Neu: Änderungen des DCGK - Erhöhte Anforderungen an Compliance Management Systeme

Am 7. Februar 2017 hat die Regierungskommission Deutscher Corporate Governance Kodex Änderungen des Kodex (DCGK) beschlossen. Erstmalig sieht der Kodex jetzt das Einrichten von Compliance Management Systemen vor und ergänzt Ziffer 4.1.3 DCGK um wesentliche Punkte:

•  Einrichtung eines Compliance Management Systems (CMS)
•  Offenlegung der Grundzüge des CMS
•  Schaffung von Hinweisgebersystemen durch Mitarbeiter und Dritte

1. Einrichtung eines Compliance Management Systems (CMS)

Ziffer 4.1.3 S. 1 DCGK enthält bereits seit Längerem den Hinweis auf die Vorsorgepflicht des Vorstands, für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken (Compliance). Damit ist klargestellt, dass das „Ob‟ der Compliance Vorsorgepflicht des Vorstands für den Kodexgeber nicht in Frage steht, sondern dass diese aus der gesetzlichen Legalitätspflicht resultiert.

Neu ist vielmehr Ziffer 4.1.3 S. 2 DCGK:

„Er [der Vorstand] soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen.‟

Auch wenn die Einrichtung eines CMS nur eine Empfehlung ist, müssen Vorstand und Aufsichtsrat – aufgrund des „Comply-or-Explain‟-Prinzips des § 161 Abs. 1 S. 1 AktG – bei Nichtbefolgen der Empfehlung erklären, dass sie

1.) kein Compliance Management System einrichten,
2.) warum sie dies nicht tun und
3.) diese Erklärungen dauerhaft auf der Internetseite der Gesellschaft öffentlich zugänglich machen (§ 161 Abs. 2 AktG).

Durch diese Verknüpfung scheint eine De-Facto-Pflicht zur Einrichtung von Compliance Strukturen im Unternehmen geschaffen – denn wer erklärt heutzutage gerne, dass er kein solches System zur Vermeidung von Gesetzesverstößen eingerichtet hat?

Offen bleibt auch, ob die Empfehlung konzernweit zu verstehen ist, was allerdings u.a. im Zusammenhang mit dem Wortlaut des S. 1 („durch die Konzernunternehmen‟) vermutet werden darf.

2. Ausgestaltung des CMS

Bei der Frage der Ausgestaltung des CMS bleibt der Kodexgeber vage – jedenfalls soll es „angemessen‟ und „an der Risikolage des Unternehmens ausgerichtet‟ sein. Diese abstrakte Herangehensweise entspricht der allgemeinen Ansicht, dass es kein generelles CMS geben kann, das für jedes Unternehmen geeignet ist. Vielmehr muss zu Beginn des Aufbaus eines CMS eine ausführliche Risikoanalyse stehen. Nur auf der Grundlage einer fundierten Risikoanalyse können die Risiken eines Unternehmens adressiert und über konkrete Compliance Maßnahmen aufgefangen werden.

3. Offenlegung der Grundzüge des Compliance Management Systems

Des Weiteren sieht der Kodexgeber vor, dass die Grundzüge des Compliance Management Systems offengelegt werden sollen. Auch hier lässt der Kodexgeber dem Vorstand bewusst die Wahl der Mittel. In Betracht kommt insbesondere eine Offenlegung auf der Homepage der Gesellschaft oder im Corporate Governance Bericht (gemäß Ziffer 3.10 DCGK).

4. Schaffung von Hinweisgebersystemen für Mitarbeiter des Unternehmens

Ziffer 4.1.3 S. 3 DCGK sieht die Einführung eines Hinweisgebersystems vor:

„Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.‟

Durch diese Vorschrift wird erstmals die Empfehlung aufgenommen, ein geschütztes Hinweisgebersystem für Mitarbeiter einzurichten. Die meisten Unternehmen besitzen bereits ein mehr oder weniger umfangreiches CMS. Um die Einrichtung eines Hinweisgebersystems (auch bekannt unter „Whistleblower-Hotline‟) machen viele Unternehmen bislang einen Bogen, bringt es doch weitere datenschutzrechtliche, arbeitsrechtliche und organisatorische Implikationen (Stichwort IT-Infrastruktur) mit sich. Zudem muss den anonymen Hinweisen nachgegangen werden, was wiederum weiteren Arbeitsaufwand mit sich bringt. Auch wenn die Empfehlung für ein Hinweisgebersystem daher für manch einen überraschend kommen mag, ist sie Gold und am Ende wahrscheinlich auch Geld wert. Denn nur eine gelebte Compliance Organisation (und hierzu zählt u.a. ein Hinweisgebersystem) kann zu einer Haftungsvermeidung führen (Hinweis: Grundlagen für Bußgelder bei Compliance Verstößen sind zumeist §§ 30, 130 OWiG oder § 81 GWB).

5. Schaffung eines Hinweisgebersystems für Dritte

Als Anregung ausgestaltet ist die Möglichkeit eines Hinweisgebersystems durch Dritte. Auch Dritten sollte nach den Vorstellungen des Kodexgebers die Möglichkeit eingeräumt werden, Unregelmäßigkeiten oder Verdachtsfälle zu melden. Da es sich hier um eine bloße Anregung handelt („sollte‟), braucht bei Nichteinführung auch keine Entsprechens- bzw. Abweichungserklärung i.S.d. § 161 Abs. 1 S. 1 AktG abgegeben werden.

6. Auswirkung auf die Unternehmenspraxis

Der DCGK ist Ausdruck einer Selbstverpflichtung zu guter Corporate Governance und richtet sich in erster Linie an deutsche börsennotierte Gesellschaften und Gesellschaften mit Kapitalmarktzugang i.S.d. § 161 Abs. 1 S. 2 AktG. Allerdings empfiehlt der Kodexgeber auch nicht kapitalmarktorientierten Unternehmen die Beachtung des Kodex. Die Praxis hat zudem gezeigt, dass durch seine Leitlinien und deren Umsetzung in vielerlei Hinsicht Marktstandards auch für andere Gesellschaftsformen geschaffen wurden. Dies darf nunmehr auch für die Etablierung, den Inhalt und die Reichweite eines CMS erwartet werden.

Für Rückfragen zu den DCGK-Neuerungen oder Ihrem CMS stehen wir Ihnen gerne zur Verfügung.