Home
Intern
veröffentlicht am 10. März 2020 | Lesedauer ca. 4 Minuten
Ein Kommentar von Christoph Naucke, Zertifizierter Compliance Officer und zertifizierter Datenschutzbeauftragter
Der Entwurf des Verbandssanktionengesetzes aus dem Haus der Bundesjustizministerin schlägt hohe Wogen. Von einem „Risiko für den Wirtschaftsstandort Deutschland” bis zu „endlich ein Drohszenario”, so weit reicht das Spektrum der Meinungen. Bei aller Bedeutung des Themas sollte nicht übersehen werden: Auch ohne ein sogenanntes „Unternehmensstrafrecht” ist der Verzicht auf ein Compliance Management System (CMS) keine empfehlenswerte Option. Mit Augenmaß und der richtigen Schrittfolge ist das kein Hexenwerk.
Der Entwurf zum Verbandssanktionengesetz vom September 2019, oft auch als Unternehmensstrafrecht bezeichnet (wir berichteten hierzu in unserer letzten Ausgabe), gehört zu den Themen, um die es auf den offiziellen Kanälen der Bundesregierung sehr ruhig ist. Auffällig ruhig. Die Ressortabstimmung dauere noch an, so die diplomatische Antwort der Pressestelle der Bundesjustizministerin auf unsere Frage dazu.
Man darf davon ausgehen, dass hinter den Kulissen ein erbitterter Streit tobt. Für die SPD, speziell für die Justizministerin, geht es offensichtlich um eine Herzensangelegenheit. Die Union wiederum hat augenscheinlich wenig Sympathie für den vorliegenden Entwurf. Noch vor dem Beginn der Verbändeanhörung wehren sich Unternehmensverbände wie der Verband Die Familienunternehmer e. V. gegen einen Generalverdacht und sehen das Prinzip der Verhältnismäßigkeit gefährdet.
Obwohl im aktuellen Koalitionsvertrag eine Absprache für die Einführung des Unternehmenssanktionsrechts enthalten ist, erscheint es bei dieser Gesamtlage durchaus offen, ob es noch vor der nächsten Bundestagswahl zu der Verabschiedung eines solchen Gesetzes kommt. Und über die Chancen des Entwurfs nach der kommenden Wahl zu spekulieren, erübrigt sich erst recht.
Der Verbandsbegriff im derzeitigen Gesetzentwurf umfasst alle Arten von juristischen Personen, also auch Vereine, Verbände im engeren Sinne sowie juristische Personen des öffentlichen Rechts. Zweifellos liegt hier einer der Konfliktpunkte, denn im Koalitionsvertrag war es hier ausdrücklich um das „Sanktionsrecht für Unternehmen” und um die „Wirtschaftskriminalität” gegangen. Weitere Punkte, in denen der Entwurf deutlich über die Koalitionsvereinbarung hinausgeht, sind die Option der „Verbandsauflösung” als eine der Sanktionsmöglichkeiten sowie das sog. Verbandssanktionenregister, eine moderne Variante des mittelalterlichen Prangers.
In der Einleitung zu dem Gesetzesentwurf heißt es unter dem Punkt „Erfüllungsaufwand für die Wirtschaft”: Keiner. In dieser Bewertung steckt eine gute Portion Naivität. Auch wenn dezidiert kriminelles unternehmerisches Verhalten mit Sicherheit die Ausnahme ist: Der (notwendige) Nachweis des gesetzeskonformen Verhaltens, der Betrieb eines Compliance Management Systems (CMS) also, ist sicherlich nicht aufwandslos. Im Abschnitt „Sanktionszumessung” des Gesetzentwurfs ist u. a. vorgesehen, dass die Unterstützung des Unternehmens bei der Aufklärung der Straftat bei der Sanktionszumessung berücksichtigt werden kann. Die Durchführung dieser „verbandsinternen Untersuchung” ist zu dokumentieren. Ohne dass der Begriff verwendet würde, erfolgt also eine Begünstigung für solche Unternehmen, die Compliance-Verstöße systematisch feststellen und aufklären.
Tatsächlich aber bestehen schon jetzt, ganz ohne ein Verbandssanktionengesetz, viele gute Gründe, warum es fahrlässig wäre, als Geschäftsführer oder (auch ehrenamtlicher) Vorstand auf ein CMS zu verzichten: Schon heute sind die gesetzlichen Vertreter einer Organisation verpflichtet, Maßnahmen zu ergreifen, um das rechtskonforme Verhalten der Organisation zu gewährleisten. Anderenfalls besteht im Fall eines Gesetzesverstoßes ggf. der Verdacht auf ein sogenanntes Organisationsverschulden. Die Verletzung der Aufsichtspflicht des Geschäftsinhabers über die Einhaltung gesetzlicher Vorgaben durch den Betrieb ist in §130 OWiG mit einem Bußgeld sanktioniert.
Das Bundesfinanzministerium wertet in einem Schreiben vom Mai 2016 das Vorhandensein eines innerbetrieblichen Kontrollsystems als ein Indiz, das bei einem steuerrechtlichen Verstoß gegen das Vorliegen eines Vorsatzes oder der Leichtfertigkeit sprechen kann. Gerade ein steuerliches CMS (sog. Tax CMS) gewinnt für die Gesundheits- und Sozialwirtschaft immer mehr an Bedeutung, auch vor dem Hintergrund zahlreicher Zweifelsfälle hinsichtlich des § 2b UStG. Aus der Praxis muss man ergänzen: Das Verhalten der Finanzverwaltung, von Datenschutzaufsichtsbehörden und von anderen Verwaltungsinstanzen gegenüber den Unternehmen der öffentlichen Wirtschaft ist kaum noch von einem generellen Wohlwollen geprägt – diese Zeiten sind endgültig vorüber.
Die unausgesprochene, aber häufig anzutreffende Sorge, dass die Einrichtung eines CMS eine heillos vertrackte Angelegenheit sein wird, ist unbegründet. Bei der ersten Bestandsaufnahme zeigt sich oft, dass schon gute Grundlagen vorhanden sind, auch wenn die dezidierte Zusammenführung in einem Dokument, einer CMS-Beschreibung, vielleicht noch nicht erfolgt ist. Als sinnvoll erweist sich die Empfehlung, frühzeitig eine organisatorische Verantwortung für Compliance zu bestimmen, also beispielsweise einen Compliance-Verantwortlichen oder -Beauftragten. Ab diesem Zeitpunkt kann die Geschäftsführung aus der eigenen operativen Compliance-Tätigkeit hinüberwechseln in die Rolle desjenigen, der das System überwacht und die Richtungsentscheidungen trifft.
Neben der Dokumentation des CMS stehen für den Compliance-Beauftragten vor allem 5 große Themen auf der Agenda: Compliance-Ziele, Compliance-Risiken, Compliance-Kommunikation, Compliance-Berichterstattung und Compliance-Verstöße. Die Bestimmung der Compliance-Ziele umfasst u. a. die Definition derjenigen Rechtsgebiete und Rechtsquellen, zu denen das Unternehmen sich „compliant” verhalten muss oder will. Diese Bestimmung sollte deswegen am Anfang stehen, weil sie den Ausgangspunkt für die anschließende Ermittlung der Compliance-Risiken bildet.
Der Compliance-Risikozyklus umfasst neben der eigentlichen Risikoidentifikation auch deren Bewertung, Bestimmung der Maßnahmen, Beschlussfassung der gesetzlichen Vertreter sowie die Verfolgung der Maßnahmenerledigung. Das aus den Risikomaßnahmen resultierende Compliance Programm sowie die Aufbau- und Ablauforganisation des CMS bilden wiederum die Grundlagen der notwendigen kontinuierlichen internen Kommunikation über Compliance, dem dritten Aufgabenschwerpunkt. Schließlich ist die regelmäßige und dokumentierte Berichterstattung über Compliance an die gesetzlichen Vertreter zu etablieren sowie, natürlich, die systematische Aufklärung von Verdachtsfällen auf Compliance-Verstöße und ggf. deren Ahndung.
Einige dieser Puzzlestücke existieren eigentlich so gut wie immer – wer die verbleibenden Lücken schließt und die Teile systematisch in einer Beschreibung, einem Handbuch beispielsweise, zusammenführt, hat viel erreicht und kann sicherlich darüber nachdenken, externe Bestätigung wie auch Verbesserungshinweise im Rahmen einer CMS-Prüfung durch einen Wirtschaftsprüfer in Anspruch zu nehmen.
Buchhinweis: „Einführung eines CMS in einem Krankenhaus” wird im Sommer 2020 im Kohlhammer-Verlag erscheinen.
Christoph Naucke
Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW
Associate Partner
Anfrage senden
