Compliance zwischen Mode, Markt und Managementpflicht

Die freiwillige Einführung von Compliance-Regeln zahlt sich für Unternehmen mit Blick auf Strafbarkeitsrisiken des Verbandes aus.

Rund um die Jahrtausendwende ist es in der Welt des Rechts in Österreich zu einem Modernisierungsschub gekommen. Strafrechtsbezogen ist zunächst eine Änderung der Verfolgungspraxis zu konstatieren: die „Kleinen“ werden nicht mehr „gehängt“, sondern erhalten eine Diversion, also keine Vorstrafe mehr für kleine kriminelle Verfehlungen. Die frühere richterliche Voruntersuchung der StPO ist mit dem am 1.1.2008 in Kraft getretenen Strafprozessreformgesetz des Jahres 2004 ausgemustert und durch ein neues staatsanwaltliches Ermittlungsverfahren ersetzt worden.

Paradigmenwechsel im Strafrecht

Die neue Struktur des Vorverfahrens hat zu einer Verdoppelung der Anzahl der Staatsanwälte geführt. Damit ist ein frischer Wind in die staatsanwaltlichen Behörden eingezogen, der – teils wohl gepaart mit etwas Übermut – die Strafverfolgungspraxis nachhaltig verändert, dabei insbesondere auch verschärft hat. Strafrechtliche Großverfahren sind keine Seltenheit mehr. Aufgrund EU-rechtlicher Vorgaben ist mit Wirksamkeit ab 1.1.2006 gegen teils heftigen Widerstand ein Unternehmensstrafrecht (mit der unklaren bis irreführenden Bezeichnung „Verbandsverantwortlichkeitsgesetz“) eingeführt worden.

Nicht zu vergessen: Compliance ist auch ein großer neuer Markt. Die Nachfrage nach strafrechtlicher Beratung und Vertretung/Verteidigung übersteigt seit einiger Zeit das (herkömmliche) Angebot an Rechtsberatung. Viele wittern das Geschäft, auf den „Marktplätzen“ herrscht großes Gedränge. Strafverteidigung, über die noch in den 1990er Jahren viele (auch und gerade anwaltliche) Berufskollegen die Nase rümpften, ist in Österreich salonfähig gewonnen – jedenfalls im Bereich von white collar.

All das lässt sich als Paradigmenwechsel im Wirtschafts- und Unternehmens-Strafrecht beschreiben. In diesem Kontext ist Compliance natürlich auch ein Modewort, ein Zauberwort, das auf einen neuen Umgang mit strafrechtlichen Risiken, die größer geworden sind, verweist. Faktum ist, dass es vielfältige neue Herausforderungen zu bewältigen gilt.

Alter Wein in neuen Schläuchen?

Das Wort Compliance stammt aus dem angloamerikanischen Rechtskreis und bedeutet übersetzt Einhaltung oder Befolgung bestimmter Gebote (engl.: to comply with). Dieser Begriff hat in die österreichische Rechtskultur – vor allem im Wirtschafts- und Unternehmensstrafrecht – seit einigen Jahren Eingang gefunden. Freier übersetzt, kann man Compliance in einem normativen Sinn wohl am besten mit Rechtstreue umschreiben. Die Mindestanforderung an die Leitungsaufgabe Compliance ist, dass sich Unternehmen und deren Organe im Rahmen der Gesetze bewegen und ihr Verhalten danach ausrichten sollen. Dieses rein rechtliche Verständnis von Compliance wird als Hard-Compliance bezeichnet. Soweit sich diese Verpflichtung an natürliche Personen richtet, werden damit grundsätzlich keine neuen Aspekte aufgezeigt. Anders verhält es sich jedoch mit der Inpflichtnahme von Unternehmen (juristischen Personen) und der Proklamation einer neuen Rechtskultur. Ein solches Verständnis von Compliance bringt sehr wohl Neues hervor.

Bestehende Pflichten werden konkretisiert

Um einen breit gedachten Verantwortungskreis ernst zu nehmen, werden Compliance-Regeln geschaffen, die gewährleisten sollen, Rechtsverstöße jeglicher Art hintanzuhalten. Es werden damit im Ergebnis Pflichten, die ohnehin schon durch die Rechtsordnung vorgegeben sind, konkretisiert. Criminal Compliance meint dabei die Befolgung strafbewehrter Aufsichtspflichten.
Es wird in Compliance-Regelwerken festgeschrieben, wie sich Mitarbeiter und auch Führungsorgane zu verhalten haben, um unternehmensdefinierte Ziele durch die Erfüllung von Vorgaben zu erreichen. Daher meint Compliance in diesem Zusammenhang ein Konglomerat von Pflichten, die gezielt zur Beherrschung der mit dem Betrieb eines Unternehmens verbundenen Gefahren und Risiken eingesetzt werden. Dieses prozedurale Vorgehen dient zur Einhaltung von gesetzlichen, teilweise aber auch ethischen oder sonstigen Zielvorgaben. Wenn es um die Einhaltung von moralischen, ethischen bzw. betriebswirtschaftlichen Gesichtspunkten geht, spricht man von Soft-Compliance.

Ferner muss man zwischen freiwilligen und zwingenden – also gesetzlich vorgeschriebenen – Compliance-Maßnahmen unterscheiden. Für das Gros der Wirtschaftssparten sind Compliance-Organisation und -Maßnahmen nicht gesetzlich vorgeschrieben (freiwillige Compliance-Organisation). Deren Schaffung basiert anders ausgedrückt auf Gutdünken der Unternehmer. Jedoch gibt es Branchen (Banken, Börsen), für die der Gesetzgeber die Einführung von Compliance-Organisationen zwingend vorgesehen hat.

Schutz- und Schulungsfunktion

Die Ziele von Compliance-Systemen sind vielfältigster Natur: Prima vista soll das Unternehmen durch Compliance-Regeln von innen heraus als so genannte „Binnenrechtsordnung“ von bewussten wie unbewussten Regel- und Rechtsverstößen der Organe am eigenen Unternehmen geschützt werden (Schutzfunktion von Compliance). Dies soll sicherstellen, dass Risiken wie Haftungsansprüche, Strafen und andere Nachteile wie Reputationsschäden für das Unternehmen so weit wie möglich minimiert werden. Compliance soll durch Früherkennung und Gefahrenprävention eine Viktimisierung des Unternehmens verhindern. Kurz gesagt: Compliance schützt das Unternehmen auch vor einer Opferwerdung durch die eigenen (korrupten) Mitarbeiter und Führungskräfte. Ferner werden durch Compliance-Regeln die eigenen Organe untereinander geschützt. Durch ständige Konfrontation mit Compliance-Regeln und dem Bemühen diese einzuhalten unterliegen Organe einem Lernprozess, da die Kenntnis von Normen Voraussetzung dafür ist, sein eigenes Verhalten danach auszurichten. Daher ist es notwendig, dass die Compliance-Verantwortlichen die normunterworfenen Organe hinsichtlich der geltenden Regeln up-to-date halten und bezüglich der gewünschten und angestrebten Verhaltensweisen unterrichten; anders ausgedrückt: sie schulen und ihnen Lern-Unterlagen zur Verfügung stellen (Schulungsfunktion von Compliance). Auch ist mit dieser Schulungsfunktion eine Qualitätssicherungsfunktion von Compliance verbunden. Vor allem aber bildet sie die Basis dafür, dass die Regelkomplexe von Mitarbeitern richtig verstanden und in der Folge entsprechend angewendet werden können. Um eine größtmögliche Schutzwirkung zu erreichen, ist es des Weiteren zwingend erforderlich, Überprüfungen bezüglich der Compliance-Konformität des Verhaltens der Regelunterworfenen vorzunehmen (Qualitätsfunktion von Compliance).

Auf legalem Weg ans Ziel

Es wird versucht, die angestrebten Compliance-Ziele durch die Trias Risikomanagement, Internes Kontrollsystem und Interne Revision sicherzustellen. Es wird mit Hilfe von Compliance intendiert, Risiken sichtbar zu machen und diese anschließend durch positive Verhaltenssteuerung in Gestalt von Sollenssätzen zu minimieren. Die Organe sollen durch die Compliance-Regelwerke dazu angehalten werden, die festgelegten Ziele des Unternehmens auf legalem Weg zu erreichen. Um dies zu gewährleisten, sichern Interne Kontrollsysteme die Einhaltung gesetzlicher- und unternehmensinterner Compliance-Vorgaben. Weisungen eignen sich hierbei als Kontrollmaßnahmen am besten. Durch diese wird nämlich versucht, das unkontrollierte Abfließen von insbesondere geistigem Eigentum und Betriebsgeheimnissen aus dem Unternehmen zu verhindern. Zu guter Letzt soll die Interne Revision Prozesse im Unternehmen auf Übereinstimmung mit Compliance-Regeln überprüfen und die den internen Vorgaben widerstrebenden Maßnahmen demaskieren. Compliance-Ziele und -Aufgaben können am zielgerechtesten von einer Compliance-Organisation umgesetzt werden, welche funktionell als Teil der Unternehmensorganisation besteht.

Regeln nicht verallgemeinerbar

Inhalt und Umfang von Compliance-Regeln unterliegen keinen allgemein gültigen Regeln und keinem Schematismus – von dem gesetzlichen Mindestinhalt bei zwingenden Compliance-Organisationen einmal abgesehen. Mit anderen Worten: Compliance-Regeln sind nicht verallgemeinerbar und in der Regel auch nicht übertragbar, da sie überwiegend eine Funktion der Größe, Spezifika und Komplexität von Unternehmen sind. Außerdem ist deren Zustandekommen durch die Abwägung der verursachten Kosten und dem daraus resultierenden Nutzen bedingt (ökonomische Kosten-Nutzen-Analyse). Compliance-Regelwerke sind überdies auch keine konstante Größe. Vielmehr sind sie dynamischer Natur, so wie auch die Summe des gültigen Rechtsnormbestandes oder der Markt selbst variable Größen sind. Unternehmen müssen als Ausfluss dessen am „Puls der Zeit“ bleiben und Compliance-Regeln einem ständigen, auf aktuelle Ereignisse Rücksicht nehmenden Reformprozess unterwerfen. Überhaupt sollten sich Unternehmen die fundamentalste aller mit Compliance verbunden Fragen stellen: „Zahlt sich ein Compliance-System für mich aus bzw. kann ich mit dem Schaden aus Normverstößen leben, oder bin ich gar von Gesetzes wegen verpflichtet, in meine Organisation Compliance-Regeln einzuführen?“ – und gegebenenfalls: „In welchem Umfang brauche ich Compliance in meiner Organisation?“

Risiko der Strafe wird nicht erhöht

Zunächst ist festzuhalten, dass das Strafrecht vom fundamentalen rechtsstaatlichen Grundsatz „Keine Strafe ohne Gesetz“ bestimmt wird (§ 1 StGB und Art. 7 EMRK), was die Rechtsanwender ausnahmslos an das gültige positive Recht bindet. Da Compliance-Regeln keine Gesetze und auch keine anderen hoheitlichen Rechtsnormen wie beispielsweise Verordnungen sind, scheiden sie als unmittelbar anwendbares Recht kategorisch aus. Es ist jedoch denkbar, dass über auslegungsbedürftige strafrechtliche Tatbestandsmerkmale Compliance-Regeln ins Spiel kommen können. Dies lässt sich etwa am Beispiel des Untreuetatbestandes unseres StGB sehr gut zeigen. Wie steht es mit dem Einfluss von Compliance-Regeln auf die objektive Sorgfaltswidrigkeit? Erhöhen sie das Risiko, wegen eines Fahrlässigkeitsdelikts bestraft zu werden? Die Antwort lautet: nein, jedenfalls nicht in der Regel. Erst wenn Compliance-Regeln als Standard allgemeine Geltung im gesamten Verkehrskreis erlangt haben und daher in der Unternehmenspraxis gefestigte Grundsätze darstellen, können sie den objektiven Sorgfaltsmaßstab beeinflussen. Insofern müssen Unternehmen und Entscheidungsträger nicht befürchten, dass sie durch die Einführung von Compliance-Regeln das Risiko erhöhen, für ein Fahrlässigkeitsdelikt strafrechtlich verantwortlich gemacht zu werden.

Kontrolle nicht überbewerten

Die freiwillige Einführung von Compliance-Regeln zahlt sich für Unternehmen mit Blick auf Strafbarkeitsrisiken des Verbandes somit aus, und zwar selbst dann, wenn die Installierung eines Compliance-Regelwerks erst als Reaktion auf eine Mitarbeitertat erfolgt. In einem gleichen Sinne kann auch eine gesetzlich vorgesehene Compliance-Organisation exkulpierende Wirkung in Bezug auf die strafrechtliche Haftung von Verbänden haben. Es hieße aber einäugig zu agieren, wenn man nicht in Rechnung stellen würde, dass eine Überbewertung von Kontrolle in Unternehmen auch eine Gefährdung von wünschenswerter ownership culture bei Mitarbeitern sein könnte.