Mehr Rechtssicherheit für Vorstände durch die neue DIN ISO 37301
In einem aktuellen Aufsatz im Compliance Berater gehe ich auf die im April dieses Jahres verabschiedete neue ISO-Norm 37301 ein. Aus der Norm ergeben sich sechs Organisationspflichten zur Erfüllung der Legalitätspflicht der Organe eines Unternehmens, die sich auch aus etwa 60 Einzelfallentscheidungen des BGH zum Organisationsverschulden ableiten lassen. Diese Konkretisierung von Organisationspflichten liefert Rechtssicherheit, die aus aktuellem Anlass dringend erforderlich ist. Gesetzlich neu geregelt ist nämlich durch das Finanzmarktintegritätsstärkungsgesetz (FISG) die Pflicht des Vorstands nach § 91 Abs. 3 AktG zur Einrichtung eines Kontroll- und Risikomanagementsystems, allerdings ohne Vorgaben zur konkreten Ausgestaltung dieser Pflicht. Gezeigt werden soll, dass diese offengelassene Regelungslücke sich durch die neue ISO 37301 in Verbindung mit der Rechtsprechung des BGH schließen lässt. Den Aufsatz haben wir in dieser Aktualisierung in unser Managementsystem eingestellt.
Im Ergebnis erweist sich die gesetzgeberische Zurückhaltung bei der Neufassung des § 91 Abs. 3 AktG als grundlos. Die dadurch verursachte Rechtsunsicherheit ließe sich durch einen Verweis auf die neue ISO 37301 schließen. Als Selbstregulierungsnorm zur Sorgfaltspflicht bei der Organisation der Legalitätspflicht in Unternehmen erzeugt eine DIN/ISO Norm eine Indizwirkung und begründet die Vermutung, dass der Vorstand Sorgfaltspflichten einhält, indem er die Vorgaben der Norm befolgt. Präventiv können Vorstände den eventuellen Vorwurf des Organisationsverschuldens auch mit dem Verweis auf die sechs Organisationspflichten abwenden, die sich aus der höchstrichterlichen Rechtsprechung zur Unternehmensorganisation ergeben. Wer alle Pflichten eines Unternehmens ermittelt, delegiert, erfüllen, kontrollieren und dokumentieren lässt, hat alles organisatorisch veranlasst, was von ihm erwartet werden kann.