Das U.S. Department of Justice („DOJ“) hat am 30. April 2019 einen aktualisierten Leitfaden mit dem Titel „Evaluation of Corporate Compliance Programs“ veröffentlicht. Der Leitfaden soll den White Collar Prosecutors im Rahmen von strafrechtlichen Ermittlungen gegen Unternehmen helfen, deren Compliance Programm auf einer informierten Grundlage einheitlich zu bewerten. Damit ist es auch für die internationale White Collar- und Compliance-Praxis ein wichtiger Orientierungsleitfaden.
Rechtslage
Ermitteln US-amerikanische Behörden gegen ein Unternehmen wegen möglicher Compliance-Verstöße, spielt die Effektivität des Compliance-Programms des Unternehmens insbesondere für die Art der Verfahrensbeendigung und die Strafzumessung eine Rolle. Ein wesentlicher Faktor ist hierbei die Frage, ob ein adäquates und effizientes Compliance-Programm zum Zeitpunkt des Verstoßes implementiert war wie auch ob ein solches zum Zeitpunkt der Sanktion bzw. dem Absehen von Sanktionen implementiert ist (vgl. Priciples of Federal Prosecution of Business Organizations, Justice Manual).
Die Remediation und Verbesserung des Compliance-Programms eines Unternehmens im Nachgang zu einem festgestellten Verstoß ist im US-Recht zudem ein wesentliches Kriterium bei der Prüfung, ob der Einsatz eines Compliance-Monitors angezeigt ist (vgl. Benczkowski Memo).
Die Rechtlage in den USA ist in diesen Punkten vergleichbar mit der Rechtslage in Deutschland. Zwar gibt es in Deutschland (noch?) keinen Compliance-Monitor. Nach der Rechtsprechung des deutschen Bundesgerichtshofs sind aber auch nach deutschem Recht Compliance-Maßnahmen im Rahmen der Bußgeldbemessung nach § 30 OWiG zu berücksichtigen. Der Bundesgerichtshof berücksichtigt dabei sowohl die Effizienz des Compliance Management Systems im Zeitpunkt des Verstoßes als auch die Optimierung des bestehenden Systems in Folge der Aufdeckung eines Verstoßes (vgl. BGH 1 StR 265/16, wir berichteten in diesem Newsletter dazu am 21. September 2017).
Nach deutschem Recht offen ist allerdings bis auf Weiteres, welche Voraussetzungen ein Compliance Management System – trotz punktuellen Versagens – erfüllen muss, um als effizient zu gelten und eine Reduktion des Bußgelds zu rechtfertigen. Anders als beispielsweise in der US-amerikanischen Rechtspraxis sind Verlautbarungen von Behörden zu den anzusetzenden Kriterien in Deutschland nicht üblich.
Die deutsche Compliance-Praxis greift daher unter anderem auf international anerkannte Kriterien und Standards zurück. Hierzu zählen auch und vor allem die Leitlinien der US-Behörden.
Grundsätze zur Bewertung eines Compliance-Programms
Das DOJ stellt mit dem am 30. April 2019 aktualisierten Leitfaden ausdrücklich keine Checkliste oder starre Formel zur Verfügung, um die Wirksamkeit eines Corporate Compliance-Programms zu beurteilen. Vielmehr liefert das DOJ Grundsätze und „grundlegende Fragen“, auf die sich die Bewertung des Compliance-Programms eines Unternehmens stützen sollte.
Starre Formeln und Checklisten sind nach Ansicht des DOJ für diesen Zweck auch nicht tauglich. Das Compliance-Programm eines Unternehmens müsse im spezifischen Kontext des Geschäfts dieses Unternehmens bewertet werden, einschließlich seiner Branche und Größe, seiner geografischen Präsenz sowie des Kontexts der jeweiligen Untersuchung. Die Leitlinie führt dementsprechend auch aus, dass die Behörde bei der Überprüfung von Compliance-Programmen immer individuelle Feststellungen treffen muss. Dennoch gebe es gemeinsame Fragen, die im Zuge einer jeden individuellen Feststellung gestellt werden können.
Compliance-Programme werden nach dem Leitfaden anhand von drei grundlegenden Fragenkomplexen bewertet. Unter diesen drei Komplexen werden die verschiedenen Elemente eines nach Ansicht des DOJ wirksamen Compliance-Programms kategorisiert und zu jedem dieser Elemente enthält der Leitfaden mehrere Kontrollfragen, die bei der Bewertung eines Corporate Compliance-Programms zu stellen sind.
- Ist das Compliance-Programm des Unternehmens gut konzipiert? („Is the corporation’s compliance program well designed?“)
Das DOJ legt hier einen besonderen Fokus auf die Belastbarkeit der unternehmenseigenen Risikoanalyse. So kann beispielsweise positiv berücksichtigt werden, wenn das Compliance-Programm risikoreichen Bereichen und Transaktionen angemessene Aufmerksamkeit und Ressourcen widmet, selbst wenn es Verstöße in einem risikoärmeren Bereich nicht verhindert.
Zudem sind die Richtlinien und Prozesse, Trainings und Kommunikation, das (anonyme) Whistleblower-System und der Investigation-Prozess sowie der Geschäftspartner-Due-Diligence-Prozess näher zu untersuchen. Das DOJ sieht weiter einen „pre-M&A“ Compliance-Due-Diligence-Prozess zur Bewertung von Compliance-Risiken bei Unternehmenszukäufen als wesentlichen Bestandteil eines effektiven Compliance Programms an.
- Wird das Programm aufrichtig und in gutem Glauben angewendet? Mit anderen Worten, wird das Programm effektiv umgesetzt? („Is the program being applied earnestly and in good faith? In other words, is the program being implemented effectively?”)
Dem DOJ geht es insbesondere darum, effizient und adäquat umgesetzte Compliance-Programme von bloßen “Paper Programs” zu unterscheiden. Wesentlich ist hierbei der Tone from the Top und die Einbindung der Geschäftsleitung in die Arbeit der Compliance-Abteilung des Unternehmens. Zudem ist die personelle und finanzielle Ausstattung der Compliance-Abteilung sowie deren Unabhängigkeit im Unternehmen zu prüfen. Auch die richtige Incentivierung von Mitarbeitern für Compliance sowie die Sanktionierung von Mitarbeitern bei Verstößen sind zu bewerten.
- Funktioniert das Compliance-Programm des Unternehmens in der Praxis? („Does the corporation’s compliance program work in practice?“)
Das DOJ erkennt, dass das Vorliegen eines Verstoßes noch nicht notwendig bedeutet, dass das implementierte Compliance-Programm nicht funktioniert. Kein Compliance-Programm kann alle Verstöße in einem Unternehmen vollständig unterbinden. Ob ein Compliance-Programm in der Praxis funktioniert ist daher generell schwierig zu bewerten. Nach Ansicht des DOJ ist hierbei wesentlich, ob das Compliance-Programm über die Zeit an bestehende und sich verändernde Compliance-Risiken angepasst wurde und ob es regelmäßig überprüft wurde. Weiter ist zu berücksichtigen, ob das Unternehmen nach Verstößen mit ausreichend ausgestalteten internen Ermittlungen reagiert hat und ob es die Ursachen für die Verstöße aufgedeckt und abgestellt hat (Root-Cause-Analysis).
Fazit
Der Leitfaden des DOJ wird in der Compliance-Praxis für die Bewertung von Compliance-Programmen im Unternehmen eine weitere wichtige Quelle sein, nicht nur für Unternehmen im Zuständigkeitsbereich der US-Behörden. Der Leitfaden ist eine Hilfestellung für den Compliance Officer, bei der Bewertung seines Programms die richtigen Fragen zu stellen. Er kann hingegen eine Prüfung und Bewertung im Einzelfall nicht ersetzen, was der Leitfaden selbst auch ausdrücklich festhält. Die praktische Herausforderung bleibt die Bewertung des Compliance-Programms vor dem Hintergrund des konkreten Risikoprofils des Unternehmens.