Czytaj książkę: «Hinweisgebersysteme», strona 6
bb) UK Bribery Act und adequate procedures
55
Der UK Bribery Act („UKBA“) ist mittlerweile seit zehn Jahren in Kraft und hat sich zu einem der primären internationalen Standards für die Korruptionsbekämpfung entwickelt. Der UKBA verbietet umfassend Bestechung von ausländischen und inländischen Amtsträgern, sowie Bestechung im geschäftlichen Verkehr. Er enthält eine Haftung des Unternehmens, wenn es zu Korruption aus dem Unternehmen heraus gekommen ist. Das Unternehmen kann sich exkulpieren, wenn es nachweisen kann, dass es sogenannte „adequate procedures“, also angemessene Sicherungsvorkehrungen implementiert hatte, um Fehlverhalten vorzubeugen.[7] Die entsprechenden Leitfäden enthalten eine Vielzahl von Vorgaben, wie aus Sicht der britischen Behörden ein Compliance Management System zur Korruptionsbekämpfung ausgestaltet sein sollte.[8]
56
Der Leitfaden des Justizministeriums sieht ebenfalls vor, dass die Geschäftsführung dafür Sorge trägt, dass Unternehmen ein Hinweisgebersystem implementieren.[9]
cc) Sapin II
57
Der französische Sapin II ist seit dem 8.11.2016 in Kraft. Sapin II ist ein spezifisches Anti-Korruptionsgesetz. Es gilt für Unternehmen mit mehr als 500 Mitarbeitern oder einem Gesamtumsatz von 100 Mio. EUR pro Jahr.[10] Es enthält diverse Vorgaben für das Compliance Management System der betroffenen Unternehmen. Dieses muss jedenfalls folgende Elemente enthalten: (i) einen Code of Conduct, (ii) interne Hinweisgebermechanismen, (iii) Risikoanalysen, (iv) Prüfprozesse von Drittparteien (v) Buchhaltungskontrollen, (vi) Compliance Schulungen, (vii) Vorgaben zu arbeitsrechtlichen Maßnahmen bei Fehlverhalten, und (viii) ein internes Kontrollsystem.[11]
dd) ISO 37001
58
Der im Jahr 2016 veröffentlichte, internationale Standard für ein Anti-Korruptions-Compliance Management System ISO 37001 ist kein verpflichtender Standard, sondern ein Leitfaden für Unternehmen. Der Standard enthält dabei Mindestanforderungen für die Korruptionsbekämpfung im Unternehmen. Er kann unabhängig von der Größe, internationalen Ausrichtung oder Industrie des Unternehmens angewendet werden. Es besteht die Möglichkeit für Unternehmen, sich nach diesem Standard zertifizieren zu lassen.
59
In Abschnitt 8.9 enthält der ISO 37001 Vorgaben zu einem Hinweisgebersystem. Dieser sieht vor, dass (i) Mitarbeiter dazu angehalten werden, ehrliche Hinweise auf Korruption zu melden, dass (ii) die Hinweise vertraulich behandelt werden und (iii) anonym abgegeben werden können, (iv) Hinweisgebern keine negativen Konsequenzen drohen und (v) Anlaufstellen für Mitarbeiter zum Umgang mit Verdachtsmomenten geschaffen werden.[12]
ee) Spezielle Vorgaben für Pharma und Medizintechnik
60
Aufgrund des systeminhärenten Kontakts zwischen Pharmaunternehmen oder Medizingeräteherstellern und Ärzten oder Vertretern anderer Heilberufe, haben diverse Verbände ihren Mitgliedern Selbstverpflichtungen auferlegt, damit die besonderen Risiken in der Industrie durch Prozesse und Kontrollen reduziert werden.[13]
61
Auf europäischer Ebene agiert die „European Federation of Pharmaceutical Industries and Associations“ („EFPIA“) als Dachverband der Pharmaindustrie und erarbeitet industrieinterne Kodizes.[14] Der internationale Verband „International Federation of Pharmaceutical Manufacturers & Associations“ („IFPMA“) hat 2019 seinen Code Practice erneuert.[15] In Deutschland hat der „Arzneimittel und Kooperation im Gesundheitswesen e.V.“ einen Verhaltenskodex für seine Mitglieder veröffentlicht.[16]
62
Im Bereich der Medizingerätehersteller hat „MedTech Europe“ einen Code of Ethical Business Principles eingeführt.[17]
63
Die Grundsätze der Kodizes sind vor allem die Transparenz und der Umgang mit Zuwendungen oder Kooperationen mit Personen, die im Gesundheitswesen tätig sind. In vielen Ländern sind diese Personen Amtsträger, sodass besondere Regelungen im Umgang mit diesen Personen bestehen.[18] Welches Risiko diese Beziehungen bergen, verdeutlicht der Umstand, dass die Gesundheitsindustrie in der Historie des FCPA eine der Industrien ist, in der die meisten Untersuchungen wegen Korruptionsverstößen eingeleitet wurden.[19]
b) Internationale Standards im Bereich Kartellrecht
64
Zwar existieren neben den allgemeinen Standards ISO 19600 und IDW PS 980 auch für das Kartellrecht spezielle Leitlinien, diese sind bislang allerdings weniger bekannt als einige der Vorgaben zur Korruptionsbekämpfung.
aa) USA
65
Im Juli 2019 änderten die US-Behörden ihre bisherige Position zu CMS. Zuvor hatten die US-Behörden die Implementierung eines Kartellrechts-Compliance Management Systems im Unternehmen nicht als strafmildernden Faktor angesehen. Ähnlich wie der Evaluation Guide im Bereich Anti-Korruption gibt es nun einen Leitfaden für Staatsanwälte im Bereich des Kartellrechts mit detaillierten Vorgaben, wie sie ein CMS prüfen und dessen Effektivität bewerten sollen.[20]
66
In Abschnitt 7 enthält der Leitfaden diverse Aspekte, die im Hinblick auf ein Hinweisgebersystem überprüft werden sollen.[21]
bb) ICC-Toolkit
67
Von der Internationalen Handelskammer wurde 2013 das Antitrust Compliance Toolkit veröffentlicht.[22] Dabei handelt es sich um eine internationale Leitlinie, die Unternehmen mögliche Instrumente aufzeigt, um ein kartellrechtlich effektives Compliance Management System zu entwickeln. Die Leitlinie verdeutlicht, dass es keine „one-size-fits-all“-Lösungen für Unternehmen geben kann, denn die kartellrechtlichen Compliance-Anforderungen variieren stark nach der Größe des Unternehmens und der Industrie.[23] Dennoch zeigt die Leitlinie, teils anhand von konkreten Case Studies und Registerbeispielen, wie kartellrechtsspezifische Risiken aussehen können, und wie die Unternehmen diesen Risiken begegnen können. Eine wichtige Rolle soll dabei insbesondere die kartellrechtliche Due Diligence spielen. Insgesamt fordert die Leitlinie eine konsequente Berücksichtigung von kartellrechtlichem Know-how in der Gestaltung des CMS.[24]
c) Internationale Standards im Bereich Außenwirtschaftsrecht
68
Für das Außenwirtschaftsrecht wird Compliance unter anderem dann relevant, wenn es darum geht Embargoregelungen zu befolgen, Geschäftspartner mit Sanktionslisten abzugleichen, die auszuführenden Güter zu klassifizieren und möglicherweise erforderliche Ausfuhr- oder Verbringungsgenehmigungen zu erhalten.
69
Im Mai 2019 veröffentlichte das US Office of Foreign Assets Control („OFAC“) Leitlinien für ein CMS mit Fokus auf das Außenwirtschaftsrecht. Ganz ähnlich zu den Vorgaben des DOJ, fordert das OFAC folgende Elemente eine CMS: (1) Verpflichtung der Unternehmensleitung, (2) Risikoanalysen, (3) interne Kontrollen, (4) Prüfungen und Auditierungen sowie (5) Schulungen.[25]
d) Internationale Standards im Bereich Datenschutz
70
Die Relevanz von Datenschutz im Verhältnis zu anderen Rechtsgebieten nimmt aktuell erheblich an Bedeutung zu. Das liegt vor allem auch daran, dass durch die DSGVO und das darin enthaltene Haftungssystem empfindliche Strafen bei Verstößen drohen. Die ersten Folgen waren bereits im Jahr 2019 zu spüren, als zwei Geldbußen in Höhe von 10 Mio. EUR und 14 Mio. EUR für Verstöße im Bereich des mittleren bis unteren Ende des Schwerespektrums verhängt wurden.[26] Ein Nebenaspekt ist das Thema Cyber Security. Schützt ein Unternehmen die Daten seiner Kunden oder Mitarbeiter nicht in ausreichendem Maß, drohen auch hierfür Geldbußen nach der DSGVO.
71
Auch wenn die DSGVO selbst keine ausreichend spezifischen Anforderungen an ein effektives Compliance Management System formuliert, können die Grundsätze der DSGVO mithilfe bestehender IT-spezifischer ISO Normen (insbesondere ISO 27001 und ISO 27005) durchaus konkretisiert werden.[27]
72
Neben den klassischen Maßnahmen, wie beispielsweise der Durchführung von Schulungen und Audits, der Einrichtung von Anlaufstellen und der Implementierung unternehmensinterner Richtlinien, kommt dem Datenschutzbeauftragten als „Compliance-Organisation“ eine zentrale Funktion zu.[28]
Anmerkungen
[1]
Die ISO 19600 Compliance Management Systeme-Leitlinien wurde im Dezember 2014 veröffentlicht. Darin wird beschrieben, wie in einem Unternehmen ein CMS eingeführt, umgesetzt und die Wirksamkeit nachgewiesen werden kann. Aufgrund des Umstandes, dass die ISO 19600 nur als empfehlende Norm konzipiert war (Level-B-Norm), konnte sie zunächst nicht unmittelbar zertifiziert werden. Vor diesem Hintergrund wurde durch die ISO ein Prozess eingeleitet, um die ISO 19600 zu einer zertifizierbaren Norm (Level-A-Norm) weiterzuentwickeln. Dies wird voraussichtlich Anfang 2021 durch die Veröffentlichung der ISO 37301 erfolgen. Die neue ISO 37301 unterscheidet sich inhaltlich nur geringfügig von der bisherigen ISO 19600. Definiert werden die Anforderungen an den Aufbau, die Umsetzung und die Prozesse für Konzept, Umsetzung und Wirksamkeitskontrolle eines CMS. Zukünftig haben daher Unternehmen die Möglichkeit, durch eine Zertifizierung nach der ISO 37301 die Umsetzung eines wirksamen CMS nachweisen zu können.
[2]
Vgl. hierzu auch Soyer/Ruhmannseder Handbuch Unternehmensstrafrecht, Rn. 13.14 ff.
[3]
US DOJ, Evaluation of Corporate Compliance Programs, Updated June 2020. Auf: www.justice.gov/criminal-fraud/page/file/937501/download (zuletzt besucht: 11.3.2021).
[4]
US DOJ/US SEC, A Resource Guide to the US Foreign Corrupt Practices Act, Second Edition 2020. Auf www.justice.gov/criminal-fraud/file/1292051/download (zuletzt besucht: 11.3.2021).
[5]
Siegler CCZ 2014, 186, 187.
[6]
US DOJ/US SEC, A Resource Guide to the US Foreign Corrupt Practices Act, Second Edition 2020, Chapter 5, S. 66. Auf: www.justice.gov/criminal-fraud/file/1292051/download (zuletzt besucht: 11.3.2021).
[7]
Vgl. Scheint NJW-Spezial, in: 2011, 440.
[8]
Ministry of Justice, The Bribery Act 2010 Guidance, März 2011. Auf: www.justice.gov.uk/downloads/legislation/bribery-act-2010-guidance.pdf (zuletzt besucht: 11.3.2021).
[9]
The Bribery Act 2010 Guidance, S. 22-23.
[10]
Vgl. Art. 17 des Sapin 2.
[11]
Schumacher/Saby CCZ 2017, 68 f.
[12]
ISO 37001:2016 (E), 8.9 Raising concerns, S. 17 f.
[13]
Vgl. Hauschka/Moosmayer/Lösler/Leipold Corporate Compliance, § 50 Rn. 20.
[14]
Dieners Handbuch Compliance im Gesundheitswesen, J. EFPIA-Kodices, Rn. 54.
[15]
IFPMA, Code of Practice (2019). Auf: www.ifpma.org/wp-content/uploads/2018/09/IFPMA_Code_of_Practice_2019.pdf (zuletzt besucht: 11.3.2021).
[16]
AKG e.V., Verhaltenskodex der Mitglieder des „Arzneimittel und Kooperations im Gesundheitswesen e.V.“, April 2015. Auf: www.ak-gesundheitswesen.de/wp-content/uploads/akg-verhaltenskodex-22-04-2015-blanco.pdf (zuletzt besucht: 11.3.2021).
[17]
MedTech Europe, Code of ethical Business Practice, Dezember 2015. Auf: www.medtecheurope.org/wp-content/uploads/2017/06/2020_mte_medtech-europe-code-of-ethical-business-practice-qa-dg.pdf (zuletzt besucht: 11.03.2021).
[18]
Hauschka/Moosmayer/Lösler/Leipold Corporate Compliance, § 50 Rn. 7.
[19]
Ramb CCZ 2015, 262, 264.
[20]
US DOJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, April 2019.
[21]
US DOJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, April 2019, S. 11.
[22]
ICC The ICC Antitrust Compliance Toolkit, April 2013. Auf: https://cdn.iccwbo.org/content/uploads/sites/3/2013/04/ICC-Antitrust-Compliance-Toolkit-ENGLISH.pdf (zuletzt besucht: 11.03.2021).
[23]
ICC The ICC Antitrust Compliance Toolkit, 3. Risk identification and assessment, S. 16.
[24]
Kasten/Traugott CCZ 2015, 157, 160.
[25]
Department of the Treasury, A Framework for OFAC Compliance Commitments. Auf: https://home.treasury.gov/system/files/126/framework_ofac_cc.pdf (zuletzt besucht: 11.3.2021).
[26]
Vgl. dazu etwa Kehr/Zapp CB 2020, 100.
[27]
Jung ZD 2018, 208, 211.
[28]
Wichtermann ZD 2016, 421, 422.
2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System
II. Der Weg zu einem effektiven Compliance Management System
73
Wie im vorstehenden Kapitel dargestellt, bestehen für die einzelnen Rechtsgebiete unterschiedliche Standards und Vorgaben, wie ein CMS ausgestaltet sein soll. Unternehmen müssen daher wissen, welche Standards sie zwingend zu befolgen haben bzw. welche Standards sie sich als freiwillige Vorgabe auferlegen können. Auch wenn die einzelnen Standards teilweise unterschiedlich aufgebaut sind, so enthalten sie doch im Wesentlichen dieselben Bestandteile. In diesem Kapitel fassen wir kurz zusammen, was die Grundelemente eines CMS sind.
2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 1. Führungskultur und Compliance-Organisation
1. Führungskultur und Compliance-Organisation
74
Vorstände und Geschäftsführer prägen Unternehmen. Das gilt nicht nur für die wirtschaftlichen Entscheidungen, in welche Richtung sich das Unternehmen entwickeln soll. Das gilt vor allem auch für die Art und Weise, wie ein Unternehmen sein Geschäft betreibt. Es liegt in der Macht der Geschäftsführung, die Weichen dafür zu stellen, dass eine solide Zukunftsausrichtung, Integrität und Moral, sowie Nachhaltigkeit des Wirtschaftens das Unternehmen bestimmen werden.[1] Damit ein CMS effektiv sein kann, bedarf es seitens der Geschäftsleitung einer starken und regelmäßigen Kommunikation hin zur Integrität.[2] Damit die Geschäftsleitung aufrichtig und sinnvoll zu Compliance-Themen kommunizieren kann, muss sie zuerst selbst das notwendige Verständnis für diese wichtigen Themen entwickelt haben. Daher gehören regelmäßige Besprechungen zu Compliance-Themen in den Meetings der obersten Führungsebene und auch die regelmäßige Schulung zu Compliance-Themen zu den wesentlichen Bestandteilen eines CMS auf Ebene der Geschäftsleitung.[3] Im zweiten Schritt sollte die Geschäftsleitung regelmäßig im Rahmen von Betriebsversammlungen oder durch andere Kommunikationsmittel unterstreichen, dass sauberes und integres Geschäft zu den wichtigsten Säulen der eigenen Geschäftstätigkeit gehört („tone from the top“).
75
Die primäre Verpflichtung zur Einführung eines effektiven CMS trifft die Geschäftsleitung.[4] Sie darf aber die eigenen Pflichten teilweise delegieren, vor allem im alltäglichen Geschäft. Eine Delegation kann aber nur dann wirksam sein, wenn ausreichend Ressourcen und Befugnisse zur Verfügung stehen. Es gibt allgemein relativ wenig belastbare Zahlen darüber, wie viel Compliance auf eine bestimmte Unternehmensgröße entfallen sollte. Der Pflichtenkatalog einer Compliance-Organisation ist relativ lang. Je nach Industrie oder geographischer Ausbreitung können zusätzliche Pflichten hinzukommen. Die Compliance-Organisation sollte so aufgestellt sein, dass sie diesen Pflichten tatsächlich nachkommen kann und auch bei Ausfällen, etwa durch Krankheit, noch ausreichend Ressourcen zur Verfügung stehen, um den ordentlichen Geschäftsbetrieb der Compliance-Organisation zu gewährleisten. Internationale Standards verlangen auch, dass die Mitglieder der Compliance-Organisation für ihre Tätigkeit angemessen vergütet werden.[5] Die Angemessenheit richtet sich hierbei vor allem nach der Vergütung vergleichbarer Positionen im Konzern.
76
Der letzte Aspekt sind die Berichtslinien.[6] Es muss sichergestellt sein, dass etwa lokale Compliance-Verantwortliche in ausländischen Tochtergesellschaften – jedenfalls auch – direkt an die zentrale Organisation in der Konzernzentrale berichten. Eine zweite, direkte Berichtslinie muss zwischen der zentralen Compliance-Organisation, etwa dem Chief Compliance Officer, und der Geschäftsführung bestehen. Um eine wirksame Delegation zu gewährleisten, sollte sich die Geschäftsführung regelmäßig von der Compliance-Organisation zu den wesentlichen Entwicklungen Bericht erstatten lassen.
Anmerkungen
[1]
US DOJ/US SEC, A Resource Guide to the US Foreign Corrupt Practices Act, Chapter 5, Hallmarks of Effective Compliance Programs, S. 57 ff.; ISO 19600, Chapter 5. Leadership, S. 47-54.
[2]
Auch in: US DOJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, April 2019, I. B. 2. Culture of Compliance, S. 5-6; ISO 37001:2016 (E), 5. Leadership, S. 8-9.
[3]
Vgl. Moosmayer Compliance, Rn. 180.
[4]
Für Deutschland beispielhaft LG München I NZG 2014, 345.
[5]
US DOJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, Juli 2019, I. B. 3. Responsibility for the Compliance Program, S. 6 f.
[6]
Fleischer CCZ 2008, 1, 6; US DJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, Juli 2019, I. B. 3. Responsibility for the Compliance Program, S. 6; Hauschka/Moosmayer/Lösler/Klahold/Lochen Corporate Compliance, § 3 Rn. 52-57.
2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 2. Risikoanalyse
2. Risikoanalyse
77
Die oben genannten internationalen Standards bieten eine gute Hilfestellung um die wesentlichen Bestandteile eines CMS für die einzelnen Rechtsgebiete zu ermitteln.[1] Naturgemäß können diese Standards nur sehr allgemeine Vorgaben zur Verfügung stellen, die weder die Industrie, die Größe, noch die internationale Ausbreitung eines Unternehmens berücksichtigen.[2] Damit ein CMS effektiv sein kann, muss es aber bei den geschäftsinhärenten Risiken des Unternehmens ansetzen.[3] Haben etwa Unternehmen in der Öl- und Gasindustrie keine Prozesse und Sicherungen, um zu gewährleisten, dass bei dem Erwerb von Bohrrechten kein rechtswidriges Handeln die Vergabe beeinflusst, helfen dem Unternehmen auch die sorgfältigsten Register für Einladungen und Geschenke nicht dabei, eine Geldbuße abzuwenden.[4]
a) Top-Down-Analyse
78
Zu der Art und Weise, wie eine Risikoanalyse durchgeführt werden sollte, gibt es diverse Ansätze und Methoden. Der kosteneffizienteste und schnellste Ansatz ist eine sogenannte Top-Down-Analyse. Diese beschränkt sich darauf, Gespräche mit der obersten Führungsebene und den Leitern von risikorelevanten Unternehmensbereichen zu führen.[5] Bei diesen Gesprächen lassen sich in der Regel wertvolle Hinweise darauf gewinnen, wo in der Organisation möglicherweise Risiken verborgen sein können. Die Schwäche dieses Ansatzes ist der Umstand, dass die Geschäftsleitung in der Konzernzentrale häufig nicht alle Risiken in den einzelnen Konzerngesellschaften kennt. Eine (zusätzliche) detaillierte Analyse der Risiken in den lokalen Gesellschaften ist daher präziser, aber auch deutlich kostenintensiver. Damit nicht erhebliche Ressourcen und Zeit aufgewendet werden, um teils dutzende lokale Gesellschaften zu prüfen, stehen mittlerweile innovative Ansätze zur Verfügung. Diese sammeln sowohl das lokal vorhandene Wissen, als auch die dort vorhandenen Daten, korrigieren diese und bewerten sie auf Basis einer juristischen Prüfung.
79
Besonders in der Finanzindustrie haben sich mittlerweile feste Standards etabliert, um festzustellen, wie die Risiken in einem Konzern erfasst werden sollen. Diese Ansätze liefern für Unternehmen außerhalb des Finanzsektors wertvolle Hinweise, wie Risiken in Unternehmen effektiv erfasst werden können. Gleichzeitig müssen diese Ansätze für die übrigen Industrien adaptiert werden, weil häufig die Prozesse der übrigen Industrien nicht den Standards der Finanzindustrie entsprechen. Die im Finanzsektor etablierte Prozessrisikoanalyse ist beispielsweise dort nur möglich, weil alle relevanten Prozesse in Banken kartographiert sind. Für den Fall, dass keine umfassenden Prozessbeschreibungen vorhanden sind, müssten diese zunächst mit hohem Aufwand erstellt werden, bevor eine Risikoanalyse wirksam umgesetzt werden kann.
