Compliance Manager werden häufig von Unternehmen im Rahmen von Compliance Management Systemen eingestellt. Im Jahre 2009 entschied der Bundesgerichtshof (BGH) im BSR-Urteil (5 StR 394/08), dass Compliance Manager regelmäßig strafrechtlich eine Garantenpflicht im Sinne des § 13 Abs. 1 StGB trifft, Straftaten zu verhindern, die im Zusammenhang mit der Tätigkeit des Unternehmens stehen. Seitdem wird die Haftung von Compliance Managern zunehmend diskutiert.
Compliance und die Rolle des Compliance Managers
Der Begriff Compliance kennt viele Definitionen. Gemeint ist damit die Summe aller organisatorischen Maßnahmen, welche die dokumentierte Sicherstellung der Einhaltung aller für das Unternehmen relevanten Vorschriften gewährleistet. Davon sind sowohl zwingende Rechtsvorschriften betroffen, als auch solche, die das Unternehmen freiwillig aufstellt.
Im deutschen Recht besteht keine ausdrückliche gesetzliche Pflicht zur Compliance. Lediglich Unternehmen der Finanzwirtschaft sind gem. § 32 Wertpapierhandelsgesetz zur Einrichtung einer Compliance-Organisation verpflichtet. Aus der Sorgfaltspflicht gem. § 76 Abs. 1, 93 Abs. 1 AktG ergibt sich jedoch eine Legalitätspflicht des Vorstands zur Einhaltung der Gesetze bei der Erfüllung seiner Pflichten im internen und externen Pflichtenkreis. Die Compliance-Verantwortung liegt bei der Gesamtgeschäftsführung, also beim Vorstand einer AG oder den Geschäftsführern einer GmbH. Um die Anforderungen an ein geeignetes Compliance System zu erfüllen, werden vermehrt Compliance Manager eingestellt, denen ein Teil der Compliance-Verantwortung übertragen wird. Die Auslagerung der Verantwortung hat ebenfalls eine Abwälzung des Haftungsrisikos zur Folge.
Der Compliance Manager ist für die Einführung, Weiterentwicklung, Überwachung und Dokumentation des Compliance Management Systems zuständig. Er unterstützt und berät die Geschäftsleitung in allen Compliance-relevanten Fragen und erstattet regelmäßig Bericht über entsprechende unternehmensinterne Vorkommnisse, Verstöße gegen Compliance-Regeln sowie rechtliche Veränderungen. Zu seinen Aufgaben gehört ebenso das Schulen und Informieren der Mitarbeiter. Er verfügt jedoch nicht über eine Weisungsbefugnis oder Anordnungskompetenz. Die Entscheidungsbefugnis liegt nach wie vor bei der Unternehmensleitung.
Das BSR-Urteil
Der BGH entschied im BSR-Urteil über einen Leiter der Rechtsabteilung und der Innenrevision der Berliner Stadtreinigungsbetriebe, welcher einen Rechnungsfehler bewusst weiterführte, sodass von den Anlegern überhöhte Gebühren verlangt wurden. Er unterrichtete weder den Vorstand noch den Aufsichtsrat über diesen Fehler, obwohl dies zwingend notwendig gewesen wäre. Aufgrund seiner Stellung im Unternehmen bejahte der BGH eine strafrechtliche Garantenpflicht, die eine Strafbarkeit wegen Unterlassen der Aufdeckung von Straftaten begründet und verurteilte ihn wegen Beihilfe zum Betrug durch Unterlassen. Er betonte anschließend, dass auch Compliance Manager regelmäßig eine Garantenpflicht i. S. d. § 13 Abs. 1 StGB zur Verhinderung von Straftaten von Unternehmensangehörigen trifft, soweit diese im Zusammenhang mit der Unternehmenstätigkeit stehen. Das sei die „notwendige Kehrseite“ der vom Compliance Manager übernommenen Pflicht zur Verhinderung von Straftaten. In der Literatur wurde diese Aussage kritisch diskutiert, denn in erster Linie trifft den Compliance Manager die Verantwortung für ein funktionsfähiges Compliance System.
Garantenstellung
Die meisten strafrechtlichen Tatbestände setzen ein aktives Tun voraus. Bei den Unterlassungsdelikten unterscheidet man zwischen den echten Unterlassungsdelikten, bei denen das Unterlassen ausdrücklich unter Strafe steht (z. B. unterlassene Hilfeleistung nach § 323 c StGB) und den unechten Unterlassungsdelikten, die nicht ausdrücklich unter Strafe stehen. Diese setzen die Verletzung des Straftatbestands durch Unterlassen sowie eine Garantenstellung gem. § 13 Abs. 1 StGB voraus. Laut § 13 Abs. 1 StGB soll derjenige, der es unterlässt eine Straftat abzuwenden nur dann strafbar sein, wenn er rechtlich dafür einzustehen hat, dass der Erfolg nicht eintritt. Die Garantenstellung begründet also eine rechtliche Einstandspflicht und setzt das Unterlassen mit dem aktiven Tun gleich, da der Täter eine besondere Verpflichtung zur Abwendung einer Straftat hat. Somit umfasst die Garantenpflicht aktiv in das Geschehen einzugreifen und nicht tatenlos zuzusehen.
Die genauen Anforderungen an das Zustandekommen einer Garantenstellung sind im Einzelnen ungeklärt. Die herrschende Meinung in der Literatur unterscheidet zwischen dem Beschützer- und dem Überwachergarant. Dabei entsteht die Stellung des Überwachergaranten durch das Übernehmen von Schutzpflichten für bestimmte Rechtsgüter oder aus der Stellung als Organ einer Gesellschaft. Überwachergaranten sind verantwortlich für bestimmte Gefahrenquellen, die sich beispielsweise aus Verkehrssicherungspflichten ergeben.
Der BGH nimmt eine solche Unterscheidung jedoch nicht vor. Im BSR-Urteil betrachtete er bei der Begründung der Garantenpflicht die Ingerenz und das Übernehmen eines Pflichtenkreises. Demnach kann die Stellung als Garant dadurch entstehen, wenn jemand aufgrund seines Vorverhaltens die Gefahr eines Schadens geschaffen hat (Ingerenz) oder die Verantwortung für einen bestimmten Pflichtenkreis (z.B. als Compliance Manager) übernommen hat. Daraus folgt eine besondere Pflicht zum Handeln, sodass der Garant dafür einzustehen hat, wenn er es unterlässt Straftaten abzuwenden. Der BGH bejahte die Garantenstellung im BSR-Urteil aufgrund der Position als Leiter der Rechtsabteilung und der Innenrevision und somit infolge der Übernahme seines Pflichtenkreises.
Kritik am Urteil
Das BSR-Urteil ist in der Literatur überwiegend auf Kritik gestoßen. Häufig wird die Auffassung vertreten, dass der Compliance Manager nicht dafür verantwortlich sein kann, jegliche Rechtsverstöße im Unternehmen zu verhindern oder aufzudecken, da dies für ihn nicht zumutbar wäre. Die Strafbarkeit wegen Unterlassen bestimmter Aktivitäten kann nur entstehen, soweit der Compliance Manager rechtlich und faktisch überhaut die Möglichkeit besitzt, Rechtsverstöße effektiv zu verhindern. Weiterhin setzt sie voraus, dass er dem Verhaltensgebot schuldhaft, d.h. vorsätzlich oder fahrlässig, nicht nachkommt. Ferner müsste die Straftat einen Betriebsbezug aufweisen und außerdem erhebliche Nachteile wie Haftungsrisiken oder Ansehensverlust für das Unternehmen begründen. Demnach gehe der BGH mit der Auffassung zu weit, dass den Compliance Manager die Verpflichtung zur Verhinderung aller aus dem Unternehmen heraus begangenen Straftaten trifft.
Zumal im deutschen Recht keine Vorschrift zur Einrichtung einer Compliance-Organisation verpflichtet, wird kritisiert, dass die Garantenpflicht nicht über die Verantwortlichkeit der Geschäftsführer hinausgehen könne. Diese hätten maximal die Verantwortung für ein funktionierendes Compliance System zu tragen und müssen nicht jede einzelne Straftat im Unternehmen aufdecken.
Ein weiterer Kritikpunkt besteht darin, dass zum Compliance Manager kein festes Berufsbild vorliegt und es an einer gesetzlichen Verankerung und ebenso an einem allgemein anerkannten Pflichtenkreis fehlt. Zudem ist der Compliance Manager gegenüber der Geschäftsleitung einerseits weisungsgebunden und besitzt andererseits gegenüber den Angestellten keine Direktions- oder Weisungskompetenz. Wenn also Vorschläge zur Verbesserung der Compliance gemacht werden, diese von der Geschäftsführung aber nicht umgesetzt werden, trifft den Compliance Manager kein Haftungsrisiko, denn die Pflicht zur Schadensabwendung besteht nur im Rahmen des Möglichen und Zumutbaren.
Dementgegen hält eine andere Auffassung, dass durch eine mangelhafte Berichterstattung durchaus eine strafrechtliche Verantwortlichkeit des Compliance Managers infrage kommt. Spätestens aber wenn er im Rahmen seiner Tätigkeit Straftaten erkennt, ist die Berichterstattung an seine Vorgesetzten erforderlich.
Praxistipps
Der Inhalt und Umfang der Garantenpflicht bestimmen sich aus dem konkreten Pflichtenkreis, der übernommen wird. Daher ist es in der Praxis ratsam, die Aufgaben und Pflichten explizit zu regeln und ebenso genaue Vorgaben hinsichtlich der Berichtswege des Compliance Managers zu treffen, um die Garantenstellung auf die festgelegten Aufgabenbereiche einzuschränken, die tatsächlich übernommen werden. Außerdem ist eine flächendeckende Dokumentation im Bereich Compliance zu Beweiszwecken vorteilhaft. Auch kann das Haftungsrisiko durch dezentrale Compliance-Strukturen verteilt werden. Den Compliance Manager trifft hierbei keine Allzuständigkeit.
Es sollte zudem beachtet werden, dass eine D&O Versicherung zwar die zivilrechtliche Haftung bei möglichen Schadensersatzansprüchen absichern kann, nicht jedoch die strafrechtliche Haftung.