Die „Wirksamkeit“ von Compliance Management Systemen: Prüfungsstandards auf dem empirischen Prüfstand

  1. Thematik

Trotz der vielen CMS-Anstrengungen in Unternehmen kommt es dort immer wieder zu Rechtsbrüchen, auch zu groben. Meist wird dies mit dem Gemeinplatz abgetan, auch das beste CMS könne eben nicht alle Gesetzesverstöße verhindern, und von Rechts wegen seien auch keine perfekten CMS verlangt, sondern nur vernünftige. Dieser Gemeinplatz ist bequem, greift aber zu kurz: Soziologen, Kriminologen und Juristen widmen sich seit geraumer Zeit die Frage, welche Wirkung CMS tatsächlich haben. Nach den empirischen Erkenntnissen lässt sich Wirkung von CMS nicht nachweisen. Gleichwohl verlangt das Gesetz „wirksame“ CMS, löst auf diese Weise organisatorische Anstrengungen, CMS-Standards, Prüfungsarbeiten und Bemühungen um Enthaftung aus und treibt damit die Kosten. Der Beitrag geht der Frage nach, wie sich die empirischen Erkenntnisse auf die rechtlichen Anforderungen auswirken, die an CMS gestellt werden können.

(a) Rechtliche Vorgaben

Im Rahmen der Sorgfaltspflichten der Geschäftsleiter werden vielfach Risikomanagementsysteme (RMS), interne Kontrollsysteme (IKS) und interne Revisionssysteme (IRS) für geboten erachtet. RMS und IKS dienen - auch - dem Ziel rechtlicher Regeltreue und prägen sich insoweit als Compliance Management Systeme (CMS) aus. Geschäftsleitern wird eine Legalitätskontrollpflicht auferlegt. § 91 Abs. 3 AktG verpflichtet börsennotierte AGs ausdrücklich, ein „angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten“, was auf CMS als Untersystem erstreckt wird. Nach Ziff. A I, Grundsätze 4 und 5, des Deutschen Corporate Governance Kodex (DCGK) bedüfen Unternehmen „eines angemessenen und wirksamen internen Kontrollsystems- und Risikomanagementsystems. Die Angemessenheit und Wirksamkeit des internen Kontrollsystems und des Risikomanagementsystems setzt deren interne Überwachung voraus“. Entsprechend hat der „Vorstand … für die Einhaltung der gesetzlichen Bestimmungen und der internen Richtlinien zu sorgen und wirkt auf deren Beachtung im Unternehmen hin (Compliance). Das interne Kontrollsystem und das Risikomanagementsystem umfassen auch ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System.“ Gefordert wird hier eine positive und „evidenzbasierte“ Stellungnahme der Geschäftsleitung. , von Prüfungsausschuss oder Aufsichtsrat, die CMS auf Wirksamkeit zu überprüfen, von beiden Organen, sich zur Wirksamkeit zu erklären, und ggflls. vom Abschlussprüfer, die „Wirksamkeit“ zu prüfen und zu testieren.

Auch die Berichtspflichten berühren die CMS: Nach § 289 Abs. 1, § 264 Abs. 2 S. 3 HGB haben Geschäftsleitungen sich im Lagebericht bzw. in ihren Versicherungen zu den Risiken des Unternehmens zu erklären. Dazu gehören auch Risiken aus Regelverstößen. Weiter geht Empfehlung A.5 des DCGK, der eine Aussage des Vorstands im Lagebericht zu wesentlichen Merkmalen des gesamten IKS und des RMS (d.h. auch des CMS) sowie eine Stellungnahme zur Angemessenheit und Wirksamkeit der Systeme empfiehlt.

Auch das Aufsichtsorgan treffen Sorgfalts- und Berichtspflichten, die die „Wirksamkeit“ der CMS erfassen: Nach § 107 Abs. 3 S. 2 AktG hat der Aufsichtsrat (oder ein eventueller Prüfungsausschuss ) die „Wirksamkeit“ von IKS, RMS und IRS des Unternehmens zu überwachen. Nach § 171 Abs. 2 AktG hat der Aufsichtsrat über das Ergebnis seiner Prüfungen (auch, soweit er damit den Abschlussprüfer oder einen sonstigen Dritten beauftragt hat) schriftlich an die Hauptversammlung zu berichten.

Die Pflichtprüfung des Abschlussprüfers streift CMS und deren Wirksamkeit (§ 317 Abs. 2, 1, 4, § 317 Abs. 1, 4 HGB. Oftmals wird er aber einen Zusatzauftrag des Aufsichtsrats erhalten. Ferner hat der Abschlussprüfer nach § 171 Abs. 1 AktG an den Verhandlungen des Aufsichtsrats über dessen Prüfung des Jahresabschusses teilzunehmen und „über die wesentlichen Ergebnisse seiner Prüfung … zu berichten.“[i][1]

(b) „Wirksamkeit“: Mittelpunkt des CMS-Gravitationsfelds

Die Frage hat nach der Wirksamkeit von CMS hat bei alledem „mehrstöckige“ Bedeutung: Regelverstöße können als solche zur Haftung führen, die sich über (CMS-)Organisationspflichten auf mehrere Unternehmensebenen auffächern kann. Hinzu kommt jeweils die mögliche Haftung wegen fehlerhafter Berichte oder Verlautbarungen über die „Wirksamkeit“.[ii] CMS, denen „Wirksamkeit“ attestiert wurde, können von Haftung befreien. Im CMS-Sonnensystem kreist also alles vieles um die „Wirksamkeit“.

(2) Was ist „Wirksamkeit“ und lässt sie sich ermitteln?

Den Begriff der „Wirksamkeit“ wird vom Gesetzgeber nicht erläutert und ist der Betriebswirtschaftslehre entnommen.[iii] In der betriebswirtschaftlichen Organisationslehre wird zwischen Effektivität und Effizienz unterschieden: Effektivität bezeichnet das Ausmaß, in dem ein verfolgtes Ziel erreicht wird, Effizienz dagegen bezeichnet das Verhältnis zwischen Zielerreichung (Output) und den hierfür aufgewandten Mitteln (Input).[iv] Wirksamkeit im vorliegenden Sinne entspricht der Effektivität. Entsprechend bezeichnen der Arbeitskreis Externe Unternehmensrechnung (AKEU) und der Arbeitskreis Externe und Interne Überwachung der Unternehmung (AKEIÜ) der Schmalenbach-Gesellschaft ein System als „wirksam“, wenn es (1) sich zur Erreichung eines vorgegebenen Zieles eignet und (2) keine „wesentlichen“ Schwächen aufweist.[v] Nach AKEU/AKIEÜ ist „Wirksamkeit“ in § 107 Abs. 3 S. 2 AktG als „Mindestanforderung“ zu verstehen, nicht als „optimales“ System. Das lässt offen, (a) wie gering oder hoch der Grad der Zielerreichung sein und (b) wie der Zielerreichungsgrad gemessen werden soll.

Zur Frage wiederum, wie Wirksamkeit ermittelt werden soll, gibt es zahlreiche betriebswirtschaftliche und verbandliche Standards. Nach den Erkenntnissen der Empirie lässt sich die Wirksamkeit von CMS aber nicht zuverlässig nachweisen oder gar messen. Ungeachtet dessen steigt die Zahl der Hinweise darauf, dass CMS vielfach verpuffen. So wurde Compliance-Handbüchern, Ethik-Richtlinien (code of conduct), der Existenz einer eigenständigen Compliance-Abteilung, regelmäßigen Schulungen und Compliance-Hotlines mangelnde Wirkung attestiert. Insbesondere Compliance-Kodizes sind als eines der am häufigsten empfohlenen und verwendeten CMS-Bausteine Gegenstand um-fangreicher empirischer Forschung. Sie gelangt zu gemischten Erkenntnissen darüber, ob und wann Kodizes Wirkung entfalten. Einige Studien kommen sogar zu dem Ergebnis, dass Kodizes in mancher Hinsicht schaden. Seinen Grund hat all‘ dies darin, dass Rechtsverstöße typischerweise auf einer unvorhersehbaren Koinzidenz von inneren Gegebenheiten beim Täter und Gelegenheiten beruhen.[vi]

(3) Standards beschränken sich auf Konzeptanalysen

Der Mangel an Nachweis- und Messbarkeit schlägt sich darin nieder, dass sich die erwähnten Standards zur Wirksamkeit im Wesentlichen auf gedankliche Konzeptanalysen beschränken: Risiken sollen (1) erfasst, (2) bewertet, (3) klassifiziert, (4) schriftlich zusammengestellt und (5) sodann entweder bewusst hingenommen oder behandelt werden. Wert legen die Standards dabei auf Lückenlosigkeit und Integration in die Abläufe des Unternehmens. Solchen Konzeptanalysen fehlt es jedoch an empirischer Fundierung. Am Ende basiert die Bewertung (wie beispielsweise der weit verbreitete COSO-Standard ausdrücklich einräumt) auf „Intuition“.[vii]

(4) Rechtliche Konsequenzen

Diese Erkenntnisse der Empirie werden im juristischen Schrifttum zwar durchaus zur Kenntnis genommen und beklagt. [viii] Sie ziehen aber auch rechtliche Konsequenzen nach sich: Normen, die Lasten und Nachteile mit sich bringen, bedürfen - auch verfassungsrechtlich – einer Rechtfertigung; sie müssen geeignet und verhältnismäßig sein. Reicht die Rechtfertigung, wie hier, nicht hin, sind die Regeln zurückzustutzen. Daher kommt den erwähnten Standards kein Vorrang gegenüber anders basierten „Intuitionen“ zu, insbesondere nicht gegenüber der eigenen Intuition der Geschäftsleitung, vorausgesetzt, diese basiert auf einer sorgfältigen Risikoanalyse, erscheint ex ante vernünftig (oder wenigstens vertretbar) und beachtet die klassischen Vorgaben ordnungsmäßiger Delegation. Hiernach kommt der Geschäftsleitung breites Ermessen zu.[ix]

Im Rahmen ihres Ermessens darf die Geschäftsleitung auch normative Gesichtspunkte in die Waagschale werfen, insbesondere den Vertrauensgrundsatz, die Eigenverantwortung und Würde der Unternehmensangehörigen, Zumutbarkeit, Wahrung des Betriebsklimas, Eintrittswahrscheinlichkeiten, finanzielle Risiken sowie Versicherungsdeckung, aber auch – last but not least – die Kosten weitergehender CMS-Maßnahmen. Von diesen Einschränkungen kommt der Möglichkeit der Delegation und der Eigenverantwortung der Mitarbeiter eine besondere Rolle zu: Zum Ersten hält sich die übergroße Mehrheit aller Mitarbeiter an die Regeln. Jedem Rechtsbruch stehen Millionen paralleler Situationen gegenüber, in denen es nicht zum Rechtsbruch kommt. Zum Zweiten erlegt die Rechtsordnung grundsätzlich jedem Einzelnen die Verantwortung für sein Tun auf, nicht Dritten. Der Einzelne verliert diese Verantwortung nicht, weil er einen Anstellungsvertrag mit einem Unternehmen abschließt. Zum Dritten ist Delegation das Lebenselixier einer hoch arbeitsteiligen und komplexen Industriegesellschaft wie der unseren.[x] Für „agile“ und „partizipative“ Organisationen gilt dies umso mehr.[xi]

Eine normative Bestimmung der Sorgfaltspflichten muss auch das betriebswirtschaftliche Kosten-Nutzen-Verhältnis von CMS bedenken: Denn Geschäftsleiter dürfen das Geld des Unternehmens nicht verschwenden, was zur Diskussion über „CMS-Overinvestment“ führt.[xii]

Hinzu kommen volkswirtschaftliche Erwägungen: CMS-Pflichten, die flächendeckend gelten und laufend nach oben angepasst werden müssen, erhöhen systemisch Risikobewusstsein und Risikoaversion in Unternehmen erhöhen, ohne entsprechend die Suche nach Chancen zu befeuern. Dies verschiebt Personal von Produktion und Chancenwahrnehmung zur Risikoabsicherung und zieht auf Unternehmens- und volkswirtschaftlicher Ebene weitere Kosten nach sich.[xiii]

(6) Versicherungssschutz

Insbesondere wenn die Geschäftsleitung es aufgrund der dargestellten Überlegungen bei „weniger CMS“ bewenden lässt, kann ergänzender Versicherungsschutz naheliegen. Allerdings liegt nach den obigen Vorschlägen in „weniger CMS“ per se keine Organisationspflichtverletzung der Geschäftsleitung, so dass D&O - Versicherungen dem Unternehmen bei Risikoeintritt nur eingeschränkt Schutz bieten. Daher muss der Versicherungsschutz auf andere Bausteine setzen (Vertrauen-, Eigen-, Vermögensschadenversicherungen etc.).[xiv]

(7) Irreführungsrisiko infolge Begriffsverschiebung durch das IDW

Nach Rn. 25, 60 des IDW Prüfungsstandards 980 n.F. (9.2022) soll ein CMS dann wirksam sein, wenn es von „den hiervon betroffenen Personen nach Maßgabe ihrer Verantwortung … eingehalten“ wird. Danach wäre Hustensaft „wirksam“, wenn er nach Verschreibung eingenommen wird, auch wenn er den Husten nicht lindert. Die Frage der Eignung (Zielerreichung) soricht PS 980 n.F. nur im Rahmen der „Angemessenheit“ an (Rn. A50, Rn. 58). Diese Umdefinition entstellt den Begrifft Wirksamkeit; Leser von Berichten eines Unternehmens über die Wirksamkeit seines CMS rechnen mit einer solchen Umdefinition nicht. Dies schafft Haftungsgefahren.In den einschlägigen Passagen der Jahresberichterstattung, der Erklärungen der Organe und der Prüfungsergebnisse sollte daher erläutert werden, was jeweils unter „Wirksamkeit“ verstanden wird. Zumindest sollte der Warnhinweis erteilt werden, dass es absoluten Schutz nicht gibt und Rechtsverstöße häufig aus einer unvorhersehbaren Koinzidenz äußerer Gegebenheiten und innerer Umstände bei den Beteiligten entstehen.[xv]

(8) Pflichten des Aufsichtsorgans

Der Aufsichtsrat muss (und kann) im Rahmen seiner Prüfung die CMS-Maßnahmen der Geschäftsleitung nicht nur nicht „optimieren“. Er muss und kann auch weder die Intuition der Geschäftsleitung durch seine eigene Intuition ersetzen, noch auf standardisierten CMS insistieren.[xvi]

(9) Resumé

Aus rechtlicher Sicht müssen CMS nicht den Vorgaben der Standards entsprechen. Das Gesetz gebietet kein Rennen hin zu zertifizierter „best practice“. Werden, wie hier vorgeschlagen, aufwändig abzuarbeitende CMS-Standards im Rahmen von § 43 GmbHG, § 93 AktG durch Ermessen, vernünftiges Vertrauen in das Verantwortungsbewusstsein der Mitarbeiter und plausible Intuition der Geschäftsleitung ersetzt, kann dies auf Rechtsanwendungsebene weiterem Bürokratieaufbau entgegenwirken.

[1]

[i] Näher Reuter, “Wirksamkeit” von Compliance Management Systemen, “Überwachung” durch den Aufsichtsrat und “Prüfung” durch den Abschlussprüfer – gesetzliche Selbsttäuschungen?, ZHR 2025, 433 ff.

[ii] Näher Arbeitskreis Externe und Interne Überwachung der Unternehmung der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. („AKEIÜ“), Überwachung des internen Kontrollsystems / Risikomanagementsystems nach der Empfehlung des DCGK 2022, DB 2024, 1765, 1766 f.; die dortigen Überlegungen zur faktischen Einschränkung der Haftung auf Vorsatz nehmen allerdings die Konsequenzen fahrlässiger Organisationspflichtverletzungen und die vielpoligen Regressmöglichkeiten zwischen Unternehmen, Organen und ihren Mitgliedern nicht in den Blick; näher zu alledem am Beispiel der ESG-Vorgaben Reuter, Pflichtenvermehrung durch ESG - Die neuen Vorgaben der EU als multiple, verbundene und haftungsträchtige Eingriffe, ZIP 2023, 1572 ff.; Reuter, ESG und der Grundsatz der Verhältnismäßigkeit als Schranke der multiplen Pflichten- und Haftungsvermehrung ZIP 2023, 1782 ff.; alle m.w.N.

[iii] Dreher/Hoffmann, Die Wirksamkeitsprüfung durch den Prüfungsausschuss nach § 107 Abs. 3 Satz 2 AktG, ZGR 2016, 445, 456, 472.

[iv] Grundei, Organization Design, Wiesbaden 2024, S. 96.

[v] AKEU/AKEIÜ, Anforderungen an die Überwachungsaufgaben von Aufsichtsrat und Prüfungsausschussnach § 107 Abs. 3 Satz 2 AktG i. d. F. des Bilanzrechtsmodernisierungsgesetzes, DB 2009, 1279, 1280; ihm folgend Breuer/Fraune in Heidel, Aktienrecht und Kapitalmarktrecht, 5. Auflage 2020, § 107 AktG, Rn. 36.

[vi] Zu alledem mit weiteren Nachw. Reuter, “Wirksamkeit” von Compliance Management Systemen, “Überwachung” durch den Aufsichtsrat und “Prüfung” durch den Abschlussprüfer – gesetzliche Selbsttäuschungen?, ZHR 2025, 433 ff., 442 ff.

[vii] Näher Reuter, ebda., S. 449 ff., 451 ff.

[viii] Näher Reuter, ebda, S. 460 ff.

[ix] Ebda., S. 460 ff.

[x] Reuter, ebda., S. 466 ff.

[xi] Grundei/Reuter, „Agile“ Organisationsstrukturen: Unternehmerische Notwendigkeit oder organisierte Verant-wortungslosigkeit?, DB 2024, 2309, 2314.

[xii] Reuter, “Wirksamkeit” von Compliance Management Systemen, “Überwachung” durch den Aufsichtsrat und “Prüfung” durch den Abschlussprüfer – gesetzliche Selbsttäuschungen?, ZHR 2025, 433 ff., 464.

[xiii] Ebda., S. 465.

[xiv] Ebda.

[xv] Ebda.

[xvi] Ebda., S. 467.

  • xing
  • linkedin
  • twitter
Kategorien

, ,