Garantenpflicht

Haftung eines Risikomanagers


Garantenpflicht: Haftung eines Risikomanagers Interview

Der Bundesgerichtshof (BGH) hat in seinem Urteil vom 17.07.2009 (Az 5 StR 394/08) einen Leiter einer Rechtsabteilung und Revision wegen Beihilfe zum Betrug durch Unterlassen zu einer Geldstrafe von 120 Tagessätzen verurteilt. Hintergrund ist der Vorwurf gegenüber dem Leiter der Innenrevision der Berliner Stadtreinigung, er habe von überhöhten Gebührenfestsetzungen gewusst, ohne sie beim Vorstand zu beanstanden. Dadurch habe er Beihilfe zum Betrug geleistet. Hierbei referenziert der BGH auf die so genannte Garantenplicht, wonach für eine Strafbarkeit durch Unterlassen eine Pflicht zum Handeln bestehen muss.

In dem Urteil des Gerichts wird auch explizit die Rolle und Verantwortlichkeit des Compliance Officers in Unternehmen angesprochen: "[… ] Deren Aufgabengebiet ist die Verhinderung von Rechtsverstößen, insbesondere auch von Straftaten, die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch Haftungsrisiken oder Ansehensverlust bringen können. […] Derartige Beauftragte wird regelmäßig strafrechtlich eine Garantenpflicht im Sinne des § 13 StGB treffen, solche im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten von Unternehmensangehörigen zu verhindern. Dies ist die notwendige Kehrseite ihrer gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu verhindern […]."

Wir sprachen mit Rechtsanwalt Prof. Dr. Josef Scherer, Leiter des Internationalen Instituts für Governance, Management Risk und Compliance an der Technischen Hochschule Deggendorf über das Urteil und die Haftung eines Risikomanagers in der Unternehmenspraxis.

Überspitzt könnte man formulieren, dass der BGH in der Rolle des Chief Compliance Officers einen verlängerten Arm des Staates sieht, um Straftaten in Unternehmen unterbinden. Welche Relevanz hat diese Garantenpflicht in der Praxis hinsichtlich der eigenen Strafbarkeit?

Josef Scherer: Die Sicht, dass die Haftungsverlagerung von der Geschäftsleitung hin auf einen Chief-Compliance-Officer die Interessen des Staates nur einseitig begünstige, greift zu kurz. Vielmehr haben alle Beteiligten etwas von einer ordentlichen Pflichtenerfüllung:

Falls das Unternehmen bzw. die Organisation sich selbst ernsthaft kümmert, dass keine Rechtsverletzungen begangen werden, bringt dies zwar erhebliche Verantwortung für einen Compliance-Officer mit sich: Der Vorsitzende Richter des 1. Strafsenats des Bundesgerichtshofes, Raum, wies erst kürzlich darauf hin, dass keine Strafbarkeitslücke entstehen dürfe, wenn die Geschäftsleitung Aufgabe und Verantwortung bzgl. Compliance auf einen Compliance-Officer delegiere, also entweder Geschäftsleitung oder Compliance Officer (oder im worst case beide) geradestehen müssten.1

Gleichwohl belohnt der Staat auch die Einrichtung einer entsprechenden Organisation: Die Rechtsfigur, Rechtspflichtverletzungen bei Vorhalten eines Compliance-Managementsystems weniger hart oder gar nicht zu bestrafen, gab es schon in den 80er Jahren des letzten Jahrhunderts in Amerika über die "US-Sentencing-Guidelines".

Jetzt zeigt sich diese Rechtsfigur als Trend sowohl in der Gesetzgebung als auch in der Rechtsprechung: So belohnt § 153 AO im Rahmen von "Tax-Compliance" die Einrichtung einer Organisation, die die Erfüllung der steuerlichen Pflichten sicherstellen soll. Sollte es dennoch zu einer Steuerpflichtverletzung kommen, wird in der Regel nicht mehr von vorsätzlicher, sondern nur noch von fahrlässiger Tat ausgegangen.2

Gegen Vorsatz beziehungsweise Leichtfertigkeit mit der Gefahr der Verurteilung wegen Steuerhinterziehung oder leichtfertiger Steuerverkürzung spricht als Indiz, wenn der Steuerpflichtige ein "innerbetriebliches Kontrollsystem", das der Erfüllung seiner steuerlichen Pflichten dient, eingerichtet hat.
Auch die Rechtsprechung des BGH in seinem, noch nicht sehr bekanntem Urteil vom Mai 2017 (Az. 1 StR 265/16, Rn. 110 ff.) ist hierzu höchst interessant: Der BGH stellte fest, dass bei Vorhalten eines Compliance-Managementsystems möglicherweise eine Verantwortung des Unternehmens und der Geschäftsleitung im Bußgeldbereich entfallen könne, selbst dann, wenn es zu Verstößen gekommen sei und das System entsprechend nachgebessert werde.

Lässt sich das Urteil auch direkt auf einen Chief Risk Officer bzw. Leiter Risikomanagement übertragen, der ja gleichermaßen die Aufgabe verfolgt, Risikoeintritte zu verhindern?

Josef Scherer: Vorab: Bezüglich der Bezeichnungen gibt es mangels Legaldefinition vielfältige, phantasievolle Varianten, beispielsweise Risiko-Beauftragter, -Funktion, -Officer, -Manager, -Verantwortlicher etc. Die Bezeichnung alleine sagt noch nichts über Aufgabenbereich und Verantwortung beziehungsweise Haftung aus.

Die Rechtsprechung zur Haftung des Compliance-Officers lässt sich nicht direkt auf die Haftung anderer Sonderbeauftragter wie beispielsweise Risiko-, Datenschutz-, Qualitäts-, Arbeitssicherheits-, etc.-Beauftragte übertragen: Jedes Urteil ist ja individuell zu sehen und auszuwerten. Wird ein Jurist gefragt, wie ein Sachverhalt rechtlich zu beurteilen sei, wird er immer antworten: "es kommt darauf an". Das ist hier sogar zutreffend.

Gleichwohl lassen sich Parallelen und Grundsätze herausarbeiten: Fakt ist zum einen, dass Sonderbeauftragte für Risikomanagement, Datenschutz etc. auch bzgl. ihrer Aufgaben und Verantwortung/Haftung eine besondere Rolle einnehmen und damit grundsätzlich schon einmal bei entsprechenden Pflichtverstößen in ihrem Verantwortungsbereich im Fokus von Ermittlern, gegnerischen Rechtsanwälten oder der Medien stehen.3  Beispielsweise wurden im Fall "Müller Brot" im Münchner Raum strafrechtlich Ermittlungen von Staatsanwälten der Staatsanwaltschaft Landshut – meinen ehemaligen Kollegen – auch gegen den QM-Beauftragten und den Produktionsverantwortlichen geführt.

Auch bei einer deutschen Großbank gab es schon Ermittlungen gegen Mitglieder (!) im Team des Geldwäsche-Beauftragten.

Beim Love-Parade-Fall wurde gemeldet, dass auch gegen die Vorgesetzten der verantwortlichen Mitarbeiter der Stadt wegen unterlassener Überwachung ermittelt werde. Auch der Transrapid-Fall zeigte, dass bei entsprechenden Vorkommnissen nicht nur einzelne direkte Verursacher, sondern gleich mehrere Verantwortliche, insbesondere auch einfache Vorgesetzte, im Fokus von Ermittlungen, Anklagen und Verurteilungen stehen.

Gemäß der ISO 31000:2018 (Risk management – Guidelines) Punkt 1: "Anwendungsbereich" ist der Standard auf jegliche Art von Risiken anzuwenden. Also auch auf Compliance-Risiken. Hier zeigt sich, dass eine starke Überschneidung zwischen Risiko- und Compliance-Management besteht.

Risikomanagement behandelt also theoretisch zum einen "sonstige Risiken" und zum anderen aber eben auch Compliance-Risiken. Sofern also der Risikomanager auch ein Compliance-Risikomanagement verantwortet, dürften sogar sehr starke Parallelen zur Rechtsprechung bezüglich bezüglich der Verantwortung eines Compliance-Officers bestehen. Wie bereits im BGH-Urteil zu den Berliner Verkehrsbetrieben, aber auch in nachfolgenden Kommentierungen dieses Urteils durch den Vorsitzenden Richter Raum4 festgestellt wurde, kommt es auf die Bezeichnung nicht alleine beziehungsweise wesentlich an. Vielmehr ist entscheidend, worum sich der jeweilige Beauftragte kümmert, respektive zu kümmern hat und insbesondere, wie sein Aufgabenbereich unter Umständen vertraglich oder in einer Stellenbeschreibung ausgestaltet ist.

In der Praxis lässt sich beobachten, dass die Zusammenarbeit zwischen Risiko- und Compliance-Beauftragten manchmal sehr gut klappt, insbesondere bei installierten "GRC-Stabsstellen-Funktionen". Oft aber ist die Aufgabenverteilung und Kommunikation zwischen Risiko- und Compliance-Verantwortlichen noch stark verbesserungswürdig. Äußerst ungünstig ist es jedoch, wenn sich das Risikomanagement weder selbst, noch durch starke Kommunikation und Kooperation mit einem "starken" Compliance-Officer um Compliance-Risiken kümmert: Schließlich sind Compliance-Risiken ein wesentlicher Bestandteil der existenziellen Gefahren, die einer Organisation drohen.

Garant ist allgemein, wer eine Herrschaftsposition innehat, sei es eine Schutzherrschaft (d. h. Obhut über ein zu schützendes Rechtsgut) oder eine Überwachungsherrschaft (d. h. Sicherung einer Gefahrenquelle zur Vermeidung von Schäden Dritter). Lässt sich basierend hierauf die Garantenstellung eines Risikomanagers im Unternehmen ableiten?

Josef Scherer: Bezüglich der Herleitung einer Garantenstellung als Voraussetzung für eine Haftung bei Unterlassen sowohl im Straf-, wie im Zivilrecht gibt es unterschiedliche wissenschaftliche Ansätze:

Die Funktionenlehre leitet eine Rechtspflicht zum Schutz von Rechtsgütern unter anderem aus Gesetz her oder eine Rechtspflicht zum Schutz vor einer Gefahrenquelle als Überwachergarant beispielsweise aus Ingerenz (d. h. pflichtwidriges, gefährliches Vorverhalten), dem Inverkehrbringen gefährlicher Gegenstände oder Sonstigem.

Die Rechtsquellenlehre sieht die Garantenstellung in bestimmten Rechtsquellen, wie Gesetz, sonstigen Normen oder Vertrag begründet.

Diese diversen "Lehren" dürften nur einen rein wissenschaftlichen Streit darstellen.

Für die Praxis lässt sich festhalten, dass selbstverständlich ein Risiko-Beauftragter auch eine Garantenstellung innehaben kann.

Gesetzliche Grundlagen bzgl. der Aufgaben und Verantwortung eines Risiko-Beauftragten fehlen bisher (anders als z. B. beim Datenschutz-Beauftragten, dessen Aufgaben u. a. in der DSGVO beschrieben sind) ebenso, wie erhellende Rechtsprechung: Es gibt hier also keine Legal-Definition oder Regelung.

Es gilt aber ein allgemeiner Grundsatz: Je weiter der Aufgabenbereich, aber auch die Befugnisse eines Beauftragten gefasst sind, desto eher wird dieser eine Garantenstellung innehaben: Falls also der Risiko-Beauftragte nicht explizit bloß beratend oder unterstützend tätig wird, sondern eher Verantwortung für das Erkennen, Bewerten und Behandeln von Risiken trägt und auch eigene Entscheidungs-, Eingriffs- und Weisungsrechte hat, desto eher ist er als Garant verantwortlich.

Klarstellen lässt sich dies über die jeweilige Fassung von Stellen- und Arbeitsplatzbeschreibungen, Ernennungsbeschluss sowie vertragliche Regelungen mit den jeweiligen Beauftragten.

Hier ein Tipp für die Praxis: Regeln Sie in Stellen-, Arbeitsplatzbeschreibungen, Ernennungsbeschluss und unter Umständen im Anstellungsvertrag explizit den Aufgaben- und Verantwortungsbereich des Risiko-Beauftragten bis hin zur Klärung der Frage, ob damit eine Garantenstellung begründet werden soll.
Es ist jetzt schon darauf hinzuweisen, dass ein Risiko-Beauftragter eher geneigt sein sollte, eine Garantenstellung zu übernehmen, wenn er auf ein (durch externes Audit nachgewiesenes) gelebtes Risiko-Managementsystem mit hohem Reifegrad (Zertifizierungsreife) bauen kann.

Sofern sich das Risikomanagement jedoch im Unternehmen erst im Aufbau befindet oder nur auf dem Papier existiert, läge es im Sinne des Risiko-Beauftragten, zunächst mal als "schwacher" Risiko-Beauftragter ohne Garantenstellung zu fungieren und zusammen mit einem Risikomanagement-Komitee, das mit Mitgliedern aus beispielsweise Revision, IKS, Compliance, QM, etc. besetzt sein kann, ein Risiko-Managementsystem aufzubauen und zu einem hohen Reifegrad zu führen.

Lassen Sie uns ein konkretes Szenario annehmen. Ein dezentraler Risikoverantwortlicher, etwa im Bereich der Produktion, weist auf ein wesentliches Risiko hin. Der Leiter Risikomanagement hätte beispielsweise die Aufgabe, hier entsprechende Maßnahmen zur Risikominimierung oder -vermeidung zu initiieren und unterlässt dies und informiert auch die Geschäftsleitung nicht über dieses Risiko. Nun kommt es in der Folge zu einem Risikoeintritt mit Auswirkungen auf Leib und Leben oder auch das Vermögen des Unternehmens. Nachweislich hätte dieses Risiko präventiv vermieden werden könnten. Haftet nun der Leiter Risikomanagement für sein Fehlverhalten?

Josef Scherer: Eine sehr komplexe Frage, die eine komplexe Antwort erfordert: Zunächst ist zu unterscheiden, ob es sich hier um eine mögliche Pflichtverletzung durch aktives Tun oder durch Unterlassen handelt: Beispielsweise könnte – wie bei modernen Risiko-Managementsystemen mit Automatisierung und Workflows bei entsprechenden Fehlermeldungen üblich – in Prozessen eine aktive Freigabefunktion für den Risikobeauftragten eingebaut sein. Hier würde sich bei einer (pflichtwidrigen) Freigabe durch den aktiven Verursachungsbeitrag des Leiters-Risikomanagement die Frage nach einer besonderen Garantenstellung nicht stellen. Sein Handeln wäre eine "conditio sine qua non": Da er zumindest eine Mitursache gesetzt hat, reicht das auch, ihn als Mitverantwortlichen in die Haftung zu nehmen.

Ähnlich war es im Transrapid-Fall: Hier gab es Verurteilungen gegen Fahrdienstleister wegen fahrlässiger Tötung (mehr als 20 Tote), weil sie die Fahrt "freigegeben" hatte.

Dagegen wurden deren Vorgesetzte verurteilt, weil sie es unterlassen hatten, für eine rechtssichere Organisation (entsprechende Prozessbeschreibungen) zu sorgen.

Hat der "Leiter Risikomanagement" dagegen lediglich entsprechende Sicherungsmaßnahmen unterlassen, so stellt sich tatsächlich die Frage nach der Garantenpflicht, die bereits oben beantwortet wurde.

Bzgl. der Haftung ist zwischen Straf- und Ordnungswidrigkeitenrecht auf der einen Seite und Zivilrecht auf der anderen Seite zu unterscheiden.

Der Fall "O. J. Simpson" illustriert dies sehr schön: Strafrechtlich, wo es um Spezial- und Generalprävention geht und der Grundsatz "im Zweifel für den Angeklagten" (in dubio pro reo) besteht, wurde Simpson freigesprochen. Zivilrechtlich, wo es meist um Entschädigung geht und die Beweislast häufig gesetzlich oder via Rechtsprechung zu Lasten des Unternehmens ausgestaltet ist, kam es dagegen zu einer Verurteilung.

Bezüglich des Straf- und Ordnungswidrigkeitenrechts kommt auf alle Fälle schon mal eine Haftung des im obigen Fall geschilderten "Leiters Risikomanagement" in Betracht. Sollte er bestraft werden, nutzt hier weder eine Rechtsprechung des Bundesarbeitsgerichts zur betrieblich veranlassten Tätigkeit noch irgendeine Manager-Haftpflichtversicherung.

Lediglich über eine Strafrechtsschutzversicherung könnte sich der Betroffene einen besonders teuren aber hoffentlich auch besonders qualifizierten Strafverteidiger leisten.

Kleiner Exkurs: Da ich selbst als Wirtschaftsstrafverteidiger tätig bin, durfte ich die Erfahrung machen, dass es nicht nur auf hohe fachliche Qualifikation, sondern vor allem auch auf persönliche Kompetenz und Einsatzbereitschaft beim Verteidiger ankommt, um Erfolge zu erzielen.

Was bedeutet im Zivilrecht die Unterscheidung zwischen Innenhaftung und Außenhaftung?

Josef Scherer: Bezüglich der zivilrechtlichen Haftung auf Schadenersatz ist zwischen "Außenhaftung" gegenüber geschädigten Dritten und der "Innenhaftung" gegenüber dem Unternehmen zu unterscheiden.
Bei der Außenhaftung kommt eine vertragliche Haftung des "Leiters Risikomanagement" mangels Vertrags mit den Geschädigten nicht in Betracht. Auch nicht über die Figur des Vertrags mit Schutzwirkung für Dritte oder Vertrag zugunsten Dritter.

Dagegen ist eine deliktische Haftung über § 823 Abs. 1 BGB bei Verletzung entsprechender Rechtsgüter oder auch gemäß § 823 Abs. 2 BGB in Verbindung mit Strafgesetzen durchaus denkbar. Dies gilt sowohl für einen externen als auch für einen internen Risikomanagement-Beauftragten.

Bzgl. der Haftung gegenüber dem Unternehmen, das unter Umständen Dritten regresspflichtig ist oder eigene Schäden durch die Pflichtverletzung des Risiko-Verantwortlichen hat, besteht bei einem internen Beauftragten eine Gefahr der vertraglichen Haftung aus dem Dienstverhältnis beziehungsweise Arbeitsvertrag in Verbindung mit § 280 BGB.

Inwieweit setzt das Arbeitsrecht hier Haftungsschranken?

Josef Scherer: An dieser Stelle ist zum einen an ein mögliches Mitverschulden des Arbeitgebers zu denken, wenn er Empfehlungen des Risiko-Beauftragten nicht sorgfältig umgesetzt hätte und an die Beweislastregelung des § 619 a BGB: Das Verschulden des Risiko-Beauftragten hat der Arbeitgeber zu beweisen. Außerdem ist an die Grundsätze zur Arbeitnehmerhaftung bei betrieblich veranlasster Tätigkeit mit innerbetrieblichem Schadensausgleich zu denken: Bei leichter und mittlerer Fahrlässigkeit haftet der Arbeitnehmer nicht oder nur anteilig oder er hat einen Freistellungsanspruch gegen den Arbeitgeber. Nur bei grober Fahrlässigkeit oder Vorsatz (eine negative Folge für möglich halten (das Ergebnis der Risikobewertung könnte hier eine "negative Dokumentation" darstellen) und sich damit abfinden (dolus eventualis) reicht bereits!) haftet der Arbeitnehmer voll.

Bezüglich der Grundsätze des innerbetrieblichen Schadensausgleiches stellt sich eine interessante Frage zu der Qualifikation des Risiko-Beauftragten: Wenn dieser nur den Titel innehat, aber nicht auf entsprechende Qualifikation und Kompetenz oder Ressourcen aufbauen kann, dürfte sein Handeln beziehungsweise seine Dienstausübung häufig eher grob fahrlässig sein. Umgekehrt wäre hier im Rahmen der Pflichtendelegation durch den Arbeitgeber ein Pflichtverstoß bei der Auswahl und Ausstattung des Delegationsempfängers zu diskutieren.

An dieser Stelle sei bereits darauf hingewiesen, dass ein funktionierendes Risiko-Managementsystem den Risiko-Verantwortlichen gut zur Seite stehen kann: Aufgrund der bereits in der ersten Antwort oben geschilderten Tendenz, bei entsprechenden organisatorischen Vorkehrungen nicht mehr von Vorsatz der Beteiligten auszugehen, ließe sich für den Risiko-Verantwortlichen leichter ein innerbetrieblicher Schadensausgleich beziehungsweise Enthaftung erzielen.

Und wie ist die zivilrechtliche Haftung gegenüber dem Auftraggeber bei einem externen Risiko-Beauftragten ausgestaltet?

Josef Scherer: Ein externer Risiko-Beauftragter würde nicht aus dem Arbeitsvertrag, sondern aus Geschäftsbesorgungsvertrag haften. Bei etwaigen Haftungsausschlussklauseln wäre deren Wirksamkeit zu diskutieren, weil die Haftung für sogenannte "Kardinalpflichten", d. h. Kernaufgaben, in der Regel nicht eingeschränkt werden kann. Die Grundsätze des innerbetrieblichen Schadensausgleichs würden hier ebenfalls nicht greifen.

Der externe Risiko-Beauftragte dürfte wohl, anders als der interne Risiko-Verantwortliche, auch nicht in die D&O-Haftpflichtversicherung des Unternehmens einzubeziehen sein. Er muss selbst für eine entsprechende Versicherung sorgen.

Ergänzend sei noch auf die praktische Problematik verwiesen, dass bei jedem Vorfall, bei dem ein Fehlverhalten eines Risiko-Verantwortlichen im Raum steht, die potenziellen "Angreifer", wie Behörden, gegnerische Rechtsanwälte, Medien etc. auf alle Fälle zunächst mal auch von einer Fehlleistung des Risiko-Verantwortlichen ausgehen werden. Eine Menge Ärger ist hier vorprogrammiert.

Deshalb ist es wichtig, schnell über entlastende Dokumentation zu verfügen, die belegt, dass das Richtige richtig gemacht wurde. Revisionssichere automatisierte Dokumentation in Echtzeit bei Workflow-Managementsystemen ist hier äußerst hilfreich!

Im Bereich des Compliancemanagements hat sich die Ansicht durchgesetzt, dass den Compliance-Officer die (Aufsichts-)Pflicht trifft, zu verhindern, dass "aus dem Unternehmen heraus" Straftaten begangen werden. Hierbei wird auf die Aufsichtspflicht nach §§ 9, 30, 130 OWiG referenziert. Gilt diese Aufsichtspflicht auch für den Risikomanager bzw. Chief Risk Officer? Muss er zukünftig damit rechnen, Empfänger von Bußgeldbescheiden zu werden? In § 9 OWiG steht ausdrücklich die Formulierung, dass jemand "ausdrücklich beauftragt" werden kann, in "eigener Verantwortung Aufgaben wahrzunehmen, die dem Inhaber des Betriebs obliegen". Diese Verantwortung kann sich ja auch auf das Managen von Risiken beziehen, oder?

Josef Scherer: Die zitierten Paragraphen des Ordnungswidrigkeitengesetzes betreffen vor allem das Thema "Verhinderung von Straftaten und Ordnungswidrigkeiten". Insofern ist die zivilrechtliche Haftung hier nicht inkludiert.

Zu Ihrer Frage: Es ist in den genannten Vorschriften nicht explizit vom "Compliance-Officer" die Rede. Deshalb finden diese Vorschriften – wie bereits vermutet – selbstverständlich auch für Risiko-Manager, Datenschutz-Beauftragte oder sonstige ausdrücklich Beauftragte Anwendung.

Es kommt wieder einmal auf die Frage an, ob hier eine explizite Beauftragung erfolgt war und die beauftragte Person in eigener Verantwortung Aufgaben wahrnehmen sollte und auch konnte, die eigentlich dem Inhaber des Betriebes obliegen.

Hierzu ist insbesondere die Ansicht des Vorsitzenden Richters Raum des ersten Strafsenats des BGH zitierenswert. Zitat RiBGH Rolf Raum:5

"Garantenstellung entsteht dadurch, dass der Compliance-Beauftragte konkret die Aufgabe übernimmt, die mit dem Begriff Compliance regelmäßig assoziiert ist, nämlich die Verhinderung von Rechtsverstößen im Unternehmen und die Verminderung von Haftungsrisiken. Maßgeblicher Zeitpunkt ist 1) die Verleihung einer entsprechenden Dienstbezeichnung. Beides begründet einen gewissen Anschein, dass der Betreffende dann auch eine solche Aufgabe wahrnimmt, die eine Garantenstellung nach sich zieht. Andererseits entlastet natürlich auch eine Umbenennung seiner Funktion den materiell als Compliance-Beauftragten Tätigen nicht. […]

Problematisch ist, ob der Compliance-Beauftragte auch als Aufsichtspflichtiger nach § 130 OWiG beauftragt werden kann. Dies würde voraussetzen, dass der Compliance-Beauftragte eine Person wäre, die nach § 9 Absatz 2 Nr. 2 OWiG Aufgaben für den Betriebsinhaber übernimmt, weil § 9 OWiG den Personenkreis nach § 130 OWiG erweitert. Die Diskussion hierüber ist im Fluss. Ist die Tätigkeit des Compliance-Beauftragten herausgehoben und klar abgegrenzt, könnte einiges dafür sprechen, ihn als verantwortliche Person in diesem Sinne anzusehen. Ist der Compliance-Beauftragte im Einzelfall Aufsichtspflichtiger im Sinne des § 130 OWiG, haftet er für sämtliche betriebsbezogenen Taten (Straftaten und Ordnungswidrigkeiten) bußgeldrechtlich auch dann, wenn er von diesen Taten keinerlei Kenntnis hatte. Bußgeldbegründend ist insoweit nur eine nicht ausreichende Organisation seines Arbeitsgebiets oder eine mangelhafte Aufsicht. Als Schuldform würde Fahrlässigkeit ausreichen. Ist in seiner Person der Tatbestand des § 130 OWiG erfüllt, dann kann gegen den Compliance-Beauftragten selbst ein Bußgeld verhängt werden (§130 OWiG), aber auch daneben das hinter im stehende Unternehmen mit einer Verbandsgeldbuße belegt werden (§30 Absatz 1 Nr. 5 OWiG)."

Inwieweit ist es sinnvoll, dass der Chief Risk Officer oder Chief Compliance Officer in der so genannten Directors-and-Officers-Versicherung oder Organ- oder Manager-Haftpflichtversicherung (D&O-Versicherung) als versicherte Person aufgeführt wird?

Josef Scherer: Es ist unbedingt anzuraten, dass Risk-Officer oder Compliance-Beauftragte, ebenso wie Datenschutz-Beauftragte, wenn sie als interne Beauftragte tätig sind, in die D&O-Versicherung einbezogen werden. Hier ist aber zu beachten, dass die D&O-Versicherung nur reine Vermögensschäden abdeckt, also keine Personen- oder Sachschäden versichert, die durch pflichtwidriges Handeln der versicherten Personen hervorgerufen wurden.

Auch die strafrechtliche Verantwortung ist durch eine D&O-Versicherung nicht einzuschränken. Die Kehrseite der Medaille der D&O-Versicherung ist natürlich, dass bei potentiellen Anspruchstellern im Schadensfalle gewisse Begehrlichkeiten im Hinblick auf die Versicherungssumme geweckt werden. Die Aussicht auf eine Versicherungssumme weckt bei manchen Gegnern enorm Appetit. Dennoch sollte nicht auf den entsprechenden Versicherungsschutz verzichtet werden.

Hoch interessant ist in diesem Zusammenhang, dass seit neuestem einige D&O-Versicherer dazu übergehen, für Manager und weitere versicherte Personen in der D&O-Versicherung nicht nur Rabatte, sondern auch ein besonderes "wording" zu bieten, wenn ein zertifiziertes Compliance-Managementsystem im Unternehmen vorhanden ist: Die Versicherer haben erkannt, dass es sich um eine win-win-Situation handelt, wenn in Unternehmen und Organisationen Compliance-Management proaktiv betrieben wird.

Dies wollen sie nun mit besonderen Versicherungsbedingungen belohnen und motivieren. Diese Sonderkonditionen können in der Regel nicht durch höhere Prämien erkauft werden, sondern nur durch den Aufbau eines gelebten Compliance-Managementsystems. Es lohnt sich also, bei den diversen D & O-Versicherern bzgl. dieser Sonderbedingungen für den Fall des Vorhandenseins eines zertifizierten Compliance-Managementsystems nachzufragen.

Leistet die D&O-Versicherung auch im Fall der diskutierten Garantenstellung, d.h. wenn der Chief Risk Officer oder Chief Compliance Officer in ein staatsanwaltschaftliches Ermittlungsverfahren oder ein Ordnungswidrigkeitsverfahren mit drohendem Bußgeld gerät?

Josef Scherer: Es ist schon zu hören, dass beispielsweise bei der Strafrechtsschutz-Versicherung bei Existenz eines im Unternehmen implementierten zertifizierten Compliance-Managementsystems sogar auf Regressierung beim verurteilten Manager verzichtet wird, selbst wenn die Verurteilung aufgrund bedingten Vorsatzes erfolgt ist. Bei direktem Vorsatz oder Absicht leistet natürlich keine Versicherung oder regressiert auf alle Fälle.

Da die D&O-Versicherung in erster Linie Vermögensschäden ersetzt, hängt die Frage der Regressierung bei festgestellter Schuld in Straf- oder Ordnungswidrigkeitenverfahren vom Einzelfall ab. Ein lediglich laufendes Ermittlungsverfahren schränkt den Versicherungsschutz in der Regel nicht ein, da ja die Unschuldsvermutung so lange gilt, bis eine Verurteilung rechtskräftig ist. Sollte der Sonderbeauftragte zugleich Organ (Geschäftsführer / Vorstand / etc.) sein, müsste er darauf achten, für Streitigkeiten aus dem Anstellungsvertrag (Kündigung, Versetzung, Gehaltsverrechnungen etc.) eine besondere Anstellungsvertrags-Rechtsschutzversicherung abzuschließen. Einzelheiten bzgl. der Manager-Haftpflichtversicherung, Vermögensschadens-Haftpflichtversicherung und Anstellungs- sowie Straf-Rechtsschutzversicherung sollten unbedingt mit Versicherern abgeklärt werden, die auch über die entsprechende fachliche Kompetenz bei diesen sehr komplexen Produkten verfügen.

Auf welche Punkte sollten Chief Risk Officer oder Chief Compliance Officer bei der Gestaltung des Arbeitsvertrages achten, um mögliche strafrechtliche und zivilrechtliche Fallstricke für sich zu minimieren?

Josef Scherer: Die Sonderbeauftragten sollten – wie bereits mehrfach angemerkt – unbedingt darauf achten, dass in Arbeitsverträgen, Bestellungsbeschlüssen und Stellenbeschreibungen klar geregelt ist, ob der jeweilige Sonderbeauftragte eine Garantenstellung innehaben soll, welche Aufgaben und Verantwortung er übernimmt und über welche Eingriffs-, Entscheidungs- und Weisungsrechte er verfügt. Daraus lässt sich auch schließlich die Verantwortung ableiten. Außerdem müsste geregelt sein, dass die Geschäftsleitung sich verpflichtet, für den Aufbau und das Unterhalten eines funktionierenden Compliance-, Risiko- oder Datenschutz-Managementsystems zu sorgen, die entsprechenden Ressourcen freizugeben und den Beauftragten in eine D&O-Versicherung (und gegebenenfalls weitere Versicherungen) einbezieht.

Der Reifegrad des integrierten Managementsystems sollte der Zertifizierungsreife entsprechen. Sofern der Sonderbeauftragte aufgrund eines noch nicht ausgereiften Managementsystems nicht sogleich in die volle Verantwortung gehen möchte, kann zunächst an eine Ausgestaltung ohne Garantenstellung und ohne eigene Verantwortung des Sonderbeauftragten gedacht werden. In diesem Fall bliebe die Verantwortung bei der Geschäftsleitung.

Der Sonderbeauftragte, beispielsweise Risiko- oder Compliance-Beauftragte, sollte sich dann zügig mit Unterstützung eines qualifizierten Komitees um den Aufbau des entsprechenden Systems kümmern, um dann später die volle Verantwortung übernehmen zu können.

[Die Fragen stellte Frank Romeike, verantwortlicher Chefredakteur des Kompetenzportals RiskNET]

 

Rechtsanwalt Prof. Dr. Josef Scherer ist seit 1996 Professor für Unternehmensrecht (Compliance), Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht an der Technischen Hochschule Deggendorf sowie Redakteur des Kompetenzportals RiskNET.

Rechtsanwalt Prof. Dr. Josef Scherer ist seit 1996 Professor für Unternehmensrecht (Compliance), Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht an der Technischen Hochschule Deggendorf sowie Redakteur des Kompetenzportals RiskNET. Zuvor arbeitete er als Staatsanwalt und Richter am Landgericht in einer Zivilkammer.

Neben seiner Tätigkeit als Seniorpartner der Kanzlei Prof. Dr. Scherer, Dr. Rieger & Mittag Partnerschaft mbB erstellt er wissenschaftliche Rechtsgutachten und agiert als Richter in Schiedsgerichtsverfahren. Von 2001 - 2015 arbeitete er auch als Insolvenzverwalter in verschiedenen Amtsgerichtsbezirken.

Prof. Dr. Scherer fungiert in diversen Unternehmen / Körperschaften als Compliance-Ombudsmann sowie externer Compliancebeauftragter und ist gesuchter Referent bei Managementschulungen in namhaften Unternehmen sowie im Weiterbildungsprogramm des Senders BR-alpha und der Virtuellen Hochschule Bayern (VHB).

In Kooperation mit dem Kompetenzportal RiskNET und dem TÜV Süd konzipierte er als Studiengangsleiter und Referent den akkreditierten berufsbegleitenden Masterstudiengang Risikomanagement und Compliancemanagement an der Technischen Hochschule Deggendorf und ist als externer Gutachter bei der (System-)Akkreditierung von Weiterbildungsstudiengängen tätig.

Seit 2012 leitet er als Vorstand des Direktoriums das Internationale Institut für Governance, Management, Risk- und Compliancemanagement der Technischen Hochschule Deggendorf als Kompetenzzentrum. Außerdem ist er seit 2015 Mitglied des Beirates des Instituts für Risikomanagement und Regulierung (FIRM), Frankfurt (www.firm.fm) und seit 2016 Mitglied des DIN-Normenausschusses Dienstleistungen (Arbeitsausschuss Personalmanagement NA 159-01-19AA) zur Erarbeitung von ISO/DIN-Standards im Personalmanagement.

Ebenso seit 2016: Fachlicher Leiter der "User Group Compliance" der Energieforen Leipzig. Seit 2017 ist er Mitglied der Delegation ISO TC 309 Governance of organizations (Arbeitsausschuss Compliance NA 175-00-01-AA zur Erarbeitung von ISO/DIN-Standards im Bereich Unternehmensführung und -überwachung (Corporate Governance), Compliance und Whistleblowing und seit 2018 Mitglied der Arbeitsgruppe 252.07 von Austrian Standards International zur Erarbeitung einer ÖNORM 4900 ff. (Risiko-Managementsystem-Standards) auf Basis der ISO 31000:2018.

Seine Forschungs- und Tätigkeitsschwerpunkte liegen auf den Gebieten Managerenthaftung, Governance-, Risiko- und Compliancemanagement, Integrierte Human Workflow GRC-Managementsysteme sowie Vertrags-, Produkthaftungs-, Sanierungs- und Insolvenzrecht.

Zahlreiche Publikationen auf den Gebieten: Managerrisiko, Governance-, Risiko-, Chancen- und Compliancemanagement, Integrierte Human Workflow GRC-Managementsysteme, Vertragsmanagement, Arbeitsrecht und Personalmanagement, Insolvenzrecht und Sanierung, Gläubigermanagement, Produkthaftungsrecht. Weitere Informationen unter www.gmrc.de

  1. Vgl. Scherer/Fruth (2018) [Hrsg.]: Handbuch: Integriertes Managementsystem "on demand" mit GRC 2018, S. 37 ff. mit Verweis auf Raum, Compliance im Zusammenhang straf- und bußgeldrechtlicher Pflichten in Hastenrath, Compliance-Kommunikation, 2017 sowie BGH, Urteil vom 09.05.2017, Az. 1 StR 265/16, Rn. 110 ff.
  2. Vgl. den Anwendungserlass des Bundesministeriums der Finanzen (BMF) vom 23.05.2016 zu § 153 AO.
  3. Vgl. Scherer (2011): Das Haftungspiel des Wirtschaftslebens in  Scherer/Fruth  (Hrsg.), Stark in die Zukunft, 2011, S. 2.
  4. Vgl. Scherer / Fruth (2016) [Hrsg.]: Anlagenband zu Governance-Management Band 2, 2016, Anlage 12, S. 154 ff.
  5. Vgl. Raum (2009): Strafrechtliche Pflichten von Compliance-Beauftragten in: CCZ 2012, S. 197 ff. und Scherer/Fruth: Governance-Management, Band II (Standard & Audit) – Anlagenteil, Anlage 12: Strafrechtliche Pflichten von Compliance-Beauftragten - Zum Urteil des Bundesgerichtshofs vom 17.7.2009 (5StR 394/08).
[ Source of cover photo: Adobe Stock ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.