Compliance Management schlank und digitalisiert bewältigen

In den letzten Jahren neigte der Gesetzgeber und auch die Europäische Kommission zu immer weitergehenden gesetzlichen Anforderungen an die Unternehmen im Hinblick auf Veröffentlichungspflichten, Dokumentationspflichten, Organisationspflichten, Haftungspflichten. Aktuell werden die Anforderungen an ein Compliance Management System (CMS), an ein Risikomanagementsystem, etc. massiv erhöht. Wer es nicht schafft, Compliance schlank und digitalisiert zu organisieren, läuft Gefahr, sich mehr mit sich selbst als mit seinen Kunden und Wettbewerbern zu beschäftigen. Zudem entstehen potenzielle Haftungs-, Finanz- und Reputationsrisiken mit den im Schadensfall einhergehenden Kosten.

Tax Compliance Verstoß kostet Porsche 40 Mio. Euro

Wegen der Verletzung von Aufsichtspflichten bei Porsche im Zuge von Steuererklärungen hat die Staatsanwaltschaft Stuttgart eine Geldbuße in Höhe von 40 Millionen Euro gegen das Unternehmen verhängt. In den Jahren 2009 bis 2016 seien steuerliche Sachverhalte unvollständig oder falsch verbucht worden, teilte die Behörde am Mittwoch, den 21.7.2021 in Stuttgart mit. Dadurch seien Steuerverkürzungen durch Mitarbeiter zumindest erleichtert worden und der Autobauer profitierte davon. Porsche wird eine Pflichtverletzung mit Organisationsverschulden vorgeworfen, da das Management seine Sorgfalts- und Aufsichtspflichten verletzt hat. Da offensichtlich kein wirksames  Tax-Compliance-Management-System (TCMS) installiert war, wurde Porsche automatisch grob fahrlässiges Verhalten¹ vorgeworfen. Hätte Porsche ein wirksames TCMS nachweisen können, hätte das Unternehmen nicht auf die Einlegung eines Rechtsmittels verzichtet.

Arbeitsschutzverstöße kosten Automobilzulieferer die Lieferfähigkeit

Nach einem Arbeitsunfall an einer selbst gebauten Maschine ohne CE-Kennzeichnung und ohne Konformität zur Maschinenrichtlinie² schließt die Berufsgenossenschaft den Betrieb. Die Möglichkeiten nicht compliant zu sein sind groß. Der Aufwand ein wirksames Compliance-Management-System aufzubauen ist überschaubar. Am Ende ist immer der Vorstand bzw. Geschäftsführer verantwortlich, wenn das Compliance-Management System nicht wirksam war. Deshalb ist es ist es entscheidend, Compliance zur Chefsache zu machen.

Von der Sorgfaltspflicht zur Legalitätspflicht

Der Begriff Sorgfalt findet sich in § 276 (2) BGB wieder. Hier wird auch die Fahrlässigkeit definiert und das in § 276 (1) BGB festgelegte Verschuldensprinzip, also die Verantwortlichkeit für Vorsatz und Fahrlässigkeit, als Grundsatz der Haftung präzisiert. Fahrlässigkeit bedeutet nach § 276 (2) BGB das Außerachtlassen der im Verkehr erforderlichen Sorgfalt. Die im Verkehr erforderliche Sorgfalt stellt den Sorgfaltsmaßstab dar – also diejenige Sorgfalt, die eine gewissenhafte, besonnene Person an den Tag legen würde. Der Sorgfaltsmaßstab ist der Verschuldensmaßstab und kann als Mindestmaß beschrieben werden, mit dem die Sorgfalt ausgeübt werden muss. Das OLG Köln vertritt in seinem berühmten „Trinkhallen-Urteil“³ folgende Rechtsauffassung bei Gesetzesverstößen: „Der Inhaber eines Betriebes darf nichts unversucht lassen, um erkannten oder erkennbaren Zuwiderhandlungsverfahren entgegenzuwirken.“ Eine weitere gängige Rechtsauffassung repräsentiert die Begründung des BGH im „Presseangriffs-Urteil“⁴: „Die Kosten zur Vermeidung von Rechtsverletzungen bei der Risikoabwehr müssen unbeachtet bleiben. Sie dürfen nicht in die Interessenabwägung einfließen.“ Der Sorgfaltsmaßstab kann dabei als „Wie-Pflicht“ bezeichnet werden. Das heißt er legt fest, wie bzw. in welcher Art und Weise Geschäftsführer und Führungskräfte ihren Tätigkeiten nachzugehen haben und gleichzeitig die notwendige Sorgfalt sicherstellen. Die einzelnen Sorgfaltspflichten im engeren Sinne können als „Was-Pflichten“ bezeichnet werden, das heißt, sie beschreiben und präzisieren, was der jeweilige Verantwortliche zu unternehmen hat, um seiner Legalitätspflicht nachzukommen.

Was sind die generellen Anforderungen, um compliant zu sein?

Dies bedeutet konkret, dass Pflichtenverantwortliche sämtliche für sie geltenden Pflichten ermitteln, delegieren, aktualisieren, erfüllen und dokumentieren müssen. Der Vorstand bzw. Geschäftsführer hat die Oberaufsicht und Kontroll- und Nachweispflicht, dass dies auch gemacht wird. Zudem hat die Geschäftsleitung dafür zu sorgen und nachzuweisen, dass sich alle Mitarbeiter nach dem Gesetz, der Satzung sowie internen unternehmensspezifischen Regelungen verhalten. Zusätzlich hat die Geschäftsleitung die Pflicht zur Risikoabwehr. Um sich zu exkulpieren ist der schriftliche Nachweis erforderlich, dass die genannten Anforderungen systematisch erfüllt werden. Rechtsprechung und Rechtslehre leiten aus den Sorgfaltspflichten verschiedene Organisations- und Aufsichtspflichten ab:

Rechtspflicht zur Informationsbeschaffung der Pflichten

Die Juristen von Porsche wussten, dass Entlastungsversuche unter Berufung auf persönliche Unkenntnis immer wieder an dem gleichen Argument der Rechtsprechung scheitern: Der Geschäftsführer hätte sich erforderliche Informationen beschaffen müssen⁵. Sich auf Unkenntnis zu berufen ist keine Entlastung, sondern eine Selbstbelastung. Diese Erklärung legt nämlich offen, dass die Organisationspflicht zur Informationsbeschaffung und zum Informationsmanagement verletzt wurde. Im Strafrecht schützt Unkenntnis nicht vor Strafe⁶. Im Zivilrecht schützt Unkenntnis nicht vor der Haftung. Da jeder Vorstand bzw. Geschäftsführer die Pflicht hat, für die Einhaltung aller gesetzlichen Vorschriften zu sorgen, ist die erste Aufgabe, alle relevanten Rechtsinformationen zu beschaffen. Das bedeutet, die Rechtspflichten und daraus abgeleiteten Handlungspflichten zu recherchieren und diese auf dem aktuellen Stand zu halten.

Rechtspflicht zur Delegation und Dokumentation der Pflichten

Bei einer rechtskonformen Delegation haben mündliche Anweisungen keinen Bestand und Stellenbeschreibungen, die für die ISO-9001-Zertifizierung gepflegt werden, reichen nicht aus. Für alle Pflichten, die der Vorstand bzw. Geschäftsführer nicht explizit und schriftlich an geeignete Führungskräfte delegiert, haftet er selbst. Wenn er die Pflichten an geeignete Führungskräfte delegiert und diesen die Voraussetzungen zur Pflichterfüllung ermöglicht, dann hat er seiner Sorgfaltspflicht⁷ im Wesentlichen Genüge geleistet.

Rechtspflicht zur Überwachung der Pflichtenerfüllung

Um schriftlich nachweisen zu können, dass die Geschäftsprozesse gesetzeskonform abgewickelt und gelebt werden, ist regelmäßiges Feedback des Teams zu den aus den Rechtspflichten abgeleiteten Handlungspflichten, z.B. bei einem Tax Compliance Managementsystem nach dem Prüfungsstandard des Instituts der deutschen Wirtschaftsprüfer⁸, unumgänglich⁹. Es ist sicherzustellen, dass die Verantwortlichen der Rechtspflichten die Feedbacks kontrollieren. Sie müssen überprüfen, welche Handlungspflichten nicht konform erfüllt werden konnten. Die Führungsaufgabe ist es, die Teamleiter dabei zu unterstützen, dass die Handlungspflichten stets erfüllt werden können. Wenn der Pflichtenverantwortliche strukturelle Probleme erkennt, ist er verpflichtet, entsprechende Maßnahmen einzuleiten und diese zu seiner Entlastung bestenfalls im Kontext seiner Rechtspflicht zu dokumentieren. Der Zusammenhang von Pflichten und eingeleiteten Maßnahmen ist ein wichtiger Baustein, um den Nachweis eines gelebten CMS zu erbringen. Die Grundlage jedes Managementsystems ist ein Regelkreis im Verständnis von Plan, Do, Check, Act. Die Festlegung von Rechts- und Handlungspflichten (Plan), die pflichtenkonforme Abwicklung der Geschäftsprozesse (Do), die Kontrolle, ob die Abwicklung planmäßig erfolgt (Check) und die Einleitung von Korrekturmaßnahmen (Act), um erkannten Pflichtverletzungen gegenzusteuern. Bei einem Corporate Compliance System mit dem Zweck, Organisationsverschulden zu vermeiden, geht es nicht nur um die Delegation der Pflichten an Führungskräfte, sondern zudem um die Delegation und Kontrolle der pflichtenkonformen Ausführung der Aufgaben durch die Mitarbeiter im Tagesgeschäft.

Rechtspflicht zur Risikoanalyse und Risikovorsorge

Die Geschäftsführung ist verpflichtet die Risiken der Pflichtenerfüllung abzuschätzen und entsprechende Gegensteuerungsmaßnahmen zur Risikovermeidung einzuleiten. Weiterhin ist sie angehalten Risikovorsorge zu betreiben. Dies gelingt am besten, wenn zusätzlich zum regelmäßigen Feedback auf die Handlungspflichten (Rückschau, ob im letzten Monat konform gearbeitet wurde) auch eine Prognose (Vorschau, ob die Pflichten auch in der Zukunft konform erledigt werden können) erfolgt. Diese monatliche Prognose, die von den Verantwortlichen entsprechend erläutert ist, dient der Risikovorsorge. So kann frühzeitig¹⁰ auf Probleme reagiert werden, die noch gar nicht eingetreten sind.

Fazit

Ein stark redundantes System geltender Gesetze und Verordnungen konkretisiert in Urteilen von Oberlandesgerichten oder dem Bundesgerichtshof schließt immer mehr Spielräume und Gestaltungslücken beim Aufbau eines CMS. Bei den zu erfüllenden Organisationspflichten und der organisatorischen Komplexität in mittelständischen Unternehmen ist es aussichtslos, mit „Bordmitteln“ den Nachweis einer rechtskonformen (sicheren) Organisation erbringen zu können. Beim Organisationsverschulden gilt die Beweislastumkehr. Das bedeutet, dass die Organisation beweisen muss, dass alle relevanten Rechts- und Organisationspflichten eingehalten wurden. Bei jedem Schadensfall steht der zu entkräftende Vorwurf im Raum, dass der Schaden nicht eingetreten wäre, wenn das Unternehmen ein wirksames CMS im Einsatz gehabt hätte. Ist kein wirksames CMS in der Organisation implementiert, mit dem der Vorwurf eines Organisationsverschuldens entkräftet werden kann, dann bleibt dem Unternehmen keine Alternative. Wie im Fall Porsche ist es in der Regel alternativlos keine Rechtsmittel einzulegen und das Bußgeld zu akzeptieren.