Viele Unternehmen sind als Konzern organisiert. Welche Besonderheiten sich durch diese Organisationsform für die Durchführung interner Untersuchungen bei Compliance-Verstößen ergeben, soll in diesem Beitrag nachgegangen werden.
Dass Compliance zu den Pflichtaufgaben der Unternehmensleitung gehört ist anerkannt, wie es sich jedoch mit einer konzernweiten Aufsichtspflicht der Geschäftsleitung einer Konzernmutter über die Grenzen dieser Muttergesellschaft hinaus verhält ist nicht abschließend geklärt.
Tatsache ist, dass Compliance-Verstöße oftmals in einem Konzernverbund auftreten und nicht (nur) die Konzernmutter, sondern auch Tochter- oder Enkelgesellschaft(en) involviert sind. Zudem besteht im Hinblick auf eigene Haftungsrisiken der Konzernmutter ein Informationsinteresse der Geschäftsleitung der Konzernmutter. Ohnehin unterscheiden Stakeholder*, Medien oder vereinzelt auch Behörden bei Konzernen oftmals nicht trennscharf zwischen Compliance-Verstößen der Mutter- oder Tochtergesellschaft. Wirtschaftlich und im Hinblick auf Reputationsschäden treffen Verstöße einer Tochtergesellschaft ganz oder teilweise regelmäßig auch die Konzernmutter.
Compliance-Pflicht im Konzern?
Interne Untersuchungen dienen dazu mitunter komplexe Sachverhalte aufzuklären, die sich teilweise auf mehrere Länder und über Jahre erstrecken können und nehmen regelmäßig erhebliche Ressourcen in Anspruch. Juristisch ergibt sich die Komplexität der internen Untersuchung daraus, dass verschiedene Rechtsgebiete tangiert sind (Arbeits-, Datenschutz-, Gesellschafts-, Straf-, Zivilrecht etc.).
Mitunter bestehen sektorspezifische Vorgaben, die eine Compliance-Pflicht der Konzernleitung begründen (etwa § 25a KWG).
Davon abgesehen sind im Konzern originär die jeweiligen Geschäftsleitungen der einzelnen Konzerngesellschaften ihrerseits für Compliance und somit auch für die Durchführung interner Untersuchungen verantwortlich. Denn auch im Konzernverbund bleiben die beteiligten Gesellschaften rechtlich selbständige Unternehmen.
Daneben trägt die Geschäftsleitung der Konzernmutter die Verantwortung, die Beteiligungsrechte an den Tochtergesellschaften sorgfältig und gewissenhaft auszuüben und insoweit Vermögensinteressen zu schützen. Potentielle Schäden der Muttergesellschaft sind abzuwenden.
Insofern besteht für die Geschäftsleitung der Konzernmutter die Pflicht, geeignete konzernweite Kontrollmaßnahmen einzurichten, die für ein rechtmäßiges Verhalten auch auf der Ebene der Tochter- und Enkelgesellschaften sorgen, so dass Compliance-Verstöße unterbleiben sowie gegebenenfalls aufgeklärt, sanktioniert und abgestellt werden.
Das weite Ermessen im Rahmen der Umsetzung von Compliance Maßnahmen – Einschließlich der Durchführung von internen Untersuchungen – erlaubt es der Geschäftsleitung einer Tochtergesellschaft grundsätzlich, auf die Compliance-Organisation der Muttergesellschaft zurückzugreifen. Mithin können die eigenen Compliance-Maßnahmen auf Ebene der Tochtergesellschaft in das Compliance-System der Muttergesellschaft integriert werden. Die Geschäftsleitung der Tochtergesellschaft muss dabei stets vernünftigerweise davon ausgehen dürfen, auf der Grundlage angemessener Information angemessene Maßnahmen getroffen zu haben. Die eigene Verantwortung für Compliance bleibt auf Ebene der Geschäftsleitung der Tochtergesellschaft bestehen.
Neben der Frage der organisatorischen Grundlagen und der Federführung einer internen Untersuchung stellt sich in einem Konzern regelmäßig die Frage der Zusammensetzung von Untersuchungsteams:
- Zentral über die Muttergesellschaft (in einem Bereich oder über verschiedene Abteilungen), oder
- Dezentral innerhalb der Tochtergesellschaften (in einem Bereich oder über verschiedene Abteilungen).
So sind lokale Teams – insbesondere bei ausländischen Beteiligungen – oft eingerichtet. Wesentliche Faktoren sind dabei spezifische Sachnähe, geographische Erreichbarkeit, sprachliche und kulturelle Kompetenzen, Risikoeinstufungen der Vorwürfe, Interessenkonflikte, Unabhängigkeit des Untersuchenden, Expertise und Erfahrung etc.
Ca. 2/3 von DICO befragter Unternehmen geben an, dass Untersuchungsteams in einen Bereich der Muttergesellschaft eingebettet sind.
Wie kommt die Mutter an Informationen…
Schwierigkeiten im Rahmen von internen Untersuchungen im Konzernkontext ergeben sich insbesondere bei der Informationsweitergabe.
Das Datenschutzrecht bestimmt den Umgang mit personenbezogenen Daten und bildet eine Grenze beim Ermessen hinsichtlich des „Wie″ der internen Untersuchung. Datenschutzrechtliche Stolpersteine bestehen schon bei rein nationaler Betrachtung und erst recht in grenzüberschreitenden Sachverhalten sowie im Konzernkontext.
Auf Ebene der Muttergesellschaft bestimmt sich die Informationsweitergabe nach den aktienrechtlichen Vorschriften, sodass regelmäßig der Vorstand Compliance-Verstöße im Unternehmen untersucht und dem Aufsichtsrat über die Ergebnisse dieser Untersuchungen berichtet. Der Aufsichtsrat darf hierbei auf die Ergebnisse und Berichterstattung des Vorstands vertrauen. Eine Ausnahme besteht dann, wenn der Verdacht auf Compliance-Verstöße des Vorstands im Raum steht oder darauf, dass der Vorstand seinen Aufklärungspflichten nicht ordnungsgemäß nachkommt. Ermittelt der Aufsichtsrat, so kann er grundsätzlich seine Ergebnisse an den Vorstand weitergeben. Dies ist nicht der Fall, sofern ein überwiegendes Geheimhaltungsinteresse (zum Beispiel bei der Geltendmachung von Schadensersatzansprüchen gegen den Vorstand) dem entgegensteht.
Finden Untersuchungen (ggf. unter Beteiligung der Konzernmutter) bei einer Tochtergesellschaft statt, muss der Vorstand hierüber ihrem regelmäßig Aufsichtsrat berichten.
Um den Sachverhalt ausreichend aufzuklären, ist oft ein Informationsaustausch zwischen den einzelnen Konzerngesellschaften notwendig, der von den jeweiligen Einwirkungsbefugnissen der Muttergesellschaft abhängt.
Aufgrund der aktienrechtlichen Verschwiegenheitspflicht (§ 93 Abs. 1 S. 3 AktG) kann der Austausch begrenzt sein:
- So ist es der Tochtergesellschaft nicht erlaubt, Geheimnisse, also Informationen, die im Gesellschaftsinteresse nicht öffentlich werden sollen wie Strategie, Planung, Finanzsituation etc., oder vertrauliche Informationen, also Informationen, deren Weitergabe für die Tochtergesellschaft nachteilig sein kann wie sämtliche Interna aus Sitzungen, Dritten gegenüber offenzulegen.
- Ein solcher Dritter können zunächst eben auch die anderen Konzerngesellschaften oder die Konzernmutter sein.
- Ausnahmen zur Verschwiegenheitspflicht ergeben sich dann, wenn gesetzliche Auskunftspflichten der Gesellschaft oder eines einzelnen Organs existieren oder die Offenlegung vertraulicher Informationen im Unternehmens- oder u.U. Konzerninteresse liegt.
Über die Informationsweitergabe entscheidet der Vorstand.
… im Vertragskonzern
Im Vertragskonzern, der durch einen Unternehmensvertrag (z.B. Beherrschungs-, Gewinnabführungsvertrag) zustande kommt, hat die Muttergesellschaft ein gesetzliches Weisungsrecht (§ 308 Abs. 1 AktG), das dazu genutzt werden kann Auskünfte bei der Tochtergesellschaft einzuholen. Auf diese Weise kann die Muttergesellschaft eine Tochtergesellschaft anweisen, interne Untersuchungen durchzuführen, um Compliance-Verstöße aufzuklären oder Informationen an die Muttergesellschaft, aber auch an eine Schwestergesellschaft weiterzugeben, damit ggf. die Mutter- oder Schwestergesellschaft wiederum eigene Untersuchungen anstellen kann.
Auch im Sonderfall sogenannter durchlaufender Beherrschungsverträge, wo ein Beherrschungsvertrag zwischen Mutter und Tochter mit einem weiteren zwischen Tochter und Enkelin kombiniert wird und die Mutter daher kein direktes Weisungs- oder Auskunftsrecht gegenüber der Enkelin hat, kann das Mutterunternehmen dennoch auf einem „Umweg“ an die gesuchten Informationen gelangen, indem es eine Weisung an die Tochter erteilt, das Auskunftsverlangen an die Enkelin weiterzugeben oder indem die Ausübung des Weisungsrechts der Tochter (gegenüber der Enkelin) an die Mutter delegiert wird.
… im faktischen Konzern
Im faktischen Konzern (d.h. einem Konzern ohne Unternehmensvertrag oder Eingliederung bei dem aber dennoch Abhängigkeiten zum Beispiel durch Mehrheitsbeteiligung der Mutter bestehen) gestaltet sich die Lage schwieriger, da die Mutter keine zielführenden gesetzlichen Weisungs- und Auskunftsrechte besitzt. Dies führt dazu, dass der Vorstand der Tochtergesellschaft einen breiten Ermessensspielraum hat, ob und welche Informationen weitergegeben werden.
Überwiegend wird angenommen, die Schweigepflicht könne im Konzern – allgemein oder im konkreten Einzelfall – zurücktreten, wobei umstritten ist, ob nur das Unternehmensinteresse oder auch das Konzerninteresse bei der Abwägung zu berücksichtigen sind und wie ggf. ein Ausgleich von Nachteilen der Tochter aussehen kann (§ 311 AktG).
Die gleichen Fragen stellen sich auch bei einem faktischen Konzern mit abhängiger GmbH. Dort ist die Informationsweitergabe jedoch weniger problematisch, da dem Mutterunternehmen umfassende gesetzliche Weisungs- und Auskunftsrechte zur Verfügung stehen (§ 37 Abs. 1 GmbHG, § 51a GmbHG), sodass die Geschäftsführung der Tochter angewiesen werden kann, interne Untersuchungen durchzuführen oder Informationen nach oben weiterzugeben. Allerdings gibt es keinen Informationsdurchgriff von der Mutter gegenüber einer Enkelin im faktischen Unternehmensverbund, was aber wiederum durch ein Auskunftsersuchen gegenüber der Tochter über die Verhältnisse bei der Enkelin gelöst werden kann.
Weitere Fragen können sich im Fall eines Doppelmandats ergeben (etwa, wenn eine Person gleichzeitig Aufsichtsratsmitglied der Tochtergesellschaft und Organmitglied der Muttergesellschaft). Hier ist zu erwägen, ob die Pflicht zur Verschwiegenheit zugunsten einheitlicher Konzernleitung durchbrochen werden kann.
Know your limits
Dem Informationsaustausch zwischen den Konzerngesellschaften sind regelmäßig Grenzen gesetzt. Das Datenschutzrecht lässt die Besonderheiten des Konzerns unberücksichtigt und erleichtert nicht etwa die konzerninterne Datenübertragung. Die Erhebung und Übermittlung personenbezogener Daten bedarf einer Rechtsgrundlage und ist nur zur Wahrung berechtigter Interessen zulässig.
Unter Umständen kann es sich bei den Ermittlungsergebnissen auch um Insiderinformationen handeln, deren rechtmäßige Offenlegung/Weitergabe dann im Einzelfall genau geprüft werden muss.
Toolbox für konzernweite Ermittlungen
Es empfiehlt sich entsprechende Prozesse und Organisationsstrukturen zu entwerfen, die die für den Konzern relevanten nationalen Rechtsordnungen berücksichtigen.
Die Praxis kennt verschiedentliche organisatorische und technische Möglichkeiten wie sog. Incident-Reporting- und Case-Handling-Systeme, die dazu beitragen, Verdachtsfälle in Tochtergesellschaften zentral wirksam aufzuklären. Dies umfasst regelmäßig aber nicht abschließend
- ein konzernweites Whistleblowing-System,
- konzerninterne Datenschutzvereinbarungen,
- interne (Konzern-) Richtlinien,
- interne Standards zur Aufklärung und Ablaufpläne für die einzelnen Schritte der internen Untersuchung
- klaren Dokumentationsregeln,
- festgelegte Berichtslinien einschließlich Eskalationsmechanismen,
- evt. Betriebsvereinbarungen,
- Beschaffung und Implementierung von – sowohl dem Datenschutz und als auch praktischen Anforderungen genügenden – IT-Systemen.
Fazit
Nicht zuletzt durch Whistleblower-, Geldwäsche- oder Lieferkettengesetzgebung, die ein konzernweites Risikomanagement verstärkt in den Blick nehmen, sind Muttergesellschaften gut beraten, Compliance nicht allein ihren Tochtergesellschaften zu überlassen. Vielmehr werden konzernweite und grenzüberschreitende Compliance-Untersuchungen immer mehr zur Regel, sodass Konzern und Konzernleitung für solche Fälle gut aufgestellt sein sollten. Vorbereitung und Prävention zahlen sich aus!
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.