMS)
Criminal Compliance dient der Abwehr straf- oder bußgeldbewehrter Regelverletzungen. Um dieses Ziel zu erreichen, wird im Unternehmen grundsätzlich ein eigenes System eingerichtet, das sich im Wesentlichen aus vier Elementen zusammensetzt. Die Elemente sind Prävention, Überwachung, Aufklärung und Sanktionierung.
Prävention
Damit es erst gar nicht zu Regelverstößen kommt (Prävention), sollten Unternehmen ihre Mitarbeiter darüber informieren, wie sie sich regelkonform Verhalten. Diese Verhaltensrichtlinien werden in einem sog. „Code of Conduct“ zusammengefasst. Darüber hinaus sollten regelmäßige Mitarbeiterschulungen durchgeführt werden. Dies gilt insbesondere dann, wenn neue Vorschriften, wie etwa lürzlich die DSGVO, zur Anwendung gelangen.
Überwachung
Die Einhaltung der Regeln muss zudem überwacht werden. Zur Überwachung wird in der Regel ein sog. Compliance-Officer bestellt, den seinerseits eine strafrechtliche Garantenpflicht zur Verhinderung von Straftaten trifft. Ein weiteres wirksames Mittel zur Überwachung der Funktionsfähigkeit des Compliance-Systems ist die Einrichtung eines Hinweisgebersystems.
Aufklärung
Werden Verletzungen der Verhaltensregeln festgestellt, muss der Sachverhalt aufgeklärt werden (Aufklärung). Zur Aufklärung unternehmensbezogener Straftaten bietet es sich an, eine interne Untersuchung (internal investigation) durch eine externe Kanzlei in Auftrag zu geben. Interne
Sanktionierung
Stellt sich heraus, dass es tatsächlich zu Straftaten durch Mitarbeiter gekommen ist, müssen diese sanktioniert werden. Außerdem offenbaren Regelverstöße häufig Schwachstellen im bestehenden Compliance-System. Unternehmen müssen ihr System daher ggf. anpassen, um entsprechende Verstöße in Zukunft zu vermeiden. Hierbei muss man sich aber bewusst sein, dass es ein hundertprozentig sicheres CMS nie geben wird.
Wesentliche Straftatbestände
Die Anzahl potentieller unternehmensbezogener Straftaten ist enorm. Welche Straftatbestände CMS im besten Fall berücksichtigen, hängt entscheidend vom konkreten Tätigkeitsfeld des Unternehmens ab. Eine pauschale Antwort auf die Frage nach den relevanten Straftatbeständen gibt es also nicht. Relevante Straftatbestände befinden sich zudem nicht nur im Strafgesetzbuch (StGB), sondern auch in den strafrechtlichen Nebengesetzen (zum Beispiel AWG. LFGB, AO).
In der Compliance-Praxis spielen außerdem Geldwäsche– und Korruptionsdelikte eine große Rolle. Die herausgehobene Rolle von Geldwäsche– und Korruptionsdelikten hat mehrere Gründe. Sie hängt u.a. damit zusammen, dass der Staat zuletzt viele Maßnahmen zur Bekämpfung von Korruption und Geldwäsche angestrengt hat, die Unternehmen neue Pflichten aufbürden. Beispielsweise sind Unternehmen seit der Umsetzung der Geldwäscherichtlinie vom 20.05.2015 zur Eintragung in das Transparenzregister verpflichtet. Aufgrund der aus Sicht der EU mangelhaften Umsetzung der Geldwäscherichtlinie arbeitet die Europäische Kommission gegenwärtig an weiteren Maßnahmen zur Bekämpfung von Geldwäsche.
Aktuelle Entwicklungen in Compliance
Criminal Compliance ist dynamisch. Da es im Kern um die Einhaltung von Strafgesetzen geht, sollten stets die aktuellen Entwicklungen in Gesetzgebung und Rechtsprechung im Blick behalten werden. Bestehende CMS sollten fortlaufend auf ihre Gültigkeit überprüft und bei Bedarf angepasst werden.
Angestoßen vom „Dieselskandal“ arbeitet der Gesetzgeber aktuell an einem eigenen Verbandssanktionsrecht. Daneben wird das Recht der Internen Untersuchung kodifiziert. Beide Gesetze führen dazu, dass Criminal Compliance weiter an Bedeutung gewinnt. Bislang ist noch nicht bekannt, welche Strafen Unternehmen nach dem neuen Verbandssanktionsrecht drohen werden. Allerdings war zuletzt die Tendenz erkenbar, den Spielraum für Bußgelder gegen Unternehmen massiv auszuweiten. So ahndet die DSGVO Verstöße gegen das Datenschutzrecht mit Bußgeldern von bis zu vier Prozent des jährlichen weltweiten Jahresumsatzes. Man geht deshalb davon aus, dass die Höhe von Unternehmensgeldbußen noch höher ausfallen wird.Ensprechend stark sollten Unternehmen sich aktuell um den Auf- und Ausbau sowie Aktualisierung ihrer CMS bemühen.