Erfolgreich mit Compliance

1.4 Abgrenzung Governance – IKS – RMS – CMS

Im weiteren Sinne wird unter Governance alle Instrumente verstanden, die das Erreichen des Zweckes einer Organisation unterstützen und dabei eine ordnungsgemäße und auf nachhaltige und langfristige Wertschöpfung ausgerichtete Steuerung der Organisation im Interesse aller Stakeholder sicherstellt.[36] Dazu gehören alle Vorgänge, die bestimmen, wie in einer Organisation wichtige Entscheidungen getroffen werden, wie Leistung erbracht und Kontrolle ausgeübt wird.[37] Nachfolgend werden drei Institutionen vorgestellt, die als Instrumente effizienter und effektiver Governance-Struktur angesehen werden: internes Kontrollsystem (IKS), Risikomanagement-System (RMS) und Compliance-Management-System (CMS).

1.4.1 Corporate Governance

Der Begriff Corporate Governance geht auf die Notwendigkeit zurück, die Interessen von Kapitalgebern gegenüber eigennützigen Handlungen des Managements zu schützen. Bereits Adam Smith behandelte im 18.Jhdt. ausgiebig die Problematik, wie bei wachsender Größe der Unternehmen eine arbeitsteilige Organisation anzuleiten und zu kontrollieren sei. Manager können Aktionären finanziellen Schaden zufügen durch z.B. unzureichende Anstrengungen auf der Suche nach Geschäftsmöglichkeiten oder das Ausbleiben notwendiger Modernisierungen, durch Abschluss von risikoreichen Transaktionen oder unzureichend ausgearbeiteten Investitionen oder durch mangelnde Kontrolle von Aktivitäten innerhalb des Unternehmens. Mit der Trennung von Eigentum am und der Kontrolle über das Unternehmen wurde es notwendig, Regeln zu bestimmen, die sicherstellten, dass die mit der Führung des Unternehmens betrauten Manager (Agenten) im Interesse der Eigentümer (Prinzipale) handelten.[38] Dieses Prinzipal-Agent-Problem[39] ist die Grundlage für die anfangs enge Definition von Corporate Governance als Art und Weise, wie Zuständigkeiten und Rollen zwischen den einzelnen Organen einer Gesellschaft verteilt werden, um den Kapitalgebern (= Eigentümern) die erwartete Rendite zu sichern.[40]

Eine erweiterte Perspektive von Corporate Governance entwickelte sich aus dem Verständnis, dass ein Unternehmen als ein Netzwerk von Verträgen verstanden werden kann, das im Innenverhältnis das Unternehmen selbst darstellt und im Außenverhältnis die Beziehung zu den Stakeholdern regelt.[41] Die Erweiterung des Begriffes erfolgt in Bezug auf mehrere Faktoren: Erstens in Bezug auf die Akteure, weil nicht nur Eigentümer und Manager einbezogen werden, sondern die Interessen eines weiteren Personenkreises (= Stakeholder) berücksichtigt werden, wie z.B. Kunden, Mitarbeiter, Lieferanten oder externe Kapitalgeber. Zweitens steht nicht mehr die Anwendung von finanziellem Schaden der Eigentümer im Vordergrund, sondern die Wahrung der Rechte und legitimen Interessen aller Stakeholder. Corporate Governance kann somit als übergeordneter Steuerungsrahmen verstanden werden, der die Austauschbeziehungen innerhalb einer Organisation einerseits und mit ihrem Umfeld andererseits regelt.[42] Aufgrund der Unterschiedlichkeit von Organisationen gibt es grundsätzlich keine einheitlichen Bestimmungen über Elemente der Aufbau- oder der Ablauforganisation. Die Governance-Strukturen sind auf die individuelle Situation der Organisation anzupassen in dem Sinne, dass die Erreichung der Organisationsziele unterstützt wird. Verschiedene Institutionen haben sich in der Praxis und in weiterer Folge in der Gesetzgebung herausgebildet, die als Instrumente effizienter und effektiver Governance-Struktur angesehen werden, wie ein internes Kontrollsystem (IKS), ein Risikomanagement-System (RMS) und ein Compliance-Management-System (CMS).

1.4.2 Internes Kontrollsystem (IKS)

Unter einem IKS werden alle in einer Organisation eingeführten, aufeinander abgestimmten Grundsätze, Methoden und Maßnahmen verstanden, die zur Sicherung des Vermögens, der Ordnungsmäßigkeit, Genauigkeit und Zuverlässigkeit der internen und externen Rechnungslegung sowie der Einhaltung der vorgeschriebenen Geschäftspolitik dienen.[43] Zur Sicherstellung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sollte ein IKS alle wesentlichen Geschäftsprozesse umfassen.

Der Begriff IKS geht auf eine Studie aus dem Jahre 1992 zurück, welche vom Committee of Sponsoring Organizations of the Treadway Commission (COSO)[44] veröffentlicht wurde. Durch das darin vorgestellte „Internal Control System“ wurden Begriffe aus dem Corporate Governance Bereich präzisiert und mit konkreten Maßnahmen unterlegt. Zur richtigen Einordnung dieses Ansatzes ist zu berücksichtigen, dass im Englischen mit dem Wort „control“ nicht nur Kontrollen im Sinne von Überprüfungen gemeint sind, sondern auch die Maßnahmen, die gesetzt wurden, um bestimmte Ergebnisse zu erreichen. Es empfiehlt sich daher, ein IKS als Gesamtheit seiner beiden Teilbereiche zu betrachten: ein internes Steuerungssystem und ein internes Überwachungssystem.[45]

COSO definiert drei Geschäftsziele eines IKS: (i) Effektivität und Effizienz der Geschäftsprozesse, (ii) Verlässlichkeit der finanziellen Berichterstattung und (iii) Einhaltung von gültigen Gesetzen und Vorschriften. Mit „Internal Control“ wird die Summe aller Instrumente verstanden, die erforderlich sind, um die Erreichung dieser drei Zielkategorien sicherzustellen. Die Instrumente sind in fünf Komponenten eingeteilt: Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten (im Sinne von Steuerung), Information und Kommunikation sowie Überwachung. Die drei Zielkategorien sowie alle fünf Komponenten werden sowohl auf Konzernebene wie auch auf alle Bereiche und/oder Aktivitäten einer Organisation (Einheiten) angewandt. Die drei Dimensionen sind in Abbildung 1 grafisch dargestellt, die Komponenten der 2. Dimension (Prozesse) werden nachfolgend näher erläutert.[46]

Abbildung 1

COSO Internal Control – Integrated Framework[47]

Kontrollumfeld – Mit dem Kontrollumfeld wird die Basis der Organisation umfasst. Diese wird ausgedrückt durch (i) Einflüsse und Werte, die die Verhaltensweisen lenken, durch (ii) Strukturen, die die Verantwortungen zuteilen und abbilden, und durch (iii) Abläufe, die die Koordination von Aufgaben regeln. All diese Parameter sind so zu gestalten, dass sie die Erreichung der Geschäftsziele unterstützen. Die Risikobereitschaft als Element des internen Umfeldes wird sowohl durch quantitative als auch durch qualitative Ziele und Beschränkungen ausgedrückt und fließt in der weiteren Folge als Messgröße für akzeptables Risiko in die Risikobeurteilung ein.

Risikobeurteilung – Die Bewertung identifizierter Risiken erfolgt durch Festlegung ihrer Eintrittswahrscheinlichkeit und des potenziellen Schadensausmaßes. Für die nach Risikotransfermaßnahmen (z.B. Versicherung) verbleibenden Restrisiken werden Steuerungsmaßnahmen zu ihrer Bewältigung gesetzt.

Steuerungsmaßnahmen – Vorschriften, Richtlinien und Verfahren (wie z.B. Aufgabentrennung, Stichproben etc.) werden implementiert, um den operativen Betrieb, die ordnungsgemäße Rechnungslegung sowie die Einhaltung der für die Organisation relevanten Regeln (Compliance) sicherzustellen.

Information und Kommunikation – Kenntnis über alle wesentlichen Prozessschritte ermöglicht es Mitarbeitern, ihre Verantwortlichkeit wahrzunehmen und ihren Beitrag zu einer effizienten Abwicklung der operativen Tätigkeiten, einer ordnungsgemäßen Rechnungslegung und der Einhaltung aller gesetzlichen Bestimmungen zu leisten.

Überwachung – Alle gesetzten Maßnahmen müssen regelmäßig überwacht und, falls erforderlich, verbessert werden. Die Funktionstätigkeit und Angemessenheit des IKS ist von einer unabhängigen Stelle zu prüfen.

1.4.3 Risikomanagement-System (RMS)[48]

Das Risikomanagement als Teil des IKS und zweites Instrument einer effizienten und effektiven Governance-Struktur ist darauf ausgerichtet, Chancen und Gefahren frühzeitig zu erkennen und dahingehend zu bewerten, wie sie die Erreichung der Unternehmensziele (in strategischer, operativer, Rechnungslegung und Compliance Sicht) beeinflussen können. Die Erkenntnisse unterstützen die Entscheidungsfindung einer zukunftsorientierten Planung und fließen in die Risikosteuerung ein.

Ereignisidentifikation – Es gilt, alle internen und externen Ereignisse zu identifizieren, die das Erreichen der Ziele einer Organisation beeinflussen. Diese Einflüsse können sowohl von positiver (Chance) als auch von negativer Natur (Risiko) sein.

Risikobeurteilung – Die identifizierten potenziellen Risiken werden in einem Risikokatalog zusammengefasst und nach ihrer Eintrittswahrscheinlichkeit und ihrer Auswirkung hin untersucht und bewertet. Anhand der Bewertungsergebnisse werden die Risiken priorisiert, um zielgerichtete Maßnahmen zu ihrer Bewältigung zu entwickeln.

Risikosteuerung – Risiken können durch Unterlassen einer Geschäftsaktivität vermieden werden. In allen anderen Fällen werden Maßnahmen zur Verringerung zu setzen sein, sei es durch Kontrollen oder durch Übertragung (z.B. Versicherungen).

1.4.4 Compliance-Management (CMS)

Als drittes Instrument einer effizienten und effektiven Governance-Struktur ist ein Compliance-Management-System darauf ausgerichtet, die Einhaltung von gesetzlichen, regulatorischen oder freiwillig eingegangenen Verpflichtungen bei der Ausübung der Geschäftstätigkeit zu gewährleisten. Durch geeignete Maßnahmen sollen Nichteinhaltungen von Compliance-Verpflichtungen verhindert werden. Verstöße sind rechtzeitig zu erkennen sowie Maßnahmen zur Bereinigung der Situation zu setzen. Durch Verbesserungen und Anpassungen des CMS werden Wiederholungen von Verstößen vermieden und Compliance der Organisation in Bezug auf die Abwicklung ihre Geschäftstätigkeiten (wieder)hergestellt.

Als Fazit ist festzuhalten, dass ein IKS, ein RMS und ein CMS Instrumente für eine effektive und effiziente Führung von Organisationen sind, die nicht losgelöst voneinander betrachtet werden können bzw. sollten. Ein CMS unterstützt bei der Bewältigung von Compliance-

Risiken und ist somit ein Teil des RMS. Die Bestimmung jener Compliance-Verpflichtungen, deren Einhaltung durch ein CMS und seine Maßnahmen zu gewährleisten ist, ergibt sich aus der Risikobewertung dieser Compliance-Verpflichtungen. Die Prinzipien eines Risikomanagements sind somit Teil eines wirksamen CMS. Compliance – als Organisationsziel – sicherzustellen, ist ein Kernelement eines IKS. Für seine Angemessenheit wird durch die Beurteilung der Gesamtrisikosituation einer Organisation vorgesorgt.

1.5 ISO 37301 als Best-Practice-Ansatz für regelkonformes Verhalten

Compliance-Management-Systeme haben sich erstmalig im Finanzsektor zur Bekämpfung von Geldwäsche entwickelt. Als treibende Kraft für die Festlegung von Standards im Kampf gegen Geldwäsche und Terrorismusfinanzierung wird seit ihrer Gründung im Jahre 1989 die Financial Action Task Force (FATFA) angesehen. Seit ihrem ersten Erscheinen 1990 gelten die regelmäßig aktualisierten 40 Recommendations (Empfehlungen) von FATFA[49] als Grundlage für internationale wie nationale Vorschriften. Für ausgewählte Risikogebiete (Geldwäsche, Finanzmarkttransaktionen oder Korruptionsbekämpfung) gibt es lokale oder regionale Richtlinien für Compliance-Programme, die die Einhaltung der entsprechenden Vorschriften sicherstellen sollen. Die Gefahr besteht jedoch darin, dass in einer Organisation mehrere Compliance-Management-Systeme nebeneinander entstehen, wodurch Effektivität und Effizienz verloren gehen und Compliance-Management zu einer Erschwerung der Geschäftsabwicklung wird.

Durch den systemorientierten Ansatz können in einem CMS nach ISO 37301 mehrere Compliance-Verpflichtungen zusammengefasst werden. Regelkonformes Verhalten wird in der Organisation unterstützt und gleichzeitig die Effizienz durch eine adäquate Allokation von Ressourcen gesteigert. Compliance-Management wird zur Unterstützung für eine nachhaltige Geschäftsentwicklung.

Die strafrechtliche Verantwortung von Organisationen (Verband) ist in Österreich im Verbandsverantwortlichkeitsgesetz geregelt.[50] Ein Verband ist für eine von einem Mitarbeiter begangene Straftat u.a. dann verantwortlich, wenn wesentliche technische, organisatorische oder personelle Maßnahmen zur Verhinderung der Tat unterlassen wurden. Es gibt keine Erläuterungen oder allgemein anwendbare Richtlinien, was unter „wesentliche technische, organisatorische oder personelle Maßnahmen“ zu verstehen ist. Eine ähnliche Reglung zur strafrechtlichen Verantwortung von Organisationen sieht das Schweizerische Strafgesetzbuch vor (§ 102 Abs.2 StGB).[51] Ein Unternehmen wird bestraft, wenn es nicht alle erforderlichen und zumutbaren organisatorischen Vorkehrungen getroffen hat, um die gegenständliche Straftat zu verhindern. Erläuterungen bzw. eine allgemein anwendbare Richtlinie zu „erforderlichen und zumutbaren organisatorischen Vorkehrungen“ gibt es nicht. Das – in der Gesetzgebung befindliche – Deutsche Verbandssanktionengesetz[52] sieht vor, dass eine Verbandsstrafe verhängt werden kann, wenn die Straftat durch angemessene Vorkehrungen zur Vermeidung – wie insbesondere Organisation, Auswahl, Anleitung und Aufsicht – hätte verhindert oder wesentlich erschwert hätte werden können. Erläuterungen über „angemessene Vorkehrungen“ sieht das Gesetz nicht vor (eine Richtlinie zur Anwendung liegt derzeit ebenfalls nicht vor).

Das Vorliegen eines Organisationsmangels ist in allen drei Gesetzen (Österreich, Schweiz und Deutschland) Voraussetzung für die Strafbarkeit der Organisation. Die Schwere und das Ausmaß des Organisationsmangels, oder umgekehrt, die Angemessenheit und die Wirksamkeit von Maßnahmen und Vorkehrungen, werden bei der Bemessung der Strafe mitberücksichtigt. In allen drei Ländern enthalten die Vorschriften über die Bekämpfung von Geldwäsche fundamentale Bestimmungen über die Einführung einer Compliance-Organisation.[53] Neben diesen branchenspezifischen Regelungen gibt es keine allgemein gültige Vorschrift, die die Errichtung eines CMS vorsieht oder gar vorschreibt.

Auf internationaler Ebene haben sich in einigen Ländern Regelungen etabliert, die Anforderungen an Compliance-Maßnahmen festlegen. Die Beurteilung der Effektivität dieser Maßnahmen kann einerseits die Strafbemessung beeinflussen. Der Nachweis, dass eine Organisation die gebotene Sorgfalt zur Verhinderung der Straftat angewendet hat, kann anderseits vor Strafverfolgung schützen. In Tabelle 1 werden drei Beispiele aufgezeigt, in denen Anforderungen an die Elemente einer wirksamen Compliance-Organisation bestimmt sind. Deren Wirksamkeit wird bei der Entscheidung über eine Strafverfolgung und/oder das Strafausmaß berücksichtigt.

Tabelle 1

Anforderungen an ein effektives CMS vs. ISO 37301[54]

Gemäß dem italienischen Gesetzesdekret Nr. 231 (2001) kann eine Organisation von der Haftung befreit werden, wenn sie u.a. nachweist, dass wirksame und spezifische interne Compliance-Maßnahmen ergriffen wurden. In Spanien etablierte die Änderung des Strafgesetzbuchs (2015) die Befreiung von der strafrechtlichen Haftung für juristische Personen, die eine wirksame Umsetzung eines Verbrechensverhütungs- oder Compliance-Programms nachweisen können.

Die Grundsätze der Bundesverfolgung von Unternehmensverbänden im Justizhandbuch des US-Justizministeriums[55] beschreiben spezifische Faktoren, die bei der Durchführung einer Untersuchung von Unternehmen zu berücksichtigen sind. Zu diesen Faktoren gehören die Umsetzung und Verbesserung eines wirksamen Compliance-Programmes zum Zeitpunkt der Straftat und zum Zeitpunkt der Verfahrensentscheidung. Die umfangreiche Richtline des US-Justizministeriums (Kriminalabteilung, Juni 2020) zur Evaluierung von Corporate-Compliance-Programmen soll Staatsanwälte bei der Bewertung dieser Faktoren unterstützen.

Tabelle 2

Richtlinie US-DOJ zur Beurteilung eines effektiven Corporate-Compliance-Programmes vs. ISO 37301[56]

Der umfangreichen Darstellung von Beispielthemen und Fragen kommt aufgrund der Vielzahl an Geschäftsbeziehungen zu Unternehmen der weltweit größten Volkswirtschaft eine gewisse Bedeutung bei der Bemessung der Wirksamkeit eines CMS zu. Jedoch mag es nicht immer angebracht sein, die Richtlinie einer innerstaatlichen Institution als Maßstab heranzuziehen. Die Vereinbarkeit des Anspruches der DOJ-Richtlinie mit den Anforderungen der ISO 37301 wird daher in zweifacher Hinsicht veranschaulicht. In Tabelle 1 wurden die Anforderungen der ISO 37301 den Erwartungen der DOJ-Richtlinie gegenübergestellt. Tabelle 2 zeigt, durch welche Anforderungen der ISO 37301 die Erwartungen der DOJ-Richtline abgedeckt werden. Die DOJ-Richtline wird nicht nur – wie manchmal fälschlich angenommen – auf Korruptionsdelikte angewandt. Das zu bewertende Compliance-Programm kann sich auf alle relevanten Compliance-Verpflichtungen einer Organisation beziehen.[57]

ISO Standards werden im internationalen Kontext von Anwendern für Anwender entwickelt. Dieser Ansatz ermöglicht die Position von ISO Standards als unparteiisches Best-Practice-Instrument. Aufgrund der ähnlich weitreichenden Bedeutung wie die DOJ-Richtlinien zur Bewertung der Wirksamkeit eines Compliance-Programmes werden in der nachfolgenden Tabelle 3 die Richtlinien der Weltbankgruppe an ein wirksames Compliance-Programm dargestellt und den Elementen der ISO 37301 gegenübergestellt.

Tabelle 3

Weltbankgruppe Integritäts-Compliance Richtlinien vs. ISO 37001[58]

Das Sanktionssystem der Weltbankgruppe (WBG) soll sicherstellen, dass Entwicklungsfinanzierungen in WBG-Operationen nur für die vorgesehenen Zwecke verwendet werden. Der zweistufige Prozess soll sowohl künftiges Fehlverhalten verhindern als auch die Rehabilitation der Sanktionsparteien fördern. Die häufigste Sanktion ist es, eine sanktionierte Partei für einen Mindestzeitraum vom Zugang zu WBG-Finanzierungen auszuschließen (Debarment). Für eine Aufhebung des Ausschlusses ist die Umsetzung eines wirksamen Compliance-Programmes erforderlich.

Das Sanktionssystem der WBG findet auf die Nichteinhaltung unterschiedlicher Compliance-Verpflichtungen Anwendung, wie z.B. Betrug, Korruption, Absprachen oder Zwangspraktiken. Von besonderer Bedeutung ist das sogenannte Cross-Debarment-Regime. Es besagt, dass wenn eine Organisation von einer Entwicklungsbank ausgeschlossen wurde, auch anderen Entwicklungsbanken einen Ausschluss von ihren Finanzierungen verhängen.[59] Es ist weiters üblich, dass Organisationen, die auf der Ausschlussliste der WBG[60] angeführt sind, von öffentlichen Bieterverfahren nationaler Staaten ausgeschlossen werden.

1Vgl. Herbst/Readett 1989, S.219

2Vgl. Hauschka 2010, S.3

3Vgl. Zeder 2006, S.3

4Vgl. Ibid., S.9

5BGBl III 136/2009 idgF

6Vgl. Zeder 2006, S.9-13

7http://www.fatf-gafi.org/ (Stand 05.03.2021)

8https://treaties.un.org/doc/db/Terrorism/english-18-11.pdf (Stand 05.03.2021)

9https://www.unodc.org/unodc/en/treaties/CAC/ (Stand 05.03.2021)

10Vgl. Zeder 2006, S.226ff., https://www.jonesday.com/en/insights/2020/12/2020-crossborder-corporate-criminal-liability-survey (Stand 04.03.2021)

11BGBl I 151/2005 idgF

12Anerkannte Religionsgesellschaften sind für alle nicht die Seelsorge betreffenden Handlungen haftbar, wie z.B. im Zusammenhang mit wirtschaftlichen oder gemeinnützigen (= humanitäre) Tätigkeiten.

13Die Haftung von Körperschaften ist in Österreich im Amtshaftungsgesetz geregelt. BGBl 20/1949 idgF

14Schweizerisches Strafgesetzbuch (StGB) idgF, https://www.fedlex.admin.ch/eli/cc/54/757_781_799/de (Stand 05.03.2021)

15Gesetz über Ordnungswidrigkeiten (OWiG) 1968 idgF, https://www.gesetze-im-internet.de/owig_1968/ (Stand 06.07.2021)

16Vgl. Hauschka 2012, S.8

17Zum Zeitpunkt der Drucklegung dieses Praxiskommentars (Mai 2021) befand sich der Gesetzesentwurf in der Endphase des Gesetzgebungsprozesses. https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/Dokumente/RegE_Staerkung_Integritaet_Wirtschaft.pdf?__blob=publicationFile&v=2 (Stand 05.03.2021)

18BGBl I 60/2007 idgF

19http://www.corporate-governance.at/ (Stand 05.03.2021)

20BGBl I 98/1965 idgF

21BGBl 58/1906 idgF

22BGBl 70/1873 idgF

23Vgl. Schertler 1998, S.90f.

24Vgl. Ulrich 1970, S.82ff.

25Vgl. Bea/Haas 2005, S.12ff.

26Vgl. Ulrich 1970, S.92ff.

27Vgl. Stone 1998, S.XI

28Vgl. Drucker 1966, S.48f.

29Vgl. Ibid, S.97f.

30Vgl. Bea/Haas 2005, S.14

31Vgl. Malik 2008, S.27ff.

32Vgl. Duden 2003, S.733: Gesamtheit aller Merkmale. Das Adjektiv „komplex“ ist zu unterscheiden von „kompliziert“, das so viel bedeutet wie: schwierig, umständlich, mit Komplikationen verbunden.

33Vgl. Malik 1994, S.8

34Vgl. Pieth 2011, S.41

35https://www.jonesday.com/en/insights/2020/12/2020-crossborder-corporate-criminal-liability-survey (Stand 02.03.2021)

36Vgl. Wieland 2020, S.15f.

37Vgl. Kieser 2004, S.28; Bea/Göbel 2006, S.284f.

38Vgl. Tirole 2001, S.2

39Zur Principal-Agent Theory vgl. Moe, 1984; Eisenhardt 1989; Mirrlees/Raimondo 2012.

40Vgl. Berle/Means 1933, S.127ff.; Frese, Graumann/Theuvsen 2011, S.515ff.

41Vgl. Coase 1933, S.392; Putterman/Kroszner 1986, S.111-134

42Vgl. Grüninger 2014, S.50

43Vgl. Bungartz 2010, S.28

44https://www.coso.org/Pages/default.aspx (Stand 03.03.2021)

45Vgl. Bungartz 2010, S.37

46Vgl. Moeller 2011, S.56ff.

47Vgl. Withus 2014, S.45

48Vgl. Pampel/Glage 2010, S.92ff.

49https://www.fatf-gafi.org/media/fatf/documents/recommendations/pdfs/FATF%20Recommendations%202012.pdf (Stand 05.03.2021)

50Österreich: Verbandsverantwortlichkeitsgesetz https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20004425 (Stand 05.03.2021)

51Schweiz: Schweizerisches Strafgesetzbuch (StGB) idgF, https://www.fedlex.admin.ch/eli/cc/54/757_781_799/de (Stand 05.03.2021)

52Deutschland: Entwurf zum Gesetz zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG), https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/DE/Staerkung_Integritaet_Wirtschaft.html (Stand 05.03.2021) Zum Zeitpunkt der Drucklegung dieses Praxiskommentars befindet sich das Gesetz noch im Gesetzgebungsverfahren.

53Österreich: FMA 01/2019: Rundschreiben „Interne Organisation zur Prävention von Geldwäscherei und Terrorismusfinanzierung“ (Stand 05.03.2021)

Deutschland: Gesetz zur Umsetzung der Änderungsrichtlinie zur Vierten EU-Geldwäscherichtlinie Bundesgesetzblatt Jahrgang 2019 Teil I Nr. 50, ausgegeben zu Bonn am 19. Dezember 2019, https://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Gesetze_Gesetzesvorhaben/Abteilungen/Abteilung_VII/19_Legislaturperiode/2019-12-19-Gesetz-4-EU-Geldwaescherichtlinie/0-Gesetz.html (Stand 05.03.2021)

Schweiz: FINMA Rundschreiben 2017/1: Leitplanken zur Corporate Governance bei Banken (https://www.finma.ch/de/news/2016/11/20161101-mm-rs-corporate-governance-bei-banken/ (Stand 05.03.2021)

54Italien Executive decree no. 231 of 8 June 2001, “Discipline of the administrative liability of legal persons, of companies and of associations even without a legal status, pursuant to Article 11 of Law no. 300 of 29 September 2000”, published in the Gazzetta Ufficiale no. 140 of 19 June 2000. http://www.oecd.org/investment/anti-bribery/anti-briberyconvention/45508054.pdf (Stand 05.03.2021)

Spanien: Criminal Code, https://www.legislationline.org/download/id/6443/file/Spain_CC_am2013_en.pdf; Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015. (Rundschreiben 1/2016 vom 22. Januar über die strafrechtliche Verantwortlichkeit juristischer Personen gemäß der Reform des Strafgesetzbuchs durch das Organgesetz 1/2015.) https://www.boe.es/buscar/doc.php?id=FIS-C-2016-00001, (Stand 05.03.2021)

US: U.S. Department of Justice-Criminal Division: Evaluation of Corporate Compliance Programs (Updated June 2020) https://www.justice.gov/criminal-fraud/page/file/937501/download, (Stand 05.03.2021)

559-28.000 Justice Manual US-Justizministerium (https://www.justice.gov/jm/jm-9-28000-principles-federal-prosecution-business-organizations, (Stand 05.03.2021)

56https://www.ussc.gov/guidelines/2018-guidelines-manual/annotated-2018-chapter-8#NaN (Stand 05.03.2021)

57Vgl. z.B.:(i) United States vs. The Boing Company, Jänner 2021. https://www.justice.gov/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billion . (ii) United States vs. Airbus SE, Jänner 2020. https://www.justice.gov/opa/pr/airbus-agrees-pay-over-39-billion-global-penalties-resolve-foreign-bribery-and-itar-case (Stand 05.03.2021)

58https://www.worldbank.org/en/about/unit/integrity-vice-presidency#3 (Stand 05.03.2021)

59African Development Bank Group, Asian Development Bank, European Bank for Reconstruction and Development, Inter-American Development Bank Group. https://www.ifc.org/wps/wcm/connect/topics_ext_content/ifc_external_corporate_site/ac_home/faqsxb (Stand 05.03.2021)

60: https://www.worldbank.org/en/projects-operations/procurement/debarred-firms (Stand 05.03.2021)