Hinweisgeberschutz – auch ohne Gesetz bereits Pflicht für Geschäftsführer und Vorstände?
In Umsetzung der EU-Hinweisgeberschutzrichtlinie (RL (EU) 2019/1937) zum Schutz von Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit beobachtete Verstöße melden, beschloss der Bundestag und Bundesrat am 11./12. Mai 2023 das deutsche Hinweisgeberschutzgesetz (HinSchG). Dieses trat nach der Ausfertigung durch den Bundespräsidenten und Verkündung im Bundesgesetzblatt am 02. Juni 2023 nun am 02. Juli 2023 in Kraft (BGBl. 2023 I Nr. 140 vom 02.06.2023).
Hinweisgeberschutz als Compliance-Thema bereits Pflicht?
Unabhängig des Inkrafttretens des HinSchG könnte sich die Pflicht zur Einrichtung einer internen Meldestelle für Geschäftsführer und Vorstände bereits aus den bestehenden Organpflichten im GmbH-Gesetz (GmbHG) und Aktiengesetz (AktG) ergeben.
Hinweisgeberschutz als Compliance-Thema
Compliance bedeutet, dass sich ein Unternehmen und seine Mitarbeiter an die geltenden Regeln und Gesetze halten. Dies gilt sowohl für landesspezifische Gesetze als auch Vorgaben von Regulierungsbehörden und interne Richtlinien im Unternehmen. Compliance-Management bedeutet, dass das Unternehmen hierfür bestimmte organisatorische Vorkehrungen trifft. Hinweisgeberschutz ist dabei nichts anderes.
Hinweisgeberschutz ist einer von vielen Compliance-Bausteinen, um die Einhaltung der vorgenannten Regelungen zu überwachen und gleichzeitig die hinweisgebende Person vor Repressalien, wie Kündigung und Nichtbeförderung zu schützen. Der Schutz der hinweisgebenden Personen sollte sich bei Mitarbeitern wohl bereits aus der allgemeinen Fürsorgepflicht des Arbeitgebers ableiten lassen. Allein vor diesem Hintergrund erscheint die Einrichtung einer internen Meldestelle als unersetzlicher Baustein eines funktionierenden Compliance-Management-Systems.
Compliance als Verpflichtung des Geschäftsführers
Dabei gehört die Einrichtung von Compliance-Strukturen zu den Pflichten eines Geschäftsführers. Dies bestätigte auch jüngst das Urteil des OLG Nürnberg (Urteil vom 30.03.2022, Az.: 12 U 1520/19). Entsprechendes sollte wohl auch für den Vorstand einer Aktiengesellschaft gelten. Denn bereits aus der Legalitätspflicht soll sich die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance-Management-Systems ergeben. Denn nach der Legalitätspflicht ist der Geschäftsführer dafür verantwortlich, dass die Gesellschaft ihre Tätigkeit ohne Verstoß gegen die geltenden Gesetze ausübt; d.h. der Geschäftsführer ist nicht nur verpflichtet, das Tagesgeschäft entsprechend zu überwachen, sondern bereits im Vorfeld eines potentiellen Verstoßes oder Risiko eines Verstoßes einzugreifen.
Compliance-Strukturen zur Verhinderung von Verstößen
Das OLG Nürnberg sieht deshalb bereits eine unzureichende Organisation bzw. Kontrolle der Mitarbeiter als Pflichtverletzung, wenn diese fehlenden Strukturen Straftaten oder sonstige Verstöße ermöglichen oder erleichtern. Denn nur durch die Einrichtung entsprechender Compliance-Strukturen kann der Geschäftsführer ein rechtmäßiges und effektives Handeln des Unternehmens und seiner Mitarbeiter gewährleisten sowie die Begehung von Verstößen verhindern (so bereits BGH, Urteil vom 08.10.1984, Az.: II ZR 175/83).
Compliance-Pflicht aus Gesetz und DCGK
Eine Pflicht zur Einrichtung eines Compliance-Management-Systems besteht in Deutschland grundsätzlich nur für Unternehmen der Finanz- und Versicherungsbranche (u.a., § 25a Kreditwesengesetz, §§ 26 ff. Versicherungsaufsichtsgesetz). Börsennotierten Unternehmen wird im Deutschen Corporate Governance Kodex (DCGK) bisher nur rechtlich unverbindlich empfohlen, ein entsprechendes System einzurichten. Weichen diese Unternehmen jedoch von den Empfehlungen des DCGK ab, müssen sie sich in der jährlich zu veröffentlichenden sog. Entsprechenserklärung hierzu erklären und die jeweilige Abweichung begründen (§ 161 AktG). Somit besteht auch für börsennotierten Unternehmen grundsätzlich eine „Quasi-Verpflichtung“.
Compliance-Pflichten gelten auch für den Mittelstand
Die vorgenannten Verpflichtungen bzw. DCGK-Empfehlungen, ein Compliance-Management-System einzurichten, gelten zwar grundsätzlich nicht für KMU, aber auch hier verpflichtet die Legalitätspflicht den Geschäftsführer zur Einrichtung entsprechender Compliance-Strukturen. Denn die Nichteinhaltung der mit der Legalitätspflicht einhergehenden Sorgfalts-, und Überwachungspflichten, kann zu Schadensersatzansprüchen oder Bußgeldern führen. Die Gründe des Mittelstandes gegen die Einrichtung sind meist ähnlich, es sei zu komplex, aufwendig, teuer und man hätte keine Zeit mehr für das eigentliche Tagesgeschäft.
Verletzung der Compliance-Pflicht kann zu Schadensersatz führen
Im Urteil des OLG Nürnberg (Urteil vom 30.03.2022, Az.: 12 U 1520/19) wurde dem Geschäftsführer angelastet, dass er es unterlassen hatte, Stichprobenkontrollen durchzuführen, Mitteilungs- und Dokumentationspflichten der Mitarbeiter einzuführen und die Mitarbeiter in Compliance-Themen zu schulen. Ohne eine solche Compliance-Struktur wäre der Geschäftsführer seiner Legalitätspflicht zur Unterbindung von Fehlverhalten von Mitarbeitern, nicht nachgekommen. Geschäftsführer, die ihren Verpflichtungen nicht nachkommen, haften gegenüber der GmbH (§ 34 GmbHG; 93 AktG).
Umsetzung der Überwachungspflicht im Rahmen der Legalitätspflicht
Denn stichprobenartige, überraschende Prüfungen sind erforderlich und regelmäßig auch ausreichend, um den Mitarbeitern aufzeigen, dass Verstöße entdeckt und geahndet werden. Sollten auch stichprobenartige Kontrollen nicht ausreichen, um eine Abschreckungswirkung zu entfalten, so muss der Geschäftsführer andere geeignete und objektiv zumutbare Compliance-Maßnahmen einrichten. Eine gesteigerte Überwachungspflicht, bei der intensivere Überwachungsmaßnahmen notwendig sind, besteht zudem dann, wenn das Unternehmen in der Vergangenheit bereits auffällig geworden ist. Zudem verbleibt, trotz der Delegation der Einrichtung und Durchführung von Überwachungspflichten auf andere Personen, die Aufsicht über die Überwachungspflichten stets beim Geschäftsführer. Von dieser Pflicht kann er sich nicht befreien.
Compliance-Grundstein in vielen Unternehmen bereits gelegt
Ein Compliance-Management-System für KMU ist allerdings nicht so komplex und aufwendig, wie das eines börsennotierten Unternehmens oder eines Unternehmens aus der Risikobranche. Zudem arbeiten bereits auch viele KMU mit gewissen Regelungen, Prozessen und Zuständigkeitskatalogen. Der Grundstein ist meist schon gelegt und lediglich noch nicht einheitlich verschriftlicht und dokumentiert. Dabei bilden bereits interne Richtlinien, Prozessbeschreibungen und Zuständigkeitskataloge den Grundstein für ein Compliance-System.
Umfang und Maßstab der Compliance-Pflicht ist unternehmensabhängig
Der Maßstab für den Umfang der Geschäftsführerpflichten ist die Sorgfaltspflicht eines ordentlichen Geschäftsführers gemäß § 43 Abs. 1 GmbHG. Das bedeutet, dass der Geschäftsführer den Gesellschaftszweck möglichst effektiv verfolgen muss und entsprechende Compliance-Strukturen einrichten muss. Für die Beurteilung des Umfangs der Compliance-Pflichten bzw. -Strukturen sind u.a., die Art, Größe, Branche, Anzahl an Mitarbeitern, wirtschaftliche Lage des Unternehmens zu berücksichtigen. Persönliche Merkmale des Geschäftsführers, wie das Alter, seine Unerfahrenheit, Unkenntnis oder konkrete Belastungssituation sind für die Beurteilung des Umfangs unerheblich.
Praxishinweis für Geschäftsführer und Vorstände
Die Rechtsprechung zu den Haftungsnormen des Geschäftsführers bzw. Vorstands (§ 93 AktG, § 43 GmbHG) hat in den letzten Jahren gezeigt, dass die Einrichtung eines Compliance-Management-Systems zur Erfüllung der Sorgfalts- bzw. Legalitätspflicht erforderlich ist. Um das eigene Haftungsrisiko zu minimieren, ist den Organen von Unternehmen dringend zu empfehlen, sich mit dem Thema Compliance zu beschäftigen. Geordnete Prozesse, gute Dokumentation und transparente Abläufe sind die Grundlagen für eine erfolgreiche Umsetzung dieser Compliance-Pflichten.
21.08.2023