Tax Compliance Management System: Definition und Aufbau

Wer das liest, denkt vielleicht:

• Gesetzestreue und Redlichkeit sind für ein gut geführtes Unternehmen doch nichts Neues (z. B. der ehrbare Kaufmann).
• Immer neue Schlagworte, immer neue Kosten?
• Die Definition "Einhaltung externer und interner Regeln und Prinzipien" ist so weit gefasst, dass man damit operativ nichts anfangen kann.
• Sollen wir die perfekte Welt schaffen? Niemand wird jemals verhindern können, dass Menschen rechtswidrig handeln oder sich unredlich verhalten.
• Soll "gute Geschäftsführung" neu beschrieben werden?

Mit diesen Überlegungen liegen Sie gar nicht falsch. Es geht tatsächlich um neue Anforderungen an eine gute Geschäftsführung:

• Von Unternehmen werden heute aktive aufbau- und ablauforganisatorische Maßnahmen verlangt, um Risiken für Rechtskonformität oder Redlichkeit zu vermeiden.
• Die Gesamtheit dieser Maßnahmen nennt man Compliance-Management-System.
• Im Interesse einer praktikablen Eingrenzung sollte man sich dabei auf straf- oder bußgeldbewehrte Regelverstöße sowie erhebliche Reputationsrisiken oder Vermögensschäden beschränken. Nur bei solchen besonderen Gefährdungslagen sind über die vorhandenen Verfahren hinausgehende Compliance-Maßnahmen sinnvoll.
• Bußgeld- und Strafandrohungen sind Hinweise auf ein besonderes öffentliches Interesse an der Regeleinhaltung. In vergleichbarer Weise gilt das auch für drohende Rufschäden. Das betrifft nicht nur Themenstellungen wie Korruption, Kartellverbote, Datenschutz oder Diskriminierung, die bisher im Vordergrund der Compliance-Diskussion standen.
• Unternehmen müssen darüber hinaus viele straf- oder bußgeldbewehrte Vorschriften von großer praktischer Bedeutung einhalten (z. B. im Umweltschutz, dem Personalwesen, dem Einsatz von Fremdressourcen, der Exportkontrolle oder der Einhaltung von Herkunftsbezeichnungen) und haben hierzu üblicherweise bereits Verfahren und Weisungen eingerichtet.
• Ein unternehmensübergreifendes Compliance-Management-System erfordert daher die Vernetzung voneinander unabhängiger Prozesse im Unternehmen. Spätestens das ist Geschäftsführungsaufgabe.

Definition von Compliance

Die Maßnahmen eines Unternehmens, die vor dem Hintergrund seiner sonstigen Bemühungen um eine rechtskonforme und redliche Führung der Geschäfte und das entsprechende Verhalten seiner Mitarbeiter erforderlich sind, um straf- und bußgeldbewehrte Verhaltensweisen zu vermeiden und besonders schwerwiegende Reputations- oder Vermögensschäden zu verhindern.

Ob Sie wollen oder nicht: Für Compliance gibt es eine Reihe guter Gründe, wie z. B.:

• Wachsender Ermittlungs- und Überwachungsdruck: Aufsichts- und Strafverfolgungsbehörden haben den Respekt vor Unternehmen und Managern verloren.
• Investigativer Journalismus: Managerfehlverhalten ist für Wirtschaftsmedien so attraktiv wie königliche Hochzeiten für die Boulevardpresse.
• Wertgeprägte Unternehmenskultur: Unternehmen beanspruchen heute selbst, Träger von Werten zu sein, und werden in der Öffentlichkeit und von ihren Kunden daran gemessen.
• Gegenseitige Vernetzung: In einer hochvernetzten, arbeitsteiligen Wirtschaftswelt berührt das Fehlverhalten eines einzelnen Teilnehmers schnell die Interessen anderer Beteiligter.
• Druck in der Lieferantenkette: Unternehmen achten daher bei Geschäftspartnern auf Compliance-gerechtes Verhalten und geben den Compliance-Druck in der Lieferantenkette weiter.
• Internationale Standards: Angebot und Nachfrage sollen im Leistungswettbewerb optimiert werden. Was unlautere Sondervorteile verschafft, wie z. B. Korruption oder Kartellabsprachen, wird von den führenden Wirtschaftsnationen geächtet und nach Möglichkeit verfolgt.

Unternehmensinhaber, d. h. die tatsächlich Führungsverantwortlichen, sind nach § 130 OWiG verpflichtet, durch angemessene Aufsichtsmaßnahmen die Verletzung straf- oder bußgeldbewehrter Unternehmenspflichten zu verhindern. Kommen sie oder an ihrer Stelle beauftragte Mitarbeiter (Pflichtendelegation) dieser Pflicht nicht ordnungsgemäß nach, handeln sie oder die beauftragten Mitarbeiter (§ 9 OWiG) selbst ordnungswidrig und können mit einem Bußgeld belegt werden. Daneben können auch gegen Unternehmen selbst Sanktionen verhängt werden (Verbandsstrafe nach § 30 OWiG).

Diese Regelungen bilden heute in Deutschland die harte rechtliche Grundlage für die unter dem Stichwort Compliance erfassten Pflichten zur Vermeidung rechtswidrigen Unternehmenshandelns. Sie bestehen gegenüber der Allgemeinheit und nicht nur gegenüber den Unternehmenseigentümern oder Vertragspartnern.

Demgegenüber bestehen die gesellschaftsrechtlichen Anforderungen an eine ordnungsgemäße Geschäftsführung (§§ 91, 93 AktG und § 43 GmbHG) grundsätzlich nur gegenüber den Unternehmenseigentümern. Vor diesem Hintergrund lässt sich Compliance als Verkehrssicherungspflicht zur Verhinderung unrechtmäßigen Unternehmenshandelns verstehen.

Der Beginn: Verkehrssicherungspflichten für Vermögensschäden

Jeder Unternehmer kennt heute die Verkehrssicherungspflichten, die ein Unternehmen einhalten muss, um ggf. Schadensersatzansprüche von Geschäftspartnern wegen Vertragsverletzung oder von Dritten aus unerlaubter Handlung abwehren zu können. Die Entwicklung hierzu begann schon zu Beginn des zwanzigsten Jahrhunderts mit den nebenvertraglichen Schutzpflichten und hat sich später im Medizin- und Produkthaftungsrecht und bei der Haftung für Schäden aus unerlaubten Handlungen von Verrichtungsgehilfen fortgesetzt.

Im Ergebnis sehen sich Unternehmen heute in vielen Bereichen organisatorischen Pflichten ausgesetzt, um Schäden, die in ihrem Organisations- und Herrschaftsbereich entstehen, zu vermeiden. Eine Enthaftung setzt den Nachweis voraus, dass der Schaden auch bei Einhaltung aller erforderlichen Sorgfaltspflichten eingetreten wäre. Als Mindestmaßstab dienen, soweit vorhanden, die Vorgaben aus ISO-, DIN- oder vergleichbaren anderen Qualitätsstandards von Aufsichtsbehörden oder berufsständischen Organisationen.

Sie sagen jetzt vielleicht: Ich habe verstanden. Für Rechtsfragen und Organisationsdetails habe ich allerdings meine Berater und Mitarbeiter. Ich führe ein Unternehmen und muss mich auf unsere Kernfragen konzentrieren. Unsere Antwort hierauf: Überlassen Sie die Details ruhig Ihren Mitarbeitern und Beratern – aber bitte erst, nachdem Sie den Zug auf das richtige Gleis gesetzt haben. Warum? Es geht um Ihren Ruf, Ihr Geld und Ihre Existenz. Es geht um Ihr Unternehmen. Ob Sie wollen oder nicht.

Als Start der aktuellen Entwicklungsetappe können die US Federal Sentencing Guidelines von 1987 gelten. Diese sehen für Unternehmen, die ein Compliance-Programm mit Verhaltenskodex und/oder Business-Ethik-Schulungen nachweisen können, einen Strafnachlass vor. In Deutschland wurden mit dem Wertpapierhandelsgesetz von 1994 erstmals Compliance-Anforderungen zur Verhinderung von Insidergeschäften gesetzlich vorgeschrieben. Die Corporate-Governance-Kommission (Cromme-Kommission) hat Compliance dann 2001 offiziell für den Industrie- und Dienstleistungsbereich eingeführt. Mit dem Prüfungsstandard PS 980 des Instituts der Wirtschaftsprüfer und der neuen ISO-Norm 19600 "Leitfaden für Compliance-Managementsysteme" stehen jetzt international anerkannte prüf- und zertifizierungsfähige organisatorische Qualitätsstandards zur Verfügung, die Compliance und die damit verbundenen Organisationspflichten näher beschreiben.

Letzteres klingt zunächst eher harmlos nach dem Motto "Noch ein Prüfungsstandard? Papier ist geduldig", gewinnt jedoch vor dem Hintergrund des Straf- und Ordnungswidrigkeitenrechts spürbare Bedeutung.

In Deutschland können mittlerweile auch Führungskräfte, die an strafbaren Handlungen nicht unmittelbar operativ beteiligt waren, hierfür aufgrund von Unterlassungen und ihrer Verantwortung für Organisationsstrukturen bestraft werden (mittelbare Täterschaft, Garantenstellung und Unterlassung, Anstiftung und psychische Beihilfe). Spätestens seit der Siemens-Affäre ist dabei klar, dass ein ausgefeiltes Richtlinienwesen die Führungsebene nicht entlastet, sondern diese für die operative Umsetzung der vorgesehenen Maßnahmen sorgen muss.

Insbesondere gilt dieser Grundsatz im Ordnungswidrigkeitenrecht. Im Falle einer Verletzung von Aufsichts- und Kontrollpflichten der Geschäftsleitung besteht die Möglichkeit zur Verhängung von Bußgeldern bis zu 1 Mio. EUR bzw. 10 Mio. EUR (ggf. auch höher), zur Mehrerlös- und Vorteilsabschöpfung und zur Eintragung in das Gewerbezentral und Korruptionsregister. Damit haben OWiG-Sanktionen eine Bedeutung erlangt, die "echten" Strafen gleichkommt. Zumal die Öffentlichkeit bei einer Anklageerhebung kaum zwischen dem Vorwurf einer Straftat und einer Ordnungswidrigkeit unterscheidet.

Der PS 980 und die ISO 19600 mit der Forderung bzw. Empfehlung eines Compliance-Management-Systems dürften künftig als Mindestanforderungen herangezogen werden, die erfüllt sein müssen, um ggf. den Vorwurf der Verletzung von Geschäftsleitungspflichten widerlegen zu können. Ob es sich um einen Prüfungsstandard, einen ISO-Entwurf oder eine ISO-Norm handelt, wird dabei schon deshalb keine Rolle spielen, weil Behörden und Rechtsprechung sich um solche Details im Ernstfall kaum kümmern dürften.

künftig als Mindestanforderungen herangezogen werden, die erfüllt sein müssen, um ggf. den Vorwurf der Verletzung von Geschäftsleitungspflichten widerlegen zu können. Ob es sich um einen Prüfungsstandard, einen ISO-Entwurf oder eine ISO-Norm handelt, wird dabei schon deshalb keine Rolle spielen, weil Behörden und Rechtsprechung sich um solche Details im Ernstfall kaum kümmern dürften.

Mit dieser Entwicklung steht Deutschland nicht allein. In Bezug auf Korruptionsprävention sehen der US Foreign Corrupt Practices Act (FCPA) und der UK Bribery Act organisatorische Sorgfaltspflichten des Unternehmens vor. In Italien besteht mit dem Compliance-Gesetz (Legge di Ontologia) eine noch sehr viel weitergehende allgemeine Organisationsverpflichtung der Geschäftsleitung. Die Diskussion um die Einführung eines Verbandsstrafrechts in Deutschland wird dieser Entwicklung weiteren Vorschub leisten. Der Entwurf des Landes Nordrhein-Westfalen wird zwar von weiten Teilen der Wirtschaft abgelehnt. Allerdings wird dabei erklärt, dass die Sanktionsmöglichkeiten nach dem Ordnungswidrigkeitenrecht ausreichen und zielgenauer seien. Mit einer Fortentwicklung der Sanktionsmöglichkeiten nach dem OWiG ist also zu rechnen, wie auch immer die Diskussion um das Verbandsstrafrecht ausgehen wird.

Hinzu kommt, dass neue Spezialregelungen unter Rückgriff auf europäische Regelungsmuster fachbezogene Compliance-Management-Systeme fordern oder verschuldensunabhängige, allein risikobedingte Haftungssituationen von Unternehmen schaffen. Dies lässt sich etwa beobachten beim Zugelassenen Wirtschaftsbeteiligten im Zollverfahren (Authorized Ecocnomic Operator, AEO), dem sicheren Luftfrachtversender oder der Ausfallhaftung des Auftraggebers für Vergütungsansprüche der Beschäftigten seines Subunternehmers. In Rechtsordnungen, die davon ausgehen müssen, dass Unternehmen sich eher nicht an Gesetze halten, liegt es auf der Hand, dem Unternehmer die Beweislast aufzuerlegen, wenn Sachverhalte vorliegen, die auf die Nichtbeachtung gesetzlicher Vorgaben hinweisen. Wir haben den Eindruck, dass sich deutsche Unternehmen auch insoweit auf eine "Europäisierung" einstellen müssen.

Die im Dezember 2014 veröffentlichte ISO 19600 empfiehlt Unternehmen, ein Compliance-Management-System einzurichten und legt hierfür international einheitliche Rahmenbedingungen fest. Dabei ist die ISO 19600 bewusst "nur" als Richtlinie und noch nicht als Norm mit verbindlichen, ISO-förmlich zertifizierungsfähigen Anforderungen ausgestaltet, wie das etwa für die ISO 9001 zum Qualitätsmanagement zutrifft. Das sieht auf den ersten Blick nicht spektakulär aus. In Verbindung mit der Entwicklung des Haftungsrechts für Unternehmer und Führungskräfte bei Verletzung von Aufsichtspflichten wird es eine erhebliche Bedeutung entwickeln.

Integration von Fachthemen und Spezialprozessen

Inhaltlich stimmt die neue ISO-Richtlinie weitgehend mit dem Prüfungsstandard 980 des Instituts der Wirtschaftsprüfer überein. Allerdings ist er etwas stärker operativ ausgerichtet. In Übereinstimmung mit dem Stichwort "Rechtskonformität" ist konsequenterweise ein weiter Compliance-Begriff zugrunde gelegt. Dieser erfasst über die klassischen Themen hinaus, wie z. B. Diskriminierung, Interessenkonflikte, Geschenke und Einladungen, Korruption zumindest alle straf- und bußgeldbewehrten Vorschriften. Das bedeutet, dass jetzt Fachthemen wie Datenschutz, Informationssicherheit, Exportkontrolle, Arbeitssicherheit, Umweltschutz usw. in das Compliance-Management-System einzubeziehen sind, die besondere Fachkenntnisse und -prozesse voraussetzen. Diese wurden von den Compliance-Generalisten bisher vor allem unter dem Blickwinkel des Ordnungswidrigkeitenrechts und deshalb eher mit Zurückhaltung betrachtet.

Ferner kommen Integrität und Redlichkeit, d. h. angemessenes Verhalten unabhängig von gesetzlichen Regelungen, ausdrücklich wieder zu Ehren.

Wichtig

Diese Gesichtspunkte waren in Folge der Compliance-Definition der Deutschen Corporate Governance Kommission – Einhaltung externer und interner Regelungen und Prinzipien – leider etwas in den Hintergrund getreten. Auf dem Gebiet der HR-Compliance hatte das bekanntlich dazu geführt, dass die Präsidentin des Bundesarbeitsgerichts die Ehre des redlichen Kaufmanns zitierte und die Bundeskanzlerin sinngemäß äußerte: "Wer bestehende Regelungen ausreizt, darf sich nicht wundern, wenn wir neue machen.".

Entscheidend für die Bedeutung, die die ISO 19600 schon jetzt hat, ist aber die Entwicklung im Straf- und Ordnungswidrigkeitenrecht. Auch Führungskräfte, die an straf- oder bußgeldbewehrten Rechtsverletzungen im Unternehmen nicht unmittelbar operativ beteiligt sind, können heute hierfür aufgrund ihrer Verantwortung für Organisationsstrukturen, Aufsicht und Kontrolle persönlich zur Verantwortung gezogen werden. Daneben können Bußen und Mehrerlös- oder Vorteilsabschöpfung gegen das Unternehmen selbst verhängt werden. Spätestens seit der Siemens-Affäre ist klar, dass ein ausgefeiltes Richtlinienwesen die Führungsebene eines Unternehmens nicht entlastet, sondern es auf die operative Umsetzung der vorgesehenen Maßnahmen ankommt. Diese Ausgangslage hat sich durch die Diskussion um die Einführung eines Verbandsstrafrechts noch verschärft.

ISO 19600 als Messlatte

Wenn künftig im Rahmen behördlicher Ermittlungs- oder zivilrechtlicher Haftungsverfahren die Frage zu beantworten ist, ob Führungskräfte ihrer Aufsichts- und Kontrollpflicht ausreichend nachgekommen sind, ist daher damit zu rechnen, dass die Standard-Empfehlung aus ISO 19600 als Messlatte herangezogen wird. Diese muss erfüllt sein, um den Vorwurf nicht ordnungsgemäßer Erfüllung der Geschäftsleiterpflichten widerlegen zu können. Ob es sich um einen Prüfungsstandard, eine ISO-Richtlinie oder eine ISO-Norm handelt, wird dabei schon deshalb keine entscheidende Rolle spielen, weil Rechtsprechung und Behörden sich um solche Details im Ernstfall kaum kümmern dürften. Unternehmer tun deshalb gut daran, sich bereits jetzt auf ein risikoangemessenes, praktikables Compliance-Management-System einzulassen, das den Anforderungen der ISO 19600 genügt.