Menu Expand

Zentrale vs. dezentrale Konzerncompliance

Verantwortung und Umsetzung in der faktisch abhängigen Aktiengesellschaft

Ibes, Silvester

Schriften zum Wirtschaftsrecht, Vol. 290

(2016)

Additional Information

Book Details

Pricing

About The Author

Silvester Ibes, CPA (NY), Compliance Officer (Univ.), ist Leiter Bereich Finanzen von Ford of Europe in Köln. Vor seinem Wechsel in die Europazentrale von Ford im Juli 2011 sammelte er im High Potential Programm von KPMG Erfahrung in der Wirtschaftsprüfung in Düsseldorf und Mailand (2005–2007) bevor er für drei Jahre nach New York wechselte, wo er die Prüfung deutscher Unternehmen in den USA und – nach seiner Rückkehr 2010 – des Konzernabschlusses eines internationalen Handelskonzerns leitete. Aufbauend auf seinem wirtschaftsrechtlichen Studium an der Universität Siegen promovierte er nebenberuflich zur Konzerncompliance. Silvester Ibes wurde von der University of New York als Certified Public Accountant lizensiert und ist zertifizierter Compliance Officer der Universität Augsburg.

Abstract

In der Praxis haftet die Obergesellschaft für Complianceverstöße ihrer Tochtergesellschaften zwar nicht nach deutschem Recht, aber sowohl nach EU-Kartellrecht als auch nach exterritorial angewendetem britischen und amerikanischen Anti-Korruptionsrecht. Obwohl sie im Gesetz so nicht angelegt ist, besteht diese Haftung im Ergebnis selbst in dezentral organisierten Unternehmensgruppen. Die Schadensabwendungspflicht des Vorstands einer Obergesellschaft beinhaltet daher die Pflicht zur Risikoreduzierung durch Änderungen der Unternehmensstruktur oder durch Einrichtung eines zentralen Compliancesystems. Letzteres erweist sich als wirtschaftlich vorzugswürdige Alternative.

Die Arbeit belegt, dass alle wesentlichen Elemente eines solchen Compliancesystems im faktischen Aktienkonzern selbst bei maximaler Dezentralisierung und unter Berücksichtigung der gesetzlichen Schranken, insbesondere des Konzern- und Datenschutzrechts, gesellschafts- und länderübergreifend zentral implementierbar sind.
»Centralized vs De-Centralized Compliance in a Group of Companies«

Despite the adverse intention of the law, parent companies are liable for Non-Compliance of their subsidiaries per EU-Antitrust regulations and extraterritorial reach of the UK Bribery Act and U.S. Foreign Corrupt Practices Act. This research proves that, although not addressed by German law, the parent company can and must take actions to overcome the existing restrictions of data protection and German Stock Corporation laws, and enforce a central compliance system throughout all group entities.

Table of Contents

Section Title Page Action Price
Vorwort 5
Inhaltsverzeichnis 9
Abkürzungsverzeichnis 15
§ 1 Einführung und Grundlagen 23
A. Einleitung 23
I. Forschungsbedarf 23
II. Zielsetzung der Arbeit 25
III. Untersuchungsgegenstand und Eingrenzung 25
B. Grundlagen und Reichweite der Konzerncompliance 26
I. Reichweite des Konzernbegriffs 26
II. Complianceverständnis 29
C. Rechtspflicht zur Konzerncompliance 31
I. Diskussionsstand 31
II. Keine Pflicht zur Konzerncompliance aus § 130 OWiG 33
III. Keine Pflicht zur Konzerncompliance aus Ziff. 4.1.3 DCGK 34
IV. Keine Pflicht zur Konzerncompliance aus aufsichtsrechtlicher Gesamtana‍lo‍gie 35
V. Konzerncompliance als implizierte Vorstandspflicht 37
1. Keine Pflicht zur Konzerncompliance aufgrund des Risikofrüherkennungssystems gem. § 91 Abs. 2 AktG 37
2. Konzerncompliance als Sorgfaltspflicht gem. §§ 76, 93 AktG 39
§ 2 Die Zurechnung von Complianceverstößen auf die Obergesellschaft 45
A. Haftungskonzepte bei Kartellverstößen und Korruption 45
B. Sanktionierung nach deutschem Recht 46
I. Kein Unternehmensstrafrecht in Deutschland 46
II. Keine kartellrechtliche Haftung des Unternehmensverbunds 49
III. Keine ordnungsrechtliche Verantwortlichkeit der Muttergesellschaft als Betriebsinhaberin 50
C. Der Konzern als wirtschaftliche Einheit im europäischen Kartellrecht 56
I. Die Verantwortlichkeit für Tochtergesellschaften nach der Rechtsprechung 57
II. Kritische Würdigung der Rechtsprechung 60
III. Widerlegung der vermuteten Einflussnahme durch Nachweis der Autonomie 64
1. Der Autonomienachweis nach den Kriterien unionsgerichtlicher Rechtsprechung 65
2. Parallele zur Widerlegung der aktienrechtlichen Konzernvermutung 68
3. Autonomienachweis bei Aufgabe der Konzernstruktur 69
IV. Auswirkungen des Compliancesystems 71
1. Keine strafmildernde Wirkung des CMS 71
2. Keine Haftungsimplikation eines zentralen CMS bei Fortführung der bisherigen Rechtsprechung 72
3. Auswirkung eines zentralen CMS bei Anlegung sachgerechter Kriterien 73
V. Zwischenergebnis: Haftung im europäischen Kartellrecht 75
D. Verantwortlichkeit der Muttergesellschaft nach dem FCPA 76
I. Hintergrund der Auslandsbestechung 76
II. Exterritoriale Anwendung und Durchsetzung des FCPA 77
1. Anwendungsbereich des FCPA 77
2. Kritische Würdigung der exterritorialen Anwendung 80
a) Rangfolge anzuwendender Strafgewalt nach völkerrechtlichen Prinzipien 82
b) Ne bis in idem bei grenzüberschreitenden Rechtsverstößen 84
III. Zurechnung nach den Anti-Bribery Provisions (§§ 78-dd ff. FCPA) 86
1. „Piercing the Corporate Veil“ aufgrund genereller Dominanz der Muttergesellschaft 87
2. Verantwortlichkeit der Muttergesellschaft als „Principal“ für Verstöße der Tochtergesellschaft als „Agent“ 91
IV. Zurechnung nach den Accounting and Controls Provisions (§ 78 m FCPA) 93
1. Konzernveranwortlichkeit bei fehlerhaften Geschäftsbüchern nach den Accounting Provisions 93
2. Wechselwirkung der Anti-Bribery Provisions mit den Accounting und Controls Provisions 96
V. Verantwortlichkeit in der Strafverfolgungspraxis 97
1. Verfahrensbeilegung mittels DPAs und NPAs 98
2. Erweiterte Anwendung des FCPA durch die Strafverfolgungspraxis 99
3. Zurechnungstheorien der Strafverfolgungsbehörden 101
4. Änderungen durch die FCPA Guidelines von 2012 102
5. Wertung 104
VI. Berücksichtigung des Compliancesystems 107
1. Berücksichtigung des CMS im Ermessen 108
2. Folgen der Berücksichtigung des CMS im Ermessen für die Unterneh‍menspraxis 110
VII. Zwischenergebnis: Verantwortlichkeit nach dem FCPA 111
E. Verantwortlichkeit der Muttergesellschaft nach dem UK Bribery Act 112
I. Exterritoriale Anwendung und Durchsetzung des UKBA 113
1. Anwendungsbereich des § 7 UKBA 114
a) Das Kriterium der Geschäftsbeziehung nach Großbritannien („Carry on a business“) 114
b) Auswirkung auf die „Relevant Commercial Organisation“ 117
2. Vergleich des Anwendungsbereichs mit dem FCPA und Auswirkungen auf die Unternehmenspraxis 118
II. Haftung gem. § 7 UKBA für unterlassene Korruptionscompliance 121
1. Der Zurechnungskreis verbundener Personen („Associated Persons“) 121
2. Handlung zum Vorteil der Obergesellschaft 122
3. Unterlassen angemessener Compliancemaßnahmen („Adequate Procedures“) 123
a) Begriff und Beweismaß der „Compliance Defence“ des § 7 Abs. 2 UKBA 124
b) Anforderungen des UKBA an die Präventionsmaßnahmen entlang der Wertschöpfungskette 125
c) Wertung zu Complianceanforderungen des UKBA im Unternehmensverbund 126
III. Zu erwartende Strafverfolgungspraxis 128
1. Verfahrenseröffnung und -beendigung seit dem Crime and Courts Act 2013 und Code on DPAs 2014 128
2. Unterschiede bei der Verfahrensbeilegung britischer und amerikanischer DPAs 130
IV. Zwischenergebnis: Verantwortlichkeit nach dem UKBA 132
F. Ergebniszusammenfassung: Zurechnung von Complianceverstößen auf die Obergesellschaft 133
§ 3 Implikation aus den Haftungskonzepten für die Unternehmens- und Compli‍anceorganisation 136
A. Schadensabwendung von der Obergesellschaft 136
I. Handlungsbedarf und Handlungsmöglichkeiten 136
II. Isolierung von Kartellrisiken durch Entherrschung 137
1. Notwendigkeit der Entherrschung 137
2. Bewertung der Strategie der Haftungsbegrenzung durch Entherrschung 138
III. Reduzierung des FCPA-Haftungsrisikos (nur) durch Compliance 139
IV. Reduzierung des UKBA-Haftungsrisikos 140
1. Isolierung des Anwendungsbereichs 140
2. Trennung geschäftlicher Aktivitäten 143
3. Exkulpation durch Korruptionscompliance 143
B. Notwendigkeit zentraler Elemente des Konzern-CMS 144
C. Ergebniszusammenfassung und Abwägung der Handlungsalternativen 145
§ 4 Möglichkeit zentraler Konzerncompliance im dezentralen Konzern 148
A. Spannungsverhältnis zentraler Strukturen im faktischen Aktienkonzern 148
B. Bestandteile eines CMS 149
C. Veranlassung eines zentralen Konzern-CMS 156
I. Grenzen der Veranlassung im faktischen AG-Konzern 156
II. Einwirkungsmöglichkeiten durch die Obergesellschaft 157
III. Nachteilsbegriff 158
IV. Konzerninterner Informationsfluss im CMS 159
1. Kein Auskunftsanspruch der herrschenden Gesellschaft zur Konzernoberleitung 160
2. Faktische Informationsmöglichkeiten der herrschenden Gesellschaft 162
a) Berichterstattung des Vorstands und Doppelmandate 163
b) Berichterstattung des Compliance-Verantwortlichen im Aufsichtsrat 165
c) Beurteilung der Berichterstattung im Aufsichtsrat als Grundlage für ein Compliancesystem 169
3. Freiwillige Auskunftserteilung durch die Untergesellschaft 171
a) Auskunftsbefugnis 171
aa) Nachteiligkeit der Informationsgewinnung 171
bb) Nachteiligkeit der Informationserteilung 172
b) Keine Beschränkung der Konzerncompliance-Kommunikation durch § 93 Abs. 1 S. 3 AktG, § 131 Abs. 4 S. 1 AktG oder § 13 Abs. 1 S. 1 WpHG 174
4. Datenschutz als Grenze des Informationsaustauschs 176
a) Anwendbarkeit des Datenschutzrechts auf die konzerninterne Compliance-Kommunikation 177
aa) Datenverfügbarkeit und Analysemöglichkeit 178
bb) Compliancerelevante Informationen ohne Personenbezug 179
cc) Anonymisierung und Pseudonymisierung personenbezogener Datensätze 180
dd) Zwischenergebnis: Anwendbarkeit des Datenschutzrechts und Schlussfolgerung für das Konzern-CMS 181
b) Kommunikation im CMS aus Sicht des nationalen Datenschutzrechts 182
aa) Unmöglichkeit einer Gestaltung der Compliancekommunikation im Konzern als Auftragsdatenverarbeitung 182
bb) Compliancekommunikation im Konzern-CMS als Funktionsübertragung 184
(1) Erlaubnis zur Datenübermittlung gem. § 28 Abs. 1 BDSG 185
(a) Geschäftszweck 185
(b) Berechtigtes Interesse 186
(c) Interessenabwägung 187
(2) Erlaubnis zur Übermittlung von Mitarbeiterdaten gem. § 32 Abs. 1 BDSG 188
(a) Datenübermittlung zur Kontrolle des Arbeitsverhaltens gem. § 32 Abs. 1 S. 1 BDSG 188
(b) Datenübermittlung zur Verfolgung von Straftaten gem. § 32 Abs. 1 S. 2 BDSG 189
(3) Zwischenergebnis: Zulässigkeit der Compliancekommunikation im Konzern-CMS als Funktionsübertragung 189
cc) Zwischenergebnis: Kommunikation im CMS aus Sicht des nationalen Datenschutzrechts 190
c) Grenzüberschreitende Datenübermittlung 191
aa) Datenübermittlung in der Europäischen Union und in Ländern mit festgestellt angemessenem Datenschutzniveau 191
bb) Datenübermittlung in Drittstaaten 193
(1) Schutzgarantie durch Individualvereinbarungen 194
(2) Schutzgarantie durch EU-Standardverträge 194
(3) Schutzgarantie durch verbindliche Unternehmensregelungen 196
(a) Inhalt und Genehmigungsverfahren 198
(b) Beurteilung der Eignung von BCR 199
d) Datenschutz bei der Kommunikation in Hinweisgebersystemen 200
e) Auswirkungen der europäischen Datenschutz-Grundverordnung 202
5. Zwischenergebnis zum Informationsfluss 204
V. Compliancebekenntnis und Risikoanalyse/‌-bewusstsein 205
VI. Compliance-Programm und dessen Vermittlung in Schulungen 206
VII. Zentrale Complianceorganisation als konzerninternes Outsourcing 209
1. Zulässigkeit des Outsourcings von Compliance in der Einzelgesellschaft 210
2. Outsourcing auf ein verbundenes Unternehmen 211
a) Gewährleistung sachgerechter Durchführung und Angemessenheit der Gegenleistung 212
b) Vorkehrungen für ein Ende des Outsourcings 214
3. Kontrollüberlegungen zum Outsourcing in beaufsichtigten Branchen und Zwischenergebnis 215
VIII. Überwachung und Anwendung des CMS 216
1. Konzerngesteuerte Compliance-Prüfungen 216
a) Zentrale Designprüfung des CMS 218
aa) Zentrale Designprüfung zur Verbesserung des Complianceprogramms der abhängigen Gesellschaft 218
bb) Designprüfung zur Konzernkontrolle 219
cc) Unterscheidung zwischen Designprüfung zur Verbesserung des CMS und zur Konzernkontrolle 219
b) Zentrale Wirksamkeitsprüfung des CMS 220
2. Compliance-Entscheidungen aufgrund des Konzern-CMS 221
IX. Zwischenergebnis: Keine Nachteiligkeit eines Konzern-CMS 222
D. Feststellung und Ausgleich von Nachteilen 224
I. Wegfall des Nachteils durch Ausgleichsgarantie 224
II. Nachteilsprüfung 226
1. Delegationsmöglichkeit der Nachteilsprüfung 226
2. Organisatorische Maßnahmen zur Nachteilsprüfung 228
III. Nachteilsausgleich 229
1. Ausgleichsfähigkeit 229
2. Ausgleichsvereinbarung 231
E. Verortung von Konzerncompliance als Zentralfunktion in einer Matrixorganisation 232
F. Ergebniszusammenfassung: Möglichkeit der Errichtung eines Konzern-CMS 234
§ 5 Fazit und Ergebnisse in Thesen 237
A. Fazit 237
B. Ergebnisse in Thesen 238
I. Einführung und Grundlagen 238
II. Die Zurechnung von Complianceverstößen auf die Obergesellschaft 239
1. Sanktionierung nach deutschem Recht 239
2. Der Konzern als wirtschaftliche Einheit im europäischen Kartellrecht 239
3. Verantwortlichkeit der Muttergesellschaft nach dem FCPA 240
4. Verantwortlichkeit der Muttergesellschaft nach dem UK Bribery Act 242
III. Implikation aus den Haftungskonzepten für die Unternehmens- und Complianceorganisation 244
IV. Möglichkeit zentraler Konzerncompliance im dezentralen Konzern 245
Literaturverzeichnis 251
Entscheidungsverzeichnis 300
Verzeichnis amtlicher Quellen und Materialien 313
Stichwortverzeichnis 321