1. Was versteht man unter "Compliance" und warum ist sie für Unternehmen so wichtig?

"Compliance" leitet sich vom englischen "to comply with" ab und bedeutet die Einhaltung, Übereinstimmung oder Befolgung von Regeln. Im juristischen Kontext, insbesondere in Wirtschaftsunternehmen, steht es für Regeltreue – also ein Handeln im Einklang mit dem geltenden Recht und internen Unternehmensrichtlinien. Es ist ein unternehmensinternes Instrument der Corporate Governance zur Überwachung von Unternehmen.

Die Bedeutung von Compliance hat in den letzten Jahren erheblich zugenommen, nicht zuletzt durch die verstärkte Regulierung auf nationaler, europäischer und internationaler Ebene. Schon mittelständische Unternehmen benötigen heute ein Compliance-System. Die Ziele von Compliance sind vielfältig: Sie dient der Kriminalprävention, minimiert Risiken von Wirtschaftsdelikten durch Organisationsmitglieder und kann im Falle einer drohenden Sanktionierung einen positiven Einfluss auf die Strafverfolgungsbehörden haben. Compliance-Verstöße können für Unternehmen und ihre Angehörigen schwerwiegende rechtliche und finanzielle Folgen haben, bis hin zu existenzbedrohenden Auswirkungen, selbst ohne ein spezifisches Verbandsstrafrecht.

2. Welche Rolle spielt die "Criminal Compliance" im Vergleich zur allgemeinen Compliance?

Während die allgemeine Compliance alle Maßnahmen umfasst, die ein rechtmäßiges Verhalten der Organisationsmitglieder in Bezug auf alle relevanten Gesetze (z.B. Arbeitsrecht, Gesellschaftsrecht, Kartellrecht, Strafrecht) sicherstellen sollen, ist die "Criminal Compliance" enger gefasst. Sie bezeichnet die Gesamtheit aller Maßnahmen einer Organisation, die darauf abzielen, das Risiko zu minimieren, dass Mitglieder der Organisation eine organisationsbezogene Wirtschaftsstraftat begehen. Zudem soll sie die Chancen erhöhen, dass eine Sanktionierung im Konsens mit den Strafverfolgungsbehörden positiv beeinflusst wird, sollte es dennoch zu einem Vergehen kommen. Kurz gesagt, Criminal Compliance konzentriert sich spezifisch auf die Prävention und den Umgang mit Wirtschaftsstraftaten innerhalb einer Organisation.

3. Welche historischen und aktuellen Entwicklungen prägen das Verständnis und die Notwendigkeit von Compliance in Deutschland?

Die Entwicklung der Compliance in Deutschland wurde maßgeblich seit den 1990er Jahren durch ein verstärktes Augenmerk auf Kriminalitätsprävention geprägt. Der Siemens-Korruptionsskandal im Jahr 2006 gilt oft als Auslöser für ein gesteigertes Bewusstsein für regeltreues Verhalten. Ein wichtiger, wenn auch gescheiterter, Vorstoß war der Entwurf eines Verbandssanktionengesetzes (VerSanG-E) von 2020. Dieser hätte erstmals eine direkte strafrechtliche Sanktionierung von Unternehmen ermöglicht und Compliance-Maßnahmen explizit als mildernde oder erschwerende Faktoren bei der Sanktionsbemessung berücksichtigt. Obwohl das Gesetz nicht verabschiedet wurde, zeigt es die Richtung der politischen Debatte und die potenzielle Bedeutung von Compliance für die Zukunft.

Ein weiterer wichtiger Faktor ist der Deutsche Corporate Governance Kodex (DCGK), der Empfehlungen für börsennotierte Aktiengesellschaften zur guten Unternehmensführung gibt und somit ebenfalls zur Compliance gehört, auch wenn er keine unmittelbare Rechtswirkung entfaltet. Aktuelle Entwicklungen wie das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) und die europäische Corporate Sustainability Reporting Directive (CSRD) rücken Corporate Sustainability und ESG-Themen (Umwelt, Soziales, Governance) stärker in den Fokus, was die Notwendigkeit geeigneter Compliance-Systeme zur Sicherstellung der Einhaltung dieser neuen Vorschriften weiter unterstreicht.

4. Besteht in Deutschland eine allgemeine Pflicht zur Einrichtung eines Compliance Management Systems (CMS)?

In Deutschland gibt es keine generelle gesetzliche Pflicht zur Einführung eines Compliance Management Systems (CMS) für alle Unternehmen. Für bestimmte Branchen und Geschäftsfelder, wie Kreditinstitute, Wertpapierdienstleistungsunternehmen oder Versicherungsunternehmen, existieren jedoch spezifische Vorschriften, die verbindliche Vorgaben enthalten und bei deren Verletzung Bußgelder verhängt werden können (§ 25a KWG, § 80 WpHG, §§ 23 ff. VAG).

Ungeachtet dessen leiten Gerichte, wie das Landgericht München I im Jahr 2013, eine Pflicht zur Einrichtung eines Compliance-Systems für Vorstandsmitglieder von Aktiengesellschaften aus §§ 91 Abs. 2, 93 AktG her. Diese "Legalitätspflicht" besagt, dass der Vorstand das Unternehmen so organisieren und beaufsichtigen muss, dass keine Gesetzesverstöße erfolgen. Die Ausgestaltung der Compliance-Organisation hängt dabei von Art, Größe und Organisation des Unternehmens, den relevanten Vorschriften, der geografischen Präsenz und vergangenen Verdachtsfällen ab.

Strafrechtlich ergibt sich eine indirekte Verpflichtung aus §§ 130, 30 OWiG. § 130 OWiG sanktioniert das vorsätzliche oder fahrlässige Unterlassen erforderlicher Aufsichtsmaßnahmen zur Verhinderung von Pflichtverletzungen im Unternehmen, die mit Strafe oder Geldbuße bedroht sind. Über § 30 OWiG kann dies zu Geldbußen gegen das Unternehmen selbst führen. Die Notwendigkeit eines CMS wird dabei im Einzelfall von der Größe des Unternehmens, der Art der Tätigkeit und der Gefahrenneigung bestimmt.

5. Welche Kernbestandteile umfasst ein effektives Compliance Management System (CMS)?

Ein effektives Compliance Management System (CMS) ist keine "One-size-fits-all"-Lösung, sondern muss auf die individuellen Bedürfnisse des Unternehmens zugeschnitten sein. Es basiert auf sieben Grundelementen, wie sie beispielsweise im IDW PS 980 (09.2022) beschrieben werden:

1. Compliance-Kultur: Ein ernsthaftes Bekenntnis der Unternehmensführung zur Rechtmäßigkeit und verantwortungsvollen Geschäftsführung ("tone from the top") ist essenziell. Die Rechtstreue muss als Wert von allen Mitarbeitenden akzeptiert und gelebt werden, oft formalisiert durch ein "Mission Statement" und einen "Code of Conduct".
2. Compliance-Ziele: Klare Festlegung der Ziele des CMS, basierend auf den allgemeinen Unternehmenszielen und einer Analyse der für das Unternehmen wichtigen Regeln, um die zu steuernden und zu überwachenden Bereiche abzugrenzen.
3. Compliance-Risiken: Eine umfassende Identifikation und Beurteilung der Compliance-Risiken ("Compliance-Risk-Landscaping"), unter Berücksichtigung von Faktoren wie Änderungen im wirtschaftlichen/rechtlichen Umfeld, Personalveränderungen, Unternehmenswachstum, neuen Technologien oder Geschäftsbereichen.
4. Compliance-Programm: Die Entwicklung und schriftliche Dokumentation notwendiger Maßnahmen zur Vermeidung von Compliance-Verstößen, passgenau zugeschnitten auf das Unternehmen, inklusive klarer Vorgaben, Freigaberegelungen, Einbindung des Compliance-Officers und Schulungskonzepte. Ein Hinweisgebersystem kann hier ein wesentliches Element sein.
5. Compliance-Organisation: Festlegung von Rollen, Verantwortlichkeiten sowie einer Aufbau- und Ablauforganisation. Oft wird eine eigene Compliance-Abteilung oder ein (Chief) Compliance-Officer ernannt. Wichtig sind Unabhängigkeit, ausreichende Befugnisse und Ressourcen sowie ein direkter Zugang zur Unternehmensleitung.