juris Nachrichten

  • Die wichtigsten Entscheidungen
  • Gesetzesentwicklungen und -vorhaben
  • Tagesaktuelle Auswahl der juris Redaktion

Die juris Nachrichten App jetzt gratis herunterladen

Login
Autor:Dr. Daniel Valdini, RA, Syndikusrechtsanwalt, Wirtschaftsjurist
Erscheinungsdatum:21.08.2020
Quelle:juris Logo
Norm:§ 30 StGB
Fundstelle:jurisPR-Compl 4/2020 Anm. 4
Herausgeber:Prof. Dr. Norbert Nolte, RA
Zitiervorschlag:Valdini, jurisPR-Compl 4/2020 Anm. 4 Zitiervorschlag

Die Neuauflagen der US-Richtlinien zu Compliance-Programmen und zum U.S. Foreign Corrupt Practices Act (FCPA)

I. Einleitung

Die Strafrechtsabteilung des U.S. Department of Justice (DOJ) hat noch unter dem stellvertretenden Generalstaatsanwalt Brian A. Benczkowski, der zum 03.07.2020 zurückgetreten ist, eine wahre Compliance-Offensive begonnen. Den Anfang machte die am 01.06.2020 veröffentlichte Richtlinie zur Bewertung von Compliance-Programmen in Unternehmen (Evaluation of Corporate Compliance Programs - ECCP).1 Diese Richtlinie erschien erstmals im Februar 2017 und wurde zuletzt im April 2019 aktualisiert. Sie basiert u.a. auf den einschlägigen Abschnitten des Justice Manual, einer unverbindlichen Handlungsanweisung für Bundesstaatsanwälte, und den U.S. Sentencing Guidelines, unverbindlichen Strafzumessungsrichtlinien für Bundesrichter. Die ECCP richtet sich ausdrücklich nur an Staatsanwälte und weist im Gegensatz zu den vorgenannten Richtlinien eine deutlich höhere Detailtiefe im Hinblick auf die konzeptionelle Gestaltung und Umsetzung von Compliance-Programmen auf. Sie besteht im Wesentlichen aus einem umfangreichen Fragenkatalog, der die wichtigsten Teilbereiche eines Compliance Management Systems (CMS) abdeckt. Die Gesamtheit der Antworten, die auf die in der Richtlinie enthaltenen Fragen gegeben werden, soll es einem Staatsanwalt ermöglichen, die Wirksamkeit eines konkreten CMS zu bewerten. Das Ergebnis dieser Auswertung hat er bei der Entscheidung mitzuberücksichtigen, ob und in welcher Form eine – aus Unternehmenssicht oftmals vorzugswürdige – außergerichtliche Einigung in einer Unternehmensstrafsache in Betracht kommt.

Am 03.07.2020 veröffentlichte das DOJ zusammen mit der U.S. Securities and Exchange Commission (SEC) sodann die 2. Auflage des erstmals 2012 erschienenen Resource Guide zum Gesetz über Korruption im Ausland (Resource Guide to the FCPA - Resource Guide).2 Das 125-Seiten starke Dokument richtet sich an Unternehmen und Praktiker. Es enthält Informationen zum FCPA, zu dessen gesetzlichen Definitionen und Anwendungsbereich und erläutert anhand von Beispielsfällen die Durchsetzungspraxis des DOJ und der SEC. Der Resource Guide widmet sich ebenfalls den Anforderungen an ein CMS, wenn auch nicht schwerpunktmäßig und in geringerer Detailtiefe als die ECCP. Der Resource Guide verweist jedoch auf die ECCP als Best Practice-Richtlinie für die Gestaltung von CMS und verdeutlicht so, wie wichtig die ECCP nicht nur für Staatsanwälte, sondern auch für Unternehmen beim Aufbau und der Fortentwicklung bestehender CMS ist.

Beide Richtlinien sind auch für deutsche, international tätige Unternehmen von Bedeutung, da z.B. selbst schwache Anknüpfungspunkte mit den USA den Anwendungsbereich des FCPA eröffnen können. Hierfür kann bereits eine Überweisung in US-Dollar oder auch eine einzelne E-Mail, SMS oder Messenger-Nachricht mit Bezug zum Hoheitsgebiet der USA genügen.3 Die ECCP kann aber auch neben in Deutschland bekannteren Standards4 als Blaupause oder zur Überprüfung des eigenen CMS dienen. Dies gilt umso mehr, als unter dem kommenden Verbandssanktionengesetz zwar bewusst keine detaillierten Vorgaben für ein CMS gemacht werden sollen, in der Begründung zum derzeitigen Regierungsentwurf aber der starke Einfluss der USA auf bestimmte Compliance-Maßnahmen betont wird.5

Ein Hinweis vorab für das Kartellrecht: Die ECCP klammert strafrechtliche Untersuchungen in Zusammenhang mit Kartellrechtsverstößen aus. Denn die ECCP wird von der Criminal Division herausgegeben. Für kartellrechtliche Strafverfahren ist hingegen die Antitrust Division des DOJ zuständig. Diese hat zuletzt im Juli 2019 eine eigene, wenn auch ausdrücklich an die ECCP angelehnte Richtlinie zur Evaluation von speziell kartellrechtlichen Compliance-Programmen herausgegeben.6 Es liegt daher nahe, dass diese Richtlinie bald ebenfalls aktualisiert werden wird.

II. Die Neuerungen in der ECCP

Die Gliederung der ECCP bleibt auch in ihrer neuesten Auflage unverändert. Das ca. 20 Seiten umfassende Dokument besteht seit seinem erstmaligen Erscheinen aus einer kurzen Einleitung und drei Kapiteln bzw. Leitfragen, die wiederum selbst in zwölf Unterkapitel gegliedert sind.7 Die drei übergeordneten Kapitel befassen sich mit (i) der konzeptionellen Bewertung eines CMS, (ii) dessen wirksamer Umsetzung sowie (iii) dessen Funktionalität in der Praxis. Die neue ECCP bringt vor allem Änderungen in den ersten beiden Kapiteln, also den Fragen zum Konzept und zur Wirksamkeit eines CMS, mit sich. Die Änderungen im dritten Kapitel halten sich dagegen in Grenzen.8

1. Bereichsübergreifende Änderungen: Betonung der ganzheitlichen Betrachtungsweise und der Mittelausstattung

Bereits in der Einleitung der neuen ECCP finden sich zwei zentrale Änderungen. Zum einen wurde die Überschrift des zweiten Kapitels geändert. Hier wird der Parameter Wirksamkeit nunmehr definiert: Die ECCP stellt jetzt klar, dass ein wirksames CMS maßgeblich ausreichende personelle, technische und finanzielle Ressourcen sowie Ermittlungsbefugnisse für Compliance-Funktionen erfordert. Zum anderen wird auch klargestellt, dass keine Momentaufnahme eines CMS für die Bewertung maßgeblich sei, sondern das CMS historisch vom Zeitpunkt der Tat und zum Zeitpunkt der Entscheidung der Staatsanwaltschaft über den Verfahrensabschluss betrachtet werden soll. Dieser ganzheitliche Ansatz schlägt sich in vielen neuen Bewertungskriterien nieder. So im Bereich der Geschäftspartnerüberprüfung, die jetzt kontinuierlich und nicht nur zu Beginn einer Geschäftsbeziehung durchgeführt werden soll. Auch die fortlaufende Überprüfung und Verbesserung eines bestehenden Compliance-Konzepts wird nicht anhand einer Momentaufnahme betrachtet. Denn konzeptionelle Änderungen erforderten vielmehr den stetigen Zugang und die Verarbeitung von Daten aus verschiedenen Unternehmensbereichen. In diesem Zusammenhang soll auch danach gefragt werden, ob dieser Entwicklungsprozess zu Aktualisierungen von Handlungsanweisungen und Kontrollfunktionen geführt hat. Sofern es zu möglichen Compliance-Verstößen kam, werden Unternehmen dazu angehalten, einen Blick über den eigenen Tellerrand zu werfen: Nicht nur die eigenen Compliance-Verstöße, sondern ausdrücklich Vorfälle in anderen Unternehmen, die im selben Sektor oder in derselben Region (z.B. Deutschland, Europa) tätig sind, können jetzt Änderungen notwendig machen.

2. Is the Corporation’s Compliance Program Well Designed? - Zur konzeptionellen Bewertung eines CMS

Im Bereich Compliance-Schulung und Kommunikation interner Richtlinien ergeben sich ebenfalls interessante Neuerungen. Die allgemein anerkannte Vorgabe des tone-from-the-top, nach dem vorrangig die Unternehmensführung Compliance-Maßnahmen kommunizieren und vorleben soll, wurde um das mittlere Management (tone-from-the-middle) erweitert. Denn letzteres steht den Arbeitnehmern regelmäßig näher und dient daher eher als Vorbild als die eigentliche Unternehmensführung.

Compliance-Richtlinien und Handlungsanweisungen sollen für die Mitarbeiter einfach zugänglich sein, und das Unternehmen soll detailliert nachhalten, wie und von wem diese Dokumente auch eingesehen werden. Eine effektive Compliance-Schulung muss nicht zwingend in epischer Breite alle Themen schulmäßig abdecken, sondern kann durchaus auch kurz und zielgruppenorientiert sein. Dies setzt zwar eine Zielgruppenanalyse voraus, ermöglicht dann aber auch kürzere und weniger kostenintensive Schulungen. Zudem sollen die Auswirkungen von Compliance-Schulungen auf das Mitarbeiterverhalten analysiert werden. Diesen Anforderungen dürfte zwar schon durch eine anonyme und aggregierte Datenerhebung und -verarbeitung Genüge geleistet werden, aber gleichwohl ergeben sich hier neue datenschutz- und mitbestimmungsrechtliche Konfliktfelder. Hier kann eventuell eine andere Neuerung weiterhelfen: Laut der ECCP können nachvollziehbare Abweichungen von den durch den Fragenkatalog vorgegebenen Soll-Bestimmungen für Unternehmen berücksichtigt werden, wenn diese durch ausländisches Recht determiniert sind. Allerdings muss ein Unternehmen dann auch erklären, wie es die Wirksamkeit und Integrität seines CMS anderweitig gesichert hat.

Beim Thema Compliance-Schulungen müssen Teilnehmer Fragen stellen können. Dieses neue Bewertungskriterium dürfte vor allem auf die weitverbreiteten Desktop-Schulungen abzielen, die teilweise von externen Dienstleistern in Form von elektronischen Schulungen abgehalten werden und bei denen die Möglichkeit, Rückfragen zu stellen, anscheinend nicht immer gegeben ist. Sofern hier Nachholbedarf besteht, sollte diese Vorgabe ggf. nicht unbesehen von einem externen Dienstleister erledigt werden. Grundsätzlich gilt, dass Fragen in angemessener Form zunächst intern kommuniziert und ggf. auch beantwortet werden sollten. Dies gilt erst recht, wenn der externe Dienstleister kein Berufsgeheimnisträger ist.9 Weiter sollte es sich um einen echten „Prozess“ handeln. Ein oftmals anzutreffender Hinweis auf Ansprechpartner für Rückfragen am Ende einer Online-Schulung dürfte dem allein nicht genügen. Sofern Mitarbeiter vertraulich Missstände melden wollen, genügt es auch nicht mehr, nur entsprechende Kanäle anzubieten. Die neue ECCP fordert darüber hinaus eine fortlaufende Evaluation darüber, ob die Arbeitnehmer sich der Möglichkeit eines vertraulichen Melde-Kanals bewusst sind und sie keine Vorbehalte oder Schwierigkeiten haben, diesen zu nutzen.

Im Bereich M&A wird im Vergleich zu der ECCP aus dem Jahre 2019 nun auch die Zeit nach Durchführung eines Erwerbs in den Blick genommen. Insoweit wird ein Prozess für die Integration des Zielunternehmens in die Compliance- und Kontrollstruktur des Käuferunternehmens sowie Audit-Verfahren gefordert. Eine unvollständige Due Diligence Prüfung wird zwar nicht per se negativ gewertet, aber ein Unternehmen muss erläutern, warum diese nur unvollständig erfolgt ist.

3. Is the Corporation’s Compliance Program Adequately Resourced and Empowered to Function Effectively? – Kriterien für die effektive Umsetzung eines CMS

Das zweite zentrale Kapitel beschäftigt sich mit der Wirksamkeit des CMS und damit der Umsetzung des Compliance-Konzepts. Wie eingangs erläutert, wurden hier nun die besser greifbaren Faktoren „Mittelausstattung“ und „Kontrollrechte“ als Gradmesser einer wirksamen Umsetzung mitaufgenommen. Zwar wurde auch schon in den vorherigen Auflagen der ECCP hierauf Wert gelegt, durch die Aufnahme in die Kapitelüberschrift kommt diesen Faktoren nun aber eine gesteigerte Bedeutung zu. Personelle oder technische Engpässe oder unzureichende Befugnisse zentraler Funktionsstellen sollten vor diesem Hintergrund zügig adressiert werden. Ferner dürfte der Faktor „angemessene Mittel“ den Verfechtern einer Trennung von Compliance- und Rechtsfunktionen Auftrieb geben. In diesem Zusammenhang müssen Unternehmen jetzt auch darlegen, was die Gründe für die gewählte Compliance-Struktur waren. In technischer Hinsicht ist es erforderlich, dass einmal etablierte Prozesse, Handlungsanleitungen und Richtlinien auch auf deren Wirksamkeit überprüft werden können. Dies erfordert einen ausreichenden Zugang zu den hierfür relevanten Daten sowie deren tatsächliche Erhebung und Auswertung. Letzteres ist auch dem DOJ bewusst. Die datengestützte fortlaufende Überprüfung des eigenen CMS wird daher in Zukunft stärker mitberücksichtigt. Als ein weiterer Faktor für die Wirksamkeit eines CMS fließt jetzt auch ausdrücklich die Weiterbildung der eigenen Mitarbeiter mit Compliance-Funktion mit ein.

4. Fazit

Zusammengefasst halten sich die Änderungen der neuen ECCP in Grenzen. Der ursprünglich 119 und zuletzt 151 Einzelfragen umfassende Prüfkatalog ist mittlerweile moderat auf 168 Fragen angewachsen. Die ausdrückliche Nennung von Mitteln und Rechten als maßgeblicher Bewertungsfaktoren verdeutlicht jedenfalls, dass Compliance aus Sicht des DOJ weit mehr als nur eine Zusatzaufgabe für eine bereits ausgelastete Rechtsabteilung sein sollte. Die datengestützte Analyse einzelner CMS-Funktionen wie z.B. der Effektivität von Schulungen oder interner Untersuchungen wird generell zu einem weiteren wichtigen Bewertungskriterium. Es wird deutlich, dass das DOJ den Blick verstärkt auf die kontinuierliche Überprüfung und Verbesserung eines bestehenden CMS lenken möchte. Kritik bleibt aber nicht aus: Die Gewichtung der einzelnen Fragen für die Bewertung eines CMS ist weiterhin unklar. Allerdings wird die Bewertung nicht losgelöst von einem konkreten Fall erfolgen, so dass die Gewichtung von Fall zu Fall unterschiedlich ausfallen wird. Ob und inwieweit ein CMS positiv bewertet wird, dürfte jedenfalls nicht allein davon abhängen, dass die Mehrzahl der Fragen positiv oder vereinzelt Fragen negativ beantwortet werden.

III. Die Neuerungen im Resource Guide

In insgesamt zehn Kapiteln erläutern das DOJ und die SEC im Resource Guide, wer unter die Antikorruptions- und Buchhaltungsbestimmungen des FCPA fällt, gehen auf die Definition eines „ausländischen Amtsträgers“ ein, befassen sich mit Geschenken, Reise- und Bewirtungskosten, Zahlungserleichterungen, der Nachfolgehaftung im Zusammenhang mit M&A-Transaktionen und den Merkmalen eines wirksamen Compliance-Programms für Unternehmen.

In diese grobe Gliederung fügen sich die wesentlichen Änderungen der neuesten Auflage ein. So werden erstmals die Voraussetzungen erläutert, unter denen ein Unternehmen als Einrichtung eines ausländischen Staates unter dem FCPA zu qualifizieren ist. Ferner spielt eine nicht rechtskräftige Entscheidung des Bundesgerichts für den 2. Gerichtsbezirk (Conneticut, New York und Vermont) eine Rolle. Aufgrund dieser Entscheidung wird klargestellt, dass die „Teilnahme“10 an einem Korruptionsdelikt zumindest in diesem Gerichtsbezirk nicht mehr verfolgt wird, wenn der vermeintliche Teilnehmer nicht dem vom FCPA erfassten Adressatenkreis unterfällt.11 Daneben finden sich Klarstellungen im Hinblick auf Verjährungsfristen (insbesondere im Hinblick auf die zivilrechtliche Gewinnabschöpfung durch die SEC) sowie auf das Vorsatzerfordernis bei einem Verstoß gegen die Rechnungslegungsvorschriften und hinsichtlich der Kooperation zwischen DOJ und SEC. Der Schwerpunkt der Änderungen bezieht sich erkennbar auf den FCPA und dessen Anwendung und Durchsetzung selbst. Die Aktualisierung trägt letztlich verschiedenen in der Zwischenzeit ergangenen U.S. Bundes- und Verfassungsgerichtsentscheidungen zum FCPA Rechnung.12 Welche Änderungen ergeben sich aber im Hinblick auf die Konzeptionierung und Umsetzung eines CMS? Hier erkennt man schnell, dass der Resource Guide und die ECCP sich in Wortwahl und Schwerpunktsetzung bei der Bewertung eines CMS gleichen. Das verdeutlichen bereits die drei zentralen Leitfragen für die Bewertung eines CMS, die auch im Resource Guide entsprechend dem Wortlaut der ECCP aktualisiert wurden. Ansonsten wurde am Ende des Abschnitts zu CMS im Resource Guide lediglich ein neuer Absatz zu internen Untersuchungen sowie der Analyse von und des richtigen Umgangs mit Fehlverhalten eingefügt. Beachtlich ist insoweit, dass DOJ und SEC betonen, dass der Umgang mit bzw. die Beseitigung von Fehlverhalten die „wahrhaft“ wirksamste Maßnahme eines CMS sei. Erforderlich sei daher ein gut funktionierender und angemessen ausgestatteter Prozess, um Fehlverhalten schnell und gründlich zu untersuchen. Ein Unternehmen müsse außerdem dokumentieren, wie es auf Fehlverhalten reagiert hat (z.B. welche Disziplinarmaßnahmen ergriffen wurden). Korrespondierend dazu sei es auch erforderlich, aus Fehlverhalten oder vielmehr den Ursachen für ein Fehlverhalten Konsequenzen zu ziehen und Richtlinien, Schulungen und Kontrollinstanzen ggf. zu überarbeiten. Wie schon in der ersten Auflage schließt der Resource Guide das Kapitel zu CMS mit einem Hinweis auf andere Richtlinien und internationaler Best Practice zum Thema Compliance ab. An erster Stelle wird hier neuerdings auf die ECCP verwiesen. Da diese erstmals fünf Jahre nach dem ersten Resource Guide veröffentlicht wurde, verwundert das aber nicht. Allerdings zeigen die Detailänderungen am Resource Guide, dass die ECCP eindeutig auch bei der Durchsetzung des FCPA durch das DOJ und der SEC eine wichtige Rolle spielen.

IV. Auswirkungen auf die Praxis

Vor allem die Aktualisierung der ECCP ist für Unternehmen beachtlich. Während manche „Neuerungen“ wie z.B. der „tone-from-the-middle“ aus Sicht vieler Unternehmen und Praktiker keine wirkliche Veränderung in der Praxis darstellen dürfte, ist die Betonung der kontinuierlichen und weitreichenden Datenerfassung und -verarbeitung dagegen durchaus neu. Denn gerade in großen und sehr großen Unternehmen bedeutet das, dass Unmengen an Daten sicher zu erfassen und zu verarbeiten sind und auf dieser Grundlage das bestehende CMS konstant zu überarbeiten und in Frage zu stellen ist. Nicht nur kleinere und mittlere Unternehmen, sondern auch so manches Großunternehmen werden das schlicht nicht leisten können, da ein solcher Prozess neben zahlreichen rechtlichen Problemen vor allem personal- und finanzintensiv ist. In diesem Sinne wird in der ECCP (wie auch im Resource Guide) betont, dass jedes CMS letztlich anders ist und dass die Unternehmensgröße, der Industriesektor, die Bedeutung des Unternehmens als auch das regulatorische Umfeld mit in die Bewertung miteinbezogen werden.13 Eine umfassende Big Data Analyse wird daher wohl nur von den wenigsten Unternehmen erwartet werden, zumal die Voraussetzungen einer internationalen Datenerhebung und -verarbeitung unlängst durch eine Leitentscheidung des EuGH weiter erschwert wurden.14


Fußnoten


1)

Abrufbar unter https://www.justice.gov/, abgerufen am 12.08.2020.

2)

Der Hintergrund für diese Zusammenarbeit ist der zwischen DOJ und SEC geteilte Aufgabenbereich: Der FCPA wird vom DOJ strafrechtlich und von der SEC zivilrechtlich durchgesetzt, vgl. hierzu Kapitel 1, S. 1 sowie Kapitel 7, S. 75 ff. des Resource Guide. Der Resource Guide ist ebenfalls unter https://www.justice.gov abrufbar.

3)

Vgl. S. 10 des Resource Guide.

4)

Z.B. IDW PS 980, ISO 19600 oder Ziffern 3.4, 4.1.3 oder 5.3.2 DCGK.

5)

Vgl. RegE zum Gesetz zur Stärkung der Integrität in der Wirtschaft (RegE VerSanG), S.96; vgl. auch S. 117.

6)

Abrufbar unter https://www.justice.gov/atr/page/file/1182001/download.

7)

Ursprünglich waren es nur elf Unterkapitel. In der Revision 2019 kam das Unterkapitel „Investigation of Misconduct“ hinzu.

8)

Es gibt nur eine einzige Änderung: Unternehmen sollten aufgrund interner wie externer Compliance-Verstöße und von Fehlverhalten ihr CMS konstant prüfen und ggf. überarbeiten. Vgl hierzu den nachfolgenden Absatz a.E.

9)

In Deutschland sind insoweit auch die Vorgaben des Berufsrechts, insbesondere des RDG zu beachten. Sollten nicht-anwaltliche Dienstleister Rückfragen zu Schulungen beantworten, stellt sich insoweit die berechtigte Frage, ob es ausreichend ist, gebetsmühlenartig darauf hinzuweisen, die Anworten seien bzw. ersetzten keine Rechtsberatung.

10)

„Teilnahme“ ist hier nicht mit der Teilnahme nach deutscher Strafrechtsdogmatik gleichzustellen. Sie umfasst auch die „Conspiracy“ (Verschwörung), die in Deutschland noch am ehesten mit der Verabredung eines Verbrechens (§ 30 Abs. 2 StGB) verglichen, aber keinesfalls gleichgesetzt werden kann.

11)

United States v. Hoskins, February 26, 2020, Criminal No. 3:12cr238 (JBA) = 2020 U. S. Dist. LEXIS 32663; gegen die Entscheidung wurde am 09.03.2020 Berufung durch das DOJ eingelegt.

12)

Trotz alledem darf nicht vergessen werden, dass es sich um ein Dokument einer Strafverfolgungsbehörde und einer Aufsichtsbehörde handelt, das stellenweise durchaus selektiven Charakter zu haben scheint.

13)

Ähnlich im Übrigen auch bei RegE VerSanG S. 79.

14)

Vgl. EuGH, Urt. v. 16.07.2020 - C-311/18 „Schrems II“.



Zur Nachrichten-Übersichtsseite