Читать книгу Hinweisgebersysteme - Martin Walter - Страница 29

2. Kapitel Grundprinzipien eines Compliance Management Systems › I. Grundlagen › 3. Internationale Vorgaben und Ansätze zum Aufbau eines Compliance Management Systems

3. Internationale Vorgaben und Ansätze zum Aufbau eines Compliance Management Systems

48

International gibt es einige Standards, die Hilfestellungen dabei bieten können, wie ein CMS ausgestaltet sein sollte. ISO 19600 (künftig ISO 37301)[1] sowie der IDW PS 980 sind die bekanntesten Standards. Sie geben einen groben Rahmen vor, den das jeweilige Unternehmen für die unterschiedlichen Rechtsbereiche beachten muss.

49

Für einzelne Rechtsgebiete stehen darüber hinaus teils weitere internationale Standards und Vorgaben zur Verfügung. Auch wenn diese Standards möglicherweise keine rechtsverbindliche Wirkung entfalten, können sie dennoch hilfreich sein, den richtigen Maßstab für ein angemessenes CMS zu bestimmen.

50

Die aktuell relevantesten Rechtsgebiete, die im Fokus von CMS stehen, sind allgemein Anti-Korruption, das Kartellrecht, Geldwäsche, das Außenwirtschaftsrecht und Datenschutz. Die meisten CMS sehen zudem Regelungen zu Interessenkonflikten vor. Hierbei handelt es sich zwar nicht um ein eigenes Rechtsgebiet und häufig stellen Verstöße gegen die entsprechenden Vorgaben keine Verstöße gegen Gesetzesrecht dar. Dennoch ist der Umgang mit Interessenkonflikten ein wichtiger Gradmesser für die Compliance-Kultur in einem Unternehmen.

a) Internationale Standards zur Korruptionsbekämpfung

51

Besonders im Bereich der Korruptionsbekämpfung haben diverse Länder internationale Organisationsstandards veröffentlicht, die für Unternehmen hilfreiche Hinweise enthalten, wie ein Compliance Management System zur Korruptionsbekämpfung ausgestaltet sein sollte.

aa) US Foreign Corrupt Practices, DOJ- und SEC-Vorgaben, sowie Sentencing Guidelines

52

Aus den Vorgaben rund um den US Foreign Corrupt Practices Act („FCPA“) können Unternehmen eine Vielzahl von wertvollen Vorgaben ableiten, wie ein CMS ausgestaltet sein sollte.[2] Zum einen enthalten die veröffentlichten Entscheidungen der US-Behörden zahlreiche Hinweise, welche Schwachstellen in CMS bestehen können und wie diese nach Vorstellung der US-Behörden geschlossen werden sollten. Zum anderen veröffentlichen die US-Behörden, allen voran das US Justizministerium („DOJ“), sowie die US Börsenaufsicht („SEC“), regelmäßig überarbeitete Stellungnahmen zu CMS. Zuletzt gab das DOJ am 1.6.2020 eine adaptierte Richtlinie zur Bewertung von Compliance-Programmen heraus, welche die Versionen aus den Jahren 2017 und 2019 ersetzt.[3] Die Leitlinie beinhaltet die Erwartungen und Standards, die US-amerikanische Staatsanwälte bei der Bewertung eines Compliance-Programms während einer Untersuchung anwenden. Nur ein Monat später wurde gemeinsam mit der SEC Anfang Juli 2020 auch der Leitfaden zum FCPA[4] neu herausgegeben.

53

Diese Vorgaben bieten aufgrund ihres Detailreichtums und ihrer Transparenz wichtige Hinweise, wie ein CMS zur Korruptionsbekämpfung ausgestaltet sein sollte. Zu berücksichtigen ist hier allerdings der Schwerpunkt des FCPA. Dieser ist primär darauf ausgerichtet, Bestechung von (aus US-Sicht) ausländischen Amtsträgern und damit zusammenhängende Buchhaltungsverstöße zu verhindern.[5] Für die Bestechung im geschäftlichen Verkehr sind die Hinweise nur indirekt anwendbar. Gleiches gilt für die Bestechlichkeit der eigenen Mitarbeiter.

54

Der FCPA enthält selbst keine Pflicht zur Einführung eines Hinweisgebersystems. Der FCPA Resource Guide 2020 vom DOJ und der SEC erachtet ein Hinweisgebersystem aber als einen wesentlichen Bestandteil eines CMS.[6]

bb) UK Bribery Act und adequate procedures

55

Der UK Bribery Act („UKBA“) ist mittlerweile seit zehn Jahren in Kraft und hat sich zu einem der primären internationalen Standards für die Korruptionsbekämpfung entwickelt. Der UKBA verbietet umfassend Bestechung von ausländischen und inländischen Amtsträgern, sowie Bestechung im geschäftlichen Verkehr. Er enthält eine Haftung des Unternehmens, wenn es zu Korruption aus dem Unternehmen heraus gekommen ist. Das Unternehmen kann sich exkulpieren, wenn es nachweisen kann, dass es sogenannte „adequate procedures“, also angemessene Sicherungsvorkehrungen implementiert hatte, um Fehlverhalten vorzubeugen.[7] Die entsprechenden Leitfäden enthalten eine Vielzahl von Vorgaben, wie aus Sicht der britischen Behörden ein Compliance Management System zur Korruptionsbekämpfung ausgestaltet sein sollte.[8]

56

Der Leitfaden des Justizministeriums sieht ebenfalls vor, dass die Geschäftsführung dafür Sorge trägt, dass Unternehmen ein Hinweisgebersystem implementieren.[9]

cc) Sapin II

57

Der französische Sapin II ist seit dem 8.11.2016 in Kraft. Sapin II ist ein spezifisches Anti-Korruptionsgesetz. Es gilt für Unternehmen mit mehr als 500 Mitarbeitern oder einem Gesamtumsatz von 100 Mio. EUR pro Jahr.[10] Es enthält diverse Vorgaben für das Compliance Management System der betroffenen Unternehmen. Dieses muss jedenfalls folgende Elemente enthalten: (i) einen Code of Conduct, (ii) interne Hinweisgebermechanismen, (iii) Risikoanalysen, (iv) Prüfprozesse von Drittparteien (v) Buchhaltungskontrollen, (vi) Compliance Schulungen, (vii) Vorgaben zu arbeitsrechtlichen Maßnahmen bei Fehlverhalten, und (viii) ein internes Kontrollsystem.[11]

dd) ISO 37001

58

Der im Jahr 2016 veröffentlichte, internationale Standard für ein Anti-Korruptions-Compliance Management System ISO 37001 ist kein verpflichtender Standard, sondern ein Leitfaden für Unternehmen. Der Standard enthält dabei Mindestanforderungen für die Korruptionsbekämpfung im Unternehmen. Er kann unabhängig von der Größe, internationalen Ausrichtung oder Industrie des Unternehmens angewendet werden. Es besteht die Möglichkeit für Unternehmen, sich nach diesem Standard zertifizieren zu lassen.

59

In Abschnitt 8.9 enthält der ISO 37001 Vorgaben zu einem Hinweisgebersystem. Dieser sieht vor, dass (i) Mitarbeiter dazu angehalten werden, ehrliche Hinweise auf Korruption zu melden, dass (ii) die Hinweise vertraulich behandelt werden und (iii) anonym abgegeben werden können, (iv) Hinweisgebern keine negativen Konsequenzen drohen und (v) Anlaufstellen für Mitarbeiter zum Umgang mit Verdachtsmomenten geschaffen werden.[12]

ee) Spezielle Vorgaben für Pharma und Medizintechnik

60

Aufgrund des systeminhärenten Kontakts zwischen Pharmaunternehmen oder Medizingeräteherstellern und Ärzten oder Vertretern anderer Heilberufe, haben diverse Verbände ihren Mitgliedern Selbstverpflichtungen auferlegt, damit die besonderen Risiken in der Industrie durch Prozesse und Kontrollen reduziert werden.[13]

61

Auf europäischer Ebene agiert die „European Federation of Pharmaceutical Industries and Associations“ („EFPIA“) als Dachverband der Pharmaindustrie und erarbeitet industrieinterne Kodizes.[14] Der internationale Verband „International Federation of Pharmaceutical Manufacturers & Associations“ („IFPMA“) hat 2019 seinen Code Practice erneuert.[15] In Deutschland hat der „Arzneimittel und Kooperation im Gesundheitswesen e.V.“ einen Verhaltenskodex für seine Mitglieder veröffentlicht.[16]

62

Im Bereich der Medizingerätehersteller hat „MedTech Europe“ einen Code of Ethical Business Principles eingeführt.[17]

63

Die Grundsätze der Kodizes sind vor allem die Transparenz und der Umgang mit Zuwendungen oder Kooperationen mit Personen, die im Gesundheitswesen tätig sind. In vielen Ländern sind diese Personen Amtsträger, sodass besondere Regelungen im Umgang mit diesen Personen bestehen.[18] Welches Risiko diese Beziehungen bergen, verdeutlicht der Umstand, dass die Gesundheitsindustrie in der Historie des FCPA eine der Industrien ist, in der die meisten Untersuchungen wegen Korruptionsverstößen eingeleitet wurden.[19]

b) Internationale Standards im Bereich Kartellrecht

64

Zwar existieren neben den allgemeinen Standards ISO 19600 und IDW PS 980 auch für das Kartellrecht spezielle Leitlinien, diese sind bislang allerdings weniger bekannt als einige der Vorgaben zur Korruptionsbekämpfung.

aa) USA

65

Im Juli 2019 änderten die US-Behörden ihre bisherige Position zu CMS. Zuvor hatten die US-Behörden die Implementierung eines Kartellrechts-Compliance Management Systems im Unternehmen nicht als strafmildernden Faktor angesehen. Ähnlich wie der Evaluation Guide im Bereich Anti-Korruption gibt es nun einen Leitfaden für Staatsanwälte im Bereich des Kartellrechts mit detaillierten Vorgaben, wie sie ein CMS prüfen und dessen Effektivität bewerten sollen.[20]

66

In Abschnitt 7 enthält der Leitfaden diverse Aspekte, die im Hinblick auf ein Hinweisgebersystem überprüft werden sollen.[21]

bb) ICC-Toolkit

67

Von der Internationalen Handelskammer wurde 2013 das Antitrust Compliance Toolkit veröffentlicht.[22] Dabei handelt es sich um eine internationale Leitlinie, die Unternehmen mögliche Instrumente aufzeigt, um ein kartellrechtlich effektives Compliance Management System zu entwickeln. Die Leitlinie verdeutlicht, dass es keine „one-size-fits-all“-Lösungen für Unternehmen geben kann, denn die kartellrechtlichen Compliance-Anforderungen variieren stark nach der Größe des Unternehmens und der Industrie.[23] Dennoch zeigt die Leitlinie, teils anhand von konkreten Case Studies und Registerbeispielen, wie kartellrechtsspezifische Risiken aussehen können, und wie die Unternehmen diesen Risiken begegnen können. Eine wichtige Rolle soll dabei insbesondere die kartellrechtliche Due Diligence spielen. Insgesamt fordert die Leitlinie eine konsequente Berücksichtigung von kartellrechtlichem Know-how in der Gestaltung des CMS.[24]

c) Internationale Standards im Bereich Außenwirtschaftsrecht

68

Für das Außenwirtschaftsrecht wird Compliance unter anderem dann relevant, wenn es darum geht Embargoregelungen zu befolgen, Geschäftspartner mit Sanktionslisten abzugleichen, die auszuführenden Güter zu klassifizieren und möglicherweise erforderliche Ausfuhr- oder Verbringungsgenehmigungen zu erhalten.

69

Im Mai 2019 veröffentlichte das US Office of Foreign Assets Control („OFAC“) Leitlinien für ein CMS mit Fokus auf das Außenwirtschaftsrecht. Ganz ähnlich zu den Vorgaben des DOJ, fordert das OFAC folgende Elemente eine CMS: (1) Verpflichtung der Unternehmensleitung, (2) Risikoanalysen, (3) interne Kontrollen, (4) Prüfungen und Auditierungen sowie (5) Schulungen.[25]

d) Internationale Standards im Bereich Datenschutz

70

Die Relevanz von Datenschutz im Verhältnis zu anderen Rechtsgebieten nimmt aktuell erheblich an Bedeutung zu. Das liegt vor allem auch daran, dass durch die DSGVO und das darin enthaltene Haftungssystem empfindliche Strafen bei Verstößen drohen. Die ersten Folgen waren bereits im Jahr 2019 zu spüren, als zwei Geldbußen in Höhe von 10 Mio. EUR und 14 Mio. EUR für Verstöße im Bereich des mittleren bis unteren Ende des Schwerespektrums verhängt wurden.[26] Ein Nebenaspekt ist das Thema Cyber Security. Schützt ein Unternehmen die Daten seiner Kunden oder Mitarbeiter nicht in ausreichendem Maß, drohen auch hierfür Geldbußen nach der DSGVO.

71

Auch wenn die DSGVO selbst keine ausreichend spezifischen Anforderungen an ein effektives Compliance Management System formuliert, können die Grundsätze der DSGVO mithilfe bestehender IT-spezifischer ISO Normen (insbesondere ISO 27001 und ISO 27005) durchaus konkretisiert werden.[27]

72

Neben den klassischen Maßnahmen, wie beispielsweise der Durchführung von Schulungen und Audits, der Einrichtung von Anlaufstellen und der Implementierung unternehmensinterner Richtlinien, kommt dem Datenschutzbeauftragten als „Compliance-Organisation“ eine zentrale Funktion zu.[28]