Neue ECCP-Leitlinien des US-Justizministeriums (Teil 1): So werden Compliance-Programme bewertet

Stephanie Troßbach, Partnerin bei gunnercooke und Compliance-Expertin, gibt in Teil 1 ihres Beitrags einen Einblick in die neuen US-Hinweise zur Evaluierung von Compliance-Programmen (ECCP). Doch warum sind diese Änderungen auch für deutsche Unternehmen wichtig?

Lesen Sie, wie Ihr Unternehmen sich effektiv schützen kann!

Was ist das ECCP und ist dies auch für deutsche Unternehmen relevant?

Alle paar Jahre gibt das US-Justizministerium (Department of Justice, DOJ) neue Hinweise heraus, wie es den Status von Compliance-Programmen und ihren Reifegrad beurteilt. Diese Hinweise werden ECCP genannt, was für „Evaluation of Corporate Compliance Programs“ steht.

Das erstmals 2019 vorgestellte ECCP dient US-Staatsanwälten auf US-Bundesebene als wichtiges Instrument zur Bewertung des Compliance-Programms eines Unternehmens, wenn Ermittlungen durchgeführt und Strafverfolgungsmaßnahmen ergriffen werden. US-Staatsanwälten und Unternehmen wird damit ein Rahmen für die Bewertung von Compliance-Programmen auf der Grundlage einer Reihe qualitativer und quantitativer Kriterien zur Verfügung gestellt. Es stützt sich auf verschiedene Quellen, darunter Rechtsnormen, bewährte Verfahren, Erkenntnisse und Erfahrungen des DOJ.

Das ECCP ist auch in Verfahren nach dem U.S. Foreign Corrupt Practices Acts (FCPA) – und davon können auch nicht US-Unternehmen betroffen sein – relevant, da Unternehmen hier typischerweise die Effektivität ihres Compliance Management Systems (CMS) nachweisen müssen, um Strafen zu mindern oder ganz zu vermeiden.[1]

Daher ist das ECCP eine unschätzbare Ressource für Unternehmen, die bestrebt sind, wirksame Compliance-Programme umzusetzen und aufrechtzuerhalten. Auch für Unternehmen, die nicht dem FCPA (oder sonst U.S.-amerikanischem Recht) unterliegen, bietet das ECCP wertvolle Hinweise, mit denen sie ihre Compliance-Programme überprüfen können. So gibt es in Deutschland kaum gesetzliche, behördliche oder gerichtliche Vorgaben, wie effektive Compliance-Programme konkret aussehen sollten, selbst wenn sich zunehmend ein Trend in diese Richtung abzeichnet.[2] Unternehmen müssen also überwiegend auf anderweitige Standards, wozu auch das ECCP gehört, zurückgreifen.

Wesentlicher Inhalt bisheriger Empfehlungen und das neue ECCP

Die Hinweise des DOJ haben sich in den letzten Jahren zunehmend darauf fokussiert, ob Compliance-Programme in der Praxis tatsächlich greifen oder sie nur auf dem Papier existieren. Besonders wurde hier regelmäßig die große Bedeutung eines risikobasierten Compliance-Programms herausgehoben, das von der Unternehmensleitung unterstützt und mit ausreichenden Ressourcen ausgestattet wird. Gleichzeitig wurde von Unternehmen erwartet, dass sie ihre Programme kontinuierlich verbessern, stetig überwachen und datenbasierte Ansätze nutzen.

Im September 2024 hat das DOJ die Empfehlungen nun wieder aktualisiert, um neuen Herausforderungen Rechnung zu tragen.[3]

Drei Bereiche werden besonders hervorgehoben:

Bereich 1: Künstliche Intelligenz

Bereits im März 2024 hatte das DOJ seine Absicht bekannt gegeben, sich bei der Bewertung der Unternehmens-Compliance auf die mit künstlicher Intelligenz (KI) verbundenen Risiken zu konzentrieren, ein Anliegen, welches das DOJ nun in das ECCP integriert hat:[4]

• Technologienutzung: Unternehmen sollen klar darlegen, welche Arten von KI in ihrem Betrieb eingesetzt werden und wie diese Technologien in die Geschäftsprozesse integriert sind. Dabei geht es um die Frage, in welchen spezifischen Bereichen KI einen Mehrwert bringt und welche Kontrollen vorhanden sind, um sicherzustellen, dass die Technologie ausschließlich für die vorgesehenen Zwecke genutzt wird.
• Risikobewertungen: Darüber hinaus legt das DOJ großen Wert auf gründliche Risikobewertungen. Unternehmen sind angehalten, die potenziellen Risiken, die durch den Einsatz von KI entstehen könnten, zu analysieren. Dies umfasst sowohl interne Risiken wie die unbeabsichtigte Förderung rechtsverletzenden Verhaltens (z. B. Betrug oder Datenschutzverletzungen), als auch externe Bedrohungen.
• Strategien der Risikoreduzierung: Um solche Risiken zu mindern, verlangt das DOJ die Implementierung umfassender Strategien der Risikoreduzierung. Aufsichtsmechanismen (technische Maßnahmen, aber auch organisatorische Prozesse) sollen sicherstellen, dass das Unternehmen die potenziellen Risiken von KI-Anwendungen stets im Blick hat und effektiv darauf reagiert.

Insgesamt fordert das DOJ Unternehmen dazu auf, KI in einer verantwortungsvollen und kontrollierten Weise einzusetzen, um sowohl die betrieblichen Vorteile zu maximieren als auch die potenziellen Gefahren zu minimieren.

Bereich 2: Unterstützung von Hinweisgebern

Bereits in der Vergangenheit war der Schutz von Hinweisgebern ein Eckpfeiler des ECCP. Das aktualisierte ECCP legt erneut einen Schwerpunkt auf die Bewertung von Whistleblower-Programmen. Das DOJ wird sich weiter darauf konzentrieren, ob „Unternehmen ihre Mitarbeiter dazu ermutigen, sich zu äußern und Fehlverhalten zu melden, oder ob Unternehmen Praktiken anwenden, die die Meldung von Fehlverhalten erschweren“: [5]

• Bewusstsein und Zugänglichkeit: Hierzu gehört das notwendige Wissen der Mitarbeiter, wie sie vermutetes Fehlverhalten melden können. Außerdem müssen Meldekanäle leicht zugänglich und allen Mitarbeitern klar kommuniziert sein.
• Abbau von Ängsten vor negativen Folgen: Mitarbeiter müssen begründetes Vertrauen haben, dass sie Bedenken melden können, ohne Vergeltungsmaßnahmen befürchten zu müssen. Hinweisgeber sind durch konkrete Maßnahmen vor möglichen Repressalien zu schützen.

Die Aktualisierungen des DOJ zielen darauf ab, sicherzustellen, dass Compliance-Programme nicht nur die Meldung von Verstößen erleichtern, sondern auch ein Umfeld schaffen, in dem sich Mitarbeiter sicher fühlen und zur Meldung ermutigt werden.

Bereich 3: Selbstbewertung des Compliance-Programms und Datenzugang

Vor den jüngsten Änderungen lag der Schwerpunkt der Selbstbewertung von Compliance-Programmen häufig auf der Einhaltung von Verfahren und externen Audits. Das aktualisierte ECCP führt jedoch einen introspektiveren Ansatz ein, bei dem Staatsanwälte nun prüfen müssen, „ob das Compliance-Personal angemessenen Zugang zu relevanten Datenquellen, Ressourcen und Technologien hat, die dem Compliance- und Risikomanagementpersonal zur Verfügung stehen“.[6] Diese Änderung hebt mehrere kritische Faktoren hervor:

• Datenzugänglichkeit: Ein zentraler Aspekt ist, ob Compliance-Beauftragte uneingeschränkten Zugang zu den relevanten Daten haben, die für die Überwachung und Bewertung der Wirksamkeit des Programms notwendig sind. Der Zugriff auf diese Daten befähigt Compliance-Verantwortliche, Schwachstellen frühzeitig zu erkennen, Risiken zu bewerten und darauf aufbauend präventive Maßnahmen zu entwickeln.
• Ressourcenzuteilung: Ein weiterer Schwerpunkt liegt auf der Frage, ob das Unternehmen ausreichende Ressourcen für seine Compliance-Bemühungen bereitstellt. Hier soll eine sogenannte „Abwägungsprüfung“ bewerten, ob das Unternehmen gemessen an seiner Geschäftstätigkeit ausreichend Ressourcen in Compliance investiert. Das bedeutet, dass Unternehmen sowohl finanziell als auch personell angemessen ausgestattet sein müssen, um ihre Compliance-Verpflichtungen zu erfüllen und Risiken zu minimieren. Diese Abwägung berücksichtigt Größe, Struktur und Risikoprofil der jeweiligen Organisation und stellt sicher, dass Compliance nicht als nebensächlich, sondern als wesentlicher Bestandteil der Unternehmensführung betrachtet wird.
• Kontinuierliche Verbesserung: Unternehmen müssen sich noch stärker einer Selbstbewertung unterziehen, um sich kontinuierlich zu verbessern. Dies bedeutet nicht nur, dass sie frühere Compliance-Probleme identifizieren, sondern auch proaktiv Trends und Risiken analysieren, um zukünftige Compliance-Bemühungen daran auszurichten.

Der erneute Fokus des DOJ auf Datenzugang und Selbstbewertung markiert eine Verschiebung hin zu einer dynamischeren und reaktionsfähigeren Compliance-Kultur. Die aktualisierte Anleitung ermutigt Unternehmen, Verantwortung für ihre Compliance-Programme zu übernehmen und ein Umfeld des kontinuierlichen Lernens und Anpassens zu fördern.

Was genau können Unternehmen für ihr Compliance-Programm daraus ableiten? Lesen Sie Teil 2 und bleiben Sie informiert!

Haben Sie Fragen dazu, wie Sie für Ihr Unternehmen ein effektives Compliance-Programm aufsetzen oder weiterentwickeln können? Nehmen Sie gern Kontakt zu mir auf unter [email protected]

[1] https://fcpaprofessor.com/doj-releases-evaluation-corporate-compliance-programs-guidance-document/; A Resource Guide to the U.S. Foreign Corrupt Practices Act, Second Edition, S. 56 f., aufrufbar unter: https://www.justice.gov/criminal/criminal-fraud/file/1292051/dl.
[2] LG München I, Urt. vom 10.12.2013 (“Siemens/Neubürger-Entscheidung”); BGH, Urteil vom 09.05.2017 (effizientes CMS für die Bemessung der Geldbuße von Bedeutung); OLG Nürnberg, Urteil vom 30.03.2022 (Verpflichtung des Geschäftsführers zur Einrichtung eines CMS, also zu organi-satorischen Vorkehrungen, welche die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern).
[3] Aufrufbar unter https://www.justice.gov/criminal/criminal-fraud/page/file/937501/dl.
[4] Principal Deputy Assistant Attorney General Nicole M. Argentieri Delivers Remarks at the Society of Corporate Compliance and Ethics 23rd Annual Compliance & Ethics Institute, Dep’t of Just. (Sept. 23, 2024), auf-rufbar unter: https://www.justice.gov/opa/speech/principal-deputy-assistant-attorney-general-nicole-m-argentieri-delivers-remarks-society.
[5] Principal Deputy Assistant Attorney General Nicole M. Argentieri Delivers Remarks at the Society of Corporate Compliance and Ethics 23rd Annual Compliance & Ethics Institute, Dep’t of Just. (Sept. 23, 2024), aufrufbar unter: https://www.justice.gov/opa/speech/principal-deputy-assistant-attorney-general-nicole-m-argentieri-delivers-remarks-society.
[6] Principal Deputy Assistant Attorney General Nicole M. Argentieri Delivers Remarks at the Society of Corporate Compliance and Ethics 23rd Annual Compliance & Ethics Institute, Dep’t of Just. (Sept. 23, 2024), aufrufbar unter: https://www.justice.gov/opa/speech/principal-deputy-assistant-attorney-general-nicole-m-argentieri-delivers-remarks-society.