Sorgfalt. Manager trifft dann keine Haftung, wenn sie ihr unternehmerisches Ermessen nachvollziehbar ausüben.
Wien. Neben Compliance macht sich ein zweiter englischsprachiger Begriff im unternehmensjuristischen Diskurs breit: Business Judgment Rule. Nach ihr sind Management-Entscheidungen nicht an ihren Auswirkungen zu messen, sondern am Zustandekommen: Wer auf Basis ausreichender Information eine sachlich begründete Entscheidung im Interesse des Unternehmens trifft und damit unternehmerisches Ermessen ausübt, haftet demnach nicht. Doch wie spielen Compliance und Business Judgment Rule zusammen?
Manager kommen ihrer Verantwortung nach, wenn sie ihre Ziele zeitgerecht und ohne übermäßige unerwünschte Nebenwirkungen erreichen. Ziele sind etwa mehr Umsatz und neue Märkte. Nebenwirkungen sind Vorteilszuwendungen oder die Nichteinhaltung von Gesetzen. Manager konzentrieren sich naturgemäß auf die zeitgerechte Zielerreichung. Die Nebenwirkungen ziehen eher die Aufmerksamkeit der Mitarbeiter und Außenstehenden auf sich.
Juristische Dimension zu eng
Compliance deutet sprachlich auf ein – eigentlich selbstverständliches– Handeln im Einklang mit dem Recht hin. Aber Compliance als bloße Gesetzestreue zu verstehen und auf die juristische Dimension zu beschränken wäre viel zu eng. Hoher wirtschaftlicher Druck, interne Erwartungshaltung und die Komplexität von Vorschriften führen dazu, dass sich Gesetzestreue bei den Mitarbeitern nicht von selbst einstellt. Im Unternehmen muss rechtskonformes Verhalten aller Mitarbeiter und nicht nur der Leitungsorgane durch klare Vorgaben und organisatorische Maßnahmen sichergestellt werden. Compliance ist eine Managementaufgabe und ergreift präventiv Maßnahmen, um Haftungsgefahren für die Gesellschaft durch Rechtsverletzungen Einzelner zu minimieren. Diese Maßnahmen sollen helfen, Risken früh einzugrenzen. Die Einhaltung der Regeln durch den Vorstand und die Regeltreue auf untergeordneter Ebene, vor allem aber auch die Durchsetzung der Einhaltung sind der Kern der Compliance-Pflicht. Sie sind Teil der Leitungs- und Eigenüberwachungspflicht des Vorstands. Als zentrale Aufgabe der Unternehmensleitung ist die Verantwortung für Compliance insgesamt Chefsache, also Angelegenheit von Vorstand oder Geschäftsführung. Konkrete Einzelpflichten können delegiert werden.
Die eigene Regeltreue und die der nachgeordneten Ebenen müssen große internationale Konzerne und kleinere Unternehmen mit viel geringerer Risikoexposition gleichermaßen sichern. Es muss aber nicht jedes Unternehmen ein Compliance Management System haben wie das Weltunternehmen Siemens und dafür hunderte Mitarbeiter beschäftigen. Doch wie sind diese Leitungs- und Überwachungspflichten im Licht der selbst vorgegebenen Ziele konkret zu gestalten?
Dafür bietet die Business Judgment Rule eine Orientierung für sorgfaltsgemäßen Verhaltens. Diese Regel erleichtert eine strukturierte Vorgehensweise. Freilich kann selbst bei richtiger Wahrnehmung dieses Ermessens, also einer ordnungsgemäßen Compliance-Organisation, die Gesellschaft für dennoch passierte Rechtsverstöße von Dritten mit Ersatzansprüchen oder vom Staat mit Strafen (z.B. Kartellrecht) zur Verantwortung gezogen werden. Aber zumindest Regressansprüche gegen die Vorstandsmitglieder scheiden aus, was diese naturgemäß besonders interessiert.
Damit Ermessen richtig ausgeübt wird, muss das Management zunächst die Risikolage analysieren: In welchen Bereichen besteht die Gefahr von Rechtsverletzungen, welche Konsequenzen drohen? Das wird in einem Unternehmen, das sich um öffentliche Aufträge bemüht, zu anderen Ergebnissen führen als in einem produzierenden Betrieb mit Fokus auf Emissionen. Erst auf dieser Basis lassen sich die Einrichtungs- und Ausgestaltungspflichten für konkrete Maßnahmen bestimmen, zusätzlich aber bestimmte Verhaltenspflichten bei Verdachtsmomenten in einzelnen Bereichen. Auch das System muss laufend geprüft und angepasst werden, um Systemfehler erkennbar und vermeidbar zu machen. Damit muss eine entsprechende, auch personelle, Ressourcenplanung einhergehen. Alle Maßnahmen müssen angemessen und erbringbar und dürfen nicht überzogen sein – insofern geht es auch bei Compliance um die Abwägung von Kosten mit konkreten Risken.
WU-Zores um ein Glas Pernod
Diese Ausgestaltung der Organisation hängt von der Größe, der Risikogeneigtheit und der Komplexität der Abläufe ab. Zunächst sind die einzelnen Arbeitsbereiche, die Regulierungsdichte, das Risiko der Nichteinhaltung von Regelungen zu identifizieren und die Verhaltenspflichten und der Kontrollablauf zu setzen. Nicht immer sind absolute Regeln angebracht, vielmehr sollen Pflichten verhältnismäßig zum Ziel vorgesehen werden. Compliance ist nicht Compliance. Verschiedene Situationen müssen unterschiedlich behandelt werden. So sind bedarfsgerecht Abweichungen im Einzelfall zu ermöglichen, zum Teil Toleranzschwellen oder nachträgliche Genehmigungsmöglichkeiten festzulegen. Wenn, wie an der WU geschehen, Erklärungsnot entsteht, weil bei einem dienstlichen Abendessen auch ein Glas Pernod für 5,70 Euro mit – intern verbotenen – 40% Alkoholgehalt konsumiert wurde, stimmt etwas nicht. Es gibt aber Bereiche, in denen starre Grenzen gelten müssen.
Pflichten nicht übertreiben
In der Praxis wird vielfach versucht, betriebswirtschaftliche Standards festzulegen. Diese entfalten zunächst keine weitergehenden Bindungswirkungen für den Vorstand. Ihre Beachtung schließt eine Pflichtverletzung nicht generell aus. Sie beeinflussen die Compliance-Praxis insofern, als sie zunehmend als Vergleichsmaßstab dienen und damit auch Organisationsstandards setzen. Dabei besteht allerdings die Gefahr, dass der Pflichtenstandard ohne Berücksichtigung der konkreten Anforderungen des Unternehmens hinaufgeschraubt und jede Nichteinhaltung als Verletzung der Sorgfaltspflicht verstanden wird – damit würden aber die Kriterien der Erforderlichkeit und Verhältnismäßigkeit aus dem Blick geraten.
Dahinter lauert noch etwas: Compliance ist kein System mit Selbstzweck. Es geht nicht darum, alles ordentlich nachzuvollziehen, was „dem“ guten Standard entspricht, also Listen abzuhaken. Sondern darum festzulegen, was angesichts der konkreten Ausgangslage ein guter Standard gerade für das betroffene Unternehmen ist; dass die Ergebnisse abweichen können, liegt in der Natur der Sache.
Wer dies anders sieht, leistet einer gefährlichen Tendenz Vorschub: Derzeit entstehen schon völlig eigenständige – letztlich vor allem beratergetriebene – Systeme mit Selbstzwecktendenzen, welche die Ziele des Unternehmens nicht mehr ausreichend im Blick behalten. Normtreue ist gut und wichtig, im Unternehmen selbst geschaffene oder übernommene Normen dürfen aber nicht zum Selbstzweck mit Fesselwirkung werden. Sonst läuft das eigene Regelsystem Gefahr, zu eng für operative Geschäfte zu werden und vor allem Selbstbeschäftigung zu fördern. Dem Unternehmen wäre aber damit sicherlich am wenigsten gedient.
Univ.-Prof. Kalss und Univ.-Prof. Winner lehren Unternehmensrecht an der WU Wien.
("Die Presse", Print-Ausgabe, 21.09.2015)