1.17.3.1 Bestehen und Umfang einer Compliance-Pflicht
Rz. 870
Dass jede Gesellschaft und ihre Organe verpflichtet sind, das geltende Recht einzuhalten, versteht sich von selbst. Wann und ggf. in welchem Umfang jedoch die Verpflichtung der Geschäftsleitung zur Einrichtung eines Systems besteht, das gewährleisten soll, dass alle einschlägigen Gesetze, Regeln und internen Standards eingehalten werden (sog. "Compliance-Management-System", "CMS"), kann pauschal nicht beantwortet werden. Die Verpflichtung einer jeden GmbH zur Einrichtung eines CMS wäre jedenfalls zu weitgehend und würde sehr kleine Gesellschaften mbH gegebenenfalls auch überfordern. Auch kann dann, wenn eine Verpflichtung zur Einrichtung eines CMS besteht, der Umfang eines erforderlichen CMS je nach Gesellschaft variieren. Entscheidend für das "Ob" und das "Wie" eines CMS sind:
- Art und Größe des Unternehmens;
- Umfang und Bedeutung der zu beachtenden Vorschriften;
- geographische Präsenz;
- frühere Missstände und Unregelmäßigkeiten.
Rz. 871
Größe des Unternehmens:
In kleinen Gesellschaften mbH mit wenigen Mitarbeitern, in denen ein Geschäftsführer alle Fäden in der Hand hält und das gesamte unternehmerische Geschehen überblickt, bedarf es keiner Einrichtung einer Compliance-Organisation. Abstrakt lässt sich keine Mitarbeiterzahl bestimmen, aber nach einer Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft Deloitte hatte ca. die Hälfte von 173 befragten mittelständischen Unternehmen bis 3.000 Mitarbeiter einen Compliance-Beauftragten eingesetzt. In einem entschiedenen Fall wurde eine Revisionsabteilung von vier Mitarbeitern bei einem Unternehmen mit insgesamt über 5.000 Mitarbeitern als personell nicht ausreichend angesehen, um Kartellabsprachen im Unternehmen effektiv zu verhindern. Im Bankwesen gilt ein Verhältnis von 1:100, d. h. ein Compliance-Beauftragter je 100 Mitarbeiter als Marktstandard.
Anforderungen an große Gesellschaften
Letztlich müssen sehr kleine, überschaubare Gesellschaften sich in der Regel überhaupt nicht mit der Einrichtung eines CMS befassen, während große Gesellschaften mit vielen Abteilungen und unterschiedlichen Führungsebenen ggf. ein komplexes, umfangreiches CMS organisieren müssen.
Rz. 872
Unternehmensgegenstand ("Art des Unternehmens"):
Je nach Unternehmensgegenstand gelten für CMS Besonderheiten. Für einige Branchen existieren konkrete Regelungen zu Compliance-Pflichten. So müssen z. B. Unternehmen der Kreditwirtschaft gem. § 25 Abs. 1 KWG über "eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet.". Auch Betreiber bestimmter Anlagen sind verpflichtet, ihre Betriebs- und Überwachungsorganisation den Behörden darzulegen.
Rz. 873
Abseits dieser konkreten Regelungen muss zur Ermittlung, ob eine Compliance-Pflicht besteht, darauf abgestellt werden, ob ein entsprechendes Gefahrenpotential vorliegt. So existieren Branchen bzw. Bereiche, in denen üblicherweise ein besonderes Gefahrenpotential für Rechtsverstöße besteht, weshalb in diesen Fällen ein Geschäftsführer gut daran tut, ein solches zu organisieren, da er (nur) so seine persönliche Haftung ausschließen kann. Besteht nämlich ein derartiges Gefahrenpotential, so wird regelmäßig auch die Pflicht zur Einrichtung eines CMS gegeben sein. Verletzt der Geschäftsführer diese Pflicht, so kann er der Gesellschaft zum Ersatz eines daraus resultierenden Schadens verpflichtet sein.
Gefahrenpotential
Für folgende Unternehmensgegenstände/-organisationen besteht ein grundlegendes Gefahrenpotential, sodass hier die Einrichtung eines Compliance-Management-Systems ratsam ist:
Unternehmensgegenstand/-organisation: |
Gefahrenpotential besteht im Hinblick auf: |
Finanzdienstleistungen |
Geldwäsche gem. § 261 StGB, Insiderhandel |
Dienstleistung (insbes. mit ausländischen oder entliehenen Niedriglohnarbeitskräften) |
Verstöße gegen Arbeitsrecht, Steuer- und Sozialversicherungspflichten (z. B. Lohnwucher gem. § 291 StGB, Vorenthalten und Veruntreuen von Arbeitsentgelt gem. § 266 StGB) |
Produktion |
Produkthaftung nach ProdHaftG und Produzentenhaftung gem. § 823 BGB (hier ist insbesondere die Einhaltung von Konstruktions-, Instruktions- und Produktbeobachtungspflichten relevant) |
Vertrieb |
Verletzung fremder IP-Rechte (z. B. unzulässige Verwendung fremder Marken, Patente, Geschmacksmuster etc.); |
|
Verstöße gegen das Wettbewerbsrecht; |
|
Kartellrechtsverstöße (insbesondere in Form wettbewerbsbeschränkender Vereinbarungen gem. Art. 101 AEUV, § 1 GWB und des Missbrauchs einer marktbeherrschenden Stellung gem. Art 102 AEUV, §§ 19, 20 GWB) |
Einkauf |
Korruption (z. B. Bestechlichkeit und Bestechung im geschäftlichen Verkehr gem. §§ 299 Abs. 1, 300 StGB) und Vermögensdelikte (insbes. Untreue gem. § 266 StGB) |
Datenverarbeitung (IT) |
Datenschutz (z. B. mangelnde Absicherung gegen den Zugriff Unbefugter (z. B. ausgeschiedener Arbeitnehmer), Verletzung von Aufbewahrungs- und Archivierungspflichten nach § 257 HGB, § 147 A... |