Lade Inhalt...

Strafrechtliche Verantwortlichkeit im Unternehmen im Zeitalter der Compliance

Zur individuellen strafrechtlichen Unterlassensverantwortung von Geschäftsleitung und Compliance-Beauftragtem in Bezug auf außenstehende Dritte unter besonderer Berücksichtigung von Aspekten der Compliance-Diskussion

von Andreas Oonk (Autor:in)
©2019 Dissertation 366 Seiten

Zusammenfassung

Unternehmen können sich nach geltendem Recht in Deutschland nicht strafbar machen. Aber wen trifft in Zeiten großer Wirtschaftsskandale die Verantwortung für Straftaten, die aus einem Unternehmen heraus begangen werden? Diese Publikation befasst sich, von der klassischen strafrechtswissenschaftlichen Dogmatik ausgehend, mit der strafrechtlichen Unterlassensverantwortung von Geschäftsleitung und Compliance-Beauftragtem im heutigen Unternehmen. Dabei wird ein besonderer Fokus auf die in den letzten Jahren und Jahrzehnten aufgekommene Thematik der Compliance gelegt und ihre zahlreichen Auswirkungen in Gesetzgebung, Rechtsprechung und Literatur aufgezeigt.

Inhaltsverzeichnis

  • Cover
  • Title Page
  • Copyright
  • Autorenangaben
  • Über das Buch
  • Zitierfähigkeit des eBooks
  • Vorwort
  • Inhaltsverzeichnis
  • Einleitung
  • 1. Kapitel: Grundlagen einer Unterlassensstrafbarkeit
  • I. Die Begründungsansätze einer Strafbarkeit durch Unterlassen
  • 1. Die „klassische“ formelle Rechtspflichttheorie
  • 2. Die Funktionenlehre nach Armin Kaufmann
  • 3. Materielle Rechtspflichttheorien
  • a) Prinzip der Gefahrschaffung
  • b) Notwendigkeit einer „Vorhandlung“
  • c) § 13 StGB als Auflösung einer Grundrechtskollision
  • d) Organisationszuständigkeit und institutionelle Zuständigkeit
  • e) Herrschaftsgedanke Schünemanns und verwandte Ansätze
  • f) Soziale Verhaltenserwartungen als Grund für eine Garantenpflicht
  • g) Vertrauensprinzip
  • II. Resümee
  • 2. Kapitel: Die strafrechtliche Haftung der Unternehmensleitung
  • I. Mittelbare Täterschaft durch Organisationsherrschaft und Kritik
  • 1. Der Geschäftsherr als mittelbarer Täter (durch Unterlassen)
  • 2. Abweichende Konzeptionen
  • a) Die Ablehnung einer mittelbaren Täterschaft (durch Unterlassen)
  • b) Die Annahme einer Mittäterschaft
  • c) Zur Anstiftung durch Unterlassen
  • II. Der Geschäftsherr als strafrechtlicher Garant
  • 1. Die Annahme einer Garantenstellung
  • a) Abriss des gegenwärtigen Streitstandes
  • b) Zu einer „Straftatverhinderungspflicht“ des Geschäftsherrn aufgrund personaler Gefahren
  • c) Garantenstellung aus Ingerenz bei der Auslieferung von Produkten?
  • d) Der Ingerenzansatz von Spring
  • e) Sachgarantenstellung als Lösung?
  • f) Herrschaft über die Gefahrenquelle Betrieb als Grund für eine Garantenstellung des Geschäftsherrn
  • g) Zwischenergebnis und Stellungnahme
  • 2. Die Reichweite der strafrechtlichen Geschäftsherrenhaftung
  • a) Das Urteil des BGH vom 20.10.2011467
  • b) Verknüpfung mit dem Aufgabenbereich des Mitarbeiters
  • c) Verknüpfung mit dem Aufgabenbereich des Betriebs
  • d) Anknüpfung an die Pflichten des Inhabers nach § 130 OWiG
  • e) Die zweistufige Lösung von Bülte
  • f) Anknüpfung an ein betriebliches Interesse an der Handlung
  • g) Ausnutzung der Wirkungsmöglichkeiten des Betriebes
  • h) Stellungnahme
  • 3. Subjektiver Tatbestand: Insbesondere zu „Willful blindness“ und zur Auswirkung von Compliance-Mangement-Systemen
  • 4. Täterschaft und Teilnahme
  • a) Rechtsprechung und Kritik
  • b) Stellungnahmen in der Literatur
  • c) Eigene Stellungnahme
  • III. Strafbarkeit wegen Untreue durch die Verletzung „mittelbarer“ Überwachungspflichten
  • 1. Nichteinschreiten gegen sog. schwarze Kassen
  • 2. Untreue durch mangelhafte Compliance
  • a) Schutzzweckzusammenhang und Untreuetatbestand
  • b) Untreue aufgrund der Verletzung einer generellen „Compliance-Pflicht“?
  • c) Untreue durch Verletzung von Vorschriften des DCGK
  • d) Untreue durch Verletzung interner Compliance-Vorschriften
  • 3. Untreuerisiken durch Geldbußen und Schadensersatzforderungen gegen das Unternehmen sowie weitere „mittelbare“ Beeinträchtigungen
  • 4. Ergebnis
  • IV. Die Regelung des § 54a KWG – Strafbarkeit der Nichtetablierung eines Compliance-Systems?
  • V. Strafbares Unterlassen der Konzernleitung
  • 1. Darstellung der Problematik
  • 2. Lösung bei 100%-Beteiligungen
  • 3. Lösung bei anderen rechtlichen und faktischen Einflussmöglichkeiten
  • 4. Exkurs zur ordnungswidrigkeitenrechtlichen „Durchgriffshaftung“ im Konzern
  • 3. Kapitel: Die strafrechtliche Haftung des Compliance-Beauftragten
  • I. Der Compliance-Beauftragte
  • II. Darstellung des Meinungsstandes zur strafrechtlichen Haftung des Compliance-Beauftragten
  • 1. Das Urteil des5. BGH-Strafsenats vom 17.07.2009
  • a) Bedeutung des Urteils in der Praxis
  • b) Das Urteil
  • c) Urteilsanalyse
  • 2. Überblick über Reaktionen und Meinungsstand in der Literatur
  • III. Die strafrechtliche Verantwortung von gesetzlich vorgesehenen Betriebsbeauftragten im weiteren Sinne – Vergleichbarkeit und Schlüsse für eine mögliche Garantenstellung des Compliance-Beauftragten
  • 1. Betriebsbeauftragte als „althergebrachte“ Compliance-Beauftragte?
  • 2. Die vielschichtige gesetzliche Realität „des“ Betriebsbeauftragten
  • 3. Die Strafbarkeit des Gewässerschutzbeauftragten
  • a) Der Gewässerschutzbeauftragte
  • b) Zur Strafbarkeit des Gewässerschutzbeauftragten
  • c) Zur Übertragbarkeit der Überlegungen zum Gewässerschutzbeauftragten auf andere Betriebsbeauftragte
  • 4. Zur Strafbarkeit des Datenschutzbeauftragten
  • 5. Zwischenergebnis
  • IV. Zum Compliance-Beauftragten i.S.d. Wertpapierhandelsrechts
  • V. Übertragung der Pflicht nach den §§ 14 StGB, 9 OWiG
  • VI. Beschützergarantenstellung des Compliance-Beauftragten zu Gunsten externer Dritter
  • VII. Garantenstellung aus Ingerenz
  • VIII. „Mittelbare“ Überwachungspflichten als Resultat einer gegenüber dem Unternehmen übernommenen Vermögensbetreuungspflicht
  • IX. Informationsvorsprung als konstitutives Element einer Garantenstellung des Compliance-Beauftragten?
  • X. Von der Geschäftsleitung abgeleitete (Überwacher-)Garantenstellung des Compliance-Beauftragten
  • 1. Grundlagen der Konstruktion einer strafrechtlichen Garantenstellung des Compliance-Beauftragten qua Delegation und tatsächliche Ausgestaltung im Unternehmen
  • a) Vertragsschluss und faktische Übernahme
  • b) Die Problematik der Übertragung eines bloßen „Verantwortungsausschnitts“
  • 2. Auseinandersetzung mit den Einwänden gegen eine Garantenstellung des Compliance-Beauftragten qua Delegation
  • a) Der Einwand einer fehlenden rechtlichen Befugnis
  • b) Der Einwand eines fehlenden rechtlichen Könnens
  • c) Der Einwand eines fehlenden rechtlichen Könnens unter dem spezifischen Blickwinkel der Möglichkeit einer ursächlichen Erfolgsabwendung
  • d) Weitere Einwände gegen eine Garantenstellung
  • XI. Die Reichweite der strafrechtlichen Garantenpflicht des Compliance-Beauftragten
  • 1. Tatsächliche Grenzen der hypothetischen Kausalität
  • 2. Betriebsbezogenheit
  • 3. Bagatellgrenze
  • 4. Die konkreten Garantenpflichten des Compliance-Beauftragten
  • a) Rechtliche Grenzen der Garantenpflicht
  • b) Allgemeine Handlungspflichten
  • c) Pflichten bei Untätigkeit der vorgesetzten Ebene
  • aa) Unterrichtung der Geschäftsleitung
  • bb) Unterrichtung des Aufsichtsrates
  • cc) Externe Berichtspflichten
  • XII. Täterschaft und Teilnahme
  • XIII. Ergebnis – zugleich eine Bewertung des BGH-Urteils vom 17.07.2009
  • 4. Kapitel: Überblick über die Auswirkungen und Voraussetzungen von wirksamen Compliance-Maßnahmen bezüglich rechtlicher Risiken des Unternehmens und seiner Leitungsebene
  • I. Überblick über die Auswirkungen von Compliance-Maßnahmen
  • II. Überblick über die Voraussetzungen eines wirksamen Compliance-Systems
  • Zusammenfassung
  • Literaturverzeichnis

←14 | 15→

Einleitung

In den vergangenen Jahren gab es eine Reihe von Wirtschaftsstrafverfahren, die innerhalb eines Unternehmens oder aus dem Unternehmen heraus begangene Straftaten zum Gegenstand hatten. Einer breiteren Öffentlichkeit bekannt geworden sind hiervon beispielsweise der Mannesmann-Prozess1, die Verfahren gegen Führungspersonen und Mitarbeiter des Volkswagen-Konzerns wegen korruptiver Praktiken2, das Verfahren gegen einen ehemaligen Vorstand der Bayerischen Landesbank (BayernLB) und seinen „Geschäftspartner“3 oder die Aufdeckung einiger strafrechtlich relevanter Bestechungszahlungen und noch mehr zumindest höchst fragwürdiger Zahlungen beim Industriedienstleistungsunternehmen Ferrostaal4 durch die internen Ermittler von Debevoius & ←15 | 16→Plimpton. Auch die Korruptionspraktiken bei MAN und Daimler gelangten an das Licht der Öffentlichkeit: MAN soll über Jahre einen zweistelligen Millionenbetrag an ausländische Entscheidungsträger gezahlt haben; in Deutschland wurde deshalb eine Geldbuße in Höhe von 150 Millionen Euro verhängt.5 Laut der US-amerikanischen Börsenaufsicht SEC soll Daimler zwischen 1998 und 2008 in mindestens 22 Ländern wie Russland, der Türkei, Ägypten und Nigeria insgesamt mindestens 56 Millionen Dollar an Bestechungsgeldern gezahlt haben, um an Aufträge im Wert von 1,9 Milliarden Dollar mit einem Gewinn von mindestens 90 Millionen Dollar zu gelangen; das Verfahren endete mit einem Vergleich, Daimler gab ein Schuldeingeständnis ab, zahlte 185 Millionen Dollar, das Unternehmen wurde (vermeintlich) personell „gesäubert“ und stellte sich unter eine langjährige Aufsicht der SEC.6 Wie die genannten Beispiele und Zahlen nahelegen, erklärt sich das öffentliche Interesse an wirtschaftsstrafrechtlichen Verfahren wohl auch dadurch, dass Wirtschaftskriminalität – trotz eines nur relativ geringen Anteils von Wirtschaftsstraftaten an den insgesamt erfassten Straftaten – häufig einen immens hohen wirtschaftlichen Schaden verursacht.7 Nach einer Studie der Martin-Luther-Universität Halle-Wittenberg und der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (PwC) waren über einen Zeitraum von zwei Jahren von 830 deutschen Großunternehmen 52 % von Wirtschaftskriminalität betroffen (durchschnittlicher Gesamtschaden: 8,39 Millionen Euro).8 Von besonderer Bedeutung waren und sind in den letzten ←16 | 17→Jahren die Verfahren gegen Mitarbeiter eines der größten und traditionsreichsten deutschen Unternehmen – der Siemens AG – und gegen das Unternehmen selbst gewesen. Dem lag – grob vereinfacht dargestellt – folgender Sachverhalt zu Grunde: Im Siemens-Konzern hatte sich über viele Jahre hinweg ein System sogenannter „schwarzer Kassen“ etabliert. Auf diese schwarzen Kassen, d.h. außerhalb von Buchführung und Bilanzierung geführte verdeckte Konten, wurde zurückgegriffen, wenn Siemens lukrative Aufträge im Ausland erhalten wollte und die zuständigen Mitarbeiter des Konzerns sich zu diesem Zweck durch Bestechungen von Amtsträgern oder Bediensteten von Unternehmen einen Wettbewerbsvorteil zu sichern oder auch einen Wettbewerbsnachteil zu Lasten der Siemens AG zu vereiteln suchten.9 Infolge des Korruptionsskandals verhängte das Landgericht München I im Oktober 2007 zunächst nach §§ 30 Abs. 1 Nr. 4, Abs. 2, 3, 17 Abs. 4 OWiG eine Geldbuße von 201 Millionen Euro gegen die Siemens AG (als Anknüpfungstat diente die Untreuestrafbarkeit eines Mitarbeiters der Siemenssparte ICN/Com wegen der Bildung schwarzer Kassen).10 Davon entfielen 200 Millionen Euro auf den Abschöpfungsteil und eine Million Euro (also das damalige absolute Höchstmaß) auf den Ahndungsteil.11 Ferner erging im Dezember 2008 ein Bußgeldbescheid der Staatsanwaltschaft München I in Höhe von 395 Millionen Euro gegen den Konzern wegen der Verletzung der Aufsichtspflicht in allen Geschäftsbereichen außer ICN/Com durch ein (vermutlich stellvertretend für alle ausgewähltes) Mitglied des Gesamtvorstandes (§§ 30, 130, 17 Abs. 4 OWiG).12 Davon entfielen 394.750 Euro auf den Abschöpfungsteil und ein mittlerer Betrag von 250.000 Euro auf den Ahndungsteil.13 Hinzu kamen noch – wegen der Kooperation der Münchener Ermittler mit dem amerikanischen Justizministerium (DOJ) und der US-Börsenaufsicht U.S. Securities and Exchange Commission (SEC) zeitgleich bekannt gegeben – weitere 800 Millionen Dollar, die auf die Ermittlungen der SEC gegen Siemens zurückgehen.14 Mit Griechenland einigte sich Siemens auf ein Zahlungs- und Investitionspaket ←17 | 18→mit einem Volumen von insgesamt 270 Millionen Euro.15 Ferner kam es auch zu Verurteilungen einzelner früherer führender Siemens-Mitarbeiter, vornehmlich wegen Untreue; in diesem Zusammenhang wurde in der Rechtswissenschaft vor allem das Siemens-Enel-Urteil16 diskutiert. Die genannten Verfahren und ←18 | 19→insbesondere die Affäre bei Siemens führten in der Folge zu einer zunehmend zu beobachtenden „Privatisierung der Strafverfolgung“, deren Folgen auch heute noch immer nicht gesetzlich „eingefangen“ worden sind.17

Jahre nach dem „Siemens-Skandal“ wurde ab September 2015 die als „Dieselgate“ bezeichneten Vorgänge innerhalb der Volkswagen AG (und – wie in der Folge bekannt wurde – weiterer Automobilhersteller) bekannt, bei dem Angestellte durch Installierung einer illegalen Abschalteinrichtung (Software) in der Motorsteuerung internationale Abgasnormen umgehen wollten.18 Die Kosten für Volkswagen gingen auch hier – soweit abgeschlossen und absehbar – in den deutlich zweistelligen Milliardenbereich;19 das Unternehmen wurde zudem ähnlich wie Siemens und andere zuvor unter die Überwachung amerikanischer Behörden gestellt.20

Es ist wohl vor allem der immense wirtschaftliche Schaden, der Unternehmen bei einem zu „laxen“ Umgang seiner Angestellten mit Recht und Gesetz droht, der eine enorme Brisanz in sich birgt. Mag ein Gesamtschaden in zehnstelliger Höhe für einen Weltkonzern wie Siemens noch zu verkraften sein, können für kleinere Unternehmen auch schon erheblich niedrigere Geldbußen und Kosten infolge von fehlender Rechtskonformität in der Vergangenheit ←19 | 20→den wirtschaftlichen Ruin bedeuten. Nicht unerwähnt bleiben darf in diesem Zusammenhang, dass neben den erwähnten unmittelbaren Kosten auch bedeutende immaterielle Schäden entstehen können, die sich dann wiederum mittelbar als materielle Schäden auswirken, insbesondere wenn die Reputation eines Unternehmens schweren Schaden nimmt. Hier kann bereits die Einleitung eines Ermittlungsverfahrens mit einem entsprechenden medialen Echo zu verheerenden Konsequenzen für das Unternehmen führen, wenn das Image einer Marke eines Unternehmens beschädigt wird und sich die Kunden daher von dem Produkt abwenden oder Investoren an den Finanzmärkten ihr Vertrauen in das Unternehmen verlieren und dieses daher unter Kursverlusten zu leiden hat.21 Nach einer Studie der Martin-Luther-Universität Halle-Wittenberg und der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers berichteten 41 % der befragten und von Wirtschaftskriminalität betroffenen Unternehmen von mittelschweren bis gravierenden Reputationsverlusten sowie 12 % der befragten börsennotierten Unternehmen über einen Rückgang des Aktienkurses infolge aufgedeckter Straftaten.22 Weiterhin ist der Verlust von weltweit vernetztem Führungspersonal durch Erfüllung von Auflagen insbesondere der SEC, Verlust von Märkten infolge von öffentlichen oder privaten Vergabesperren und Blacklisting oder Schwächung des „Arbeitgeber-Brands“ bei stark nachgefragtem Personal zu befürchten.23

Infolge der hier nur kurz skizzierten Entwicklung der vergangenen Jahre kam es zu (teils völlig neuen, zum Teil aber möglicherweise auch nur neu eingekleideten) juristischen Fragen speziell im Zusammenhang mit Straftaten, die in Unternehmen oder aus ihnen heraus begangen werden. Dabei geht es – sehr vereinfacht ausgedrückt – um die Frage, welche Vorkehrungen Unternehmen bzw. die für sie handelnden Organe und Angestellten zur Prävention potentieller künftiger Straftaten treffen müssen und welche Maßnahmen sie, sollte der Verdacht eines Verstoßes aufkommen, verpflichtet sind zu ergreifen, um diese möglichen Straftaten aufzuklären.

Die skizzierte Thematik ist eng mit der Frage verwandt, wie straf- und zivilrechtliche Haftung in Unternehmen ausgestaltet werden soll, was wiederum in engem Zusammenhang mit der Zunahme des Merkmals der „Arbeitsteilung“ in nahezu sämtlichen wirtschaftlichen und gesellschaftlichen Prozessen steht. In den modernen, hochgradig durchorganisierten Gesellschaften der Gegenwart ist ←20 | 21→Arbeitsteilung eines der wichtigsten wirtschaftlichen Kennzeichen überhaupt.24 Unter Arbeitsteilung wird generell die Aufgliederung eines wirtschaftlichen Produktions- oder Verwaltungsprozesses in ineinandergreifende Tätigkeiten verstanden, die erst in ihrer Gesamtheit den angestrebten Leistungseffekt bewirken.25 Arbeitsteilung innerhalb eines Unternehmens bedeutet, dass der einzelne Mitarbeiter und seine Aufgaben nicht isoliert betrachtet werden können, sondern er in eine – immer komplexer werdende – innerbetriebliche Gesamtaktivität eingebunden ist.26 Im Gegensatz zu dieser kollektiven Betrachtungsweise der Organisationssoziologie steht das seit jeher auf die individuelle Verantwortung einer einzelnen natürlichen Person fokussierte strafrechtliche Verantwortungsmodell.27 Teilweise wird daher behauptet, die althergebrachten strafrechtlichen Muster von Täterschaft und Teilnahme würden diese Organisationsmodelle nicht mehr richtig erfassen können.28 Dem ist zuzugeben, dass der klassische strafrechtliche Ansatz mit einem (tatnächsten) Haupttäter, von dem ausgehend man weitere Tatbeteiligte dingfest machen kann (im Bereich der Wirtschaft auch Bottom-up-Ansatz genannt), heute vor allem in der Ermittlungspraxis zunehmend auf den Kopf gestellt wird.29 Der Bottom-up-Ansatz wird hier daher immer häufiger von einer Top-down-Betrachtung verdrängt.30 Die rechtsdogmatischen Probleme sind damit aber freilich noch lange nicht abschließend gelöst, sie beginnen vielmehr erst: Infolge der Arbeitsteilung entsteht zunehmend eine Diversifikation von Arbeit, die durch die Organisationsprinzipien der funktionellen Differenzierung und der Dezentralisierung der Handlungs- und Entscheidungsprozesse im Unternehmen gekennzeichnet ist.31 Funktionelle Differenzierung bedeutet hierbei, dass mit der zunehmenden Arbeitsteilung insbesondere in Großunternehmen eine Aufteilung nach Kompetenz, Arbeitsinhalt und Verantwortung vorgenommen werden muss.32 Aus leicht nachvollziehbaren Gründen potenzieren sich diese Schwierigkeiten bei Zugrundelegung von ←21 | 22→komplexen und in vielfältigen Erscheinungsformen auftretenden Organisationen wie Konzernen noch einmal um ein Vielfaches.

Der Ablauf und die juristische Aufarbeitung der „Siemens-Korruptionsaffäre“ können an verschiedenen Stellen zur Veranschaulichung der ausgewählten Thematiken herangezogen werden. Es soll hier nämlich zunächst der Frage nachgegangen werden, inwieweit die Leitungsebene eines Unternehmens die Rechtspflicht trifft, Straftaten von Mitarbeitern gegenüber dem Unternehmen und gegenüber Dritten zu verhindern. In einem Korruptionsfall wie dem Fall Siemens stellt sich in diesem Zusammenhang die Frage, ob und welche Maßnahmen der Siemens-Vorstand hätte ergreifen müssen, damit er (und infolgedessen regelmäßig auch der Konzern selbst33) einer strafrechtlichen bzw. ordnungswidrigkeitenrechtlichen und anderweitigen Haftung hätte entgehen können. In diesem Zusammenhang hat sich in der betriebswirtschaftlichen und juristischen Literatur in den vergangenen Jahren und Jahrzehnten der aus der angelsächsischen Rechtsterminologie stammende Begriff der „Compliance“ eingebürgert.

Ging es dabei zunächst vor allem um die innere Ordnung des Unternehmens und seine positive Darstellung nach außen, ist im Laufe der Zeit über das „Scharnier“ des Straf- und Ordnungswidrigkeitenrechts die Vermeidung staatlicher Sanktionen in den Vordergrund gerückt.34 So erscheint es fast grotesk, dass ein deutscher Mittelständler noch im Jahr 2010 freimütig das Bestehen und den Ablauf von korruptiven Handlungen aus seinem Unternehmen heraus in einem Zeitungsinterview kundtat, und damit freilich vorhersehbar sogleich die ortsansässige Staatsanwaltschaft auf den Plan rief.35 Zu der Veränderung des Verständnisses von Compliance dürften die schon angesprochenen öffentlich bekannt gewordenen Vorgänge in prominenten deutschen Unternehmen als ein abschreckendes Beispiel für die Folgen fehlender bzw. fehlerhafter Compliance entscheidend beigetragen haben. Neben der Unterlassensstrafbarkeit nach § 13 StGB36 sind in diesem ←22 | 23→Zusammenhang auch die ordnungswidrigkeitsrechtlichen Tatbestände der §§ 130 und 30 OWiG gewiss nicht unbedeutend. In diesem Zusammenhang sei auch die in dem Koalitionsvertrag zur Großen Koalition von 2018 (erneut) erklärte Absicht erwähnt, eine Neuregelung des Sanktionenrechts für Unternehmen durchzuführen; dabei dürfte auch der (in dieser langjährigen Debatte jüngste) Kölner Entwurf eines Verbandssanktionengesetzes eine gewichtige Rolle spielen.37 Auf die Regelungen des Ordnungswidrigkeitenrechts de lege lata wird an geeigneter Stelle in dieser primär strafrechtlich ausgerichteten Arbeit immer wieder zurückzukommen sein.

An diese – noch nicht abgeschlossene – Entwicklung anknüpfend geht es in der vorliegenden Arbeit auch darum, einen Beitrag zur Versachlichung – im Sinne einer Ver(straf)rechtlichung – der Debatte um den Begriff „Compliance“ zu leisten. Dabei wird – anknüpfend an die gegenwärtige Debatte38 – die Frage der Verhinderung von Kriminalität zu Gunsten des Unternehmens (sog. „Entlastungskriminalität“39) schwerpunktmäßig behandelt, während der Frage der Bekämpfung von Straftaten zu Lasten des eigenen Unternehmens (sog. „Belastungskriminalität“40) eine geringere Bedeutung zukommen wird.

Nicht zuletzt die Frage, inwieweit sich ein zur Sicherung der Rechtstreue des Unternehmens eingestellter „Compliance Officer“ strafbar machen kann, wenn er nicht die von ihm wegen seiner Stellung im Unternehmen erwarteten Maßnahmen zur Verhinderung von Straftaten ergreift, ist in den letzten Jahren in diesem Zusammenhang in den Mittelpunkt des Interesses gerückt. Der 5. Strafsenat des Bundesgerichtshofs41 hat mit seinem Urteil vom 17.07.2009 obiter dictu festgestellt, dass „derartige [Compliance-]Beauftragte regelmäßig strafrechtlich eine Garantenpflicht im Sinne des § 13 Abs. 1 StGB“ trifft. Dies sei „die notwendige Kehrseite ihrer gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu unterbinden“.42 Dieses Urteil führte in der Praxis zu großer Beunruhigung43 und zu einer breiten und noch nicht abgeschlossenen Diskussion in der Wissenschaft um die ←23 | 24→Strafbarkeitsrisiken des Compliance Officers.44 Hierbei drängte sich manchmal der Eindruck auf, dass die Aufregung (möglicherweise bewusst) „herbeigeredet“ wird, um ein Geschäftsmodell anzupreisen, mit dem sich viel Geld verdienen lässt. Dass das BGH-Urteil aber auch in der Unternehmenspraxis durchaus Widerhall gefunden hat, zeigen Untersuchungen zu diesem Thema.45 Freilich gab es auch schon zu früheren Zeiten bahnbrechende Urteile in diesem Bereich, den man neudeutsch mit „Compliance“ bezeichnet, wie das Lederspray-Urteil aus dem Jahr 1990.46 Damals hieß es „nach dem Lederspray-Urteil sind Produkt- und Umweltschutz jetzt Chefsache“.47 Durch das BGH-Urteil zum Compliance-Beauftragten gilt also möglicherweise nur wie früher, dass nicht so sehr die rechtlichen Grundsatzfragen wirklich neu bewertet worden sind, sondern vielmehr ein Problem das Interesse der Strafverfolgungsorgane auf sich gezogen hat und infolgedessen das Verfolgungsrisiko in der Praxis steigt oder auch erst entsteht.48

Bei der Einrichtung einer Compliance-Abteilung im Unternehmen stellt sich darüber hinaus die Frage, inwieweit diese zur Entlastung der Leitungsebene eines Unternehmens führen kann: Einerseits unter dem Aspekt, welche „Kernkompetenzen“ beispielsweise der Überwachung stets bei der Unternehmensführung verbleiben müssen und andererseits im Hinblick auf die Frage, mit welchen Kompetenzen und Mitteln eine (wie auch immer genannte und wo auch immer innerhalb des Unternehmens angesiedelte) „Compliance-Abteilung“ ausgestattet werden muss, damit sie ihre Ziele auch wirksam erreichen kann, und somit letztlich den Vorstand oder Geschäftsführer vor einer potentiellen strafrechtlichen Haftung bewahren kann. Hierbei spielt insbesondere die Unabhängigkeit des Compliance Officers bzw. seine Stellung im Unternehmen eine große Rolle. In den letzten Jahren hat sich das Bild hier dramatisch verändert: Kam es bei Etablierung der ersten Compliance-Abteilungen im deutschen Kreditwesen noch vor, an anderen Stellen nicht sinnvoll verwendbare ←24 | 25→Mitarbeiter im Compliance-Bereich zu „parken“, wurde mit der Zeit Compliance zunehmend als Teil der Rechtsabteilung aufgefasst. In den letzten Jahren geht der Trend – zumindest in Großunternehmen – hingegen zu einer unabhängigen und eigenständigen Compliance-Abteilung als Stabsstelle. Dass eine solche Compliance-Abteilung positive Ergebnisse hervorbringen kann, zeigt möglicherweise der von Siemens noch vor Auszahlung von Geldern aufgedeckte Fall einer Bestechungsvereinbarung von Mitarbeitern des Konzerns und Mitarbeitern des kuwaitischen Energie- und Wasserministeriums durch die hauseigene Compliance-Abteilung und die Einschaltung der Staatsanwaltschaft durch das Unternehmen.49

Für die Geschäftsleitung wie den Compliance-Beauftragten eines Unternehmens stellt sich zudem die Frage, was zu tun ist, wenn Anhaltspunkte dafür vorliegen, dass es bereits zu Straftaten im Unternehmen gekommen ist, dass Kind gleichsam bereits in den Brunnen gefallen ist bzw. zumindest zu fallen droht. Dieser Aspekt, der zunächst einmal wegen einer möglicherweise aus einem Nichthandeln entstehenden Beteiligung an der Tat selbst oder für möglicherweise durch mangelndes Einschreiten mitverursachte Straftaten in der Zukunft die Frage der strafrechtlichen Haftung des Geschäftsherrn bzw. der von ihm beauftragten Personen berührt, führt auch zu der teilweise miteinzubeziehenden Frage, welche Maßnahmen z.B. ein Compliance-Beauftragter bei der Aufklärung möglicher Straftaten noch ergreifen darf und welche bereits die Grenze der rechtlichen Zulässigkeit überschreiten.

Das in dieser Arbeit spezifisch behandelte Thema „Compliance“ ist spätestens seit dem „Siemens-Skandal“ in aller Munde und soll im Folgenden einmal genauer unter die Lupe genommen werden. Wörtlich übersetzt bedeutet dieser vom englischen Verb „to comply (with something)“ abgeleitete Terminus so viel wie Komplianz, Einhaltung, Befolgung oder Übereinstimmung.50 Den Begriff kann man folglich vorläufig definieren als die „Einhaltung von Regeln“ (= Ge- und Verbote in Bezug auf Unternehmen).51 Im Bereich der Medizin ist der Begriff schon länger bekannt unter der Bedeutung der „zuverlässigen Befolgung der therapeutischen Anweisung“52; er fand mit diesem Bedeutungsgehalt auch Eingang in die Rechtsprechung des Bundesverfassungsgerichts.53 Insbesondere ←25 | 26→wohl für die unternehmerische und betriebswirtschaftliche Debatte nicht ganz unzutreffend konstatiert Kuhlen54, dass sich „in [diesem] semantischen Feld (…) neben der Corporate Compliance etwa noch Criminal Compliance, Corporate Governance, Business Ethics, Corporate Responsibility, Risk-Management, Legal Management, Value-Management, Integrity-Codes, Codes of Conduct, Best Practice und andere rechtsheischende Anglizismen tummeln, die einander stark ähneln und sich weitgehend überschneiden“. Nicht ohne Ironie stellt er weiter fest, dass das alles „terminologisch von großer Beliebigkeit“ sei und „der einzig klare Fehler in diesem Zusammenhang wohl der Versuch [wäre], deutsche Begriffe zu verwenden.“55 Nicht ganz zu Unrecht sprach Rau56 daher zu Beginn der Debatte in diesem Zusammenhang von Compliance als einem „Modewort“. Manchmal trieb die „neuentdeckte Welt“ auf den ersten Blick tatsächlich skurril erscheinende Blüten: So gab und gibt es beispielsweise eine eigene englischsprachige Website, die sich des Themas angenommen hat.57 Gleichzeitig werden auch in Deutschland mittlerweile zahlreiche Postgraduiertenstudiengänge mit dem Schwerpunkt Compliance angeboten, wie von der DUW in Berlin mit dem Abschluss Master of Arts, von der Berliner School of Governance, Risk & Compliance (Steinbeis-Hochschule) mit einem MBA-Abschluss oder von der Frankfurt School of Finance and Mangement das von Jürgen Pauthner geleitete Studienprogramm mit dem Abschluss „Certified Compliance Professional“.58 Seit dem Jahr 2011 wird in Deutschland auch eine Zertifizierung von Compliance-Strukturen durch den TÜV-Rheinland („Compliance Care“)59 und vom Institut der Wirtschaftsprüfer (IDW) unter dem Namen IDW PS 98060 angeboten.61 International wurde am 05.12.2014 die ISO-Norm 19600 zu Compliance-Maßnahmen verabschiedet, welche Richtlinien für den Einsatz ←26 | 27→von Compliance-Management-Systemen beinhaltet und deren Einhaltung man sich ebenfalls zertifizieren lassen kann.62 Am 15.10.2016 verabschiedete die ISO dann darauf aufbauend als DIN-Norm den ISO 37001 (Anti-Korruptions-Management-Systeme).

Lag der Schwerpunkt der Debatte in dem umrissenen Bereich zunächst nicht im juristischen, sondern im betriebswirtschaftlichen Bereich der „Unternehmenspolicy“63, so hat sich dieses Bild in den letzten Jahren stark verändert. In der rechtswissenschaftlichen Auseinandersetzung mit dem Phänomen der Compliance haben sich mittlerweile neben spezifisch Compliance-orientierten Fachzeitschriften64 auch mehr oder weniger umfassende einschlägige Handbücher65 etabliert. Spätestens seit dem Urteil des 5. Strafsenats des Bundesgerichtshofs66 vom 17.07.2009 zur Garantenpflicht des Compliance Officers67 zur Verhinderung von Straftaten im Unternehmen ist die Problematik dann endgültig von der Peripherie ins Zentrum der wirtschaftsstrafrechtlichen Diskussionen gerückt.68 Darüber hinaus bedeutete das Urteil auch für die betroffenen Unternehmen und die für jene mit dem Problembereich Compliance befassten natürlichen Personen einen Einschnitt.69 Die Entscheidung zeigt nämlich erstmals eindeutig auf, dass es sich bei der Implementierung von Compliance-Maßnahmen nicht nur um ein „unternehmenskosmetisches Mittel“ oder eine Geste des „good will“ handelt, welches die Reputation des Unternehmens in der Medienöffentlichkeit verbessern soll oder es nachträglich der Verteidigung ermöglicht, Zweifel an der subjektiven Zurechenbarkeit der begangenen Taten hin zur Unternehmensspitze zu mehren.70 Daraufhin nahm die nach dem Siemens-Skandal begonnene ←27 | 28→Compliance-Diskussion noch einmal verstärkt Fahrt auf. Nach mehreren Jahren der praktischen und wissenschaftlichen Debatte kann man festhalten, dass sich Compliance mittlerweile fest etabliert hat und zu einem eigenen Gebiet sowohl in der Unternehmenspraxis als auch in der Wissenschaft geworden ist.71 Compliance ist dabei unter anderem auch als eine Erscheinungsform der Selbstregulierung und Privatisierung der Kriminalitätsprävention im Strafrecht zu sehen.72 Dies wird besonders deutlich bei den bereits angesprochenen umfangreichen und kostenintensiven „Internal Investigations“ deutscher Großunternehmen. Dies entspricht sowohl den Interessen des Staates als auch der Unternehmen, die Strafbarkeitsrisiken und damit einhergehende finanzielle Nachteile vermeiden wollen.73 In diesem Zusammenhang spielt auch eine Rolle, dass der Staat mangels ausreichender Kapazitäten in bestimmten Teilbereichen, insbesondere im Wirtschaftsstrafrecht, kaum in der Lage ist, die Rechtsdurchsetzung in dem gebotenen Maße selbst zu gewährleisten und dies durch Maßnahmen der Selbstregulierung zu kompensieren versucht.74 Dies darf aber nicht dahingehend missverstanden werden, dass Compliance einseitig auf staatliche Interessen zurückzuführen ist: Letztlich haben verschiedene Faktoren zum Aufstieg dieses „Phänomens“ beigetragen, nicht zuletzt auch das Aufkommen von Skandalen mit großen wirtschaftlichen Schäden durch mangelhafte Compliance-Systeme und Haftungsprozesse von sich ihrer Rechte und Möglichkeiten bewusster werdenden Anlegern; daraus wurde der zutreffende Schluss gezogen, dass sich in vielen Unternehmen etwas grundsätzlich ändern muss, was die Entwicklung von Compliance nachhaltig förderte.75

Nicht vergessen werden sollte jedoch, dass der seit gut 25 Jahren in Deutschland gebräuchliche Begriff der „Compliance“ ursprünglich aus dem angelsächsischen Rechtskreis stammt.76 In den Vereinigten Staaten, die häufig als „Mutterland“ der Compliance bezeichnet werden, wurden Compliance-Programme vermutlich erstmals zu Zeiten des Kalten Krieges aufgelegt, damit Unternehmen eine Verhängung der scharfen Sanktionen der US-Exportkontrolle bzw. Verstöße (damals noch in Bezug auf den sowjetisch dominierten ←28 | 29→Ostblock) gegen die Exportregeln vermeiden konnten.77 In den USA wurde der Begriff „Compliance“ auch zum ersten Mal im Wirtschaftsrecht für die Einhaltung bestimmter Standards im Risikobereich des Bankgewerbes verwendet.78 Es gibt in den USA für die dort geltende Unternehmensstrafe seit 1991 von der United States Sentencing Commission verabschiedete Strafzumessungsregeln (United States Sentencing Guidelines/USSG),79 die sich verhältnismäßig umfangreich zum Thema „Compliance“ äußern. Im achten Kapitel enthalten die Guidelines strafzumessungsrechtliche Regelungen für juristische Personen.80 Die schon oben angesprochenen Bilanzfälschungsskandale in den USA führten zu einer Verschärfung der USSG im Jahr 2004.81 In den Richtlinien werden Anforderungen genannt, die an ein wirkungsvolles Compliance-Programm zu stellen sind und sie bieten somit Unternehmen ein gewisses Maß an Orientierung und Rechtssicherheit.82 Die Existenz eines effektiven Compliance-Systems wirkt sich dabei nach den USSG – ausgehend von einem standardisierten Schuldwert („culpability score“) – für das Unternehmen strafmildernd aus, während die Abstinenz eines solchen Systems einen strafschärfenden Umstand darstellt;83 das Fehlen eines Compliance-Programms führt für Unternehmen mit mindestens 50 Beschäftigten gar dazu, dass eine „organisational probation“, also eine Art Strafaussetzung zur Bewährung, nicht mehr möglich ist.84 Verschärft wurden die Compliance-Anforderungen für in den USA börsennotierte (auch ausländische) ←29 | 30→Unternehmen 2002 durch den Sarbanes Oxley Act.85 Von besonderer Bedeutung sind aus diesem Gesetz insbesondere u.a. die in Section 404 geregelten Pflichten zur Schaffung interner Kontrollsysteme und die in Section 301 geregelte Pflicht zur Einführung eines Whistleblowing-Systems im Unternehmen.86 Für deutsche Unternehmen, die an der US-Börse gelistet sind bzw. waren87 und in den letzten Jahren Ermittlungen der SEC ausgesetzt waren, hat aus dem US-amerikanischen Recht ferner insbesondere der Foreign Corrupt Practices Act (FCPA) von 1977 immense Bedeutung erlangt, der u.a. die Bestechung ausländischer Amtsträger unter Strafe stellt, was seit 1998 auch für Nicht-US-Bürger gilt, die – wie deutsche Unternehmen durch ihre Börsennotierung an der NYSE – der amerikanischen Jurisdiktion unterliegen, und die Unternehmen zur Vornahme interner Kontrollen zur Vermeidung von Bestechungsfällen verpflichtet.88 Im Jahr 2013 wurden schließlich vom US-Justizministerium und der SEC gemeinsam der „Ressource Guide to the FCPA“89 veröffentlicht, von dem sich ein eigenes Kapitel mit „Corporate Compliance Programs“ beschäftigt.90 Auch wenn dieses jüngere Versatzstück US-amerikanischer Compliance-Vorschriften inhaltlich diesbezüglich nicht viel neues gebracht hat, ist doch der Hinweis von Bedeutung, dass nicht nur das „wie“, sondern auch das „ob“ einer Sanktionierung von Unternehmen von etwaigen Compliance-Maßnahmen abhängt.91

Ein einheitliches Compliance-System für alle Regelungsbereiche hat sich jedoch auch in den USA im Laufe der Jahre nicht entwickelt.92 Auch wenn die ←30 | 31→USA gewissermaßen das „Mutterland“ der Compliance sind und auch andere Länder – wie Deutschland – von der vielfältigen Erfahrung der US-Amerikaner zweifellos profitieren könn(t)en93 und mittlerweile auch ein großer Erfahrungsschatz (zumindest früher oder noch heute börsengelisteter) deutscher Konzerne, die auf dem US-Markt agieren, mit dem amerikanischen Unternehmensstrafrecht vorhanden ist, so ist doch vor einer „blinden“ Übernahme US-amerikanischer Standards in das deutsche Rechtssystem zu warnen. Dies ergibt sich zum einen aus den Besonderheiten der jeweiligen Sanktionensysteme und zum anderen aus den zum Teil möglicherweise differierenden rechtsstaatlichen Vorstellungen von den rechtlichen Grenzen interner Unternehmensermittlungen dies- und jenseits des Atlantiks.94 Es bringt zwar gewiss Vorteile, wenn man das Strafrecht „als Mittel zur Unternehmensreform“95 einsetzt, jedoch ist zugleich auf die Nachteile, wie das Zurückstellen der Unschuldsvermutung und des Nemo-tenetur-Grundsatzes bei der bereits im Ermittlungsverfahren von den Unternehmen verlangten Kooperation mit den staatlichen Behörden, hinzuweisen, da diese Hintanstellung rechtsstaatlicher Grundsätze unter anderem zu einer erheblichen „Rechtsunsicherheit“ geführt hat.96

In der deutschen Unternehmenspraxis werden drei Wellen der Compliance-Implementierung festgemacht:97 Wenig überraschend ist nach dem bisher Gesagten, dass die erste Welle eine Adaption der in den USA üblichen Standards beinhaltete. Katalysator dieser Entwicklung war insbesondere der Druck der amerikanischen Börsenaufsicht auf in Deutschland operierende Tochtergesellschaften amerikanischer Unternehmen, aber auch auf an der New Yorker Börse notierte deutsche Unternehmen.98 In einer zweiten Welle wurden dann die Standards, die sich in der Bundesrepublik im Bereich der Banken- bzw. der Wertpapier-Compliance, der in der BRD wie in den USA eine Pionierrolle zugefallen ist, übernommen, während in der sich anschließenden dritten Welle die Ausschaltung spezifischer Korruptions- und Kartellrisiken durch Compliance ←31 | 32→anvisiert wurde.99 Ein enormer Schub, dessen Auswirkungen bis in den Mittelstand spürbar waren und sind, ging dabei gewiss von prominenten Fällen wie dem bei Siemens aufgedeckten Korruptionsnetzwerk aus.

Obwohl der Begriff „Compliance“ in Deutschland mittlerweile zwar schon seit rund 30 Jahren in den Sprachgebrauch eingegangen ist,100 ist dieser nun schon oft gefallene Begriff gesetzlich noch nicht definiert. Jedoch findet sich seit dem 20.07.2007 im Deutschen Corporate Governance Kodex (DCGK) ein Hinweis. Der Kodex geht auf eine von der damaligen Bundesministerin der Justiz Herta Däubler-Gmelin im September 2001 eingesetzte „Regierungskommission Deutscher Corporate Governance Kodex“ zurück, wurde von der Kommission in seiner ursprünglichen Fassung am 26. Februar 2002 verabschiedet und anschließend von der Justizministerin im elektronischen Bundesanzeiger veröffentlicht.101 Er enthält international und national anerkannte Standards guter und verantwortungsvoller Unternehmensführung, insbesondere Empfehlungen zum Verhalten des Vorstandes bzw. des Aufsichtsrates und für deren Zusammenarbeit sowie zu Informationspolitik, Rechnungsauslegung und zur Abschlussprüfung.102 Der Ziffer 4.1.3 des Kodexes lässt sich die folgende an die vorherige wissenschaftliche Debatte anknüpfende Bestimmung entnehmen, aus der sich eine wesentliche Definitionshilfe für den Begriff „Compliance“ ergibt: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance)“. Compliance wird allgemein damit übereinstimmend definiert als die „Einhaltung von Regeln“ (Ge- und Verbote) im Unternehmen, wobei als Regeln in diesem Sinne alle verbindlichen rechtlichen Vorgaben des Gesetz- oder Verordnungsgebers sowie rechtsverbindliche Aktivitäten von Aufsichtsbehörden und vertragliche Verpflichtungen erfasst werden,103 also letztlich solche Pflichten, deren Verletzung Sanktionen für das Unternehmen nach sich ziehen können. Darüber hinaus spielen aber auch nicht auf gesetzlichen Vorgaben beruhende, jedoch häufig an diese anknüpfende ←32 | 33→unternehmensinterne (Verhaltens-)Regelungen und Richtlinien eine Rolle.104 Darunter fallen beispielsweise Regelungen in der Satzung der Gesellschaft, in den kollektiv- wie individualarbeitsvertraglichen Regelungen, in der Geschäftsordnung und in den Arbeitsanweisungen oder Verhaltenskodizes (sog. „codes of conduct“ oder „codes of ethics“).105 Hier ist auch die Einhaltung des grundsätzlich nicht rechtsverbindlichen Corporate Governance Codex zu erwähnen, über deren Einhaltung oder Nichteinhaltung Vorstand und Aufsichtsrat nach § 161 AktG jährlich eine Erklärung abzugeben haben („comply or explain“).106 Man mag einwenden, dass die These, (auch) Unternehmen müssten sich an Recht und Gesetz halten, auch in der neumodischen „Verpackung“ der Compliance nicht sonderlich originell daherkommt;107 jedoch ist mittlerweile auf breiter Front die Erkenntnis erwachsen, dass die bisherigen Maßnahmen der meisten Unternehmen schlicht nicht hinreichend geeignet waren, die für die Unternehmen bestehenden (haftungsrechtlichen) Risiken effektiv zu kontrollieren, wobei in diesem Zusammenhang den großen wirtschafts(strafrechtlichen) Skandalen der letzten Jahre die Wirkung eines Fanals zukam.108 Über die bloße (zumindest was staatlich gesetztes Recht angeht) selbstverständliche109 Befolgung von Regularien hinaus umfasst Compliance daher auch und vor allem die Frage, wie die Einhaltung der gesetzlichen Vorschriften und unternehmensinternen Richtlinien im Unternehmen sichergestellt werden kann, sowie alle Maßnahmen zur Risikofrüherkennung und -minimierung.110 Es wird daher auch von Compliance als „institutionalisiertem Kontrollverfahren“ gesprochen.111 Damit steht aus der Sicht des Unternehmens insbesondere die Frage der (zivil-, straf-, ordnungswidrigkeitenrechtlichen) Haftungsvermeidung im Zusammenhang.

←33 | 34→

Im Rahmen der vorliegenden Untersuchung von Interesse werden insbesondere die Fragen sein, die sich auf die strafrechtliche Regelverletzung und die Vermeidung strafrechtlicher Regelverletzungen durch natürliche Personen, die im Zusammenhang mit ihrer Tätigkeit bei einem bzw. für ein Unternehmen handeln, beziehen. Man kann die Maßnahmen zur Verhinderung straf- und bußgeldbewehrter Handlungen in Unternehmen als „kriminalitätsbezogene Compliance-Systeme“112 oder „Hard Compliance“113 bezeichnen. Verbreitet ist auch der englische Begriff der „Criminal Compliance“.114 Laut einer Definition von Rotsch – mittlerweile von diesem selbst ergänzt, aber immer noch sehr prägnant – soll sich Criminal Compliance vom (alt-)bekannten Wirtschaftsstrafrecht dadurch unterscheiden, dass es „sämtliche notwendigen und zulässigen Maßnahmen zur Vermeidung strafrechtlicher Verantwortlichkeit von Unternehmensmitarbeitern aufgrund unternehmensbezogenen Verhaltens“ mit umfasse.115 Nach Rotsch ist hinsichtlich Criminal Compliance also zwischen Haftungs- und Verantwortlichkeitsprävention zu unterscheiden.116 Ziel von Compliance ist demnach nicht nur die Vermeidung der Erfüllung von Straftatbeständen,117 sondern – sobald der Verdacht einer Straftat aufkommt – auch das Hinwirken auf eine Verfahrenserledigung oder eine Strafmilderung.118 Später verfeinerte Rotsch dann seine Definition – ohne ihren Grundtenor aufzugeben – dahin gehend, dass „Criminal Compliance […] sämtliche objektiv ex ante notwendigen und ex post strafrechtlich zulässigen normativen, institutionellen und technischen Maßnahmen einer Organisation [beinhaltet], die an deren Mitglieder, den Staat oder die Öffentlichkeit gerichtet sind, um entweder a) präventiv das Risiko zu minimieren, durch die Organisation oder Mitglieder der Organisation eine organisationsbezogene Wirtschaftsstraftat unter Verstoß gegen in- oder ausländisches Recht zu begehen bzw. einen diesbezüglichen Anfangsverdacht entstehen zu lassen, oder b) repressiv die Chance zu erhöhen, ←34 | 35→eine (i. w. S. strafrechtliche) Sanktionierung im Konsens mit den Strafverfolgungsbehörden positiv zu beeinflussen, und damit letztlich c) den Unternehmenswert zu steigern“.119

Diese Definition ist ganz gewiss grundsätzlich zielführend und zu begrüßen; sie darf aber nicht so missverstanden werden, dass sie nur die strafrechtliche Verantwortung im engeren Sinne bzw. die Vermeidung einer solchen erfassen würde, sondern muss darüber hinaus auch eine Verantwortungsvermeidung hinsichtlich des Ordnungswidrigkeitenrechts erfassen.120 Zu weit erscheint die genannte Definition hingegen in einem anderen Bereich: Gewiss werden in der Praxis auch sog. „Internal Investigations“ unter dem Begriff „Compliance“ und regelmäßig von der entsprechenden Abteilung behandelt, und entsprechend zum Teil auch als „Compliance Investigations“121 bezeichnet. Diese Einordnung kann für die wissenschaftliche Debatte auch auf jeden Fall insoweit zutreffen, als derlei Untersuchungen regelmäßig auch einen auf die Zukunft gerichteten, präventiven Effekt haben. Dementsprechend hat die Staatsanwaltschaft München I in einem Bußgeldbescheid gegen MAN zu Recht festgestellt, dass „unter den Begriff Compliance auch die Verfolgung und Aufklärung begangener Straftaten“ falle, und es daher im konkret zu entscheidenden Fall im Hinblick auf die bußgeldrechtliche Sanktionierung relevant war, dass die unternehmensinterne Compliance-Abteilung „keine eigenen Ressourcen und Befugnisse hatte, eigenständige Untersuchungen anzustellen“ und es ferner „kein angemessenes und geeignetes Sanktionsinstrumentarium“ gegeben hat.122 Ob man die unternehmensinternen Untersuchungen „primär auf der repressiven Ebene“ ansiedeln möchte123 oder der Auffassung zuneigt, dass bei internen Ermittlungen die „präventiven Zielsetzungen“, wie die „Förderung der Unternehmenskultur“ oder die Vermeidung von Sanktionen, „deutlich in den Vordergrund“ rücken,124 wird sich häufig einer generellen Beantwortung entziehen und vom Einzelfall abhängig sein. Beide Zielrichtungen (repressive wie präventive) werden häufig nebeneinander ←35 | 36→stehen bzw. miteinander konkurrieren, sodass unternehmensinterne Ermittlungen regelmäßig eine gewisse Janusköpfigkeit aufweisen werden. Unstreitig ist – soweit ersichtlich – jedoch, dass das repressive Element den unternehmensinternen Ermittlungen eine derartige Sonderstellung im Bereich der Compliance verschafft, dass dieser Bereich zu einem bedeutenden eigenen Themenkomplex erwachsen ist. Richtigerweise kann man zwischen Compliance im engeren Sinne und unternehmensinternen Ermittlungen regelmäßig nicht sauber trennen, sondern muss – sofern auch eine präventive Zielrichtung gegeben ist – von einem Sonderfall der Compliance, nämlich einer „Compliance durch Internal Investigations“125 sprechen. Maßnahmen im Rahmen von internen Ermittlungen, die ausschließlich darauf abzielen, eine strafrechtliche Verantwortung zu vermeiden, können aber auch solche sein, die lediglich der „Verschleierung“ (natürlich nicht in einem strafrechtlich relevanten Sinne gemeint) tatsächlich begangener Straftaten dienen. Schon weniger gravierende Maßnahmen, die darauf gerichtet sind, die Übernahme einer strafrechtlichen Verantwortung für tatsächlich begangene Delikte zu vermeiden – wie die Durchsetzung einer unangemessen milden Bestrafung vor Gericht – können aber genau das Gegenteil von dem bewirken, was Compliance eigentlich bezweckt. Denn die bloße Verhinderung dessen, dass bestimmte Personen (insbesondere aus der Führungsebene) zur Verantwortung gezogen werden, kann im Unternehmen gar kontraproduktive Wirkungen entfalten, indem es dazu kommt, dass Unternehmensangehörige zu der trügerischen Erkenntnis gelangen, dass am Ende „ja nochmal alles gut gegangen ist“ und folglich eine wirkliche Regelbefolgung nicht notwendig sei. Daher entfernt sich die bloße Vermeidung oder Abmilderung von (zu Recht) drohender Bestrafung vom Wortsinn des Begriffs „Compliance (= Regelbefolgung)“ so weit, dass der Begriff jegliche Schärfe und jeglichen Nutzen verlieren würde. Mithin ist eine derart weite Definition, so zutreffend sie die Zustände in der Praxis auch wiedergeben mag, für wissenschaftliche Zwecke zu ungenau. Die somit vom Compliance-Begriff auszuschließenden Felder lassen sich zudem auch zwanglos in den Bereich der Strafverteidigung oder der rechtlichen Unternehmensberatung einordnen. Man mag nun einwenden, dass eine Trennung von unternehmensinternen Ermittlungen in für die Unternehmenscompliance positive präventive Auswirkungen auf der einen und hier unterstellten negativen, Strafe (zu Unrecht) vermeidenden Aspekten auf der anderen Seite in der Praxis häufig kaum möglich ist und zudem mit internen Untersuchungen regelmäßig beide Zwecke verfolgt werden (können). Dies hängt jedoch mit den Zwängen ←36 | 37→in der Praxis zusammen, die dem Umstand geschuldet sind, dass Compliance dem Unternehmensinteresse dienen soll und vor allem dem Umstand, dass auch Compliance-Mitarbeiter selbstverständlich von dem Unternehmen, für dessen „Regelkonformität“ sie Sorge tragen, bezahlt werden. Diese Gemengelage sollte jedoch nicht dazu (ver-)führen, den Begriff der Compliance in der (rechts-)wissenschaftlichen Debatte konturenlos werden zu lassen. Daher sind interne Untersuchungen bzw. die repressive Komponente der oben genannten Compliance-Definition nur insofern unter den Begriff der „Criminal Compliance“ zu fassen, sofern sie tatsächlich einen Bezug zur Vermeidung bzw. Sanktionierung von Verstößen aufweisen, was regelmäßig der Fall sein wird, soweit neu gewonnene Erkenntnisse in ein (bestehendes) Compliance-Programm einfließen; ein solcher Bezug fehlt allerdings, wenn die internen Ermittlungen oder sonstigen Maßnahmen nur dazu dienen, Sanktionierung zu vermeiden und daher dem Bereich der Strafverteidigung oder einem Vorfeld der Strafverteidigung zuzuordnen sind. Aus ähnlichen Erwägungen sind auch unzulässige Maßnahmen grundsätzlich nicht zum Bereich der Criminal Compliance zu zählen,126 da Maßnahmen, die der Herstellung von Rechtskonformität dienen sollen, nicht selbst rechtswidrig sein dürfen bzw. können.

Ein Wesensmerkmal nahezu jeder wirtschaftsstrafrechtlichen Compliance bzw. Criminal Compliance hängt zusammen mit der Komplexität der Materie des Wirtschaftsstrafrechts, der Uneindeutigkeit seiner Normen, deren Formulierungen sich häufig an der Grenze der Unbestimmtheit befinden,127 sowie der gesetzgeberischen Technik, durch zivil- und öffentlichrechtliche Normen auszufüllende Blankette bzw. normative Tatbestandsmerkmale zu verwenden: All dies erschwert die vor jeder konkreten Compliance-Maßnahme notwendige „Antizipierbarkeit strafrechtlicher Verantwortlichkeit“.128 Ein weiteres Merkmal der neuen Compliance-Diskussion ist durch die internationale Ausrichtung vieler Unternehmen und Konzerne bedingt, denn diese zwingt zusätzlich zur Beachtung – meist nicht weniger komplexer – ausländischer Rechtsnormen. Es sei ferner schon hier auf den in den letzten Jahren zu beobachtenden Ausbau des Untreuetatbestandes des § 266 StGB zur strafrechtlichen Allzweckwaffe hingewiesen, welche in zahlreichen spektakulären wirtschaftsstrafrechtlichen Verfahren der letzten Jahre zum Einsatz gekommen ist.129

←37 | 38→

Die oben definierte Criminal Compliance betrifft Unternehmensangehörige, die sich in Führungspositionen befinden, stärker als jede andere „Art von Compliance“, denn die Einhaltung bestimmter Vorschriften durch Unternehmensangehörige muss schließlich von jemandem überwacht werden. Die Einhaltung von Regeln ist zwar Sinn und Zweck jeder Compliance, jedoch zeichnet sich Criminal Compliance neben der thematischen Fokussierung auf die Straftaten und Ordnungswidrigkeiten, die zum Wirtschaftsstrafrecht im engeren Sinne zählen, durch eine enorme Ausstrahlungswirkung in alle anderen Compliance-Gebiete aus. Sofern es nämlich um die Frage geht, inwieweit die Führungsebene eine Verantwortung zur Kontrolle oder zum Einschreiten trifft, lässt sich diese grundsätzliche Frage nur durch das Heranziehen von im Wirtschaftsstrafrecht entwickelten Erkenntnissen, die ihrerseits wiederum ihre Wurzeln zum Großteil im Bereich des Allgemeinen Teils des Strafrechts haben, beantworten.

Das Interesse der Unternehmensführung, Straftaten innerhalb des Unternehmens und aus dem Unternehmen heraus verhindern zu wollen, kann dabei verschiedene Gründe haben: Neben dem rein ethischen Interesse, sich rechtstreu verhalten zu wollen, werden hierbei vor allem die Angst vor wirtschaftlichen Schäden für das Unternehmen (z.B. durch horrende Strafzahlungen wie z.T. in den oben benannten Beispielen) oder allein schon der durch ein staatliches Ermittlungsverfahren drohende Reputationsverlust eine große Rolle spielen.

Aus öffentlicher (staatlicher wie gesellschaftlicher) Sicht stellt sich die Frage, wie wirtschaftskriminelle Handlungsweisen wie die oben beschriebenen am effektivsten einzudämmen sind. In diesem Zusammenhang spielen Aufsicht und Compliance eine große Rolle. Neben der Etablierung einer Rechtsprechung, die besagt, dass Mitglieder der Führungsebene eines Unternehmens als potentielle mittelbare Täter kraft Organisationsherrschaft in Betracht kommen und der Vorverlagerung der Strafbarkeit im Bereich des Wirtschaftsstrafrechts130 scheint mit der Sanktionierung von fehlenden oder mangelhaften Aufsichtsmaßnahmen ein weiteres großes Feld zur Eindämmung der Wirtschaftskriminalität gefunden zu sein. Hinter dieser gesamten Entwicklung verbirgt sich die Intention, wirtschaftliche Abläufe durch die Erweiterung von Verantwortungsbereichen, insbesondere der Unternehmensleitung, zu steuern. Scheint somit Compliance bzw. die Sanktionierung mangelhafter Compliance zunächst Teil einer (Über-)←38 | 39→Regulierung der Wirtschaft durch das (Straf-)Recht zu sein, so sollte doch nicht vergessen werden, dass es bezüglich des Themenkomplexes „Compliance“ für die Unternehmen durchaus angenehmer sein kann, wenn sie selbst über das notwendige Maß an Aufsicht entscheiden können (wozu sie selbst schätzungsweise auch am besten in der Lage sind), als wenn ihnen Maßnahmen von außen – also von staatlicher Seite – aufoktroyiert werden.131 Wenn in diesem Zusammenhang auf eine neue Kultur der Verantwortung innerhalb von Unternehmen durch die Veranlassung von Compliance-Maßnahmen gehofft wird, so erscheint dies als ein Wunschdenken, wenn man sich vor Augen führt, dass sich Unternehmen stets an betriebswirtschaftlichen Ergebnissen messen lassen (müssen) und daher die Einhaltung rechtlicher oder ethischer Standards niemals als Selbstzweck angesehen werden kann.132

Abgrenzen kann man den Begriff der „Compliance“ vom Begriff „Corporate Governance“. Hierunter sind allgemein die Grundsätze verantwortungsvoller Leitung und Überwachung eines Unternehmens (Unternehmensführung/Unternehmensverfassung) zu verstehen.133 Nicht zuletzt die oben beschriebenen im Deutschen Corporate Governance Kodex zu findenden Ausführungen legen es daher nahe, Compliance als einen festen Bestandteil bzw. eine Unterkategorie von Corporate Governance zu verstehen.134

Zu Überschneidungen kommt es in der Praxis häufig zwischen der Compliance-Abteilung und der klassischen Innenrevision oder auch dem Controlling. Insbesondere in kleineren Unternehmen werden diese Funktionen häufig noch unter einem Dach betreut. Jedoch geht es bei richtiger Betrachtungsweise um zwei bzw. drei verschiedene Aufgabenbereiche, die strikt voneinander zu trennen sind: Die Innenrevision soll Verstöße zu Lasten des Unternehmens selbst aufdecken, es ist folglich eine Betrachtungsweise von Innen maßgeblich. Für eine Compliance-Abteilung hingegen ist die Perspektive von außen wesentlich, das heißt es sollen zum Nutzen des Unternehmens Straftaten oder sonstige Rechtsverstöße gegen Dritte aus dem Unternehmen heraus vermieden werden.135 Ferner verfolgt Compliance einen präventiven Ansatz, während bei der internen ←39 | 40→Revision eine ex post-Betrachtung vorgenommen wird.136 Beim Controlling wiederum steht die Wirtschaftlichkeit des Unternehmens im Vordergrund, das heißt, es geht primär nicht um eine rechtliche Überprüfung.137 Die theoretische Verschiedenheit der Aufgaben soll aber nicht darüber hinwegtäuschen, dass eine Kooperation der genannten Bereiche bis zu einem gewissen Grad sinnvoll und wünschenswert ist. So können Prüfberichte der internen Revision eine Quelle für die Arbeit des Compliance-Beauftragten sein, damit er Risiken in seinem Aufgabenbereich erkennen und ausschalten kann.138

Seit jeher umstritten ist die Frage, welcher Fakultät das Themen- und Forschungsfeld „Compliance“ zuzuordnen ist.139 Die Abgrenzung zu wirtschaftlichen Fehlentscheidungen hat gezeigt, dass es nicht bloß um unternehmerische Ermessensentscheidungen geht, also eine rein betriebswirtschaftliche Betrachtungsweise nicht richtig sein kann. Da es jedoch bei Compliance auch darum geht, Abläufe im Unternehmen zu verankern, scheint ein Bezug zum Fach „Betriebswirtschaft“ dennoch naheliegend zu sein. Letztlich erfasst Compliance aber auch ganz elementare Fragen der Wirtschaftsethik.140 Die oben herausgearbeitete Definition und die aus der Praxis bekannten Fälle zeigen jedoch, dass es im Kern um wirtschaftsstrafrechtliche Themen im weiteren Sinne, also juristische Problemkreise geht. Nur auf den ersten Blick spricht gegen diese These der primären Verbindung mit klassischen wirtschaftsstrafrechtlichen Problemkreisen, dass der Bereich Compliance aus dem Bankenbereich stammt bzw. im Wertpapierrecht zunächst Niederschlag gefunden hat. Denn auch die dort getroffenen speziellen Vorgaben sind ebenfalls mittels eines Bußgeldtatbestandes abgesichert.141 Letztlich lässt Compliance nach dem Gesagten aber nur interdisziplinär – also aus betriebswirtschaftlicher und rechtswissenschaftlicher Sicht – richtig verstehen und einordnen.142

So alt wie die Diskussion um Compliance selbst ist die Frage nach der „Rechtsgrundlage“ von Compliance-Maßnahmen.143 Die Debatte ist jedoch ←40 | 41→schon von ihrem Ausgangspunkt her (jedenfalls begrifflich) verfehlt. Das Recht, im Unternehmen Compliance-Maßnahmen durchzuführen, folgt schon aus der grundrechtlich abgesicherten unternehmerischen Freiheit und findet seine offensichtlichen Grenzen in den Rechten anderer, insbesondere natürlich in strafrechtlich abgesicherten Rechtsgütern sowie der objektiven Rechtsordnung. Ferner kann als Quelle der Compliance die gesamte Rechtsordnung genannt werden, da es – wie oben gezeigt – Bestandteil der Compliance ist, dass sich Unternehmen – wie alle anderen Rechtssubjekte auch – an diese halten.144 Insofern gilt es für jedes Unternehmen natürlich insbesondere die Rechtsvorschriften zu beachten, die für das tatsächliche Betätigungsfeld maßgeblich sind, in dem es sich bewegt: Dies können – um ein besonders praxisrelevantes Beispiel zu nennen – Normen des Korruptionsstrafrechts (zu denen im weiteren Sinne auch die Untreue zählt, wie zuletzt der Fall Siemens vor Augen geführt hat) sein. Für nahezu jedes Unternehmen relevant sind ferner insbesondere Fragen des Steuer- oder des Arbeits(straf)rechts. Für die Unternehmensführung dürfte es von besonderem Interesse sein, neben dem Risiko einer Sanktionierung des Unternehmens auch das persönliche Strafbarkeitsrisiko zu verringern, sodass eine wesentliche „Rechtsquelle der Compliance“145 auch das persönliche (strafrechtliche) Haftungsrisiko der Unternehmensleitung ist. Hierbei kommt gleichsam als „Königsvorschrift“ dem § 130 OWiG aus dem Ordnungswidrigkeitenrecht die maßgebende Rolle zu, insbesondere in Verbindung mit den als „Troika“ bekannten §§ 130, 9 und 30 OWiG.146 Mehr als zweifelhaft erscheint hingegen die Heranziehung von Normen des Gesellschaftsrechts, wie § 91 Abs. 2 AktG oder § 93 Abs. 1 AktG oder gar der Regelungen des Deutschen Corporate Governance Kodex zur Klärung einer Rechtsgrundlage von Compliance-Maßnahmen.147 Letzteren fehlt jede Rechtsnormqualität, Erstere gelten nur für Aktiengesellschaften und hätten zur Folge, dass es Compliance nur in Aktiengesellschaften geben darf bzw. muss.148 Den genannten Regelungen ist ferner gemein, dass sie die Geschäftsleitung nur im Innenverhältnis gegenüber der ←41 | 42→Gesellschaft oder anderen Organen binden und nur eine zivilrechtliche Haftung auslösen können, aber keine darüber hinausgehenden öffentlichen Pflichten statuieren.149 Von der Debatte um eine „Rechtsgrundlage“ der Compliance zu trennen ist die Frage nach einer Compliance-Pflicht.

Im Zusammenhang mit Compliance-Maßnahmen gibt es jedoch eine Reihe von Normen, die unabhängig von einer bestimmten Unternehmensform auf eine bestimmte Geschäftsbranche abzielen (z.B. 25a KWG). Hier und im Folgenden wird die herausragende praktische wie rechtliche Bedeutung des Kapitalmarktrechts für den Bereich der Compliance deutlich, denn ausdrückliche Normierungen zum Thema „Compliance“ finden sich bislang nur in diesem Rechtsgebiet. So sei an dieser Stelle darauf hingewiesen, dass der Gesetzgeber mit der seinerzeitigen – mittlerweile überholten150 – Neufassung des § 33 WpHG durch das Finanzmarkt-Richtlinie-Umsetzungsgesetz (FRUG)151 vom 16.07.2007 erstmals das Fremdwort „Compliance“ sogar in ein förmliches Gesetz aufgenommen hatte: So verlangte § 33 Abs. 1 S. 2 Nr. 1 WpHG, dass die durch das Wertpapierhandelsgesetz gebundenen Unternehmen bestimmte Vorkehrungen zu treffen haben, damit das Unternehmen selbst und seine Mitarbeiter sich an die Verpflichtungen des Wertpapierhandelsgesetzes halten, „wobei insbesondere eine dauerhafte und wirksame Compliance-Funktion einzurichten ist, die ihre Aufgaben unabhängig wahrnehmen kann.“ Ferner hieß es in Abs. 1 S. 2 Nr. 5, dass sicherzustellen ist, „dass die Geschäftsleitung und das Aufsichtsorgan in angemessenen Zeitabständen, zumindest einmal jährlich, Berichte der mit der Compliance-Funktion betrauten Mitarbeiter (…) erhalten (…).“ Zur Konkretisierung der Pflichten aus § 33 WpHG a.F. hatte das Bundesfinanzministerium im Jahr 2007 die (inzwischen mehrfach stark reformierte) Wertpapierdienstleistungs-Verhaltens- und Organisationsverordnung (WpDVerOV) erlassen. Bestimmte Organisationspflichten enthielt § 12 der WpDVerOV, dessen Abs. 4 ←42 | 43→sogar ausdrücklich die Benennung eines Compliance-Beauftragten verlangte und verschiedene Voraussetzungen an dessen Person, Stellung und „Ausstattung“ innerhalb des Unternehmens benannte:

„Das Wertpapierdienstleistungsunternehmen muss einen Compliance-Beauftragten benennen, der für die Compliance-Funktion sowie die Berichte an die Geschäftsleitung und das Aufsichtsorgan nach § 33 Abs. 1 Satz 2 Nr. 5 des Wertpapierhandelsgesetzes verantwortlich ist. Sollten die zur Behebung von Defiziten erforderlichen Maßnahmen nach Absatz 2a nicht innerhalb angemessener Zeit ergriffen und umgesetzt werden, hat der Compliance-Beauftragte die Geschäftsleitung hierüber in Kenntnis zu setzen. Die mit der Compliance-Funktion betrauten Personen müssen über die für eine ordnungsgemäße und unabhängige Erfüllung ihrer Aufgaben nach Maßgabe des Absatzes 3 erforderlichen Fachkenntnisse, Mittel und Kompetenzen sowie über Zugang zu allen für ihre Tätigkeit relevanten Informationen verfügen. Vorbehaltlich des Absatzes 5 dürfen sie weder an den Wertpapierdienstleistungen beteiligt sein, die sie überwachen, noch darf die Art und Weise ihrer Vergütung eine Beeinträchtigung ihrer Unvoreingenommenheit bewirken oder wahrscheinlich erscheinen lassen.“

§ 33 WpHG a.F. und die WpDVerOV dienten somit bereits, was auch aus den Gesetzesmaterialien und der Handhabung durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) deutlich wird, als Anknüpfungspunkt für eine umfassende Compliance-Organisation.152 Dies vermag auch insoweit nicht zu überraschen, als dass auch die Vorgängernorm des § 33 WpHG inhaltlich bereits seit 1994 (gesetzgeberische Umsetzung der Richtlinie 93/22/EWG des Rates vom 10. Mai 1993 über Wertpapierdienstleistungen) im Wesentlichen mit der späteren Fassung des § 33 WpHG vergleichbare Anforderungen enthielt; die zur Konkretisierung des § 33 WpHG a.F. erlassene Richtlinie wurde entsprechend landläufig als „Compliance-Richtlinie“ bezeichnet.153 Im Juni 2010 veröffentlichte die BaFin erstmals ein Rundschreiben zu sog. Mindestanforderungen an die Compliance-Funktion (MaComp) zur Konkretisierung der in den §§ 31 ff. WpHG a.F. getroffenen Regelungen154, welche inhaltlich eine Fortschreibung der ←43 | 44→früheren „Compliance-Richtlinie“ darstellt.155 Die MaComp binden als norminterpretierende Verwaltungsvorschriften wegen ihrer fehlenden Rechtsnormqualität aber keine Gerichte, sondern als behördliche Auslegungshilfe nur die BaFin selbst.156

Durch das Anlegerschutz- und Funktionsverbesserungsgesetz (AnlSVG) vom 05.04.2011157 hatte der Gesetzgeber mit Wirkung vom 01.11.2012 mit § 34d WpHG eine Regelung verabschiedet, die die Benennung und (allgemeinen) Voraussetzungen bezüglich eines Compliance-Beauftragten sogar erstmals auf formal-gesetzlicher Ebene regelt.158 Die Voraussetzungen an die Sachkunde des Compliance-Beauftragten wurden ferner in § 3 der WpHG-Mitarbeiteranzeigeverordnung (WpHGMaAnzV) vom 21.12.2011 konkretisiert. Eine entsprechende gesetzliche Regelung bezüglich der Anforderungen an einen ausdrücklich sogenannten Compliance-Beauftragten findet sich nun in dem seit dem 03.01.2018 gültigen § 87 Abs. 5 WpHG in der Fassung aufgrund des Zweiten Gesetzes zur Novellierung von Finanzmarktvorschriften auf Grund europäischer Rechtsakte (Zweites Finanzmarktnovellierungsgesetz) vom 23.06.2017.159

Durch Art. 3 des Gesetzes zur Abschirmung von Risiken und zur Planung der Sanierung und Abwicklung von Kreditinstituten und Finanzgruppen (RiskAbschG)160 vom 07.08.2013 ist mit Wirkung vom 02.01.2014 zudem im Kreditwesengesetz mit § 54a KWG eine Regelung verabschiedet worden, welche eine Verletzung der mit demselben Gesetz verabschiedeten – in § 25c Abs. 4a Nr. 3 ←44 | 45→lit. c) für die Geschäftsleiter von Finanzinstituten und in § 25c Abs. 4b S. 2 Nr. 3 lit. e) für die Geschäftsleiter des übergeordneten Unternehmens einer Institutsgruppe zu findenden – Pflicht, eine Compliance-Funktion im Institut oder der Gruppe zu errichten, unter bestimmten weiteren Voraussetzungen (Verletzung einer Anordnung der BaFin, durch Verletzung der Pflicht Herbeiführung einer Bestandsgefährdung des Instituts, des übergeordneten Unternehmens oder eines gruppenangehörigen Instituts) unter Strafe stellt.

Hingewiesen sei in diesem Zusammenhang ferner nochmals auf den Deutschen Corporate Governance Kodex (DCGK), der bereits seit dem Jahre 2007 in den Ziffern 3.4 und 5.3.2 ebenfalls den Begriff „Compliance“ enthält und in Ziffer 4.1.3 sogar eine – bereits oben angesprochene und zumindest für die Auslegung des Kodexes geltende – Definition des Begriffs enthält; im Jahr 2017 wurde in Ziffer 4.1.3 zudem eine Empfehlung für ein Compliance-Management-System und ein Whistleblowing-System eingefügt.

In der Praxis hat sich „Compliance“ als Zielvorstellung und Maßnahmenprogramm zwar wohl noch nicht generell, aber doch zumindest in den größten Unternehmen durchgesetzt. Vorreiter in diesem Bereich war in Deutschland der durch eine verheerende Korruptionsaffäre erschütterte Siemens-Konzern.161 Bei Siemens arbeiteten bspw. im Jahr 2011 600 Compliance-Mitarbeiter, was gleichzeitig den Spitzenplatz in absoluten Zahlen unter den DAX-Unternehmen bedeutete.162 Ebenfalls wenig überraschend ist in Anbetracht der Entstehung von Compliance, dass sich, wenn man relative Zahlen zu Grunde legt, vor einigen Jahren mit der Deutschen Bank ein Konzern, der sich mit dem Handeln von Wertpapieren befasst, mit 5,1 Compliance-Mitarbeitern je 1.000 Beschäftigten auf dem ersten Platz der im DAX notierten Unternehmen befand.163 Infolge des sogennanten „Diesel-Skandals“ übernahm dann der Volkswagen-Konzern eine führende Rolle im Bereich der DAX-Unternehmen. Auch insgesamt lässt sich eine aufsteigende Tendenz feststellen: War 2004 „Compliance“ selbst in Großunternehmen nicht unbedingt ein geläufiger Begriff,164 gaben bei einer Studie ←45 | 46→der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers im Jahr 2007 67 % der befragten deutschen Großunternehmen an, über ethische Richtlinien zu verfügen, während 41 % ein Compliance-Programm vorweisen konnten.165 Für 2009 stieg dieser Wert auf 72 % der Unternehmen an, die über ethische Richtlinien verfügten, während immerhin schon 44 % der befragten Unternehmen ein Compliance-Programm eingeführt hatten.166 Im Jahr 2011 waren es dann schon 52 % der Unternehmen, die ein Compliance-Programm implementiert hatten, während 82 % mittlerweile ethische Richtlinien besaßen.167 Im Jahr 2016 schließlich hatten sogar 76 % der Unternehmen ein Compliance-Management-System installiert; bei den Unternehmen mit mehr als 10.000 Mitarbeitern waren es sogar 96 %,168 also so gut wie alle Unternehmen. Es ist aber weiter anzunehmen, dass unterhalb der Schwelle der Großunternehmen schon aufgrund der geringeren zur Verfügung stehenden wirtschaftlichen Ressourcen und der traditionell regulierungsfeindlichen Einstellung des Mittelstandes Compliance eine weniger bedeutende Rolle spielt,169 obwohl einem das Thema mittlerweile auch in Verbindung mit Orten begegnet, an die man gewiss nicht als Erstes denken würde.170

Nach einer Studie der Wirtschaftskanzlei CMS Deutschland aus dem Jahr 2017171 hat sich der Anteil von Unternehmen mit eigener Compliance-Abteilung von 2015 bis 2017 von 28 % auf 40 % erhöht. Interessanterweise hat aber die Bereitschaft des Managements, sich für Compliance-Themen zu engagieren, aus Sicht der Compliance-Verantwortlichen im Zeitraum von 2015 bis 2017 von 79 % auf 71 % abgenommen. Allerdings dürfte fraglich sein, inwieweit ←46 | 47→diese Abnahme tatsächlich repräsentativ ist bzw. einen langfristigen Trend darstellt. Zweifelhaft bleibt im Übrigen, ob jede Compliance-Maßnahme und jedes Compliance-Programm auch immer in der Lage sind, eine positive Wirkung zu entfalten.172 Interessanterweise kommt ein Compliance-Rating der DAX-30-Unternehmen des Verlages Fuchsbriefe im Jahr 2017 zu dem Schluss, dass die Compliance-Systeme der Unternehmen überwiegend intransparent sind und die Risikodarstellung zumeist dürftig. Dass dies sogar für die Mehrzahl der 30 im DAX gelisteten Unternehmen gelten soll, lässt für andere Unternehmen was Detail und Tiefe ihrer Compliance-Management-Systeme betrifft gewiss nichts Gutes erahnen.173

Passend zu dem – jedenfalls langfristig – eindeutig gestiegenen Ansehen von Compliance in der Praxis wurde im November 2012 in Form eines Bundes der Compliance Officer (BDCO) erstmals eine Berufsinteressenvertretung der Compliance-Beauftragten gegründet.174 Noch im selben Monat folgte das Deutsche Institut für Compliance e.V. (DICO).175 Im Februar 2013 erfolgte die Gründung des Berufsverbandes der Compliance-Manager (BCM) als berufsständische Vertretung exklusiv für Compliance-Manager aus Unternehmen, Organisationen und Verbänden.176

Als die wahrscheinlich wichtigste Aufgabe einer erfolgreichen (Criminal) Compliance ist ganz generell die Vermeidung strafrechtlicher Verantwortlichkeit von Unternehmensangehörigen anzusehen.177 Im Mittelpunkt einer erfolgreichen Beratung im Bereich Criminal Compliance muss dabei stets die (wenn möglich höchstrichterliche) Rechtsprechung stehen.178 Daher ist die Kenntnis dieser sowie der neuesten Gesetze und Diskussionen in der Literatur unabdingbare Voraussetzung für jede erfolgreiche Compliance-Beratung.179

Ziel der vorliegenden Arbeit ist es – entsprechend dem zuvor Gesagten –, den aktuellen Stand in Rechtsprechung und Literatur bezüglich der grundsätzlichen strafrechtlichen Risiken von vorgesetzten Individualpersonen im Unternehmen darzustellen, um ggf. unter Bezugnahme auf die Grundlagen des (Straf-)Rechts ←47 | 48→und unter Berücksichtigung der verschiedenen Interessen die bestehenden Lösungsansätze zu untersuchen und ggf. neue zu formulieren. Bei der vorliegenden Arbeit geht es also darum, Grundsatzfragen zu erörtern, um auf diesem Wege zu der in Wissenschaft und Praxis geführten Debatte einen Beitrag leisten zu können. Da es im Unternehmen regelmäßig um die Nichteinhaltung von Standards geht, steht im Mittelpunkt einer jeden (Criminal) Compliance zweifellos die Vermeidung der Verantwortlichkeit wegen eines (unechten) Unterlassungsdelikts.180 Dabei erfolgt im Folgenden eine Fokussierung auf den Geschäftsherrn und den Compliance-Beauftragten und ausgewählte Aspekte der Compliance-Diskussion. Im Rahmen der strafrechtlichen Verantwortlichkeit wird gemäß dem zuvor Gesagten die Unterlassensstrafbarkeit in den Blick genommen. Diese weist insofern einen besonderen Bezug zur Compliance-Diskussion auf, da diese sich gerade mit fehlender Regeleinhaltung beschäftigt – was aus Sicht der Geschäftsleitung in Bezug auf ihre Angestellten auch immer eine fehlerhafte Aufsicht, dass heißt strafrechtlich ein Unterlassungsrisiko, impliziert. Daher sind wenige Themen für bzw. durch eine Verknüpfung mit dem Thema „Compliance“ geeigneter dafür, einen klaren Blick auf eben jene Compliance zu werfen, als das schwierige Terrain des strafrechtlichen Unterlassens. Die gesetzliche Regelung des § 13 StGB, nach der sich nur strafbar macht, wer es unterlässt, einen Erfolg abzuwenden, der zum Tatbestand eines Strafgesetzes gehört, wenn er rechtlich dafür einzustehen hat, dass der Erfolg nicht eintritt, und wenn das Unterlassen der Verwirklichung des gesetzlichen Tatbestandes durch ein Tun entspricht, hilft dabei nur bedingt weiter. Dass das unechte Unterlassungsdelikt bzw. die damit verbundene Gleichstellungsproblematik auch nach (mindestens) jahrzehntelanger Forschung von Claus Roxin zu Recht als das „heute noch umstrittenste und dunkelste Kapitel in der Dogmatik des Allgemeinen Teils“181 bezeichnet wird, unterstreicht die Komplexität dieser Thematik. In dem Kontext der Strafbarkeit des Geschäftsherrn wegen Unterlassens spielen insbesondere die auch aus dem Zivilrecht bekannten Verkehrssicherungspflichten eine Rolle. Nach diesen muss ganz allgemein gesprochen, wer ein Haus oder Grundstück besitzt, dafür Sorge tragen, dass Bewohner oder Besucher nicht durch unzureichende Sicherungsmaßnahmen zu Schaden kommen. Ganz ähnliches könnte auch im Unternehmen gelten, da jedenfalls von außenstehenden Dritten betriebliche Gefahren, die sie zu überblicken nicht in der Lage sind und vor deren Auswirkungen sie sich daher nicht selbst schützen können, abzuwehren sind. Spezifika der Fahrlässigkeitsdelikte bzw. die Berücksichtigung von spezifischen Fahrlässigkeitsaspekten ←48 | 49→im Rahmen der Compliance-Diskussion können aus Platzgründen hier aber nicht in raumgreifender Art und Weise behandelt werden. Auch diesbezüglich ist die Diskussion gewiss noch nicht abgeschlossen, sondern vielmehr in vollem Gange. Das bevorzugte Modell der vorliegenden Arbeit ist jedoch eher im Bereich der „klassischen“ Criminal Compliance und dort zum Beispiel bei den Korruptionsdelikten zu finden, die im Wirtschaftsstrafrecht im engeren Sinne zu verorten sind und seit jeher ein vorsätzliches Verhalten voraussetzen.

Bezüglich der Geschäftsherrenhaftung und der des Compliance-Beauftragten sind in den Jahren 2009 und 2011 zwei wegweisende Urteile des Bundesgerichtshofs gefällt worden, auf die im Laufe der Arbeit umfassend eingegangen werden wird und in deren Folge eine regelrechte Flut wissenschaftlicher Publikationen zu dem Thema entstanden ist. Daher wird und muss ein Schwerpunkt der in dieser Arbeit verwendeten Veröffentlichungen aus dieser Zeit datieren, ohne selbstverständlich die bis heute erschienene Literatur zu vernachlässigen.

Abzugrenzen ist die im Rahmen der Compliance bzw. Aufsichtspflichtverletzung der Geschäftsleitung zu behandelnde Thematik ferner von bloßen unternehmerischen Fehlentscheidungen – insbesondere auch bei Risikoentscheidungen bzw. -geschäften –, die als Bedrohung jedem unternehmerischen Handeln immanent sind. Fälle, in denen sich ein solches unternehmerisches Risiko niederschlägt, unterliegen der ursprünglich aus der angelsächsischen Rechtsterminologie stammenden und in Deutschland zunächst durch die Rechtsprechung rezipierten sog. „Business Judgement Rule“,182 welche in § 93 Abs. 1 S. 2 AktG auch gesetzlichen Widerhall gefunden hat. Danach scheidet eine Pflichtverletzung eines Vorstandsmitgliedes dann aus, wenn dieses bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.183 Solche rein unternehmerischen Entscheidungen sind einer gerichtlichen Überprüfung generell entzogen.184

Im Laufe der Arbeit werden zunächst als Grundlage aller weiteren Überlegungen die wichtigsten Ansätze zur Begründung von Garantenstellungen dargestellt (Kapitel 1). Sodann werden in Kapitel 2 Grund und Grenzen der Strafbarkeitsrisiken der Unternehmensleitung untersucht, wobei kursorisch ←49 | 50→und mit einem klaren Schwerpunkt auf der Organisationsherrschaft die Überlegungen zur mittelbaren Täterschaft dargestellt werden (I.) und sodann ausführlicher die Geschäftsherrenhaftung und ihre Reichweite thematisiert werden (II.). Ferner werden in dieses Kapitel die Regelungen der Untreue und anderer in diesem Kontext relevanter Tatbestände (III. und IV.) miteinbezogen und es wird auf die Verantwortung im Konzern eingegangen (V.). Schließlich folgt die Untersuchung, ob und inwieweit sich Strafbarkeitsrisiken auch für den Compliance-Beauftragten ergeben (Kapitel 3), wobei ein besonderes Augenmerk auf die neuere Rechtsprechung des BGH und den Vergleich mit anderen (gesetzlich verankerten) Betriebsbeauftragten gelegt wird. Abschließend folgt noch ein kurzer Überblick über die Möglichkeiten, strafrechtliche Verantwortung durch Compliance-Maßnahmen zu vermeiden (Kapitel 4).

Schließlich sei noch erläutert, wie einige der im Folgenden häufiger auftretenden Begriffe im Sinne dieser Arbeit zu verstehen sind: So werden die Begriffe „Chief Compliance Officer (CCO)“, „Compliance Officer“ und „Compliance-Beauftragter“, sofern nicht eine ausdrückliche anderweitige Erklärung erfolgt oder aus dem Kontext ersichtlich ist, synonym verwendet.

Details

Seiten
366
Erscheinungsjahr
2019
ISBN (PDF)
9783631807750
ISBN (ePUB)
9783631807767
ISBN (MOBI)
9783631807774
ISBN (Hardcover)
9783631802755
DOI
10.3726/b16383
Sprache
Deutsch
Erscheinungsdatum
2019 (November)
Schlagworte
Unterlassensverantwortung Wirtschaftsstrafrecht Compliance-Beauftragter Unternehmen Geschäftsleitung
Erschienen
Berlin, Bern, Bruxelles, New York, Oxford, Warszawa, Wien, 2019., 366 S.

Biographische Angaben

Andreas Oonk (Autor:in)

Andreas Oonk studierte Rechtswissenschaften an der Universität Osnabrück. Nach Abschluss des ersten juristischen Staatsexamens war er drei Jahre lang als Wissenschaftlicher Mitarbeiter am Kriminalwissenschaftlichen Institut der Juristischen Fakultät der Leibniz Universität Hannover tätig. Nach Absolvierung des Referendariats und des zweiten juristischen Staatsexamens im Bezirk des OLG Celle war er als Strafverteidiger in einer wirtschaftsstrafrechtlichen Kanzlei tätig. Derzeit arbeitet er als Syndikusrechtsanwalt im Hinweisgebersystem eines der größten Autobauer der Welt.

Zurück

Titel: Strafrechtliche Verantwortlichkeit im Unternehmen im Zeitalter der Compliance