I. Einleitung

Im letzten Beitrag unserer zweiteiligen Compliance-Serie haben wir die Entscheidung des OLG Nürnberg zur Haftung des Geschäftsführers gemäß § 43 Abs. 2 GmbHG aufgrund fehlender oder nicht ausreichender Compliance Management Systeme erörtert. Daran anschließend beschäftigt sich dieser Beitrag zunächst mit weiteren zivil- und strafrechtlichen Risiken für Geschäftsführer und Vorstände und sodann mit den Folgen der Non-Compliance aus Unternehmenssicht. Aufgrund der Vielzahl der denkbaren Haftungstatbestände, erhebt dieser Beitrag keinen Anspruch auf Vollständigkeit. Ziel ist es vielmehr den Leser anhand einiger ausgewählter relevanter Beispiele für die Thematik zu sensibilisieren.

II. Haftungsrisiken für Geschäftsführer/Vorstände

Wie bereits im letzten Newsletter vorgestellt, haftet der Geschäftsführer einer GmbH für den Schaden, der aus der Nichteinrichtung bzw. unzureichenden Implementierung eines Compliance Management Systems gemäß § 43 Abs. 2 GmbHG. Äquivalent hierzu ist die Haftung des Vorstands einer Aktiengesellschaft nach § 93 Abs. 2 AktG (für die Aufsichtsratsmitglieder gemäß §§ 116 Ab. 1 S.1, 93 Abs. 2 AktG). Verschuldensmaßstab ist die ordentliche Sorgfalt eines Geschäftsleiters, § 93 Abs. 1 AktG, wobei dem Vorstand die bereits erwähnte sog. Business Judgement Rule, § 93 Abs. 1 S. 2 AktG als Haftungsprivilegierung zugutekommt. Geschäftsleiter haben jedoch nicht nur eine zivilrechtliche Haftung zu befürchten, sie tragen darüber hinaus auch die persönliche Verantwortung für die Erfüllung sämtlicher steuerlicher Pflichten des Unternehmens, §§ 34 I und 69 AO.
Weiterhin drohen bei Compliance Verstößen auch Bußgelder von bis zu 10 Millionen Euro, §§ 9, 30, 130 OWiG. Da § 130 OWiG allerdings als Anknüpfungstat für die Haftung des Unternehmens relevant ist, wird diese Rechtsgrundlage unter III. näher erläutert werden.
Eine Vorgesetztenverantwortlichkeit (wie bspw. in § 4 VSTGB) im Haftungssystem des Strafgesetzbuchs nicht vorgesehen ist. Neben der Begehung eigener Straftaten, z.B. der Nichtabführung von Sozialversicherungsbeiträgen, §§ 266a, 14 StGB, Untreue § 266 StGB, Bestechlichkeit und Bestechung im geschäftlichen Verkehr, § 299 StGB oder Subventionsbetrug, § 264 StGB, sind im Compliance-Kontext insbesondere Strafbarkeiten aufgrund mittelbarer Täterschaft, § 25 Abs. 1 Alt. 2 StGB, durch Anweisungen zu illegalem Verhalten oder gemäß § 13 StGB denkbar. Die zur Annahme einer Strafbarkeit wegen Unterlassen gemäß § 13 StGB notwendige Garantenstellung besteht nur bezüglich der Verhinderung betriebsbezogener Straftaten. Bei Straftaten ohne inneren Bezug zu den betrieblichen Abläufen, insbesondere bei solchen Taten, die der Mitarbeiter lediglich bei Gelegenheit seiner Tätigkeit im Betrieb begeht, besteht keine strafrechtliche Garantenstellung.
Interessant ist in diesem Kontext auch die Auswirkung der zivilrechtlichen Business Judgement Rule (§ 93 Abs. 1 S. 2 AktG). Nach der Rechtsprechung des BGH ist die Anwendung des Untreuetatbestands auf „klare und deutliche Fälle pflichtwidrigen Handelns zu beschränken; gravierende Pflichtverletzungen lassen sich nur dann bejahen, wenn die Pflichtverletzung evident ist“. Bei einem Verstoß gegen § 93 Abs. 1 S.1 AktG liegt nach der Rechtsprechung des BGH stets auch eine gravierende Pflichtverletzung iSd § 266 StGB vor, während die Einhaltung der Business Judgement Rule (§ 93 Abs. 1 S.2 AktG) eine Pflichtverletzung gemäß § 266 StGB ausschließt.
III. Non-Compliance aus Unternehmenssicht
Aus Unternehmenssicht kann sich fehlende bzw. unzureichende Compliance in den verschiedensten Bereichen auswirken z.B. im Steuerrecht, Vergaberecht, Arbeitsrecht oder Kartellrecht. Da eine umfassende Darstellung aller Bereiche den Umfang dieses Beitrags übersteigen würde, soll die Thematik anhand der Beispiele OWiG, Lieferkettengesetz und Datenschutz dargestellt werden.

1. Bußgelder nach dem OWiG

Gemäß § 30 OWiG kann gegen das Unternehmen für durch ihre Organe begangenen Pflichtverletzungen eine Geldbuße in Höhe von bis zu zehn Millionen Euro verhängt werden. Grundlage für die begangene Pflichtverletzung kann z.B. ein kapitalmarktrechtrechtlicher Verstoß des Vorstands gegen § 40 Absatz 1 Satz 1 WpHG (Mitteilungspflicht des Emittenten) sein. Für diesen haftet grundsätzlich das Unternehmen, § 30 I Nr. 1 OWiG. § 30 OWiG stellt dabei eine Durchbrechung des Grundsatzes, dass eine Gesellschaft kein Unrecht begehen kann (societas delinquere non potest) dar und normiert die Möglichkeit einer direkten Unternehmenssanktion.
Bei § 30 OWiG handelt es sich „nur“ um eine Zurechnungsnorm, weswegen stets eine sogenannte Anknüpfungstat erforderlich. Anknüpfungstat iSv § 30 OWiG kann jede Ordnungswidrigkeit oder Straftat sein. Besonders relevant ist in diesem Zusammenhang § 130 OWiG (Verletzung der Aufsichtspflicht in Betrieben und Unternehmen) als Anknüpfungstat.
Im objektiven Tatbestand setzt § 130 (iVm § 9) OWiG ein Unterlassen derjenigen Aufsichtsmaßnahmen voraus, die erforderlich und zumutbar sind, um der Gefahr von Zuwiderhandlungen gegen betriebs- und unternehmensbezogene Pflichten zu begegnen. Da das Gesetz nur in wenigen Fällen konkrete Vorgaben vorsieht (z.B. §§ 25 a KWG, 33 WpHG, 9, 9a GWG, …), bleibt für die meisten Unternehmen lediglich die im Schrifttum vorgenommene Systematisierung und die Konkretisierung durch die Rechtsprechung als Orientierung. Das Schrifttum teilt das Pflichtenbündel des Aufsichtspflichtigen auf die folgenden fünf Stufen auf: sorgfältige Auswahl von Mitarbeitern und ggf. Aufsichtspersonen (1. Stufe), sachgerechte Organisation und Aufgabenverteilung (2. Stufe), angemessene Instruktion und Aufklärung der Mitarbeiter über ihre Aufgaben und Pflichten (3. Stufe), ausreichende Überwachung und Kontrolle der Mitarbeiter (4. Stufe), Einschreiten gegen Verstöße (5. Stufe).
Art und Umfang der soeben vorgestellten fünf Stufen der Aufsichtspflicht werden jedoch im Ergebnis durch die Rechtsprechung konkretisiert. Maßgeblich für den Umfang sind danach insbesondere „Art, Größe und Organisation des Betriebs, die unterschiedlichen Überwachungsmöglichkeiten, aber auch Vielfalt und Bedeutung der zu beachtenden Vorschriften und die Anfälligkeit des Betriebs für Verstöße gegen diese Bestimmungen, wobei insbesondere solche Fehler eine Rolle spielen können, die bereits in der Vergangenheit gemacht worden sind“. Deutlich wird dabei, dass sich eine Pauschalisierung der erforderlichen Aufsichtsmaßnahmen verbietet und stets eine Einzelfallbetrachtung erforderlich ist. Grundsätzlich können jedoch nur solche Aufsichtsmaßnahmen erforderlich sein, die auch zur Verhinderung betriebsbezogener Verstöße geeignet sind (Eignungsgrundsatz). Zwischen mehreren möglichen Maßnahmen darf der Betriebsinhaber eine Auswahl treffen und sich für das mildeste (taugliche und genauso effektive) Aufsichtsmittel entscheiden (Grundsatz des mildesten Mittels).
Es kann auch die Einziehung des Wertes von Taterträgen nach §§ 30 Abs. 5, 29a OWiG bzw. bei Straftaten gemäß § 30 V OWiG iVm §§ 73, 73c StGB angeordnet werden. Es gilt insoweit das sog. Bruttoprinzip, d.h., dass beispielsweise bei einem durch Bestechung erlangten Auftrag nur die Produktions- und Arbeitskosten vom Auftragswert abgezogen werden können, nicht jedoch verbotene Investitionen, z.B. als Beraterhonorare getarnte Schmiergelder.

2. Compliance-Pflichten aus dem Lieferkettensorgfaltspflichtengesetz

In einem früheren Beitrag haben wir bereits die wesentlichen Inhalte des ab 01.01.2023 in Kraft tretenden Lieferkettensorgfaltspflichtengesetzes (LkSG) vorgestellt. Dieses wirkt sich auch auf die Compliance-Pflichten der Unternehmen aus. Vom Anwendungsbereich erfasst sind gemäß § 1 Abs. 1 LkSG zunächst nur Unternehmen mit in der Regel mindestens 3.000 im Inland beschäftigten Arbeitnehmern, ab dem 01.01.2024 wird diese Grenze jedoch auf 1.000 Arbeitnehmer gesenkt.
Bei Missachtung der Sorgfaltspflichten drohen den Unternehmen u.U. erhebliche Bußgelder gemäß § 24 LkSG. Diese Verstöße können bei juristischen Personen oder Personenvereinigungen mit einem durchschnittlichen Jahresumsatz von mehr als 400 Millionen Euro teilweise mit einer Geldbuße von bis zu zwei Prozent des durchschnittlichen Jahresumsatzes geahndet werden. Bei der Bemessung der Geldbuße sind u.a. vorausgegangene Ordnungswidrigkeiten nach § 30 OWiG (auch in Verbindung mit § 130 OWiG) erschwerend zu berücksichtigen, § 24 Abs. 4 Nr. 6 LkSG. Als zusätzliche Sanktion sollen Unternehmen, die wegen eines rechtskräftig festgestellten Verstoßes mit einer Geldbuße belegt worden sind, bis zur nachgewiesenen Selbstreinigung nach § 125 GWB von der Teilnahme über die Vergabe eines Liefer-, Bau- oder Dienstleistungsauftrags der Auftraggeber gemäß §§ 99 und 100 GWB ausgeschlossen werden (§ 22 LkSG).

3. Compliance und Datenschutz

Fehlende bzw. unzureichende Compliance kann aus Unternehmenssicht auch im Bereich des Datenschutzes zu erheblichen Bußgeldern führen. Zwar ist bislang noch nicht eindeutig geklärt, ob Art. 83 DS-GVO eine unmittelbare Haftung juristischer Personen begründen kann (so das LG Bonn und die wohl herrschende Literaturmeinung) oder ob aufgrund der Verweisung in § 41 BDSG ein Bußgeld wegen Datenschutzverstößen gegen juristische Personen nur unter den Voraussetzungen des § 30 Abs. 1, 4 OWiG möglich ist (so das LG Berlin). Entsprechende Fragestellungen wurden dem EuGH zur Vorabentscheidung vorgelegt. Allerdings steht fest, dass die Nichteinhaltung der datenschutzrechtlichen Vorschriften zu empfindlichen Geldbußen führen kann.

IV. Folgen für die Praxis

Unternehmen sollten sich (auch) im eigenen Interesse um die Implementierung bzw. Überprüfung eines Compliance Management Systems bemühen. Welche Maßnahmen im Detail erforderlich sind, kann nicht pauschal festgelegt werden, da dies letztlich eine Einzelfallentscheidung ist. Die Maßnahmen müssen insbesondere für ein Unternehmen der entsprechenden Größe und Branche (Gefahrgeneigtheit) angemessen sein (s. III). Gerade für kleinere Unternehmen und Start-Ups bietet dieser Angemessenheitsvorbehalt jedoch auch oftmals die Chance, bereits mit relativ überschaubaren, dafür aber zielgerichteten Maßnahmen, ein angemessenes Compliance Management System zu etablieren. Die Implementierung eines wirksamen Compliance Management Systems, kann zudem bußgeldreduzierend bei der Verhängung einer Unternehmensgeldbuße gemäß § 30 OWiG wirken. Dies gilt selbst für solche Handlungen, die erst in der Folge des staatlichen Ermittlungsverfahrens umgesetzt werden. Für Compliance Maßnahmen ist es also nie zu spät, wenngleich natürlich idealerweise präventiv gehandelt werden sollte.