Читать книгу: «Erfolgreich mit Compliance», страница 2
1.2 Rechtliche Rahmenbedingungen für Compliance in Organisationen
Das angelsächsische Recht (common law wie z.B. in UK, den USA und in anderen Ländern) machte seit jeher keinen grundsätzlichen Unterschied zwischen natürlichen und juristischen Personen. Die Verantwortlichkeit von juristischen Personen für (bestimmte) Straftaten war deshalb in diesem Rechtssystem immer gegeben. In kodifizierten Rechtssystemen (wie z.B. in kontinentaleuropäischen Staaten) gilt ein anderer Grundsatz, nämlich: Societas delinquere non potest – „eine Gesellschaft kann sich nicht vergehen“.[3] Erst die Entwicklungen in den letzten 20 Jahren haben dazu geführt, dass eine Verantwortlichkeit für juristische Personen in diesem Rechtssystem eigens begründet wurde.[4] Zahlreiche zwischenstaatliche Rechtsakte innerhalb und außerhalb der EU verpflichten Mitglieds- und Vertragsstaaten, eine Verantwortlichkeit von juristischen Personen für bestimmte Straftaten vorzusehen.
Der erste Rechtsakt, der eine solche Verpflichtung vorsieht, ist das Zweite Protokoll zum Übereinkommen über den Schutz der finanziellen Interessen der Europäischen Gemeinschaft.[5] Die strafrechtliche Verantwortung von Organisationen wird gefordert, wenn Betrug, Bestechung oder Geldwäsche zu ihren Gunsten von Personen, allein oder als Teil der Organisation der juristischen Person, begangen wurde. Organisationen müssen insbesondere dafür verantwortlich gemacht werden, wenn mangelnde Aufsicht oder Kontrolle die Tat ermöglicht hat. Neben dem Zweiten Protokoll gibt es zahlreiche weitere Rechtsakte, die für ca. 100 Straftatbestände eine Verantwortung von juristischen Personen vorsehen (z.B. Vermögensdelikte wie Betrug, Untreue; Subventionsmissbrauch oder Absprachen bei Vergabeverfahren; Korruptions- und Umweltdelikten; Tatbestände im Urheberrecht, Börsengesetz, Finanzstrafgesetz oder Gesetz gegen den unlauteren Wettbewerb).[6]
Von Rechtsakten außerhalb der EU ist das im Rahmen der OECD geschlossene Übereinkommen für die Bekämpfung der Bestechung ausländischer Amtsträger im internationalen Geschäftsverkehr aus 1997 zu erwähnen. Die Verantwortung von juristischen Personen sehen des Weiteren drei im Rahmen des Europarates abgeschlossene Vereinbarungen vor (Schutz der Umwelt 1998; Cyber-Crime 2001; Terrorismusbekämpfung 2005). Zur Bekämpfung von Geldwäsche werden wirksame, angemessene und abschreckende Sanktionen gegenüber juristischen Personen in den Empfehlungen der FAFTA verlangt.[7] Schließlich enthalten die UN-Übereinkommen zur Bekämpfung der Finanzierung von Terrorismus (2000)[8] und von Korruption (2005)[9] weitere Vorschriften für die straf- oder verwaltungsrechtliche Verantwortung von juristischen Personen.
1.2.1 Verantwortung von Organisationen im internationalen Rahmen[10]
Die meisten europäischen Staaten und zahleiche Staaten außerhalb der EU haben die Verantwortlichkeit für juristische Personen in ihren Rechtsystemen umgesetzt. In Kontinentaleuropa werden rein strafrechtliche, rein verwaltungsrechtliche oder gemischte Modelle unterschieden. Angelsächsische Staaten wie UK, Irland oder Zypern kennen kein Verwaltungsstrafrecht. Der Staat und seine Gebietskörperschaften sind in einigen Ländern von der Verantwortlichkeit zur Gänze ausgenommen (z.B. Frankreich, Italien, Schweiz, Ungarn, Polen). In manchen Ländern (Frankreich, Niederlande, Kroatien, UK) gibt es eine derartige Beschränkung nur für hoheitliche Tätigkeiten. Die Verantwortung von Unternehmen, die im öffentlichen Eigentum stehen, ist grundsätzlich nicht beschränkt. In den meisten Ländern umfasst die Verantwortlichkeit von juristischen Personen alle Delikte, in manchen Ländern nur wenige, auf internationale Vereinbarungen beschränkte Delikte (z.B. in Spanien, Italien, Malta, Brasilien, Canada, China und Indien). In einigen Ländern ist für die Zurechenbarkeit der Verantwortlichkeit erforderlich, dass die Tat zu Gunsten, im Auftrag, im Namen oder im Interesse der juristischen Person erfolgte (z.B. Deutschland, Frankreich, Italien, Polen, Slowenien). In manchen Staaten ist für die Begründung der Unternehmenshaftung ein bloßer Zusammenhang mit der Geschäftstätigkeit der juristischen Person ausreichend (z.B. Schweiz, UK). In den meisten Staaten werden Delikte von einem untergeordneten Mitarbeiter nur im Zusammenhang mit mangelnder Kontrolle oder Überwachung durch eine Person in Führungsposition der Verantwortung der juristischen Person zugerechnet (z.B. Deutschland, Frankreich, Niederlande, Italien, Polen, Ungarn). In einigen Ländern reicht die Tat einer beliebigen, für die juristische Person tätigen, Person zur Auslösung der Verantwortlichkeit aus (Belgien, Schweiz, Rumänien). In fast allen Rechtsordnungen ist vorgesehen, dass die Bestrafung der juristischen Person neben der Bestrafung der natürlichen Person erfolgen kann. In Belgien sind, soweit eine natürliche Person nicht wissentlich oder nicht willentlich gehandelt hat, nicht beide zu bestrafen, sondern jene (natürliche oder juristische) Person, der größere Schuld anzulasten ist.
1.2.2 Verantwortung von Organisationen im nationalen Rahmen
Die strafrechtliche Verantwortlichkeit für juristische Personen wird in Österreich in dem am 1. Januar 2006 in Kraft getretenen Verbandsverantwortlichkeitsgesetz (VbVG)[11] begründet und findet für alle absichtlichen und unabsichtlichen Straftaten Anwendung, die strafrechtlich verfolgt werden können. Ausgenommen von der Strafbarkeit sind nur anerkannte Religionsgesellschaften in Ausübung von seelsorgerischen Tätigkeiten[12] und staatliche Einrichtungen.[13] Die Straftat muss von einem „Entscheider“ begangen worden sein oder durch einen Mitarbeiter, entweder zugunsten der juristischen Person oder in Verletzung einer für die juristische Person geltenden Pflicht. Für Straftaten begangen von Mitarbeitern ist die juristische Person grundsätzlich nur verantwortlich, wenn der Mitarbeiter vorsätzlich oder grob fahrlässig gehandelt hat und wenn ein Entscheidungsträger unter Außerachtlassen der gebotenen und zumutbaren Sorgfalt die Begehung der Tat dadurch ermöglicht oder wesentlich erleichtert hat, indem wesentliche technische, organisatorische oder personelle Maßnahmen zur Verhinderung solcher Taten unterlassen wurden. Die Strafverfolgung der natürlichen Person, die die Straftat begangen hat, ist nicht Voraussetzung für die Haftung der juristischen Person. Geldstrafen sind mit einer Höchststrafe von insg. 1,8 Mio. EUR begrenzt und bemessen sich nach Tagsätzen, deren Höhe von der Ertragslage der juristischen Person abhängt. Zusätzlich kann als Sanktion eine Schadensgutmachung angeordnet werden.
In der Schweiz ist die strafrechtliche Verantwortlichkeit von juristischen Personen in Artikel 102 des Schweizerischen Strafgesetzbuches (StGB) geregelt. Eine generelle Strafbarkeit ist gegeben, wenn die Straftat in Ausübung kommerzieller Aktivitäten begangen wird und die Straftat aufgrund der unzureichenden Organisation des Unternehmens nicht einer bestimmten Person zugeordnet werden kann. Die primäre Haftung gilt für eine begrenzte Anzahl schwerwiegender Straftaten, einschließlich Geldwäscherei, Bestechung von Schweizer und ausländischen Beamten und Finanzierung von Terrorismus, zu deren Verhinderung das Unternehmen keine angemessenen organisatorischen Maßnahmen ergriffen hat, unabhängig davon, ob diese Straftat einer bestimmten Person zugeordnet werden kann oder nicht.[14]
In Deutschland gilt das Strafgesetzbuch nur für Individuen – nicht für Unternehmen. Diese können nach dem Gesetz über Ordnungswidrigkeiten (OWiG)[15] zivilrechtlich haftbar gemacht werden. Geldstrafen sind mit 10 Mio. EUR begrenzt. Die Beschlagnahme aller durch z.B. Bestechung erlangten wirtschaftlichen Vorteile unterliegt keiner Betragsbeschränkung.[16] Mit Juni 2020 hat das Deutsche Bundesministerium für Justiz und Verbraucherschutz einen Gesetzesentwurf mit dem Titel Gesetz zur Sanktionierung von verbandsbezogenen Straftaten (Verbandssanktionengesetz – VerSanG) zur Begutachtung veröffentlicht.[17] Der Gesetzesentwurf sieht die strafrechtliche Verantwortlichkeit von Unternehmen vor und verpflichtet Strafverfolgungsbehörden, Unternehmen entsprechend zu untersuchen und strafrechtlich zu verfolgen.
1.2.3 Verantwortung für Compliance in Österreich
In Österreich gibt es – ähnlich wie in Deutschland und in der Schweiz – kein für alle Organisationen verpflichtendes Regelwerk, das die Einführung eines Compliance-Management-Systems regelt bzw. dessen Einführung fordert. In Österreich sind nur Organisationen, die dem Wertpapieraufsichtsgesetz unterliegen, gem. § 18 WAG zur Einführung einer Compliance-Organisation verpflichtet.[18] Im österreichischen Corporate Governance Kodex (dessen Geltung auf freiwilliger Basis beruht) wird festgehalten, dass der Vorstand einer börsennotierten Aktiengesellschaft geeignete Maßnahmen zur Sicherstellung der Einhaltung der für das Unternehmen relevanten Gesetze zu treffen hat. Der Prüfungsausschuss des Aufsichtsrates hat die Wirksamkeit des internen Kontrollsystems und des Risikomanagement-Systems zu überwachen. [19]
Durch die in § 76 Abs. 1 AktG[20] und § 25 Abs. 1 GmbHG[21] geforderte Sorgfaltspflicht eines ordentlichen und gewissenhaften Geschäftsführers wird eine implizite Aufsichts- und Kontrollpflicht zur Einhaltung von Gesetzen begründet. Nach § 82 AktG und § 22 (1) GmbHG haben der Vorstand bzw. die Geschäftsführung dafür zu sorgen, dass neben einem adäquaten Rechnungswesen ein den Erfordernissen der Gesellschaft entsprechendes internes Kontrollsystem eingeführt wird. Ähnliche Verpflichtungen ergeben sich aus dem Genossenschaftsgesetz (§ 22(1) GenG).[22]
1.3 Compliance als Werkzeug des strategischen Managements
Unter einem Management-System werden miteinander in Wechselwirkung stehende Elemente (Strukturen als statisches und Abläufe als dynamisches Element) verstanden, die dazu dienen, dass eine Organisation die ihr gesetzten Ziele erreicht. Da unter Strategie jener Plan verstanden wird, mit dem die Ziele einer Organisation umgesetzt werden, sind Management-Systeme Teil des strategischen Managements.[23] Dieses Kapitel gibt einen Einblick über die Entwicklung von Management-Systemen und von Compliance-Management-Systemen und ermöglicht die Einordnung des CMS nach ISO 37301 in diesem Kontext.
1.3.1 Begriffsbestimmung Management-Systeme
Entscheidend für den heute geläufigen und auch der ISO 37301 zugrundeliegenden Ansatz des systemorientierten Managements sind Entwicklungen von Lehre und Praxis in den USA und in Deutschland, die sich durch unterschiedliche Zugänge zu diesem Thema voneinander abgrenzen.
Die Geschichte der Betriebswirtschaftslehre in Deutschland geht auf die Gründung von Handelshochschulen Ende des 19. Jhdt. in Deutschland, Österreich und der Schweiz zurück. Neben der Vermittlung von Sprachkenntnissen und technologischem Wissen gewann schon bald die Systematisierung des vorhandenen Wissens an Bedeutung. Zum Zwecke der Abgrenzung zur Volkswirtschaftslehre wurde und wird bis heute intensiv die Bestimmung des Erkenntnisobjektes diskutiert. Der anfänglich im Vordergrund stehende Handelsbetrieb wurde ergänzt durch produzierende Betriebe (Industrie) und private Haushalte. Die inhaltliche Entwicklung der Betriebswirtschaftslehre konzentrierte sich zunächst auf das Rechnungswesen und auf Fragen der Kostenverursachung und der Finanzierung. In weiterer Folge wurden diese Teilgebiete durch die Untersuchung von Absatz-, Produktions- und Organisationsfragen erweitert.[24] Stand in der Wiederaufbauphase nach dem Zweiten Weltkrieg vorerst die kurzfristige Planung von Finanzströmen im Mittelpunkt, so entwickelte sich ab den 1960er-Jahren eine auf den Ergebnissen der Vergangenheit beruhende Langfristplanung mit Gewinnprognosen für weiter in der Zukunft liegende Perioden. Die Ölkrise 1973 und die zunehmende globale politische Destabilisierung machten deutlich, dass diese Vorgangsweise nicht mehr ausreichte, sondern eine Analyse des Umfeldes zur Identifikation von zukünftigen Risiken und Chance erforderlich wurde. Als Ergänzung zur betriebswirtschaftlichen Planungsrechnung fand das vorrangig in den USA entwickelte Konzept des strategischen Managements zunehmend auch in Deutschland und in ganz Europa Verwendung.[25]
Das Konzept einer strategischen Unternehmensführung lässt sich in den USA bis zum Anfang des 19. Jhdt. zu Frederick Winslow Taylor (1856-1915) zurückverfolgen. Im Gegensatz zur deutschen Betriebswirtschaftslehre, die sich als eine eigene Wirtschaftswissenschaft etablierte, ging es Taylor – der als Ingenieur aus der Praxis kam – um die Entwicklung eines Konzeptes für die tatsächliche Betriebsführung. Im Vordergrund standen Fragen der Verbesserung der Produktionsleistung (z.B. Gestaltung des Arbeitsplatzes, Entlohnungssysteme) und (noch) nicht Aufgaben der Gesamtführung eines Unternehmens. Die auch weiterhin von Praktikern wie Unternehmensleitern und Beratern getragene Managementlehre wandte sich in der Folge der Erstellung von Regeln und Prinzipien zu und den Fragen von Zusammenarbeit und Mitarbeiterführung. Durch das Hineintragen von Erkenntnissen aus anderen Wissenschaften wie Mathematik, Physik, Soziologie und Technik und letztendlich durch das Aufkommen von Computern entstand eine – nach wie vor – praxisorientierte Systemtheorie des Managements.[26] Als dessen Begründer und einer der wichtigsten Vertreter gilt Peter F. Drucker (1909-2005), der 1943 die Unternehmensführung und Arbeitsweise von General Motors untersuchte.[27] In seinem auf diesen Erkenntnissen basierendem Buch „Concept of the Corporation“ beschreibt Drucker den Konzern als eine Institution (als eine von vielen in einer Gesellschaft) zur Organisation menschlichen Handels zur Erreichung eines Unternehmenszwecks. Entscheidend für die Lösung der damit verbundenen Probleme sind die Unternehmensführung und die von ihr bestimmte Geschäftspolitik sowie die zur Umsetzung dieser Politik festgelegten Vorgangsweisen.[28] Konzerne (wie alle anderen Organisationen) können nicht überleben, wenn sie von einer oder von wenigen Personen abhängig sind. Es bedarf des Zusammenspiels von Managern und Mitarbeitern zur Errichtung eines Systems, das – basierend auf Leitbildern und Prinzipien – die Zielerreichung regelt. Und zwar so regelt, dass dieses System keine starre Planung darstellt, sondern die notwendige Flexibilität aufweist, damit die für die Zielerreichung notwendige Anpassung einzelner Schritte möglich wird.[29] Die zunehmende Erkenntnis über die Bedeutung der Einflüsse der Umwelt auf die Möglichkeiten und die Fähigkeiten eines Unternehmens, seine Ziele zu erreichen, führte zur Entwicklung des strategischen Managements. Die Chancen und Risiken, die sich aus dem Unternehmensumfeld ergaben, wurden ebenso analysiert wie die eigenen Stärken und Schwächen. Die Ergebnisse bilden die Grundlage für die Definition von Zielen und die Entwicklung einer Strategie, wie diese Ziele zu erreichen sind. Praktische Erfahrungen resultierten in einem Verständnis darüber, dass es zur erfolgreichen Implementierung von strategischen Maßnahmen die Akzeptanz der Mitglieder des Unternehmens bedarf. Unter diesem Gesichtspunkt erlangten die sog. soft facts – wie Aufbau- und Ablauforganisation, Personalmanagement, Unternehmenskultur sowie der Erhalt und die Verteilung von Information – eine eigenständige strategische Bedeutung.[30]
Zusammenfassend ist festzuhalten, dass beide Strömungen einen wesentlichen Beitrag zur Entwicklung und Führung von Organisationen leisten. Die aus der Praxis kommende systemorientierte Managementlehre liefert die Werkzeuge für die Umsetzung und die Bewältigung von sich laufend verändernden Anforderungen. Die Betriebswirtschaftslehre steuert durch ein Planungskonzept die fundierten Grundlagen für eine solide Entscheidungsvorbereitung bei.
Aus der Betrachtung von Organisationen als Systeme ergeben sich einige Merkmale, die auf alle Organisationen unabhängig von Größe, Organisationsform oder Aufgabenstellung zutreffen.[31] Bei der Betrachtung einer Organisation als System – in Anlehnung an Biologie oder Ökologie –wird klar, dass alle Elemente ein Wirkungsgefüge bilden und ein Eingriff an einer Stelle Auswirkungen an einer anderen Stelle hat bzw. haben kann. Organisationen müssen deshalb in ihrer Gesamtheit betrachtet werden. Bei der Vornahme von Maßnahmen sind alle Systemkomponenten (Strukturen, Prozesse, Mitarbeiter, Kunden etc.) zu berücksichtigen. Organisationen sind keine statischen Gebilde, sondern dynamische Systeme, gekennzeichnet durch (fortlaufende) Veränderungen. Veränderungen sind einerseits aus der Organisation heraus bedingt, andererseits werden sie durch Einwirkungen aus der Umwelt verursacht. Daraus ergibt sich, dass Organisationen – als Teil eines Netzwerkes von wirtschaftlichen, juristischen und gesellschaftlichen Beziehungen – offene Systeme sind. Das abschließende Merkmal einer systemischen Betrachtung von Organisationen ist ihre Komplexität.[32] Diese ist jedoch nicht als unvermeidbares Übel zu sehen, sondern es sind eben die Vielzahl der Parameter, die es Organisationen erst ermöglicht, sich Anforderungen anzupassen und somit ihre Lebensfähigkeit zu erhalten.
Die Aufgabe und Bedeutung von Management-Systemen liegt darin, komplexe Systeme dadurch beherrschbar zu machen, dass das Verhalten (einer Vielzahl) von Menschen auf ein Ziel hin koordiniert wird.[33] Durch Gestaltung von Strukturen, Regeln und Abläufen und der kontinuierlichen Steuerung und Verbesserung aller Aktivitäten bilden Management-Systeme einen Rahmen für die einheitliche zielorientierte Organisationsausrichtung. Ein CMS nach ISO 37301 folgt diesem Ansatz. Die Zuteilung – als strukturelles oder statisches Element – von Aufgaben und Verantwortung für Compliance einer Organisation bei der Abwicklung ihrer Geschäftstätigkeiten wird unterstützt durch die Integration von Compliance-Maßnahmen (als dynamisches Element) in bestehende Verfahren, Abläufe, Prozesse etc.
1.3.2 Compliance-Management-Systeme
Durch die Gestaltung von Strukturen, Regeln und Abläufen und der kontinuierlichen Steuerung und Verbesserung aller Aktivitäten bilden Management-Systeme einen Rahmen für die einheitliche und zielorientierte Organisationsausrichtung. Nationale wie internationale Rechtsordnungen sehen vor, dass Organisationen eine (implizite) Aufsichts- und Kontrollpflicht zur Einhaltung von Gesetzen haben. Abgesehen von einigen Ausnahmen gibt es jedoch keine Vorschriften darüber, wie diese Aufsichts- und Kontrollmaßnahmen auszugestalten sind. Insbesondere gibt es keine für alle Organisationen gültige gesetzliche Vorschrift, die die Einführung eines Compliance-Management-Systems (CMS) vorschreibt.
Auf internationaler Ebene haben sich Compliance-Management-Systeme im Finanzsektor zur Bekämpfung von Geldwäsche entwickelt.[34] Dies ist auch in Österreich der Fall. Für Organisationen, die dem Wertpapiergesetz unterliegen, besteht gemäß § 18 Wertpapieraufsichtsgesetz (WAG) die Verpflichtung, eine unabhängige Compliance-Funktion auf Dauer einzurichten, die die Überwachung und regelmäßige Bewertung der Angemessenheit vorgeschriebener Verfahren sowie die Setzung von Maßnahmen zur Behebung etwaiger Mängel zur Aufgabe hat. Die ersten Maßstäbe für Compliance-Management-Systeme in Zusammenhang mit Anti-Korruptionsbestimmungen wurden in den USA und in Großbritannien gesetzt. In beiden Ländern kann ein angemessenes und wirksames Compliance- und Ethik-Programm eine Strafverfolgung beeinflussen, wenngleich in unterschiedlicher Ausprägung. Zahlreiche Staaten haben in den letzten Jahren in ihren Rechtssystemen die strafrechtliche Verantwortlichkeit für juristische Personen umgesetzt. Voraussetzung ist oftmals, dass zum Zeitpunkt der Verfolgung eine Fahrlässigkeit der Organisation vorliegt, d. h. die Organisation hat zuvor keine ordnungsgemäßen und geeigneten Maßnahmen errichtet und umgesetzt, mit dem das Risiko des Auftretens der verfolgten Straftat erheblich verringert werden sollte. [35]
