Anfragen aus der Praxis der Geschäftsleitung haben uns veranlasst, in einem „Compliance Brief“ die wichtigsten Argumente für den Einsatz eines Compliance-Management-Systems zusammenzufassen. Der Brief kann als Argumentationshilfe genutzt werden.

Vorgestellt werden zunächst die sechs Aufgaben eines Compliance-Management-Systems, das Ermitteln sämtlicher Risiken und aller Rechtspflichten zur Risikoabwehr, die Delegation der Pflichten auf Mitarbeiter, die Aktualisierung, die Erfüllung der Pflichten, die Kontrolle und die Dokumentation.

Die sechs Organisationspflichten eines Compliance-Management-Systems kann man nicht durch eine gesetzliche Regelung begründen. Die gesetzlichen Regelungen der Unternehmensorganisation sind nur unzulänglich geregelt. Nach § 76 Abs. 1 AktG hat der Vorstand unter eigener Verantwortung die Gesellschaft zu leiten, er haftet nach § 93 Abs. 2 AktG für eigenes Verschulden und ist nach § 91 Abs. 2 AktG zu geeigneten Maßnahmen verpflichtet, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Nach § 130 OWiG hat er ein Überwachungssystem einzurichten, um „Zuwiderhandlung gegen Pflichten zu verhindern oder wesentlich zu erschweren“. Daraus lassen sich die konkreten sechs Organisationspflichten nicht herleiten. Sie ergeben sich seit dem 15.12.2014 aus der DIN ISO 19600 zu Compliance-Management-Systemen als untergesetzliche Selbstregulierung zur Definition der im Verkehr erforderlichen Sorgfaltspflicht bei der Unternehmensführung. Außerdem lassen sich alle sechs Organisationspflichten aus 70 Einzelfallentscheidungen des BGH zum Organisationsverschulden herleiten. Käme es zu einem Schaden durch Organisationsverschulden, weil einer der Organisationspflichten verletzt wurde könnte das Gericht den Schadensersatzanspruch aus dem jeweiligen BGH Urteil begründen. Organisationspflichten sind Verkehrssicherungspflichten die damit begründet werden, dass derjenige, der ein Risiko durch Organisation eines Unternehmens begründet, verpflichtet ist, dieses Risiko präventiv durch organisatorische Schutzmaßnahmen abzuwenden.

Für juristische Laien ist die Begründung der Organisationspflichten umständlich und kaum nachvollziehbar. Einfacher wäre die Begründung durch eine klare gesetzliche Regelung. Auch ohne gesetzliche Regelung drohen Schadensersatzansprüche durch Organisationsverschulden wegen verletzter Organisationspflichten. Seit der Neubürger Entscheidung ist die Pflicht zur Einrichtung eines Compliance-Management-Systems unstreitig. Die Verletzung der Pflicht löst Schadensersatzansprüche aus.[1]

Das Ermitteln aller Rechtspflichten wird in fünf Prüfschritten vorgestellt. Nach der Legal-Tech-Methode wird der Aufwand durch Arbeitsteilung, Digitalisierung und Standardisierung erheblich gesenkt. Zu der Digitalisierung werden Recherchetechniken eingesetzt, um in Listen zusammengefasste Unternehmenssachverhalte in einer einzigen Sammelrecherche in dem Speicher schon einmal geprüfter Rechtspflichten zu suchen. Erweist sich ein Sachverhalt als bisher ungeprüft, ermitteln wir gesetzliche Regelungen ebenfalls in einer Sammelrecherche. Die Datenbank umfasst inzwischen 3 Millionen Links zwischen geprüften Sachverhalten und verlinkten Rechtspflichten, auf die ohne nochmalige Rechtsprüfung zurückgegriffen werden kann. Schon einmal durchgeprüfte Rechtsprüfungen werden durch den Speicher mehrfach genutzt. Sachverhalte in der Industrie wiederholen sich und müssen nur einmal geprüft, mit Pflichten verlinkt, gespeichert werden und lassen sich dadurch wiederholt und mehrfach nutzen. Der Rückgriff auf unseren gespeicherten Vorrat von 3 Millionen Lösungen senkt den Aufwand bei der Ersteinrichtung eines Unternehmens durch den Einsatz des Compliance-Management-Systems „Recht im Betrieb“.

Ergibt diese Sammelrecherche im Lösungsvorratsspeicher, dass ein Sachverhalt noch nicht geprüft wurde, wird die Technik der Sammelrecherche in gesetzlichen Regelungen fortgesetzt. In der Datenbank „Recht im Betrieb“ sind 18.000 gesetzliche und untergesetzliche Regelwerke, Technische Regeln und Unfallverhütungsvorschriften gespeichert. Außerdem stehen 9.000 Gerichturteile im Volltext zur Verfügung. Ergeben die Recherchen, dass ein Unternehmenssachverhalt bisher noch nicht geprüft ist und gesetzlich nicht geregelt ist, wird er nach einem durch die Rechtsprechung vorgegebenen Prüfschema einer Risikoanalyse unterzogen. Ergibt sich daraus ein Risiko, wird eine Verkehrssicherungspflicht zur Abwehr dieses Risikos im Rahmen der anwaltlichen Rechtsberatung formuliert. Die ermittelnden Risiken und Rechtspflichten werden mit dem Compliance-System delegiert, monatlich aktualisiert, erfüllt, kontrolliert und dokumentiert. Aus dem Compliance-System kann abgefragt werden, wer welche Rechtspflichten an welchem Betriebsteil wie zu erfüllen hat. Durch die Organoberaufsicht können Geschäftsführer, Vorstände und Führungskräfte ihre Oberaufsichtspflicht erfüllen und sich jederzeit anzeigen lassen, ob alle Pflichten erfüllt, delegiert und kontrolliert sind. Mit einem Blick lässt die Oberaufsichtsmaske erkennen, ob Pflichten nicht erfüllt sind, die mit einem weiteren Klick per Email angemahnt werden können. Damit erfüllen Geschäftsleiter ihre Oberaufsichtspflicht, die sie nicht delegieren können.

Aufgelistet werden 10 rechtliche Vorteile zur Entlastung von Geschäftsleitern. Insbesondere die sanktionsmindernde Wirkung nach der BGH-Rechtsprechung und vor allem nach dem neuen Entwurf des Verbandssanktionengesetzes (VerSanG), den Ausschluss der Haftung für Organisationsverschulden, die Vermeidung des Bußgeldrisikos nach § 130 OWiG durch Aufsichtspflichtverletzung, den Entlastungsbeweis nach § 831 BGB, die Entlastung durch den Tatbestandsirrtum nach § 16 StGB, die Entlastung durch den Verbotsirrtum nach § 17 StGB, die Senkung der Prämien zu DNO-Versicherungen, die Rechtsklarheit durch die Unterscheidung zwischen „rechtlich gebundenen und freien unternehmerischen Entscheidungen ohne Haftungsrisiko“, die Erkennbarkeit offener Rechtsfragen und die drastisch gesenkten Compliance Kosten durch die Legal-Tech-Lösung.   

Mit juristischen Argumenten lassen sich Juristen überzeugen. Vom Einsatz eines Compliance-Managements müssen allerdings Vorstände, Geschäftsführer und Führungskräfte in Unternehmen überzeugt werden, die ohne eigene Rechtskenntnisse nicht wie selbstverständlich juristische Argumente nachvollziehen können.

Neben den juristischen Argumenten lässt sich die Risikoabwehr durch das Compliance-Management-System auch durch Argumente der neueren Verhaltensökonomie begründen. Risiken sind nicht wie Fakten zu erkennen sondern Fiktionen, die man sich denken muss. Dabei kann es zu typischen Denkfehlern kommen, die von der Verhaltensökonomie erforscht, als Fehlverhalten erkannt und damit vermieden werden können. Sieben typische Fehlverhaltensweisen werden als Organisationsrisiko beschrieben und so erklärt, dass sie erkannt und durch organisatorische Maßnahmen abgewendet werden können.

Die Compliance-Organisation mit ihren 6 Aufgaben lässt sich somit nicht nur juristisch mit der höchstrichterlichen Rechtsprechung und der Selbstregulierungsregel nach der DIN ISO 19600 begründen, sondern auch mit Erkenntnissen der Verhaltensökonomie, mit denen auch Nicht-Juristen von der Notwendigkeit eines Compliance-Management-Systems überzeugt werden können. Mit Denk- oder auch Entscheidungsfehlern beschäftigt sich die Verhaltensforschung deren Bedeutung allein daran abzulesen ist, dass mit Kahneman und Tversky 2002 und mit Richard Thaler 2017 zwei Nobelpreise vergeben wurden.

[1] LG München 10.12.2013 – 5 HKO 1387/10 Neubürger-Urteil; LAG Düsseldorf, 27.11.2015-14 Sa 800/15 (Schienenkartell-Urteil); ArbG Frankfurt, 11.09.2013 – 9 Ca 1551,13 (Libor-Manipulation); BGH, 15.01.2013 – II ZR 90/11, NJW 2013, 1958, Rn.22 (Unternehmenszweckwidrige Derivategeschäfte); Panzerhaubitzenfall BGH StR 265/16, vom 09.05.2017, S. 46.