Compliance im Konzern: Risiken und Möglichkeiten für Vorstand und Unternehmen

veröffentlicht am 22. November 2018

International tätige Konzerne sind oft noch unzureichend auf Compliance-Risiken vorbereitet. Das zeigt auch das Ergebnis einer Umfrage von KrollDiscoveryAa aus dem Jahr 2017: Die Mehrheit der befragten Unternehmen gab an, die Vielzahl an Gesetzen und Vorschriften im grenzübergreifenden Geschäftsverkehr kaum zu überblicken sowie sich zugunsten des Unternehmenserfolgs an lokale Gegebenheiten anzupassen, auch wenn diese mit dem deutschen Recht in Konflikt stehen.

Die spezifische Organisationsform des Konzerns wirft in dem Zusammenhang die Frage auf, ob und ggf. in welchem Umfang das herrschende Konzernunternehmen und die entsprechenden Leitungsorgane zuständig für die Compliance-Risiken der Tochtergesellschaften sind – also sie nicht nur die Verantwortung für nationale, sondern auch internationale Compliance-Verstöße tragen.

Compliance und Compliance-Management-System: 2 Begriffe mit großer Wirkung

Abgeleitet vom englischen Verb „to comply” wird unter „Compliance” die generelle Einhaltung sämtlicher für das Unternehmen relevanter gesetzlicher Pflichten, Vorschriften und Richtlinien sowie interner Regularien und Kodizes verstanden.

Ein „Compliance-Management-System” ist auf die Vermeidung von Rechtsverstößen und potenziellen Haftungsfällen von Unternehmen und Unternehmensleitung gerichtet und soll die Verantwortlichen in die Lage versetzen, bei Verdachtsmomenten eingreifen zu können.

Compliance-Verantwortung des Vorstands der Konzerngesellschaft

Zu den Kernpflichten eines Vorstandsmitglieds gehört es, sich gesetzestreu zu verhalten. Dabei ist diese Legalitätspflicht nicht auf die eigene Rechtstreue beschränkt, wie bereits das viel zitierte Urteil des Landgerichts München I vom 10. Dezember 2013 (Az.: 5 HKO 1387/10) zeigt:

Das Gericht hat den Ex-Vorstand von Siemens mittelbar dafür verantwortlich gemacht, dass sich während seiner Vorstandstätigkeit – wenn auch ohne sein Wissen – ein System „schwarzer Kassen” entwickelt hatte, aus denen mit den dort geparkten finanziellen Mitteln Korruptionszahlungen geleistet wurden. Vor diesem Hintergrund verurteilte das Landgericht den Ex-Vorstand zu einer Zahlung i.H.v. 15 Mio. Euro an seinen früheren Arbeitgeber als Schadensersatz – was bei einem deutschen Unternehmen erstmals wegen eines unzureichenden Compliance-Systems geschah.

Begründet wurde das damit, dass es nach Auffassung des Gerichts zur Leitungsaufgabe und Organisationsverantwortung des Vorstands gehört, nach besten Kräften dafür zu sorgen, dass das Unternehmen und seine Mitarbeiter „sämtliche Vorschriften einhalten, die das Unternehmen als Rechtssubjekt treffen”. Die Geschäftsleitung genügt nur dann ihrer Leitungsaufgabe, wenn sie dafür Sorge trägt, „dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine derartigen Gesetzesverletzungen stattfinden”.

Doch das ist „nur” die zivilrechtliche Betrachtungsweise. An sie knüpft an bzw. geht ihr noch eine strafrechtliche bzw. ordnungswidrigkeitenrechtliche Ansicht voraus, die zudem sowohl für die Privatperson als auch das Unternehmen existenzbedrohende Wirkung entfalten kann.

Von den zusätzlich einhergehenden Imageschäden sind die immensen Bußgeldrisiken, etwaige Vermögensabschöpfungen, Steuernachforderungen, Vertragsaufhebungen, Beraterkosten und Schadensersatzforderungen ganz zu schweigen.

Der Fall Siemens hat durch die Verhängung von Strafen von 239 Mio. Euro allein in Deutschland und 520 Mio. Euro Steuernachzahlungen bereits auf spektakuläre Weise demonstriert und ein Zeichen gesetzt, wie künftig in ähnlich gelagerten Fällen vorgegangen werden wird.

Es bedarf daher einer präventiven Strategie zur Vermeidung von Haftungsinanspruchnahmen. Das wird durch die Einführung eines Compliance-Management-Systems sowohl in zivil-, steuer- als auch strafrechtlicher Hinsicht erfüllt.

Konzernweite Dimension der Compliance-Verantwortung

Im Konzern ist daher jeder einzelne Geschäftsleiter der einzelnen Konzernunternehmen – Konzernmutter und Tochtergesellschaften – verpflichtet, für rechtmäßiges Verhalten innerhalb seiner Gesellschaft zu sorgen.

Die Compliance-Verantwortung der Leitungsorgane der Konzernmutter erstreckt sich aber zudem auch auf dessen in- und ausländische Tochter- und Enkelgesellschaften. Die Geschäftsführungsorgane der Konzernmutter sind für das Compliance-Verhalten aller Konzernunternehmen und deren Mitarbeiter verantwortlich.

Abgeleitet wird die konzernweite Dimension der Compliance-Verantwortung zum einen aus Punkt 4.1.3. des Deutschen Corporate Governance Kodex (DCGK), wonach der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken hat. Daneben wird die konzernweite Compliance-Pflicht z.T. aus § 91 Abs. 2 AktG, aber auch aus dem Eigeninteresse der Konzernobergesellschaft an einer Schadensabwehr abgeleitet.

Unabhängig von der Quelle der Verpflichtung besteht Einigkeit dahingehend, dass die Geschäftsleitung der Konzernobergesellschaft ihr gegenüber verpflichtet ist, die Beteiligungsrechte in den Konzernunternehmen sorgfältig und gewissenhaft auszuüben, die Entwicklungen im Konzern zu überwachen und Schäden bei den Konzernunternehmen vorzubeugen. Dazu gehört auch, Risiken durch Compliance-Verstöße bei den Tochtergesellschaften durch eine konzernweite Legalitätskontrolle entgegenzuwirken.

„Eltern haften für ihre Kinder”: Compliance-Verstöße und die Auswirkungen auf den Konzern

Gerade international tätige Konzerne sollten daher ein Interesse daran haben, dass sich der gesamte Konzern, d.h. Konzernmutter sowie Tochter- und Enkelgesellschaften, „compliant” – also rechtmäßig – verhalten. Denn Compliance-Verstöße in den Untergesellschaften können weitreichende Folgen für die Konzernmutter nach sich ziehen, da nicht nur die Gesellschaft, in der der Compliance-Verstoß stattfindet, einem Sanktionierungs- und damit einem Haftungsrisiko unterliegt, sondern der gesamte Konzern.

Bereits die 9. GWB-Novelle führte zu einer starken Ausweitung der kartellrechtlichen Bußgeldhaftung, indem eine konzernweite Haftung eingeführt wurde. Wird innerhalb eines Konzerns gegen Kartellrecht verstoßen, haftet die Konzernmutter nach ständiger Rechtsprechung der Unionsgerichte nicht nur für eigenes Verschulden, sondern auch für das Fehlverhalten ihrer Tochtergesellschaften (vgl. EuGH, Urteil vom 10. September 2009, C-97/08 – „Akzo Nobel”). Einzige Voraussetzung dafür ist, dass die Muttergesellschaft bestimmenden Einfluss auf das Verhalten ihrer Tochtergesellschaften ausübt.

Diese konzernweite Betrachtung setzt sich im neuen Datenschutzrecht nach Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 fort. Hier kann die Ausübung der Leitungsmacht durch ein Konzernunternehmen zu einer persönlichen Haftung der Organe der Konzernmutter führen. Daneben orientiert sich der Sanktionsrahmen am Konzernjahresumsatz, wonach Unternehmen mit bis zu 15 Prozent des gesamten Konzernjahresumsatzes sanktioniert werden können.
Einschlägige nationale und länderspezifische Vorschriften bestimmen die strafrechtlichen und ordnungswidrigkeitenrechtlichen Sanktionen. Dabei ist anzumerken, dass gerade das Strafrecht an den Grenzen nicht Halt macht.

Folgerichtig sollten sich Geschäftsführungs- und Aufsichtsorgane intensiver mit der Frage auseinandersetzen, wie die Einhaltung von Gesetzen, vertraglichen Verpflichtungen und internen Regelungen und Richtlinien im gesamten Konzern effizient sichergestellt werden kann, um derartige negative Folgen – insb. strafrechtliche Sanktionen sowie Bußgelder – zu vermeiden.

Grenzen und Mindestinhalte der Compliance-Pflicht als Konzernleitungsaufgabe

Inhalt und Umfang der konzernweiten Compliance-Verantwortung der Konzernmutter bestimmen sich im Einzelfall nach der jeweiligen Konzernstruktur und der gesellschaftsrechtlichen Grenzen der Einwirkungsmacht der Muttergesellschaft auf die Tochtergesellschaften.

Denn grundsätzlich darf die Konzernmutter darauf vertrauen, dass die Leitungsorgane der Tochtergesellschaften in eigener Verantwortung und in Erfüllung ihrer Organpflichten selbst auch ausreichende und angemessene Compliance-Maßnahmen einführen und unterhalten. Das entbindet die Konzernmutter aber nicht, innerhalb ihrer rechtlichen und tatsächlichen Möglichkeiten darauf Einfluss zu nehmen.

Trotz der gesellschaftsrechtlichen Grenzen der Einwirkungsmacht, die je nach Konzernierungsform unterschiedlich verlaufen, lassen sich deshalb bestimmte Grundverpflichtungen für den Konzernvorstand bestimmen:

Begründung der Zuständigkeit für die konzernweite Compliance auf Ebene der Konzernmutter,
durchgängige bis zum Konzernvorstand reichende Berichtslinie aller Compliance-Beauftragten im Konzern,
konzernweit geltender Verhaltenskodex sowie verbindliche Compliance-Grundsatzrichtlinien im Konzern,
regelmäßige Überprüfung aller Konzerngesellschaften im Hinblick darauf, ob die konzernweiten Compliance-Vorgaben eingehalten und gelebt werden.

Zusammengefasst ist es erforderlich, konzerninterne Strukturen zu schaffen, die zumindest eine grundsätzliche Überwachung des wesentlichen Geschäftsgangs der Tochtergesellschaften ermöglichen. Gravierende Unregelmäßigkeiten dürfen der Konzernleitung nicht über einen längeren Zeitraum verborgen bleiben.

In dem Zusammenhang ist auch das Urteil des Bundesgerichtshofs (BGH) vom 9. Mai 2017 (Az.: 1 StR 265/16) zu erwähnen. Im Rahmen dieser Entscheidung hat sich ein Gericht erstmals zu den positiven Auswirkungen eines (effektiven und gelebten) Compliance-Management-Systems geäußert.

Bereits im Jahr 2016 hat das Bundesministerium für Finanzen (BMF) in seinem Schreiben zu § 153 AO ausgeführt, dass ein funktionierendes Tax-Compliance-Management-System zu einer Verneinung des Vorsatzes bei der Hinterziehung von Steuern im Unternehmensbereich führen kann.

Die Maßgabe des BMF griff der BGH nun auch in seinem Urteil vom 9. Mai 2017 auf. Explizit äußert sich der BGH dahingehend, dass ein funktionierendes Compliance-Management-System bei der Entscheidung über die Verhängung einer Unternehmensgeldbuße gem. § 30 OWiG bußgeldreduzierend wirken kann. Damit werden von höchstrichterlicher Seite die enormen Anstrengungen eines Unternehmens, ein Compliance-Management-System aufzubauen oder zu verbessern, honoriert – und zwar zu jedem Zeitpunkt. Die bußgeldmindernde Wirkung stellt der BGH gerade auch während eines laufenden Verfahrens in Aussicht.

Compliance-Herausforderung der Zukunft: Anzeigepflicht für grenzüberschreitende Steuergestaltungen

Am 25. Mai 2018 hat der Rat die 6. Änderung zur EU-Amtshilfe-Richtlinie (DAC 6) in Bezug auf den verpflichtenden automatischen Informationsaustausch im Bereich der Besteuerung über meldepflichtige grenzüberschreitende Gestaltungen 2018 gebilligt. Ziel ist es, aggressive grenzüberschreitende Steuerplanung durch mehr Transparenz zu verhindern.

Erstmals zum 31. Oktober 2020 sollen sich die Mitgliedstaaten die Informationen im Rahmen des automatischen Informationsaustauschs gegenseitig zur Verfügung stellen.

An die jeweiligen nationalen Behörden müssen Berater oder die Steuerpflichtigen selbst berichten. Die Mitgliedstaaten haben bis zum 31. März 2019 Zeit, die Rechtsänderungen in ihr jeweiliges nationales Recht zu übernehmen.

Außerdem wurde seit dem Jahr 2015 die EU-Amtshilferichtlinie wiederholt überarbeitet und der automatische Informationsaustausch stets sukzessive ausgedehnt. Am 25. Mai 2018 hat der Europäische Rat nun beschlossen, künftig noch mehr Daten zu Steuerzahlungen von Unternehmen zu sammeln und auszutauschen. Die 6. Änderung zur EU-Amtshilfe-Richtlinie sieht nun vor, dass bestimmte grenzüberschreitende Steuergestaltungen bei Ertragsteuern von Intermediären wie Rechtsanwälten, Wirtschaftsprüfern oder Steuerberatern, respektive den Unternehmen, an die jeweiligen nationalen Finanzverwaltungen gemeldet werden müssen. Hiervon sollen nach der Gesetzesbegründung v.a. die Fälle erfasst werden, bei denen konzerneigene Steuerabteilungen optimierende Steuermodelle entwickeln.

Bei vorsätzlichem oder leichtfertigem Unterlassen der Anzeige, Einreichung einer unvollständigen Anzeige oder Einreichung mit Verspätung drohen Bußgelder bis zu 100.000 Euro.

Vor diesem Hintergrund sind gerade Konzerne und deren Leitungsorgane gut beraten, die aktuellen Entwicklungen im Zusammenhang mit der Änderung der EU-Amtshilferichtlinie zu verfolgen und entsprechend umzusetzen.

Fazit

Eine Konzernobergesellschaft muss mit den ihr zur Verfügung stehenden Mitteln auf ein effektives Compliance-Managementsystem bei den Tochtergesellschaften hinwirken oder dessen Bestand sichern. Sie muss diejenigen Aufsichts- und Organisationsmaßnahmen ergreifen, die geeignet, erforderlich und zumutbar sind, um auch dort Zuwiderhandlungen gegen betriebsbezogene Pflichten zu verhindern.

Praxisempfehlung: Entscheidendes Element im Rahmen der Wahrnehmung der konzernweiten Compliance-Verantwortung ist jedoch das ernsthafte Bekenntnis des Konzernvorstandes zur Rechtsstreue. Diese klare Kommunikation des Vorstands zum Thema Compliance ist oftmals wegweisend für Geschäftsentscheidungen, gerade in schwierigen und herausfordernden Situationen. Compliance als wirksames Instrument, insbesondere zur Vermeidung strafrechtlicher Haftung, bedarf des Gelebtwerdens. Es ist häufig nur ein kleiner Schritt, die bestehenden Regularien anzupassen bzw. zu aktualisieren, aber ein großer Schritt zur Haftungsvermeidung.