Compliance und Risikoanalyse: Wie passen die beiden Themen zusammen? Der Begriff Compliance beinhaltet die Einhaltung, Befolgung, Übereinstimmung bestimmter Gebote. Das Ziel einer adäquaten Compliance-Organisation beinhaltet neben dem Verhalten einer Organisation zur Einhaltung gesetzlicher Normen auch die Einhaltung unternehmensinterner Vorgaben (etwa einen Code of Conduct), um dadurch Haftungsansprüche oder andere Rechtsnachteile für das Unternehmen, seine Organe und Mitarbeiter zu reduzieren beziehungsweise zu vermeiden (zum Teil wird auch die engere Ansicht, es gehe nur um die Vermeidung straf- und bußgeldbewährter Pflichten, vertreten).
Compliance verlangt folgerichtig die Einrichtung eines adäquaten Risikomanagements sowie eine Risikoanalyse der relevanten Compliance-Risiken bzw. die Bewertung der Risiken für / bei Non-Compliance. Grundsätzlich besteht daher zwischen Compliance-Risiken und anderen Unternehmensrisiken kein prinzipieller Unterschied. Corporate Compliance stellt haftungsrechtlich die Verknüpfung zum Risikomanagement her und ist Teil des Risikomanagements und einer adäquaten Corporate Governance.
Wir sprachen mit Prof. Dr. Josef Scherer über aktuelle Entwicklungen im Bereich Compliance und Corporate Governance.
Der frühere und in der Zwischenzeit verstorbene Finanzvorstand Heinz-Joachim Neubürger konnte sich mit Siemens zunächst nicht auf einen Vergleich einigen und wurde daher vor dem Landgericht München zur Zahlung von 15 Millionen Euro Schadensersatz verurteilt. Die Richter haben in ihrer Begründung verdeutlicht, dass die Einrichtung eines mangelhaften Compliance-Systems und auch deren unzureichende Überwachung sowie eine unzureichende Compliance-Risikoanalyse eine klare Pflichtverletzung des Vorstands darstellt. Wie ist dieses Urteil aus der Perspektive einer Compliance-Risikoanalyse zu bewerten?
Josef Scherer: Eigentlich enthält das Urteil nicht sehr viel Neues und ist auch grundsätzlich nicht überraschend, da bereits in der Vergangenheit viele Urteile zur rechtssicheren Unternehmensorganisation in die gleiche Richtung gingen. Interessant ist jedoch die Begründung des Urteils im Einzelnen: Da finden sich viele – bereits ebenfalls bekannte – wertvolle Hinweise für Manager, Aufsichtsratsmitglieder und Compliance-Verantwortliche.
Beispielsweise ist dort zu lesen, dass es eine Pflicht und damit keinen Ermessenspielraum zur Einrichtung eines funktionierenden Compliance-Management-Systems gibt. Bezüglich der Ausgestaltung selbst gibt es Spielräume, wichtig ist jedoch, dass das Ziel, für Rechtssicherheit zu sorgen, erreicht wird. Hier geht es um die Angemessenheit. Auch zu den Grundsätzen ordnungsgemäßer Unternehmensführung und -überwachung, sprich einer guten Governance, sowie zur Prozess- und Beweisführung findet sich Lesenswertes. Die Beweislast steht zumeist zulasten des Managers. Sogar, wenn nicht klar ist, ob die mögliche Pflichtverletzung den Schaden verursacht hat, müssen Vorstand oder Geschäftsführer sich entlasten. An zahlreichen Stellen wird die Pflicht zur gewissenhaften Unternehmensführung und -überwachung ohne jeglichen Ermessensspielraum betont. Weitere wichtige Punkte: Bei entsprechenden Alarmzeichen ist angemessen (effektiv) zu reagieren. Klare, dokumentierte Zuständigkeitsregeln und die Ausstattung der zuständigen Mitarbeiter mit entsprechenden Ressourcen und Knowhow sind unverzichtbar.
Der Vorstand beziehungsweise der Geschäftsführer muss sich selbst um Informationen kümmern und bei Delegation entsprechend überwachen. Bei Widerstand im Kollegium ist notfalls der Aufsichtsrat einzuschalten. Den Aufsichtsrat trifft hierbei übrigens eine eigene Pflicht, zu überwachen, ob ein gelebtes und funktionierendes Compliance-Management-System vorhanden ist. Das Compliance-Management-System muss dem anerkannten Stand von Wissenschaft und Praxis entsprechen. Bei Verletzung der angeführten Pflichten reicht bereits einfache Fahrlässigkeit, um zivilrechtlich als Geschäftsführer beziehungsweise Vorstand persönlich auf Schadensersatz zu haften.
Der Aufsichtsrat und/oder die Gesellschafter sind sogar verpflichtet, vom Vorstand bzw. Geschäftsführer Schadensersatz einzuklagen, wenn dieser seine Pflichten verletzt hat. Es genügt also nicht, etwas zu tun, sondern das Richtige ist richtig zu tun!
Was ist in diesem Kontext unter einem "anerkannten Stand von Wissenschaft und Praxis" zu verstehen?
Josef Scherer: Was der jeweils anerkannte Stand von Wissenschaft und Praxis im konkreten Fall ist, wurde nur in den seltensten Fällen entweder bereits durch Gesetz und Rechtsprechung festgelegt. Hier wäre beispielsweise zu fragen, ob (international) anerkannte Standards (beispielsweise ISO 31000:2008 (Risikomanagement), ISO 19600:2014 (Compliancemanagement) oder COSO I:2014 (Internal Control), IDWPS 980:2011 (Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen) oder COSO II:2004 (ERM) als sogenannte "antizipierte Sachverständigengutachten" existieren oder ob bezüglich dieser Fragestellung im Streitfall durch den Richter auf der Erkenntnisebene ein individuelles Sachverständigengutachten in Auftrag zu geben ist. Hierzu lässt sich feststellen, dass idealtypisch zustande gekommene Standards nach BGH und BVerwG eine Vermutungswirkung entfalten können, den "snerkannten Stand von Wissenschaft und Praxis" widerzuspiegeln. Daran dürfte es jedoch häufig fehlen: Standards bleiben oft in Teilbereichen gegenüber diesem "Anerkannten Stand" der "herrschenden Meinung" in Wissenschaft und Praxis zurück, das heißt die Profis sind oft längst schon weiter.
Wichtig ist auch zu wissen, dass die Einhaltung des "anerkannten Standes von Wissenschaft und Praxis" – auch bezüglich Risiko- und Compliancemanagement keinen (!) Ermessensspielraum beinhaltet: Dieser Entwicklungsstand ist Minimum beziehungsweise Messlatte für Pflichterfüllung beziehungsweise Pflichtwidrigkeit. Wie diesem Entwicklungsstand Genüge getan wird dagegen, ist nicht dezidiert vorgegeben: "Viele Wege führen nach Rom!", dass heißt, welche Methoden Verwendung finden, wird nicht vorgeschrieben. Es müssen aber angemessene Methoden sein.
Sofern nun kein gebundenes Verhalten vorliegt, kommt Ermessensspielraum für das Management in Betracht: Falls Ermessen gegeben ist, statuiert § 93 Abs. 1 S. 1 AktG einen schon längst anerkannten allgemeinen Grundsatz: Falls der Manager nun doch den vorliegenden, unter unsicheren Erwartungen oder Risiko zu entscheidenden Fall vollständig schon seitens der Judikatur/Rechtsprechung entschieden vorfinden könnte, ist er hier ausnahmsweise gebunden.
Ansonsten besteht für ihn lediglich die Obliegenheit, aus dem Gesetz heraus eine bestimmte Managemententscheidungsmethode anzuwenden, um das Tatbestandselement der Pflichtwidrigkeit entfallen zu lassen: Die sogenannte Business Judgment Rule.
Zählen branchenspezifische regulatorische "Standards" (beispielsweise die Mindestanforderungen an das Risikomanagement als Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht veröffentlicht werden oder Verlautbarungen der EZB) zum "anerkannten Stand von Wissenschaft und Praxis"?
Josef Scherer: Der Jurist antwortet gerne: Das kommt darauf an! Wenn die MaRisk die aktuelle herrschende Meinung in Wissenschaft und Praxis widerspiegeln würde, wäre die Frage zu bejahen. Ich gehe – ganz subjektiv – jedoch davon aus, dass diese Mindestanforderungen heute bereits dieser herrschenden Meinung hinterherhinken, Ihre Frage daher zu verneinen ist.
Wieso ist die Business Judgement Rule in der Praxis eher unbekannt?
Josef Scherer: Die gesetzlich statuierte Business Judgement Rule ist als Entscheidungsmethode in der betriebswirtschaftlichen Literatur und Lehre nicht oder nur selten zu finden. So lässt sich im Standardwerk "Allgemeine Betriebswirtschaftslehre" von Wöhe auch in der 25. Auflage aus dem Jahr 2013 sehr viel zu Entscheidungen unter Risiko und unsicheren Erwartungen finden. Die Business Judgment Rule hingegen findet keine Erwähnung.
Es zeigt sich, dass die Fachdisziplinen übergreifender arbeiten müssten: Wer sich als Manager bei seinen Entscheidungen unter Risiko oder Unsicherheit lediglich auf betriebswirtschaftliche Literatur verlässt und die Business Judgement Rule mangels Darlegung oder Kenntnis nicht anwendet, handelt zum einen eventuell gesetzeswidrig und zum anderem persönlich höchst riskant! Ebenso verhält es sich mit den juristisch längst durchgehend infiltrierten Grundsätzen einer rechtssicheren Organisation. Diese Beispiele lassen sich beliebig fortsetzen. Damit lässt sich durchaus die provokante These vertreten, dass Betriebswirtschaftslehre bei Themen, die längst juristisch durch Rechtsprechung und Gesetzgebung angereichert sind (Corporate Compliance), teilweise überholt oder gar lücken- oder fehlerhaft sein kann.
Was ist bei der Anwendung der Business Judgement Rule konkret zu beachten?
Josef Scherer: Bezüglich der Business Judgement Rule hat der entscheidende Manager Folgendes zu beachten: 1. Informationsbedarfsanalyse, Einholung von angemessenen Informationen und Informationsauswertung; 2. die bewertete Information muss einer angemessenen Abwägung unterzogen werden; 3. es muss im Sinne des Unternehmens entschieden werden.
Die Entscheidung sollte nachvollziehbar und darf nicht unvertretbar sein (vgl. § 93 Abs.1 S.2 AktG).
In diesem Kontext ist zu beachten, dass § 93 Abs. 1 S. 2 AktG lediglich eine Privilegierung darstellt und eine Pflichtverletzung in Zivil- und Strafrecht bei sachgerechter Anwendung der Methode ausschließt, wenn entsprechend agiert wurde.
Bei nicht ordnungsgemäßer Anwendung der Business Judgement Rule besteht daher eine Haftung für das Ergebnis der umgesetzten Entscheidung, falls die sachgerechte Anwendung der Business Judgement Rule dazu geführt hätte, dass die Maßnahme nicht durchgeführt worden und deshalb der Schaden verhindert worden wäre.
Dagegen besteht keine Haftung, falls auch bei sachgerechter Entscheidung oder sowieso der Schaden eingetreten wäre (rechtmäßiges Alternativverhalten). Oder anders ausgedrückt: Es besteht für den Unternehmer im Rahmen der ihm zugebilligten Ermessensspielräume keine Pflicht zum erfolgreichen Entscheiden und Handeln oder es werden auch Entscheidungen mit negativem, auch sehr teurem Ausgang toleriert, wenn die richtige Methodik zutreffend angewandt wurde.
Wie ist die Beweislast geregelt?
Josef Scherer: Im Strafrecht gilt der Grundsatz "in dubio pro reo", also im Zweifel für den Angeklagten. Die Ermittlungsbehörde muss im Rahmen der Durchführung objektiver Ermittlungen und letztendlich muss der entscheidende Richter nach entsprechender Beweisführung vom Vorliegen der subjektiven und objektiven Tatbestandsvoraussetzungen überzeugt sein. Der Angeklagte hat nicht seine Unschuld zu beweisen!
Im Zivilrecht hingegen gilt der Grundsatz, dass der Anspruchssteller alle für seine Anspruchsgrundlage nötigen Voraussetzungen beweisen muss. Es bestehen jedoch zahlreiche Ausnahmen bzw. besondere Regeln in Gesetzen. So muss beispielsweise im Hinblick auf eine ordentliche und gewissenhafte Geschäftsleitung gemäß § 93 Abs. 2 S.2 AktG der Vorstand ein pflichtgemäßes und schuldloses Verhalten beweisen.
Wie kann ein Vorstand in einem Entscheidungsprozess beurteilen, ob er einem erhöhten Risiko für eine persönliche Haftung ausgesetzt ist?
Josef Scherer: Nicht nur die Risikotragfähigkeit des Unternehmens, sondern auch die Risikotragfähigkeit des Managers sollte nie überschritten werden! Gute Berater braucht der Manager im Vorfeld. Wenn das Kind in den Brunnen gefallen ist, helfen die besten Anwälte oft nicht mehr.
Die Frage der Erheblichkeit von unternehmensbezogenen Risiken in ihrer Auswirkung auf die persönliche Verantwortung des Managements ist nicht einfach zu beantworten und – soweit ersichtlich – in Wissenschaft und Praxis kaum grundlegend bearbeitet. Der Antwort lässt sich vom Ansatz der Verantwortung (Pflichtenkanon) für eigenes und fremdes Handeln (oder Unterlassen) über Fallgruppen oder der Frage der "persönlichen Risikotragfähigkeit" nähern. Parallel zu den Risikoanalysestufen für Unternehmen ließen sich für die Managerhaftung zusätzlich persönliche Eskalationsstufen darstellen, um eventuell eine höhere Sensibilisierung zu erreichen. Solche Eskalationsstufen könnten nach der folgenden Struktur definiert werden:
Höchste Priorität: Gefahr für Leib und Leben, eigenes oder fremdes. Begründung für höchste Priorität: unter anderem ethische Gründe und nicht versicherbare strafrechtliche Risiken.
Mittlere Gefährdungsstufe: Erhöhtes, nicht durch D&O-Versicherungen gedecktes, finanzielles Risiko, das die persönlichen Vermögensverhältnisse stark gefährdet beziehungsweise übersteigt.
Geringere Gefährdungsstufe: Risiko für eigene Stellung und Reputation durch Verantwortung für Schädigungen des Unternehmens.
In diesem Zusammenhang ist auch wissenswert, dass es einige nicht delegierbare Bereiche gibt oder ursprünglich wirksame Delegationen in Krisensituationen wirkungslos werden. Sachverhalte mit Haftungsrelevanz für das Management können sich plötzlich ereignen oder auf schleichenden Entwicklungen beruhen. Sehr häufig kumulieren sich auch Managementfehler und führen dann zu einer Situation, die die Haftung für das Management zur Folge hat. Plötzliche Ereignisse sollten durch prophylaktisches Risikomanagement auf das Unvermeidbare reduziert werden. Die schleichenden Entwicklungen lassen sich sehr schön mit Risks-of-Changes-Management und regelmäßigem Selbstaudit (Manager-TÜV) erkennen und rechtzeitig behandeln. Ähnlich zur Systematik bei der Produktbeobachtung ist auch hier bei Managementhaftungsthemen ein kontinuierliches Monitoring zu implementieren.
Es gilt also im Unternehmen nicht nur, Werttreiber auszubauen, sondern Schwachstellen frühzeitig zu erkennen, zu bewerten und zu steuern. Sofern die Geschäftsleitung hier untätig bleibt oder sich lediglich auf ihr Bauchgefühl verlässt und das Unternehmen dadurch aufgrund von negativen Ergebnissen an Wert und Stabilität verliert, stellt sich folgende Frage: Besteht im Sinne eines sorgfältigen und gewissenhaften Managements eine haftungsbewehrte Pflicht der Geschäftsleitung zur Kenntnis und (vernünftigen) Anwendung von anerkannten Tools (Werkzeugen) und Methoden aus Recht, Technik und Wirtschaft und zur Vermeidung von Schadensfällen und Krisen? Die Frage lässt sich bejahen.
Prof. Dr. Jur. Josef Scherer ist seit 1996 Professor für Unternehmensrecht (Compliance), insbesondere Risiko- und Krisenmanagement, Sanierungs- und Insolvenzrecht an der Technischen Hochschule Deggendorf sowie Gründer und Leiter des Internationalen Instituts für Governance, Management, Risk- und Compliance Management der Technischen Hochschule Deggendorf THD. Zuvor arbeitete er als Staatsanwalt und Richter in einer Zivilkammer an verschiedenen Landgerichten.
Neben seiner Tätigkeit als Seniorpartner der auf Governance, Risk & Compliance (GRC) spezialisierten Wirtschaftsrechtskanzlei Prof. Dr. Scherer, Dr. Rieger & Partner erstellt er wissenschaftliche Rechtsgutachten und agiert als Richter in Schiedsgerichtsverfahren. Von 2001 bis 2014 arbeitete er auch als Insolvenzverwalter in verschiedenen Amtsgerichtsbezirken.
In Kooperation mit TÜV und RiskNET konzipierte er als Studiengangsleiter und Referent den akkreditierten berufsbegleitenden Masterstudiengang Risikomanagement und Compliance Management an der Technischen Hochschule Deggendorf.
Seine Forschungs- und Tätigkeitsschwerpunkte mit zahlreichen Publikationen liegen auf den Gebieten der Managerhaftung, Governance, Compliance- und Risikomanagement sowie des Vertragsmanagements, Produkthaftungsrechts, Krisen-, Sanierungs- und Insolvenzrechts.
[Die Fragen stellte Frank Romeike, Chefredakteur RiskNET sowie verantwortlicher Chefredakteur der Zeitschrift RISIKO MANAGER sowie Mitglied des Vorstands beim Institut für Risikomanagement und Regulierung (FIRM); Das Interview ist erstmalig in Ausgabe 07/2015 der Zeitschrift RISIKO MANAGER im FIRM Special veröffentlicht worden.]
