Österreich
Secure Your Business
 

Millionenhaftung des Vorstands
für ein mangelhaftes Compliance-System

 

Präzendenzfall auch für Österreich – Korruptionsschutz nach ISO 27001: Ein Kommentar von Rechtsanwalt und CIS-Trainer Dr. Markus Frank.

 

MarkusFrank_Fotohinweis Bianca JakobicEin Rechtsberater, der – abseits eines Insolvenz-Szenarios und von strafrechtlichen Haftungen – auf große persönliche Haftungsrisiken der Geschäftsleitung hingewiesen hat, wurde in der Vergangenheit häufig milde belächelt. Ein in Deutschland viel beachtetes und nun auch in Österreich medial behandeltes Urteil des Landesgerichts München vom 10. Dezember 2013 (Az. 5HK O 1387/10) ist in diesem Zusammenhang durchaus auch für Österreich interessant, weil die Österreichische Rechtsprechung – bei ähnlicher gesetzlicher Grundlage – in der Vergangenheit immer wieder unseren deutschen Nachbarn gefolgt ist.
Dort soll jetzt ein ehemaliger Vorstand einer der führenden Industriebetriebe Deutschlands 15 Mio. Euro Schadenersatz an das Unternehmen zahlen, weil er als Vorstand nicht für ein ausreichendes „Compliance-System“ gesorgt hat, welches nach Ansicht des Gerichts ein System „schwarzer Kassen“ und von Scheinberater-Verträgen zur Finanzierung von Bestechungszahlungen im Ausland verhindert hätte. Das Gericht hat ausgeführt, dass die Einrichtung eines ausreichenden Compliance-Systems zur Einhaltung gesetzlicher Verpflichtungen zur zentralen Aufgabe der Geschäftsleitung gehört. Jedes Mitglied des Vorstandes ist dafür verantwortlich, dass das Unternehmen so organisiert und kontrolliert wird, dass ein gesetzestreues Verhalten gesichert wird.
Compliance-Verstöße korrigieren
Ein angemessenes Compliance-System muss gemäß Urteil geeignet sein, Gesetzesverletzungen zu erkennen und diesen vorzubeugen, die Mitarbeiter zu kontrollieren und Verstöße unverzüglich ausreichend zu ahnden. Als wesentliche Kriterien eines ausreichenden Systems sind Art, Größe und Organisation des Unternehmens angeführt; weiters „geografische Präsenz“, worunter das Gericht im gegenständlichen Fall die bekannt große Korruptionsanfälligkeit in Nigeria verstanden hat. Verdachtsfälle in der Vergangenheit müssen zu angemessenen Untersuchungen und ausreichenden Verbesserungen des Compliance-Systems führen. Bloß unzureichende oder verzögerte Korrekturmaßnahmen stellen eine Pflichtverletzung des Gesamtvorstandes dar. Im gegenständlichen Fall hätte der Vorstand wegen des Auftauchens von Verdachtsfällen unter anderem unverzüglich dafür sorgen müssen, dass jeder Zahlungsvorgang jederzeit nachvollziehbar wird, damit Schmiergeldzahlungen nicht mehr verschleiert werden können. Geeignete Vorschläge an den Gesamtvorstand zur Verbesserung des Kontrollsystems wurden im gegenständlichen Fall jedoch nur teilweise und verzögert umgesetzt. Das Vorstandsmitglied muss den Aufsichtsrat informieren, wenn es die erforderlichen Maßnahmen im Gesamtvorstand nicht durchsetzen kann. Weder horizontale Delegation auf ein Vorstandsmitglied noch Delegation „nach unten“ auf einen Compliance-Beauftragten entbinden den Gesamtvorstand hier von seiner Gesamtverantwortung.
Judikatur fordert „Compliance-System“
Die Pflicht der Geschäftsleitung, für die Einhaltung der Gesetze zu sorgen, ist freilich nichts Neues - auch nicht, dass der Vorstand verpflichtet ist, zu diesem Zweck eine ausreichende Organisation zu schaffen und fortwährend zu kontrollieren. Neu ist, dass die Judikatur den Begriff des Compliance-Systems verwendet. Wie solche Systeme funktionieren, ist heute vor allem durch diverse Managementsystem-Normen definiert. Standards wie ISO/IEC 27001 beschreiben im Detail, wie etwa ein Managementsystem für Informationssicherheit einzurichten ist – wobei Compliance mit dem Ziel der Einhaltung gesetzlicher und normativer Verpflichtungen ein wesentlicher Bestandteil der Normforderungen der ISO 27001 ist (siehe Hintergrundinformation, unten). Immer mehr Spezial-Gesetze verlangen die Einrichtung solcher Compliance-Systeme. Neben der allgemeinen gesetzlichen Pflicht der Geschäftsleitung zur „Sorgfalt eines ordentlichen Geschäftsführers“ verlangt etwa für den Bereich des Schutzes von Daten § 14 Datenschutzgesetz nichts anderes als die Einrichtung und Kontrolle eines angemessenen Compliance-Systems:Paragraphen_Rynio-Productions-Fotolia
„Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.“
Mit einem ausreichenden Compliance-System wäre im obigen Fall schon auf Grund einer für alle nachvollziehbaren Transparenz die Wahrscheinlichkeit hoch gewesen, dass angemessene Korrekturmaßnahmen gegen das langjährige System „schwarzer Kassen“ und von Scheinberater-Verträgen leichter rechtzeitig umsetzbar gewesen wären.
Dokumentation beweist Unschuld
Die tägliche Praxis in Haftungsprozessen zeigt, dass Beklagte oft große Schwierigkeiten erfahren, wenn sie – manchmal erst Jahre später – Sachverhalte nachvollziehen und vor Gericht beweisen sollen, obwohl sie nach Beendigung ihres Vertragsverhältnisses oft keinen Zugang mehr zur Dokumentation haben oder eine solche niemals ausreichend war. Möglicherweise hätte eine transparentere Dokumentation dem Vorstand im obigen Fall geholfen, sein Verschulden so gering erscheinen zu lassen, dass ihm die nunmehrige Haftung erspart geblieben wäre.
Ein Zertifikat über die Einrichtung eines Managementsystems liefert einen glaubwürdigen schriftlichen Beweis von unabhängigen, sachverständigen Auditoren, dass ein ausreichend funktionierendes Compliance-System eingerichtet ist – jedenfalls für jenen Bereich, welcher Gegenstand der Auditierung war. Ein solches von einer glaubwürdigen, akkreditierten Organisation zertifiziertes System kann Verantwortungsträger vor ihrer verschuldensabhängigen Haftung bewahren oder diese zumindest wesentlich minimieren.
Conculsio
Fast 13 der insgesamt 15 Mio. Euro Schaden, welche der Ex-Vorstand jetzt an das Unternehmen ersetzen soll, entstand durch Anwaltshonorare zur Schadensbegrenzung für die nachträgliche Untersuchung der gegenständlichen Schmiergeldzahlungen. Bereits 2009 hat der Bundesgerichtshof eine (strafrechtliche) Mithaftung eines „Compliance Officers“ im Unternehmen bejaht, obwohl dieser nicht als vertretungsbefugtes Organ des Unternehmens bestellt war. Als Leiter der Innenrevision und der Rechtsabteilung hatte dieser Compliance Officer nach Ansicht des BGH eine Garantenpflicht, betrügerische Abrechnungen im Unternehmen abzustellen (BGH, Az 5 StR 394/08). Nach ständiger Rechtsprechung des Obersten Gerichtshof in Österreich kann auch hier nicht nur aktives Handeln, sondern ebenso Unterlassung Schadenersatzpflichten auslösen und strafrechtlichen Beitrag begründen.

 

Rechtsanwalt Dr. Markus Frank, LLM, leitet im Auftrag von Unternehmen u.a. interdisziplinäre Unter-suchungen von Schadenursachen bei Wirtschaftsdelikten und schweren Vertragsverletzungen. Er ist als Rechtsexperte im Beirat der Zertifizierungsorganisation CIS vertreten und fungiert als Trainer im Rahmen des Lehrgangs zum „Information Security Manager nach ISO 27001“.


H I N T E R G R U N D I N F O R M A T I O N :


Korruptionsschutz nach ISO 27001

Korruptionsprävention ist ein ISO-27001-affines Thema, wenn nicht nur der IT-Bereich, sondern das ganze Unternehmen als Geltungsbereich der Zertifizierung definiert ist. Denn dann müssen Informationen gemäß ihres Risikos in allen Abteilungen entsprechend geschützt werden, einerseits um die gesetzlichen Anforderungen zu erfüllen, andererseits auch um die selbstgesteckten Business Ziele und Security Policies zu erfüllen. Im Rahmen der Risikoanalyse wird diesbezüglich evaluiert, inwieweit aufgrund des Geschäftsumfeldes des Unternehmens ein Korruptionsrisiko besteht und welche Daten hier besonders auf welche Weise zu schützen sind. Allein die Beschäftigung mit diesen Fragen schafft schon ein erhöhtes Bewusstsein in diese Richtung. Betroffen sind Abteilungen wie die Auftragsvergabe, Materialwirtschaft, Buchhaltung u.ä.. Mittels der klassischen Rollenvergaben gemäß ISO 27001 – wer ist wofür zuständig – kommt hier sinnvollerweise das 4-Augen-Prinzip zur Anwendung, wodurch Freigaben z.B. nur von mindestens zwei Personen erteilt werden können. Dazu kommt eine zusätzliche Sicherheit durch technische Protokollierungen. So werden etwa alle Zugriffe auf die kritischen IT-Applikationen in Log Files nachvollziehbar aufgezeichnet. Das Ziel der Informationssicherheit ist es, alle relevanten Informationen im Unternehmen zu schützen. Dazu gehören auch Patentdaten, Produktionsdaten etc., je nach Definition des Scopes. Das heißt, ein Unternehmen, das in seiner Gesamtheit nach ISO 27001 zertifiziert ist, kann aufgrund des implementierten Managementsystems und des damit verbundenen kontinuierlichen Verbesserungsprozesses wirkungsvolle Kontrollschleifen und Hürden implementieren, die das Korruptionsrisiko systematisch minimieren.

________________________
Für den Inhalt verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB