TAGUNGSBERICHT: "Compliance-Management: Standards - Tools - Haftung"

1. Der Rahmen

Der 7. Thementag der Plattform "Recht und IT" an der Universität Graz knüpfte mit "Compliance-Management" nahtlos an die letzte Tagung zum Thema "Datensicherheit im Unternehmen" an. Wieder war das Programm in bewährter Weise in einen praktischen bzw technischen Schwerpunkt am Vormittag und die rechtlichen Beiträge am Nachmittag aufgeteilt.

Nach den Begrüßungsworten des Forschungsdekans Univ.-Prof. Dr. Stefan Storr sowie GR Dr. Peter Piffl-Perčevič von der Stadt Graz eröffnete Projektleiterin Univ.-Prof. Mag. Dr. Elisabeth Staudegger den ersten Teil der Tagung zur Compliance Zertifizierung. Dipl.-Ing. Dr. Peter Jonas, Director of Certification bei Austrian Standards, stellte in seinem Vortrag die internationale Norm ISO 19600 über Compliance-Management-Systeme vor. Die semantische Analyse unstrukturierter Daten war Inhalt des Referates von Jörg Fuchslueger, Head of Content Analytics bei BIConcepts IT Consulting GmbH.

Der rechtliche Part, moderiert von Assoz. Prof. Mag. Dr. Christian Bergauer (Universität Graz) begann mit einem Vortrag von Univ.-Prof. MMag. DDr. Günther Löschnigg von der Universität Graz über die arbeitsrechtlichen Implikationen von Compliance. Organhaftung und Compliance standen im Fokus des Vortrages von Mag. Dr. Mona Philomena Ladler, Bakk., von der Universität Klagenfurt. Den Abschluss der Vortragsreihe bildete ao. Univ.-Prof. Dr. Alexander Tipold von der Universität Wien, der Compliance unter dem Aspekt der strafrechtlichen Verbandsverantwortlichkeit betrachtete.

Die nachhaltige Dokumentation der Ergebnisse der Tagung ist geplant. Die Beiträge werden im Austrian Law Journal (ALJ) publiziert.

2. Die einzelnen Vorträge

2.1. Compliance-Management-Systeme - Die internationale Norm ISO 19600

Die Internationale Norm ISO 19600 stellt Richtlinien über den Einsatz von Compliance-Management-Systemen zur Verfügung. Nach zwei Jahren Erarbeitungszeit, in denen Dr. Jonas aktiv in die Beratungen eingebunden war, wurde die Norm im Dezember 2014 der Öffentlichkeit vorgestellt. Zu den bislang zertifizierten Betrieben zählen ein Kommunalbetrieb und ein Hersteller von Einsatzfahrzeugen.

Der in der Norm enthaltene Leitfaden für Compliance-Management-Systeme (CMS) soll einen Stand der Technik schaffen, auf den sich Unternehmen als Vertrauensbasis einigen und so einen "battle of the codes" (durch Bestehen auf die jeweils eigenen Systeme und Maßstäbe) vermeiden können. Zudem soll Betriebsblindheit begegnet und Prävention gegen Strafverfolgung betrieben werden. Die ISO-Zertifizierung bestätigt nach außen, dass das CMS wirksam ist, die Anforderungen der Norm erfüllt sind und dass laufend überwacht wird.

Im Rahmen einer Zertifizierung werden zunächst der Geltungsbereich des CMS abgesteckt, die Stakeholder, gesetzliche Anforderungen und sonstige Verpflichtungen analysiert und Risiken bewertet. Die Unternehmensleitung muss Grundlagen und Ziele festlegen und Ressourcen zur Verfügung stellen, dazu zählen Personal, Maßnahmen und Tools. Wichtig ist, dass es bei den für Compliance zuständigen Personen nicht zu Interessenkonflikten kommt.

Die erarbeitete Policy sollte die wichtigsten Grundsätze und Werte beinhalten, welche den MitarbeiterInnen in Schulungen erklärt und kommuniziert werden. Es können auch systemische Steuerungs- und Kontrollmaßnahmen eingeführt werden, wie etwa das Vier-Augen-Prinzip. Die Interne Revision überwacht die Einführung und den Einsatz des CMS. Schließlich werden die gesammelten Erfahrungen zur Verbesserung des Systems herangezogen. Die Zielvorgabe der Compliance besteht letztlich darin, MitarbeiterInnen eines Unternehmens systematisch an die Einhaltung von - vorher bekannt gegebenen - Regeln heranzuführen und dies in der Folge auch zu kontrollieren.

Im Anschluss beantwortete der Vortragende bereitwillig die Fragen aus dem Publikum. Dazu, ob und wie die erwünschte Risikosenkung angesichts der Fülle möglicher Regeln bewerkstelligt werden kann, verwies er darauf, dass beim betreffenden Unternehmen der Fokus des CMS auf die wichtigsten Bereiche verengt werden müsse, also auf jene Risiken, die die Existenz des Unternehmens bedrohen. Auf die Frage nach dem praktischen Ablauf der Zertifizierung erfolgte der Hinweis, dass diese zumeist mithilfe von externen Beratern vorbereitet wird, da die Auditoren von Austrian Standards nicht ihre eigene Arbeit bewerten dürfen. Je nach Unternehmensgröße dauert das Audit bis zu einer Woche, wobei die Implementierung der Maßnahmen ua durch Mitarbeitergespräche überprüft wird. Die Zertifizierung gilt für drei Jahre, jedes Jahr wird zusätzlich noch eine Überwachungszertifizierung durchgeführt.

2.2. Semantische Analyse unstrukturierter Datenanwendung

Die Auswertung von oft besonders wichtigen unstrukturierten Unternehmensdaten steht im Mittelpunkt des Geschäftsfeldes des Technologieunternehmens BIConcepts. Unstrukturierte Daten sind nicht auf eine bestimmte Art und Weise angeordnet und verknüpft, wie zB in einem ERP-System, und können daher nicht über ein einheitliches Schema abgefragt werden. Darunter fallen zB Textdokumente, E-Mails, Imagedateien oder auch Audiodateien. Unternehmen können mithilfe von Big-Data Tools dennoch qualitativ hochwertige Informationen aus ihnen gewinnen und diese als wesentliche Entscheidungsgrundlage heranziehen.

Das auf Textdaten spezialisierte Werkzeug "ICInvestigation" (ICI) basiert auf der lernfähigen Natural Language Processing-Plattform IBM Watson und kann in-house oder über ein Rechenzentrum benutzt werden. Im Compliance-Bereich liegt der Hauptanwendungsfall des ICI in der Untersuchung von bereits vorgefallenen Malversationen in Unternehmen.

Jörg Fuchslueger erläuterte, dass bspw bei Korruptionsfällen das Datenvolumen für die sog "eDiscovery" schnell mehrere Millionen E-Mails umfasst und daher nicht über eine normale Volltextsuche aufgearbeitet werden kann. Der Prozess der eDiscovery identifiziert und sichert zunächst Daten forensisch. Nachfolgend werden diese verarbeitet, überprüft und analysiert, um die relevantesten Daten herauszufiltern und zu einem brauchbaren Ergebnis zu kommen. Dabei müssen die Datenvolumina immer wieder drastisch reduziert werden, etwa über den Ausschluss von nicht relevanten Zeiten, Systemdateien, Unternehmensteilen, Personen oder Produktgruppen. Dies birgt jedoch das Risiko in sich, dass relevante Daten schon vor einer Analyse ausgeschlossen werden. Wird hingegen zu wenig ausgeschieden, ist die Datenmenge menschlich nicht bewältigbar.

Der Lösungsansatz des ICI liegt nun darin, dass die "händische" Durchsicht der Dokumente und der damit zusammenhängende zeitliche Aufwand in der eDiscovery wegfallen. Die Schritte des Überprüfens und der Analyse werden in einer Anwendungsoberfläche zusammengefasst. Diese Aufgaben übernehmen nicht mehr DatenbankspezialistInnen, sondern sie werden von MitarbeiterInnen - etwa der Rechtsabteilung oder der Compliance-Abteilung - des auftraggebenden Unternehmens selbst durchgeführt. Dabei können diese ein fallbezogenes Analysemodell mit eigener Struktur und selbst geschaffenen Verzeichnissen erarbeiten.

Momentan wird mithilfe von Linguisten daran gearbeitet, das Natural Language Processing für andere Sprachen zu adaptieren, wie etwa Russisch. Für Fuchslueger ist es vorstellbar, dass das ICI über die Analyse von vergangenen Vorfällen hinaus auch zur ständigen Überwachung der Compliance der MitarbeiterInnen eingesetzt werden könnte, was jedoch von der entsprechenden gesetzlichen Basis abhängt. Dies aber war Thema der Beiträge am Nachmittag.

2.3. Compliance und arbeitsrechtliche Implikationen

Prof. Löschnigg erläuterte, dass in arbeitsrechtlicher Hinsicht die Compliance in eine Fülle von Verhaltensregeln im Zusammenhang mit unselbstständiger Arbeit unterteilt werden muss. Sie kann unterschiedliche Aspekte des Arbeitslebens beeinflussen, wie den Umgang mit MitarbeiterInnen, Entscheidungen oder Arbeitsergebnisse. Bekannte arbeitsrechtliche Problemfelder wie das außerdienstliche Verhalten könnten ebenfalls unter den Compliance-Begriff fallen.

Auf völkerrechtlicher Ebene sieht das Zivilrechtsübereinkommen über Korruption der Staatengruppe gegen Korruption (GRECO) ebenso wie das Abkommen der Vereinten Nationen gegen Korruption den Schutz der Beschäftigten bei der Mitteilung von Korruptionsverdacht vor. Die Umsetzung im Beamten-Dienstrechtsgesetz schützt Beamte und Vertragsbedienstete vor Benachteiligung, wenn sie den Verdacht der strafrechtlich relevanten Korruption melden. Löschnigg erläuterte, dass problematischerweise im privaten Arbeitsrecht keine direkte Umsetzung dieser Abkommen erfolgt ist, da laut den Materialien die in § 879 ABGB normierte Sittenwidrigkeit ausreiche. In diesen Fällen müssten DienstnehmerInnen auf Feststellung des aufrechten Arbeitsverhältnisses klagen und die völkerrechtskonforme Interpretation der Norm vorbringen.

Auf national-gesetzlicher Ebene ist im privatrechtlichen Bereich die Privatautonomie der erste Ansatzpunkt für Compliance Policies, konkret die Treuepflicht der ArbeitnehmerInnen bzw die Fürsorgepflicht der ArbeitgeberInnen. Im öffentlich-rechtlichen Bereich lässt hingegen das Dienstrecht sehr wenig Spielraum für eigene Compliance-Vereinbarungen auf Betriebsebene. Hier gibt es nur punktuell Regelungen, etwa für die IKT-Nutzung, Nebenbeschäftigungen oder die Befangenheit.

Eine weitere arbeitsrechtliche Rechtsquelle stellt der Kollektivvertrag (KV) dar, wobei Löschnigg gleich vorweg klarstellte, dass dieser branchenbezogen ist, die Compliance jedoch die betriebliche Ebene berührt. Der KV der Banken zB beinhaltet ein Transparenzgebot und gibt das Verhalten bei Banküberfällen vor. Davon abgesehen gibt es aber kaum Beispiele von KV mit Compliance-Regelungen. Dafür bietet sich vielmehr das Instrument der Betriebsvereinbarung (BV) nach §§ 96, 96a und 97 ArbVG an, wobei die Erweiterung des KV durch eine BV als wichtige Variante zu nennen ist. Möglich sind dabei Vereinbarungen über das betriebliche Beschwerdewesen oder Kontrollmaßnahmen.

Auch im individuellen Arbeitsvertrag könnte die Zustimmung der ArbeitnehmerInnen zu Compliance-Richtlinien eingeholt werden, sofern diese deren Inhalte im Wesentlichen absehen können. Schließlich - und darin sieht Löschnigg den praktisch wichtigsten Fall - könnten ArbeitgeberInnen auch noch von ihrem Weisungsrecht Gebrauch machen, um die Einhaltung der Compliance von den ArbeitnehmerInnen einzufordern.

Die Intensität der Compliance-Kontrolle durch die ArbeitgeberInnen muss auf die Interessenlage der ArbeitnehmerInnen Rücksicht nehmen. Sie darf nicht überschießend sein oder die Menschenwürde verletzen. Das Auswerten von E-Mails durch elektronische Überwachungssysteme stellt nach Ansicht des Vortragenden jedenfalls einen Grenzfall dar, Parallelen könnten zur schon gängigen Überwachung von Telefondaten bzw Telefongesprächen gezogen werden. Whistleblowing-Systeme sind immer unter § 96 Abs 1 Z 3 ArbVG einzuordnen, da sie als Kontrollmaßnahmen gelten, welche die Menschenwürde berühren.

Prof. Löschnigg führte auf die Frage nach der Haftungsdelegation der DienstgeberInnen aus, dass diese nur an leitende Angestellte mit maßgeblichem Einfluss möglich sei. Bevollmächtigte können ebenfalls verwaltungsstrafrechtlich verantwortlich sein. Für "normale" DienstnehmerInnen spielt die Compliance aber eine Rolle bei der Anwendung des Dienstnehmerhaftpflichtgesetzes im Rahmen der Verschuldensteilung.

2.4. Organhaftung und Compliance: Wie beeinflusst eine Zertifizierung den Sorgfaltsmaßstab

Die Auswirkungen einer Compliance-Zertifizierung untersuchte Dr. Ladler in ihrem Vortrag. Organe eines Unternehmens haben die Verpflichtung, das Unternehmen zu organisieren und für die Einhaltung von Gesetzen und Verträgen zu sorgen, woraus sich die Compliance ableiten lässt. Die genaue Ausgestaltung eines CMS und die Frage, ob dieses nach ISO zertifiziert werden soll, liegen im Ermessen der jeweiligen Unternehmen. Ein genauerer Blick auf die Zertifizierung zeigt, dass diese auf einem Vertrag mit der Zertifizierungsstelle basiert, dessen Grundlage das Zertifizierungsschema bildet. Vorteilhaft für Unternehmen kann sich das im Vergabeverfahren auswirken. Unternehmen, die fälschlich mit einem Zertifikat werben, bedienen sich irreführender Geschäftspraktiken gem § 2 UWG.

Die Geltung von Standards kann, wie im Fall von Ö-Normen, durch Gesetz oder Verordnung erfolgen, sonstige Standards können per Vertrag vereinbart werden. Möglich ist auch die Geltung durch Handelsbräuche als Vertragsergänzung, wenn diese in bestimmten Geschäftskreisen als Verkehrssitte über eine gewisse Zeit ausgeübt werden.

Der OGH sieht in der Befolgung von Ö-Normen einen Indikator für ein fehlerfreies Produkt. Diese Judikatur ist jedoch nicht auf Compliance übertragbar, da diese nur Teilbereiche abdeckt und auch eine Zertifizierung nur einen Rahmen vorgibt.

§ 25 GmbHG bzw § 84 AktG geben vor, dass die jeweiligen Organe ihre Geschäfte sorgfältig zu besorgen haben, wobei Maßstab das Verhalten eines objektiv ordentlich handelnden Organs ist. Eine Zertifizierung kann diesen Maßstab erhöhen, da der Vertrag mit der Zertifizierungsstelle einzuhalten ist und die Legalitätspflicht auch vertragliche Pflichten miteinschließt. Hinzu kommt für die Organe noch das Auswahlverschulden für Compliance-Beauftragte. Compliance Officer müssen unabhängig und weisungsfrei agieren können und darüber hinaus auch Informationsrechte erhalten, um ihre Aufgabe zu bewältigen. Dies kann im Widerspruch zu den Pflichten des Vorstandes stehen, da dieser die Letztverantwortung trägt und Geheimhaltungsverpflichtungen unterliegt.

Haftungsmindernd wirkt sich laut Ladler jedoch aus, dass eine erleichterte Aufdeckung und Unterbindung von Risiken möglich ist und das Zertifizierungsschema wertvolle Hilfestellung für die Legalitäts- und Organisationspflicht leistet. Auch die externe Kontrolle und der erleichterte Nachweis eines sorgfältigen Handelns im Beweisverfahren sind von Vorteil.

Subjektiv ist es schließlich sogar möglich, dass die Sorgfalt vernachlässigt wird, indem die Verantwortung ausgelagert wird. Eine Haftungsfreizeichnung der Organe kann damit aber nicht erreicht werden.

Zusammengefasst sieht Ladler die Auswirkungen für die Organhaftung darin, dass die ordentliche Sorgfalt im Einklang mit anerkannten Standards interpretiert werden kann. Grenzen sind der faktischen Geltung des Standards aber dadurch gesetzt, dass der Sorgfaltsmaßstab auf konkrete Unternehmen anzuwenden ist und daher immer eine spezifische Umsetzung sowie eine Konkretisierung notwendig sind.

2.5. Compliance als Schutz vor Verbandsverantwortlichkeit

Das Strafrecht in Form des VbVG als Ultima Ratio war Inhalt des den Thementag abschließenden Vortrags von Prof. Tipold. Für ihn stellt Compliance als Verpflichtung zur Einhaltung von Rechtsnormen und Maßnahmen eine Verdoppelung der Pflichten dar, da sie letztlich die Ausarbeitung von Regeln zur Einhaltung von Regeln bedeutet. Dies kann die Gefahr der Ablenkung vom Wesentlichen in sich bergen. Als Beispiel dient § 49 ÄrzteG, welcher Ärzten und Ärztinnen eine laufende Fortbildung vorschreibt, die auch der Ärztekammer glaubhaft nachgewiesen werden muss. Im Schadensfall komme es aber nur darauf an, ob lege artis behandelt wurde, nicht jedoch auf die Compliance bzgl der Fortbildungsverpflichtung. Compliance-Vorgaben können also eine Haftung nicht immer verhindern.

Das VbVG an sich ist auf juristische Personen, eingetragene Personengesellschaften und Europäische wirtschaftliche Interessenvereinigungen anzuwenden. Voraussetzung für die Strafbarkeit ist eine Straftat, die entweder zugunsten des Verbandes begangen wird oder die eine Verbandspflicht verletzt. Diese Tat muss weiters entweder von einem Entscheidungsträger oder von MitarbeiterInnen des Verbandes begangen worden sein. Entscheidungsträger sind GeschäftsführerInnen, Vorstandsmitglieder, Prokuristen oder sonstige Personen, die maßgeblichen Einfluss auf die Geschäftsführung ausüben, wie zB faktische GeschäftsführerInnen. Bei MitarbeiterInnen muss zur Straftat noch hinzutreten, dass Entscheidungsträger des Verbandes durch Sorgfaltspflichtverletzungen die Begehung der Tat zumindest wesentlich erleichtert haben.

Der Einsatz eines CMS wird für die Strafbarkeit vom Gesetz nicht berücksichtigt und kann eine Haftung daher nicht verhindern, auch wenn das Unternehmen seinen Verpflichtungen fehlerfrei nachgekommen ist, also selbst ohne Verschulden gehandelt hat.

Ein CMS kann aber im Rahmen des in § 18 VbVG normierten Verfolgungsermessens der Staatsanwaltschaft berücksichtigt werden, welche die Tatschwere, Tatfolgen und das Verbandsverhalten als Ermessensgründe nennt. Auch eine Diversion nach § 19 VbVG hält Tipold für möglich, ebenso dass das CMS als Milderungsgrund bei der Strafzumessung (§ 5 VbVG) gelten könnte. Sinnvoll ist dessen Einsatz auch, um die Haftung für Mitarbeiterdelikte auszuschließen, da die Unterlassung von technischen, organisatorischen oder sonstigen Maßnahmen als Sorgfaltspflichtverletzung gesehen wird und strafbegründend wirkt.

Den Verband kann sowohl für die Auswahl als auch für die Überwachung der MitarbeiterInnen ein Verschulden treffen. Zum Auswahlverschulden zählt die Qualifikation der MitarbeiterInnen, also zB, dass Speditionsunternehmen die Lenkerberechtigung ihrer FahrerInnen prüfen. Bei den Überwachungspflichten spielt auch der Vertrauensgrundsatz eine wichtige Rolle, ebenso die regelmäßige Belehrung und Schulung des Personals.

Ein grundsätzliches Problem des VbVG bleibt für Prof. Tipold die Unsicherheit im Zusammenhang mit dem Haftungsmaßstab und dem Verschulden. Compliance stellt für ihn jedoch keineswegs eine klare Lösung dar, sie kann vielmehr zur Übererfüllung von Pflichten und damit zur Erhöhung des Haftungsmaßstabs führen.

3. Abschließendes Podium

In der auf die Vorträge folgenden, von Prof. Bergauer moderierten Plenumsdiskussion wurde den Vortragenden und dem Publikum die Möglichkeit geboten, das Gehörte zu reflektieren. Alle Vortragenden waren sich einig, dass Compliance als Begriff unscharf ist und Fragen vor allem im Hinblick auf den Haftungsmaßstab und die Kontrollmaßnahmen bleiben.

Die angeregte Diskussion und die Vielschichtigkeit der Vorträge zum Thema zeigen, dass Compliance auch in Zukunft keine einfachen Antworten geben kann. Auch mit einem zertifizierten CMS ist eine vollständige Absicherung nicht erreichbar, jedoch kann es ein wichtiges präventives Mittel sein, um wesentlich zur Risikoerkennung und -senkung beizutragen.