Das Thema Compliance hat in den letzten Jahren zunehmend an Bedeutung gewonnen und ist in den Reigen der Management- und Aufsichtsgremien spätestens seit der Siemens-Affäre nicht mehr wegzudenken. Längst sehen sich nicht mehr nur internationale börsennotierte Konzerne mit dem Erfordernis eines angemessenen und wirksamen Compliance Management Systems (CMS) konfrontiert. Auch Geschäftsführungen und Aufsichtsräte mittelständischer und kleinerer Unternehmen müssen sich zunehmend mit der Frage nach Compliance-Pflichten und deren konkretem Umfang befassen. Das Geflecht sanktionsbewährter Unternehmensregulierung wird zunehmend engmaschiger und auch mit der Einführung eines „echten“ Unternehmensstrafrechts ist nach wie vor zu rechnen. Neben einer möglichen strafrechtlichen Verantwortung gegenüber der Allgemeinheit sind für Geschäftsleiter vor allem die Legalitäts- und Compliance-Organisationspflichten zum Schutz der eigenen Gesellschaft und deren Vermögenwerten in den Fokus gerückt, insbesondere wenn es um das Fehlverhalten der eigenen Mitarbeiter geht.
OLG Nürnberg konkretisiert Anforderungen an Compliance-Management
Vor der Entscheidung des OLG Nürnberg galt lange Zeit die Entscheidung des LG München I „Siemens/Neubürger“ (Urteil vom 10.12.2013 – 5 HK O 1387/10) als maßgeblicher gerichtlich verprobter Anhaltspunkt für die Frage der Haftung von Gesellschaftsorganen für Compliance-Verstöße. Das LG München I hatte sich damals im Lichte des internationalen Siemens Korruptions- und Schwarzgeldskandals mit der Ausgestaltung von Compliance Management Systemen und hiermit einhergehenden Organisationspflichten des Vorstandes einer Aktiengesellschaft auseinandergesetzt. Nun hat sich auch das OLG Nürnberg als erstes Oberlandesgericht mit dem Umfang der Sorgfalts- und Leistungspflichten eines GmbH-Geschäftsführers im Zusammenhang mit den Anforderungen an ein CMS befasst und ausdrücklich bestätigt, dass aus der allgemeinen Legalitätspflicht des Geschäftsführers eine Pflicht zur Errichtung eines CMS erwächst.
Der Sachverhalt
Konkret ging es in der Entscheidung des OLG Nürnberg um Schadensersatzansprüche einer im Mineralölhandel tätigen Kommanditgesellschaft (KG) gegen den Geschäftsführer ihrer Komplementärs- GmbH. Die klagende KG gab Tankkarten an ihre Großkunden aus, mit denen diese bargeldlos und auf Kredit bei den Tankstellen der Klägerin Kraftstoff tanken konnten. Ein langjähriger Mitarbeiter der KG hatte einigen Großkunden die vertragswidrige Überziehung ihres mit den Tankkarten eingeräumten Kreditlimits ermöglicht, indem er Geschäftsvorgänge in der Abrechnungssoftware bewusst falsch zuordnete, Rechnungen umadressierte und Beschwerdevorgänge an sich zog. All dies war dem beklagten Geschäftsführer nicht aufgefallen, auch weil bei der Tankkartenausgabe und -verwaltung entgegen vorausgegangener Beschlüsse des Beirats der KG das Vier- Augen-Prinzip nicht eingehalten wurde. Als die Untreuehandlungen des Mitarbeiters schließlich ans Licht kamen, hatte sich bei der Klägerin bereits ein Schaden in Höhe von mehreren hunderttausend Euro materialisiert. Diesen wollte die KG vom Geschäftsführer ihrer Komplementärs-GmbH ersetzt haben. Das LG Nürnberg-Fürth hatte der Klage der KG im Wesentlichen stattgegeben. Auf die Berufung des Beklagten hin bestätigte das OLG Nürnberg die Entscheidung des LG in den wesentlichen Punkten.
Die Kernaussagen der OLG-Entscheidung
Im Einzelnen sind dem Urteil die folgenden Kernaussagen zu entnehmen:
- Pflicht zur Einrichtung eines CMS: Die Geschäftsführung muss im Rahmen ihrer Sorgfaltspflicht „organisatorische Vorkehrungen [treffen], die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern“. Der hierbei grundsätzlich zustehende Ermessensspielraum (Business Judgment Rule) wird überschritten, wenn „aus der Sicht eines ordentlichen und gewissenhaften Geschäftsmannes das hohe Risiko eines Schadens unabweisbar ist und keine vernünftigen geschäftlichen Gründe dafür sprechen, es dennoch einzugehen“.
- Pflicht zur Unternehmenskontrolle: Die Intensität der erforderlichen Unternehmenskontrolle beurteilt sich nach Gefahrgeneigtheit und Relevanz der maßgeblichen Vorschriften und der objektiven Zumutbarkeit der Aufsichtsmaßnahmen. Erforderlich, aber in aller Regel auch ausreichend sollen stichprobenartige Prüfungen sein, wenn sie den Mitarbeitern ein gewisses Kontrollniveau und eine entsprechende Entdeckungswahrscheinlichkeit vor Augen führen. Anhaltspunkte für Fehlverhalten sind unverzüglich zu untersuchen. Eine gesteigerte Überwachungspflicht besteht, soweit in der Vergangenheit bereits Unregelmäßigkeiten im Unternehmen vorgekommen sind.
- Überwachung der Überwacher: Delegiert die Geschäftsführung ihre Compliance-Pflichten auf nachgeordnete Mitarbeiter, z. B. aus der Compliance-, Rechts- oder Revisionsfunktion, reduziert sich die Überwachungspflicht auf die ihr hierbei unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten. Die Letztverantwortung verbleibt dabei stets bei der Geschäftsführung.
- Anerkannte Kontrollverfahren: Verstöße gegen in der Branche anerkannte Organisationsstandards wie z. B. das Vier-Augen-Prinzip begründen in der Regel einen Verstoß gegen die Sorgfaltspflicht. Ein solcher Organisationsstandard darf dabei nicht nur intern niedergeschrieben sein, sondern muss auch konkret durchgesetzt und überwacht werden. Findet sich für die praktische Umsetzung und Kontrolle kein geeignetes Personal, muss die Geschäftsführung diese Aufgabe selbst übernehmen.
- Beweislastumkehr zu Lasten der Geschäftsführung: Im Fall der Fälle muss die Geschäftsführung darlegen und ggf. beweisen, dass sie ihren Sorgfaltspflichten nachgekommen ist und sie kein Verschulden trifft, oder der Schaden auch bei rechtmäßigem Alternativverhalten eingetreten wäre. Nur die Geschäftsführung selbst kennt die konkreten Umstände ihres Verhaltens, während die von ihr geführte Gesellschaft in diesem Punkt stets in Beweisnot gerät.
Wichtige Konsequenzen des Urteils für die Geschäftsführungs-Praxis
Die Entscheidung des OLG Nürnberg macht deutlich, dass die intensive Auseinandersetzung mit Compliance-Sorgfaltspflichten nicht nur für internationale Konzerne, sondern gerade auch für mittelständische Unternehmen und ihre Geschäftsführungsorgane unumgänglich ist. Aus den ausdrücklich formulierten Anforderungen des OLG lassen sich die folgenden wesentlichen Maßgaben für die Praxis ableiten:
- Art und Umfang von Compliance Management und Kontrolle unterliegen dem Ermessen der Geschäftsleitung. Eine pflichtgemäße Ermessenausübung setzt dabei stets die Kenntnis und Adressierung der tatsächlichen Risikosituation des Unternehmens voraus. Die Compliance-Risikoanalyse bildet daher stets die Ausgangsbasis für die Etablierung und Aufrechterhaltung eines effektiven CMS.
- Neben stichprobenartigen Prüfungen gehört auch die qualifizierte Untersuchung und Aufklärung von möglichem Fehlverhalten zum Pflichtenkanon der Geschäftsführung. Die neuen Regelungen zum Hinweisgeberschutz sind eine ernstzunehmende Herausforderung, gerade auch für mittelständische Unternehmen, deren Organisationen oftmals (noch) nicht über die Erfahrung und notwendige Expertise im Umgang mit internen Untersuchungen verfügen.
- Letztverantwortung der Geschäftsführung bedeutet nicht nur Kontrolle des nachgeordneten Mitarbeiters. Die Auswahl der richtigen Personen, umfassende Informierung und hinreichende Qualifizierung und Befähigung – auch durch Budget und (zeitliche) Ressourcen – sind die Voraussetzungen für eine wirksame Compliance-Delegation und mögliche Enthaftung. Reine Lippenbekenntnisse und formale Stellenbeschreibungen sind hingegen unzureichend.
- Ein CMS darf keinesfalls nur auf Papier verfasst, sondern muss auch in die Tat umgesetzt werden. Tatsächlich muss sich die Geschäftsführung regelmäßig einen Eindruck davon verschaffen, ob das CMS in der Unternehmenspraxis auch funktioniert – hierfür ist ein angemessenes Monitoring und regelmäßiges (Selbst-) Testing unverzichtbar.
Und: Auch nachträgliche Compliance-Maßnahmen lohnen sich
Die beruhigende Nachricht ist: Es ist nie zu spät anzufangen! Auch das reflektieren Gesetzgebung und Rechtsprechung mittlerweile deutlich. So gilt bereits seit Novellierung des deutschen Kartellrechts im Januar 2021 für Kartellrechtsverstöße die Möglichkeit zur sog. Compliance-Defense, mit deren Hilfe Unternehmen etwaige Bußgeldzahlungen für wettbewerbsrechtliche Verstöße verringern können (§ 81d GWB). Darüber hinaus hat auch der BGH im April 2022 ausdrücklich bestätigt, dass bei der Bußgeldbemessung nach §§ 30, 130 OWiG wegen Verstoßes gegen die der Geschäftsleitung erwachsenden Leitungs-, Koordinations-, Organisations- und Kontrollpflichten Compliance-Maßnahmen zur „Selbstreinigung“ und die Einführung eines Hinweisgebersystems bußgeldmindernd berücksichtigt werden dürfen (BGH, Beschluss vom 27. April 2022 – 5 StR 278/21).
Fazit
Das Urteil des OLG Nürnberg macht unmissverständlich deutlich, dass ein angemessenes und effektives CMS zum Kern der Geschäftsführungspflichten gehört und Unternehmensleiter sich intensiv mit der Ausgestaltung, Kontrolle und Fortentwicklung der eigenen Compliance-Organisation beschäftigen müssen. Ansonsten kann es zivil- wie strafrechtlich ausgesprochen teuer werden. Tatsächlich gilt es im Fall der Fälle eine individuell angemessene und tatsächlich gelebte Compliance-Praxis darlegen zu können. Ein derart effektives CMS entsteht nicht auf Knopfdruck und wird auch nicht in Perfektion verlangt – gefordert werden aber ein verantwortungsvolles Risikobewusstsein, ernstgemeinte Mitigationsbestrebungen und -maßnahmen, ein kritisches Hinterfragen und eine kontinuierliche Weiterentwicklung anhand der tatsächlichen Unternehmensbedürfnisse. Jetzt ist der Zeitpunkt, dies strategisch in Angriff zu nehmen.