Gesetzliche Pflicht zum Compliance-Management für Kommunen und ihre Unternehmen – Erreicht Deutschland europäisches Niveau?

In angelsächsischen Ländern und den allermeisten Staaten in West- und Mitteleuropa (in Italien z. B. schon seit 2001) können Unternehmen für Gesetzesverstöße, die durch ihre Mitarbeiter begangen werden, strafrechtlich zur Verantwortung gezogen werden. Anders – bisher jedenfalls – in Deutschland. Hier hat man hier das Strafrecht immer auf den Menschen beschränkt. Dass eine Erweiterung aber durchaus praktische Auswirkungen auf das Verhalten haben kann, zeigt eine Studie zur Entwicklung des Compliance-Managements nach Einführung des österreichischen Verbandsverantwortlichkeitsgesetzes. Dass in Deutschland ein vergleichbarer gesetzlicher Druck fehlt, wird oft als Grund dafür genannt, dass sich außerhalb des Bankenbereichs insbesondere im deutschen Mittelstand Compliance-Management nach wie vor erst in Ansätzen findet.

Doch das könnte sich ändern. Nordrhein-Westfalen (NRW) hat im Bundesrat eine Initiative eingebracht, ein so genanntes Verbandsstrafgesetzbuch zu erlassen, das in Deutschland die Frage der strafrechtlichen Verantwortlichkeit von Verbänden an das nur regeln soll. In der Justizministerkonferenz wurde der Entwurf bereits positiv aufgenommen.

Der Entwurf sieht diverse Sanktionen vor, wenn so genannte Verbände – also privat-rechtliche Unternehmen (unter anderem: AG, GmbH, OHG, KG) und öffentlich-rechtliche Organisationsformen (unter anderem: Körperschaften, Stiftungen, Anstalten, Eigenbetriebe) – ihre Pflichten verletzen. Die Sanktion kann eine Geldstrafe von bis zu 10 Prozent des durchschnittlichen Jahresumsatzes, die öffentliche Bekanntmachung einer Verurteilung, der Ausschluss von Subventionen und öffentlichen Aufträgen oder – bei privatrechtlichen Organisationsformen im Wiederholungsfall – deren zwangsweise Auflösung sein.

Ähnlich wie in vielen anderen Staaten (so etwa auch in Italien) kann das Gericht von der Sanktionierung absehen, wenn der Schaden unbedeutend ist oder weitgehend wieder gut gemacht wurde – vorausgesetzt, der Verband hat für ein hinreichendes Compliance-Management gesorgt.

Sollte der Gesetzentwurf aus NRW geltendes Recht werden, dann werden Versorger und andere öffentlich und privatrechtlich organisierte Unternehmen künftig faktisch verpflichtet sein, ein Compliance-Management einzuführen. Da keine größere Organisation gegen Rechtsverletzungen gefeit ist, wäre es angesichts der Möglichkeit, Strafbefreiung durch Compliance-Management-Maßnahmen zu erreichen, keine adäquate Unternehmens-/Behördenleitung mehr, auf diese Option zu verzichten. Die damit entstehende Pflicht zum Compliance-Management wäre in erster Linie für kleinere und mittlere Unternehmen, Kommunen und andere öffentlich-rechtlichen Organisationen von Relevanz (die OECD hat dies schon vor einiger Zeit für den privaten Mittelstand betont; S. 67), da Compliance-Management insbesondere bei börsennotierten Unternehmen seit längerem schon Standard ist.

Was man genau tun muss, um von Sanktionen befreit werden zu können, legt der Gesetzentwurf aus NRW nicht näher dar. Die Gesetzesbegründung weist lediglich (aber zutreffend) darauf hin, dass es dafür auf die jeweilige konkrete Situation des Verbands ankommt. Erforderlich ist damit zunächst, die Ist-Situation in punkto Compliance anhand eines Benchmarks zu analysieren, insbesondere aus bestehenden nichtgesetzlichen Regelwerken wie der MaComp (Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für Wertpapierdienstleistungsunternehmen) oder dem IDW PS 980. Auf der Basis dieser Analyse können sodann die Maßnahmen beschlossen werden, die erforderlich erscheinen, um ein adäquates Compliance-Management-System zu errichten. Ein solcher Prozess kann bei gutem Willen aller Beteiligten innerhalb von sechs bis zwölf Monaten abgeschlossen sein und mit überschaubarem Kostenaufwand durchgeführt werden.

Ansprechpartner: Prof. Dr. Ines Zenke/Dr. Christian Dessau