Problem erkannt – Gefahr (nicht) gebannt?

„Compliance Management gilt vielfach nicht als wertschöpfend“

Manch erfahrener Geschäftsleiter neigt leichtfertig dazu, die Sorgfaltspflichten im jeweiligen Geschäftsfeld belastbar einschätzen zu können und hält das Risiko von Verstößen für beherrschbar. Dabei wird regelmäßig verkannt, dass Reichweite und Ausdifferenzierung der Compliance-Pflichten von Gesetzgeber und Rechtsprechung stetig verfeinert werden. So verlangt etwa der Schutz wertvollen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb, Nutzung und Offenlegung durch das Gesetz zum Schutz von Geschäftsgeheimnissen erhebliche Vorkehrungen im Unternehmen und macht jahrelang übliche Klauseln in Arbeitsverträgen und Geschäftsbeziehungen zur Makulatur. Mit dem neuen Hinweisgebersystem steigt die Gefahr, dass interne Rechtsverstöße mit der Absicht zur Wahrnehmung berechtigter öffentlicher Interessen bekannt werden.

DER KURZE WEG ZUM ORGANISATIONSVERSCHULDEN

Pflichtverletzungen werden meist nicht eigenhändig begangen. Die konkreten Fehler machen die ausführenden Mitarbeiter. Die Geschäftsleitung muss sich aber dafür verantworten, den Betrieb nicht ordnungsgemäß organisiert, nicht hinreichend qualifizierte Mitarbeiter ausgewählt oder keine strukturelle Vorsorge getroffen zu haben, damit Aufsichtspflichten effektiv wahrgenommen und Verkehrssicherungspflichten eingehalten wurden.

Seit dem wegweisenden „Neubürger-Urteil“ des LG München I (10.12.2013 – 5 HK O 1387/10) zur verpflichtenden Einführung eines funktionierenden Compliance- Systems haben Gerichte aus Organisationsverschulden der Geschäfts- oder Betriebsleitung Schadensersatzansprüche hergeleitet und die Verantwortlichen im Unternehmen im Wege des Innenregresses haftbar gemacht. Je nach Unternehmensgröße und Risikolage werden für eine professionelle Geschäftsführung eindeutige Regelwerke (Geschäftsordnungen, Organigramme, Stellvertreterregelungen) und Maßnahmenkataloge (Handlungsanweisungen, Handbücher) bis hin zu einem ausdifferenzierten Compliance Management System (CMS) vorausgesetzt. Das Risiko der Inanspruchnahme wächst, weil bei einem kausal eingetretenen Schaden die Darlegungs- und Beweispflicht für ordnungsgemäßes und sorgfältiges Handeln bei der Geschäftsleitung liegt.

Das vorsätzliche Unterlassen von gebotenen Aufsichtsmaßnahmen kann zudem zur Ahndung einer Ordnungswidrigkeit mittels § 130 OWiG führen.

NEUE HERAUSFORDERUNGEN IM DIGITALEN WANDEL

Unternehmen werden zunehmend durch Cyberangriffe auf ihre IT-Systeme geschädigt (Bitkom-Studie Wirtschaftsschutz 2022). Die Regelungsdichte durch Gesetze und Standards, die Vorgaben hinsichtlich des Umgangs mit Datenrisiken enthalten ist, erheblich. Wenn Schäden eintreten, weil die Geschäftsleitung pflichtwidrig den Aufbau und die Überwachung von Cyber sicherheit unterlassen hat, drohen Haftungsrisiken. In einem Urteil des OLG Zweibrücken (27.10.2022 – 4 U 198/21) ist der Geschäftsführer wegen Gesellschaftermitverantwortung glimpflich davongekommen. Aber es bleibt das Risiko, dass wie in anderen Fällen bereits die fehlende Prävention als Anknüpfungspunkt für Organisationsverschulden herangezogen wird.

COMPLIANCE IN DIE GESCHÄFTSPROZESSE INTEGRIEREN

Neben einer Integritätskultur im Unternehmen sind auf einer risikoorientierten Basis relevante Compliance-Themen fortlaufend in die Geschäftsprozesse als „digitaler Zwilling“ zu integrieren. Komplexe Verantwortlichkeiten, wie sie heute kumulativ mit Geldwäsche-Novelle, Transparenzregisters, Lieferkettensorgfaltspflichtengesetz, Außenwirtschaftsrecht oder Sanktionsregime auf Unternehmen aller Größenordnungen einwirken, dürfen nicht der individuellen Erfahrung oder der unqualifizierten Delegation überlassen werden.