Verantwortlichkeit der Geschäftsleitung für Compliance: Pflicht, Schutz und Chance

Von Compliance hat wohl jede Geschäftsleitung schon einmal gehört. Aber immer wieder kommt die Frage: Wo genau steht denn, was wir machen müssen und wer ist dafür verantwortlich? Auch wird Compliance gerade in Zeichen von Krise und wirtschaftlichem Druck oft als „nice to have“, aber dann erst einmal als zweitrangig wahrgenommen. Grund genug, um auf den Punkt zu bringen, was genau die Pflichten sind.

1. Auf den Punkt gebracht

Kurz gesagt – aus der gesetzlich normierten Sorgfaltspflicht der Geschäftsleitung folgt die Legalitätspflicht. Der Legalitätspflicht kann aber nur entsprechen, wer das Unternehmen so organisiert und beaufsichtigt, dass keine Gesetzesverletzungen stattfinden. Konkretisiert wird diese Pflicht dann mit der Einrichtung eines risikobasierten Compliance Management Systems (CMS). Ein CMS ist hierbei die Summe aller Maßnahmen, welche die Risiken für Rechtsverletzungen angemessen reduzieren.

Sorgfaltspflicht → Legalitätspflicht → Organisation & Aufsicht → Eirichtung risikobasiertes CMS

Diese Pflichten obliegen immer der Geschäftsleitung: Sie trägt letztlich die Verantwortung und kann persönlich wegen Unterlassens von Aufsichtsmaßnahmen haftbar gemacht werden. Auf dieser Grundlage kann zusätzlich auch das Unternehmen mit einer Geldbuße belegt werden.

1. Sorgfaltspflicht

Die Sorgfaltspflicht der Geschäftsleitung ist klar definiert (§ 93 Abs. 1 S. 1 AktG, § 43 Abs. 1 GmbHG): Es muss die “Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters” angewandt werden. Der Geschäftsleiter muss sich umfassend alle relevanten Informationen beschaffen und auf dieser Basis eine vertretbare Entscheidung treffen. Die Anforderungen sind flexibel und richten sich stets nach der Art und Größe des Unternehmens sowie den Spezialkenntnissen des jeweiligen Mitglieds.[1]

2. Legalitätsplicht

Aus der Sorgfaltspflicht ergibt sich zwingend die Legalitätspflicht: Ein Vorstandsmitglied darf zum einen bereits keine Gesetzesverstöße anordnen. Zum anderen muss ein Vorstandsmitglied aber auch dafür Sorge tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine derartigen Gesetzesverletzungen stattfinden.[2]

3. Organisation und Aufsicht

Die Sorgfalt eines ordentlichen Geschäftsführers gebietet, wenn die Geschäftsleitung nicht sämtliche Maßnahmen selbst beschließt und durchführt, eine interne Organisationsstruktur der Gesellschaft zu schaffen, die Rechtmäßigkeit und Effizienz ihres Handels gewährleistet.[3]

Was heißt das konkret?

• Seiner Organisationspflicht genügt die Geschäftsleitung bei entsprechender Gefährdungslage nur dann, wenn sie eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet.[4] „Insoweit konkretisiert die Sorgfaltspflicht sich zu Unternehmensorganisationspflichten“.[5]

• Aus der Legalitätspflicht folgt ebenso die Verpflichtung des Geschäftsleiters zur Einrichtung eines CMS, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern.[6]

• Zur Überwachungspflicht gehört eine hinreichende Kontrolle, die präventiv erfolgen muss und „nicht erst dann einsetzen darf, wenn Missstände entdeckt worden sind“.[7]

4. Haftung der Geschäftsleitung und des Unternehmens

Kommt es im Unternehmen zu Straftaten oder Ordnungswidrigkeiten, ist eine Haftung der Geschäftsleitung wegen Verletzung von Aufsichtspflichten aus § 130 OWiG möglich, wenn die Zuwiderhandlung durch „gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre“. Eine Pflichtverletzung liegt schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden.[8]

Wird eine solche Verletzung von Aufsichtspflichten festgestellt, sind u. a. erhebliche Geldbußen möglich:

• Geldbuße für Aufsichtsperson über § 130 OWiG bis zu 10 Mio. EUR[9] je Zuwiderhandlung, ggf. höher zur Abschöpfung des erzielten Mehrerlöses gemäß § 17 Abs. 4 S. 2 OWiG
  Geldbuße gegen das Unternehmen über § 30 OWiG bis zu 10 Mio. EUR[10] je Zuwiderhandlung, ggf. höher zur Abschöpfung des erzielten Mehrerlöses gemäß § 17 Abs. 4 S. 2 OWiG
  

Kommt es im Unternehmen beispielsweise zu Straftaten (etwa durch Bestechung von Einkaufsmitarbeitern bei Kunden, um Aufträge zu generieren), kann auch eine Verletzung von Aufsichtspflichten aus § 130 OWiG in Betracht kommen. Zudem kann dann gegen das Unternehmen eine Geldbuße aus § 30 OWiG verhängt werden. Diese Haftung besteht unabhängig davon, ob die Geschäftsleitung von den Straftaten Kenntnis hatte. Es geht nur darum, ob geeignete Organisations- und Aufsichtsmaßnehmen die Straftaten jedenfalls erschwert hätten.

5. Einrichtung eines CMS

Die Geschäftsleitung ist dazu verpflichtet, ein Compliance Management System (CMS) nicht nur einzurichten, sondern auch kontinuierlich zu überwachen.[11] Ein solides CMS ist deshalb alternativlos. Es steuert Risiken, minimiert Haftung und schafft nicht zuletzt Vertrauen bei Mitarbeitenden, Geschäftspartnern und Behörden.

Zwei Arbeitsschritte sind hier prioritär – die Durchführung einer Risikoanalyse[12]unddie Erstellung eines Organisationsplans.[13]

Der Risikoanalyse kommt hier besondere Bedeutung zu. Denn nur wenn ein Geschäftsleiter weiß, wo im Unternehmen die Risiken liegen, kann er entsprechende organisatorische Maßnahmen und Aufsichtsmaßnahmen ergreifen.

Auf der Grundlage des Organisationsplans können entsprechend den Risiken die Aufgaben erfasst und zugewiesen. Des erfolgt durch wirksame Delegation von Verantwortung und Entscheidungsmacht: „Ähnlich wie bei der organinternen Geschäftsverteilung führt die Delegation jedoch keine völlige Entlastung der Geschäftsleitung herbei, sondern begründet Überwachungs- und Aufsichtspflichten als Restzuständigkeit der Leitungsaufgabe.“[14] Die Gesamtverantwortung für Compliance bleibt bei der Geschäftsleitung.[15]

Ein funktionierendes CMS reduziert Bußgeldrisiken erheblich – und kann im Ernstfall sogar bußgeldmindernd wirken: Der BGH hat ausgeführt, dass für die Bemessung der Geldbuße von Bedeutung sei, inwieweit die Nebenbeteiligte ihrer Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss.[16]

Fazit

Compliance ist Pflicht, Schutz und Chance der Geschäftsleitung. Diese trägt final immer die Verantwortung, was sich klar aus dem Gesetz und einschlägigen Gerichtsentscheidungen ergibt. Dabei hat sie aber auch erhebliche Spielräume, wie sie Compliance im Unternehmen ausgestaltet. Diese Spielräume sollten genutzt und ein zu dem Unternehmen passendes CMS entwickelt werden.

Wenn Sie Fragen haben oder bei der Einrichtung oder Weiterentwicklung Ihres CMS haben, melden Sie sich gern: [email protected]

• [1] Spindler in: Münchener Kommentar zum AktG, § 93 Rn. 25.
• [2] LG München I, Urt. v. 10.12.2013 – 5 HK O 1387/10 („Siemens/Neubürger“).
• [3] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19
• [4] LG München I, Urt. v. 10.12.2013 – – 5 HK O 1387/10 („Siemens/Neubürger“).
• [1] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19.
• [5] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19.
• [6] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19.
• [7] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19.
• [8] S. § 30 Abs. 2 S. 1 Nr. 1 i. V. m. Abs. 2 S. 3 OWiG. [1] S. § 30 Abs. 2 S. 1 Nr. 1 i. V. m. Abs. 2 S. 3 OWiG.
• [9] OLG Nürnberg, Urt. v. 30.03.2022 – 12 U 1520/19.
• [10] Zur Risikoanalyse und anderen Elementen eines risikoangemessenen CMS stehen Standards zur Verfügung, z. B. ISO 37301 (Compliance Management Systeme) oder die Empfehlungen des Deutschen Instituts für Compliance e. V. (DICO).
• [11] KK-Rogall, OWiG § 130 Rn. 70 ff.
• [12] Krieger/Schneider, Handbuch Managerhaftung, Rn. 26, 79.
• [13] LG München I, Urteil v. 10.12.2013 – 5 HK O 1387/10; Reichert/Ullrich, BeckHdB GmbH, 6. Aufl. 2021, § 20 Rn. 13. [1] BGH Urt. v. 09.05.2017 – 1 StR 265/16.