Nachdem es vor einigen Jahren noch üblich war, Fälle der Managerhaftung im Stillen mit einem „goldenen Handschlag“ zu lösen und die alleinige Konsequenz von Pflichtverletzungen oftmals ausschließlich in der Trennung von Geschäftsführern und Vorständen lag, hat sich dieses Bild in den letzten Jahren aus Sicht der Führungsebene teils dramatisch geändert.
Hintergrund hierfür ist, neben der zunehmenden Selbstverständlichkeit auch Führungspersonal für Fehlverhalten in Anspruch zu nehmen ebenfalls die gestiegene öffentliche Wahrnehmung und die damit einhergehende größere mediale Berichterstattung. Auch die immer weiter fortschreitende Internationalisierung der Gesellschaften und die damit verbundene Übernahme ausländischer Verhaltensmuster – insbesondere im Hinblick auf den amerikanischen Raum und der dort verankerten Anspruchsmentalität – führt zu einem Anstieg jener Fälle, in denen Geschäftsführer und Vorstände für von ihnen (mit-)verursachte Schäden persönlich in Anspruch genommen wurden und zunehmend werden.
Managerhaftung wegen fehlender Compliance Organisation
Für Aufsehen sorgte in den vergangenen Jahren ein Urteil des Landgerichts München, in welchem ein ehemaliges Vorstandsmitglied dazu verurteilt wurde 15 Mio. EUR an seinen früheren Arbeitgeber als Schadensersatz dafür zu bezahlen, dass er es versäumt hatte, ein funktionierendes Compliance Management System in der Gesellschaft zu errichten.
In seiner Urteilsbegründung führte das Gericht unter anderem aus, dass der Vorstand dafür Sorge zu tragen hat, dass das Unternehmen so organisiert und beaufsichtigt wird, dass bei entsprechender Gefährdungslage keine Gesetzesverstöße (…) erfolgen. Seiner Organisationspflicht würde der Vorstand, so das Gericht, nur dann genügen, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet.
Zwar hatte der Vorstand sich im Rahmen seiner Verteidigung darauf berufen, dass die Einrichtung und Kontrolle eines wirksamen Compliance-Systems nicht seiner Ressortverantwortung unterfallen sei. Dem ist das Gericht jedoch mit dem Hinweis entgegengetreten, dass die Errichtung und Kontrolle eines entsprechenden Systems dem Gesamtvorstand obliege und eine Zuweisung die Geschäftsleitung nicht grundsätzlich von ihrer Verpflichtung befreien könne. Dementsprechend gehöre die Sicherstellung der Einhaltung des Legalitätsprinzips und die daraus resultierende Pflicht zur Einrichtung eines funktionierenden Compliance-Systems zur Gesamtverantwortung eines Vorstandes.
Das Gericht ist in seinem Urteil damit über die Verpflichtung der Geschäftsleitung selbst Gesetze einzuhalten hinausgegangen, indem es diese dahingehend erweitert hat, dass es auch zu den Pflichten der Geschäftsleitung gehört, Gesetzesverstöße anderer im Unternehmen tätiger Personen aktiv durch die Errichtung entsprechender Sicherheitsmechanismen zu verhindern.
Zwar ist es in Teilen umstritten, ob aus dem Urteil des Landgerichts München eine generelle Verpflichtung zur Errichtung eines Compliance-Systems herausgelesen werden muss. Das Urteil ist zumindest jedoch als richtungsweisend anzusehen. Zur Absicherung der Geschäftsführung wird daher auch mittelständischen Unternehmen empfohlen, ein entsprechendes Compliance-System zu errichten und dessen tatsächliche Funktionalität fortwährend zu überwachen sowie bei Bedarf entsprechend anzupassen.
Welchen Umfang das Compliance-System im Einzelnen haben muss, richtet sich dabei nach der Größe und Organisation des Unternehmens, seiner internationalen Präsenz sowie möglichen Verdachts- oder Schadensfällen aus der Vergangenheit.
Errichtung eines Compliance-Systems
In einem ersten Schritt hat eine Identifizierung der allgemeinen sowie branchen- und unternehmensspezifischen Risikobereiche zu erfolgen, in denen sich das Unternehmen bewegt. Anschließend sind die gesetzlichen Rahmenbedingungen sowie hieraus resultierende Prozessanforderungen zu ermitteln (Risikoanalyse).
Relevante Risikobereiche sind hierbei beispielsweise:
– Korruptionsstraftaten sowie Geldwäscheprävention
– Unlauterer Wettbewerb sowie kartellrechtliche Anforderungen
– Verletzung von Datenschutzrichtlinien und Geheimhaltungspflichten
– Arbeitnehmerregelungen (Mindestlohngesetz, Arbeitszeiten, Scheinselbstständigkeit)
– Produkthaftung/Produktsicherheit
– Einhaltung von Umweltstandards
– etc.
Im Anschluss an die Risikoanalyse ist zu bewerten, welche Regelungen und Kontrollsysteme bereits im Unternehmen vorhanden sind und ob diese (z.B. Vieraugenprinzip, Vertragsmanagement, Vergabeprinzipien, Verhaltensregelungen, arbeitsvertragliche Regelungen) bereits ausreichen, den festgestellten Risiken angemessen entgegenzutreten.
Soweit festgestellt wird, dass kein ausreichendes Regelwerk sowie Kontrollsystem besteht, hat die Formulierung eines entsprechend umfassenden (ergänzenden) Regelwerks und dessen anschließende Implementierung im Unternehmen zu erfolgen. Mit einhergehend ist hierbei die Errichtung entsprechender Kontroll- sowie Meldestellen, die die Einhaltung der Regelungen überwachen sowie Mitarbeitern die Möglichkeit geben, festgestellte Verstöße gegen die Compliance-Richtlinien zu melden, ohne hierdurch gegen sich selbst Sanktionen befürchten zu müssen.
Letztlich muss auch gewährleistet sein, dass festgestellte Verstöße verfolgt und sanktioniert werden. Danach ist es wichtig, das System auf Schwachstellen hin zu überprüfen und ggf. anzupassen, um neuerliche Verstöße zu unterbinden.
Axel Steiner
Rechtsanwalt
