Content

Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System in:

Eva-Maria Vollmuth

Die Geldwäscheprävention in den Instituten der Finanzbranche als integraler Bestandteil ihres Compliance-Management-Systems, page 227 - 282

1. Edition 2020, ISBN print: 978-3-8288-4513-8, ISBN online: 978-3-8288-7553-1, https://doi.org/10.5771/9783828875531-227

Series: Wissenschaftliche Beiträge aus dem Tectum Verlag: Rechtswissenschaften, vol. 132

Tectum, Baden-Baden
Bibliographic information
Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System „If you think compliance is expensive – try non-compliance.“1053 So ironisch das Zitat des amerikanischen Juristen Paul McNulty klingen mag, so drohend sollten es auch die deutschen Unternehmen des Finanzsektors auffassen. Schließlich sind die verhängten Bußgelder der Aufsichtsbehörden aufgrund von gesetzlichen und aufsichtsrechtlichen Verstößen in jüngster Zeit keine Seltenheit mehr. In Anbetracht der Tatsache, dass der deutsche Gesetzgeber im Rahmen der Novellierung des Geldwäschegesetzes auch den Bußgeldkatalog überarbeitet und dabei gleichzeitig die Höhe der Bußgelder deutlich angehoben hat, lohnt es sich für die Institute des Finanzsektors, alle einschlägigen Normen zur Bekämpfung der Geldwäsche zu beachten. Mindestens genauso schmerzhaft mag es die Institute treffen, wenn die aufgedeckten Verstöße negative Auswirkungen auf ihre Reputation haben. Büßt eine Bank an ihrer guten Reputation ein, so besteht schnell die Gefahr, dass ihre Kunden zu einem Konkurrenten abwandern und finanzielle Verluste dadurch noch unberechenbarer als bei der Zahlung des Bußgeldes werden. Fraglich ist, wie die Institute der Finanzbranche die Regelkonformität hinsichtlich der geldwäscherechtlichen Anforderungen sicherstellen können und dauerhaft aufrechterhalten können, um schädigende Einwirkungen auf ihr Unternehmen zu vermeiden. Schließlich gilt es bei der Vielzahl an rechtlichen und aufsichtsrechtlichen Vorgaben nicht den Überblick zu verlieren. Sicher ist, dass hierfür ein wirksames Kapitel 5. 1053 zit. Paul McNulty, ehemaliger U.S. Deputy Attorney General, zitiert nach Behringer, Compliance kompakt, S. 43. 227 System innerhalb des jeweiligen Instituts aufgebaut werden muss, denn ohne eine systematische Vorgehensweise lassen sich die vielfältigen Verpflichtungen in der Geldwäscheprävention nicht effektiv erfüllen. Die folgenden Ausführungen in diesem Kapitel zeigen, wie ein effektives System zur Einhaltung der Regelkonformität, ein sogenanntes Compliance-Management-System, ausgestaltet sein sollte, damit das Institut alle rechtlichen Regelungen und Vorgaben, insbesondere hinsichtlich der Prävention von Geldwäsche, einhalten kann. Zur Heranführung an das Thema Compliance und um die Hintergründe eines Compliance-Management-Systems zur Bekämpfung der Geldwäsche in den Instituten der Finanzbranche darzustellen, werden zunächst die Ursprünge und rechtlichen Grundlagen der Compliance-Funktion im Allgemeinen sowie speziell in der Finanzbranche behandelt, wobei der Fokus in diesem Kontext auf der Etablierung einer Compliance-Funktion nach den Mindestanforderungen an das Risikomanagement (Ma- Risk) der Bundesanstalt für Finanzdienstleistungs-aufsicht liegt. Ferner werden die Grundsätze und Anforderungen an ein effektives Compliance-Management-System präzisiert und wird schließlich die Integration ausgewählter Komponenten der Geldwäschebekämpfung in ein wirksames Compliance-Management-System erläutert. Begriffsbestimmung der Compliance Die Konkretisierung einer Definition des Terminus der Compliance stellt sich im Allgemeinen aufgrund der bislang fehlenden gesetzlichen Legaldefinition als äußerst schwierig heraus.1054 Hinzu kommt im Speziellen, dass der Begriff der Compliance nicht in allen wissenschaftlichen Bereichen einheitlich verwendet wird.1055 Die folgenden Ausführungen werden den Terminus der Compliance näher konkretisieren und auf die verschiedenen Begriffsverwendungen eingehen, damit der Anglizismus im Kontext dieser Arbeit seine Abstraktheit verliert. A. 1054 Grützner/Jakob in Grützner/Jakob, Compliance, Compliance. 1055 Wittig in Graf/Jäger/Wittig, Wirtschafts- und Steuerstrafrecht, Einführung Rn. 11a. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 228 Das englische Wort „Compliance“ leitet sich von dem Verb „to comply with“ ab, welches mit „in Einklang stehen“, „einhalten“ und „übereinstimmen“ ins Deutsche übersetzt werden kann.1056 Da letztere Begrifflichkeiten in ihrer Auslegung sehr weit gehen können, sollte der Begriff der Compliance stets in Bezug zu einem bestimmten Thema oder Fachbereich gesetzt werden, um ihn hinreichend einzugrenzen.1057 Der ursprünglich aus der Medizin stammende Begriff beschreibt in dieser Relation die Therapietreue eines Patienten gegen- über dem behandelnden Arzt, d.h. seine Bereitschaft zur Befolgung ärztlicher Anweisungen wie beispielsweise der vom Arzt vorgeschriebenen Einnahme von bestimmten Tabletten.1058 Der Patient verhält sich demnach „compliant“, soweit er die vom Arzt aufgestellten Regeln beachtet. Die Übertragung in den juristischen Kontext knüpft an die Regelbefolgung an. So wird hier der Begriff der Compliance als das Handeln im Einklang mit dem geltenden Recht verstanden, d.h. die Befolgung und die Einhaltung sämtlicher geltenden Gesetze und unternehmensinternen Regelungen.1059 Die damit etablierte Regeltreue sollte das Ziel eines jeden Unternehmens sein. Auch wenn man konsequenterweise der Meinung sein kann, dass die Einführung des Anglizismus in die deutsche Sprache einer Farce gleichkommt, da es schließlich in einem juristischen Kontext stets um die Befolgung von Recht und die Einhaltung von Gesetzen gehe, hat sich der Begriff dennoch in der juristischen und betriebswirtschaftlichen Wissenschaft sowie in der Praxis etabliert.1060 Ein Grund hierfür ist die Tatsache, dass sich die Compliance vor allem in Instituten des Finanzsektors nicht nur über die bloße Einhaltung von Gesetzen und aufsichtsrechtlichen Regelungen definiert, sondern insbesondere auch eine Umschreibung für jedes integre und moralisch in der europäischen Gesellschaft akzeptierte Verhalten 1056 Behringer, Compliance kompakt, S. 34. 1057 Rotsch in Rotsch, Criminal Compliance, S. 37, Rn. 5. 1058 Rotsch in Rotsch, Criminal Compliance, S. 37, Rn. 4; Passarge, Handbuch Compliance, S. 9. 1059 Bock in ZIS 2009, 68; Rotsch, Criminal Compliance, S. 37, Rn. 5. 1060 Rotsch in Rotsch, Criminal Compliance, S. 38, Rn. 6. A. Begriffsbestimmung der Compliance 229 darstellt.1061 Die Compliance dient in diesem Kontext auch einer „Organisation von Legalität“ in einem Unternehmen.1062 Eng mit der Bezugnahme auf eine Organisation korreliert die nächste Begriffsdeutung, nach der die Compliance auf ein Organisationsmodell innerhalb eines Unternehmens abzielt, welches mit etablierten Prozessen und Systemen das regelkonforme Verhalten fördern und sicherstellen soll.1063 Die Compliance-Organisation ergreift zumutbare und angemessene Maßnahmen, um drohende Risiken und Schäden frühzeitig zu identifizieren und zu bekämpfen.1064 Der Begriff der Compliance bezeichnet folglich auch eine Fachabteilung innerhalb einer Organisation,1065 welche sich mit der Einhaltung von Regeln, Gesetzen sowie integrem unternehmerischem Verhalten befasst und die weiteren Fachabteilungen bei unterschiedlichen Fragestellungen zur Sicherstellung der Regelkonformität berät und unterstützt.1066 Damit zeigt sich, dass die Definition der Compliance deutlich komplexer ist als die reine Einhaltung von Gesetzen. Vielmehr sollen unter den Begriff neben der unternehmensinternen Funktion an sich auch alle Maßnahmen zur Einhaltung von gesetzlichen, regulatorischen, aber auch selbst auferlegten unternehmerischen Vorschriften gefasst werden, stets unter dem Aspekt der Sicherstellung von sowohl Legalität als auch Legitimität innerhalb einer Organisation.1067 Rechtliche Grundlagen der Compliance Auch wenn offensichtlich sein sollte, dass die Einhaltung von Regeln schon mit der zugrunde liegenden Vorschrift impliziert ist, hat der internationale ebenso wie der nationale Gesetzgeber das Konstrukt und die Systematik der Compliance auch gesetzlich verankert. Dabei ist zu B. 1061 BCBS, Compliance, S. 7. 1062 Nave/Bonenberger in BB 2008, 734. 1063 Poppe in Inderst/Bannenberg/Poppe, Compliance, S. 1, Rn. 2. 1064 Poppe in Inderst/Bannenberg/Poppe, Compliance, S. 7, Rn. 40. 1065 Faust in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, § 109 Rn. 1. 1066 Passarge/Behringer, Handbuch Compliance international, S. 9; Gebauer/Niermann in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36 Rn. 1. 1067 Behringer, Compliance kompakt, S. 35, 36; Passarge/Behringer, Handbuch Compliance international, S. 9. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 230 beachten, dass insbesondere in den Vorschriften, die nicht nur den Finanzbereich betreffen, das Erfordernis zur Einrichtung einer Compliance-Organisation nur im Rahmen der Auslegung der gesellschaftsrechtlichen Normen erkennbar wird. Hinsichtlich der spezialgesetzlichen Vorgaben für den Finanzbereich wird der deutsche Gesetzgeber deutlich konkreter und nennt schließlich in § 25a Abs. 1 Satz 3 Nr. 3c 2. Alt. KWG ausdrücklich die Compliance-Funktion zur Gewährleistung der Regeltreue in den Instituten der Finanzbranche.1068 So erläutern die folgenden Ausführungen zunächst die im Rahmen der Auslegung erkennbaren gesetzlichen Grundlagen der allgemeinen Compliance im internationalen ebenso wie im nationalen Raum und stellen sodann die spezialgesetzlichen Vorgaben der Compliance-Funktion in den Instituten der Finanzbranche detailliert dar. Der gesetzliche Ursprung im englischsprachigen Rechtsraum Aufgrund der Tatsache, dass der in die deutsche Sprache eingeführte Begriff der Compliance schließlich englischsprachiger Herkunft ist, drängt es sich geradezu auf, den angloamerikanischen Ursprung der Compliance zu erörtern. So gelten amerikanische Regelungen als Vorreiter für die Pflicht zur Implementierung einer Compliance-Funktion und die Etablierung eines Compliance-Systems.1069 Insbesondere zeigten sich erste gesetzlich verankerte Compliance-Ansätze in der angloamerikanischen Banken- und Finanzwelt Ende der 80er Jahre des letzten Jahrhunderts, die das regelkonforme Verhalten in den klassischen Risikobereichen eines Instituts des Finanzsektors forcieren sollten.1070 Zu nennen sind in diesem Kontext mit Bezug zum amerikanischen Recht der Foreign Corrupt Practices Act1071, der Sarbanes-Oxley I. 1068 Langen in Schwennicke/Auerbach, KWG, § 25a Rn. 85. 1069 Rieder/Falge in Inderst/Bannenberg/Poppe, Compliance, Kapitel 2, Rn. 30. 1070 Kuthe/Szesny in Kuthe/Szesny, Kapitalmarkt-Compliance, Kapitel 1, Rn. 9. 1071 https://www.justice.gov/sites/default/files/criminal-fraud/legacy/2012/08/29/cor ruptrpt-95-213.pdf (aufgerufen am 22.04.2019). B. Rechtliche Grundlagen der Compliance 231 Act1072, die Federal Sentencing Guidelines1073 sowie mit Bezug zum britischem Recht der UK Bribery Act1074. Ihre compliance-relevanten Inhalte sollen im Folgenden erläutert werden. Der United States Foreign Corrupt Practices Act (FCPA) Der Foreign Corrupt Practices Act (kurz FCPA) ist ein amerikanisches Bundesgesetz, welches am 1. Dezember 1977 in Kraft trat und zum einen Regeln zur Korruptionsbekämpfung aufstellt, zum anderen aber auch Vorgaben zu einer ordnungsgemäßen Rechnungslegung und zu internen Kontrollvorschriften normiert.1075 Die genannten Regelungen haben indirekt zum Ziel, Bestechungszahlungen und Korruptionshandlungen im Unternehmen zu verhindern.1076 Zu beachten ist, dass der FCPA zwar ein US-amerikanisches Gesetz ist, der Anwendungsbereich allerdings weit über den US-amerikanischen Kontinent hinaus reicht und damit auch von nichtamerikanischen Unternehmen zu beachten ist. So reicht es zur Eröffnung des Anwendungsbereichs beispielsweise aus, dass ein handelndes Unternehmen lediglich eine Geschäftsbeziehung in die Vereinigten Staaten unterhält.1077 Auch die in den USA ansässigen Tochterunternehmen oder ausländische börsennotierte Unternehmen, deren Aktien zum Handel an einer amerikanischen Börse zugelassen sind, werden vom Anwendungsbereich des FCPA erfasst.1078 Zunächst normiert der FCPA das Verbot von Bestechungszahlungen, Vorteilsgewährungen sowie deren Erbieten an bzw. durch einen Amtsträger, an eine politische Partei oder an einen Kandidaten außerhalb der USA, wenn mit diesen Zahlungen auf regelwidrige Art und 1. 1072 https://www.congress.gov/107/bills/hr3763/BILLS-107hr3763enr.pdf (aufgerufen am 22.04.2019). 1073 https://www.ussc.gov/sites/default/files/pdf/guidelines-manual/2018/GLMFull. pdf (aufgerufen am 22.04.2019). 1074 http://www.legislation.gov.uk/ukpga/2010/23/pdfs/ukpga_20100023_en.pdf (aufgerufen am 22.04.2019). 1075 https://www.justice.gov/sites/default/files/criminal-fraud/legacy/2012/08/29/cor ruptrpt-95-213.pdf (aufgerufen am 22.04.2019). 1076 Grützner/Jakob in Grützner/Jakob, Compliance, FCPA; Passarge in Martinek/ Semler/ Flohr, Vertriebsrecht, § 79, Rn. 122. 1077 Teichmann, Compliance, 1. Kapitel, Rn. 50. 1078 Cohen/Holland in CCZ 2008, 7 (8,9). Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 232 Weise versucht wird, einen geschäftlichen Nutzen zu erlangen.1079 Das Bundesgesetz schreibt in diesem Zusammenhang die Einhaltung verschiedener Buchhaltungs- und Organisationsregeln vor, welche die unrechtmäßigen Vorteilsgewährungen verhindern sollen.1080 Sowohl natürlichen als auch juristischen Personen ist es nach dem FCPA verboten, die beschriebenen Handlungen durchzuführen, die darauf gerichtet sind, die Amtsbefugnisse der Person zu beeinflussen oder sie zu verleiten, ihren Einfluss auszunutzen, mit dem Ziel das Unternehmen unrechtmäßig zu unterstützen oder ihm einen unangemessenen Vorteil einzurichten.1081 Letzterer kann in einem neuen Geschäftsabschluss oder der Fortführung schon bestehender Geschäfte zu Gunsten des Bestechenden liegen. Ferner wird dem FCPA zufolge die Beteiligung dritter Personen an den aufgezeigten unrechtmäßigen Handlungen zur Erzielung eines illegalen, geschäftlichen Unternehmensvorteils sanktioniert, womit das Gesetz schließlich auch die Strafbarkeit auf Unternehmensberater, Unternehmensbeauftragte oder Geschäftspartner ausdehnt.1082 Die durch den FCPA normierten Vorgaben erscheinen zunächst nicht ungewöhnlich, da es schließlich sinnvoll ist, zur Verhinderung von Korruption direkt bei den Buchführungspflichten eines Unternehmens anzuknüpfen. Auffällig und ungewöhnlich hoch sind allerdings die entsprechenden Sanktionen bei Verstößen gegen die Regelungen. So sind für juristische Personen Geldstrafen bis zu 25 Millionen US- Dollar möglich.1083 Die Tatsache, dass das Unternehmen von der Liste für die Vergabe von Aufträgen der öffentlichen Hand gestrichen werden kann, mag einen durchaus noch härteren Sanktionswert für die betroffenen Gesellschaften haben.1084 Des Weiteren drohen den Angestellten, welche die Zahlung angeordnet oder durchgeführt haben, neben einer Geldstrafe bis zu 5 Millionen US-Dollar bis zu 20 Jahren 1079 Passarge in Martinek/Semler/ Flohr, Vertriebsrecht, § 79, Rn. 122; Cohen/ Holland in CCZ 2008, 7. 1080 Passarge in Martinek/Semler/ Flohr, Vertriebsrecht, § 79, Rn. 122. 1081 Passarge in Martinek/Semler/ Flohr, Vertriebsrecht, § 79, Rn. 122; Cohen/ Holland in CCZ 2008, 7. 1082 Passarge in Martinek/Semler/Habermeier/Flohr, Vertriebsrecht, § 79, Rn. 124. 1083 Cohen/Holland in CCZ 2008, 7 (8). 1084 Passarge in Martinek/Semler/ Flohr, Vertriebsrecht, § 79, Rn. 125. B. Rechtliche Grundlagen der Compliance 233 Freiheitsstrafe.1085 Es ist daher nicht verwunderlich, dass der FCPA bei international tätigen, nichtamerikanischen Unternehmen den Ruf eines „Schreckgespenstes“ hat.1086 Bemerkenswert ist jedoch die Tatsache, dass die genannten hohen Strafen bei einer Existenz von wirksamen Compliance-Strukturen zur Bekämpfung der internen Korruption in Unternehmen erheblich verringert werden können.1087 So wird die Einrichtung von Compliance- Maßnahmen von den US-Gerichten als wohlwollend und strafreduzierend bewertet, wohingegen diejenigen sanktionierten Unternehmen, welche sich der Compliance verschließen und hinter den Standards zurückbleiben, mit höheren Sanktionen zu rechnen haben.1088 Ist in dem sanktionierten Unternehmen ein funktionierendes Compliance- Programm grundsätzlich etabliert, so wirken sich die einzelnen, dennoch vorkommenden Rechtsverstöße nicht so gravierend aus als ohne ein entsprechendes System zur Forcierung der internen Regelkonformität.1089 Schließlich können die besten Präventionsmaßnahmen richtigerweise nicht die kriminelle Energie eines jeden Einzeltäters verhindern.1090 Die ersten Ursprünge der Compliance und ihre grundsätzlichen Strukturen bildeten sich damit im Kontext der amerikanischen Strafzumessung hinsichtlich der Korruptionsdelikte im Rahmen des FCPA heraus. Der Sarbanes-Oxley Act Zu den gesetzlichen Ursprüngen der Compliance-Entwicklung aus dem US-amerikanischen Raum wird des Weiteren der „Sarbanes-Oxley Act of 2002“1091 (auch SOA oder SOX genannt) gezählt. Am 30. Juli 2002 verabschiedete der amerikanische Gesetzgeber den Sarbanes-Oxley Act als ein amerikanisches Bundesgesetz und setzte damit einen Meilenstein in der Reformierung der sogenannten „Corporate 2. 1085 Cohen/Holland in CCZ 2008, 7 (8). 1086 Spehl/Grützner, CCZ 2013, 198. 1087 Passarge in Martinek/Semler/ Flohr, Vertriebsrecht, § 79, Rn. 126. 1088 Cohen/Holland in CCZ 2008, 7 (11). 1089 Grützner/Behr in CCZ 2013, 71 (72). 1090 Grützner/Behr in CCZ 2013, 71 (74). 1091 https://www.congress.gov/107/bills/hr3763/BILLS-107hr3763enr.pdf (aufgerufen am 22.04.2019). Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 234 Governance“.1092 Unter Letzterer versteht man die Prinzipien einer verantwortungsvollen Leitung und effektiven Überwachung eines Unternehmens.1093 Die Namensgeber des Gesetzes sind der damalige Senator Paul S. Sarbanes und der Kongressabgeordnete Michael G. Oxley, die sich speziell für das politische Handeln gegen unternehmerischen Betrug und Bilanzmanipulation einsetzten und als Verfasser die Verabschiedung eines solchen Gesetzes vorantrieben.1094 Der Hintergrund dieses Bundesgesetzes waren zahlreiche Finanzskandale, welche unter den Anlegern zu einem allgemeinen Misstrauen gegenüber der Glaubwürdigkeit und Richtigkeit von öffentlichen Finanzdaten führten.1095 Mit den neuen Vorgaben sollte das Vertrauen wiederhergestellt werden. Der Anwendungsbereich des Sarbanes-Oxley Act ist sehr weit gefasst und geht wie der FCPA über die amerikanischen Grenzen hinaus. Er gilt für alle amerikanischen und nichtamerikanischen Unternehmen, die den Vorschriften der amerikanischen Wertpapieraufsichtsbehörde SEC (U.S. Securities and Exchange Commission) unterliegen.1096 Das Gesetz entfaltet damit für alle amerikanischen sowie nichtamerikanischen Unternehmen seine Gültigkeit, deren Wertpapiere an einer amerikanischen Börse gehandelt werden, ferner deren Wertpapiere mit Eigenkapitalcharakter in den Vereinigten Staaten au- ßerhalb von Börsen gehandelt werden oder deren Wertpapiere in den USA öffentlich angeboten werden. Einbezogen sind auch Tochterunternehmen.1097 Auch jedes deutsche Unternehmen, welches beispielsweise an der New Yorker Börse gelistet ist, fällt damit in den Anwendungsbereich des Sarbanes-Oxley Act.1098 1092 Paetzmann in Paetzmann/Schöning, Corporate Governance, S. 6. 1093 Grützner/Jakob in Grützner/Jakob, Compliance, Corporate Governance. 1094 Behringer, Compliance kompakt, 3. Auflage, S. 146. 1095 Grützner/Jakob in Grützner/Jakob, Compliance, Sarbanes-Oxley Act; Block in BKR 2003, 774. 1096 Obermayr in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 44, Rn. 111 i.V.m. Fn. 98. 1097 Obermayr in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 44, Rn. 111 i.V.m. Fn. 98. 1098 Wolf in BC 2003, 268; Rieder/Falge in Inderst/Bannenberg/Poppe, Compliance, Kapitel 2, Rn. 41. B. Rechtliche Grundlagen der Compliance 235 Der Schwerpunkt des Gesetzes liegt in der Reform der Regelungen zur Unternehmensführung, den Pflichten im Zusammenhang mit der Finanzberichterstattung, dem unternehmensinternen Berichtswesen und den Meldepflichten gegenüber den Behörden.1099 Die umfassende Überarbeitung der genannten Bereiche sollte das Vertrauen der Anleger in die Verlässlichkeit der veröffentlichten Finanzdaten von Unternehmen wieder bestärken und eine Regelkonformität garantieren.1100 Zur Stärkung der Unternehmensführung sowie zur Herbeiführung eines regelkonformen Zustandes müssen die nach dem SOX verpflichteten Unternehmen eine interne Kontrolle und Compliance-Strukturen einrichten.1101 Die Etablierung eines internen Kontrollsystems soll sich auf sämtliche Unternehmensfunktionen erstrecken und nicht nur die Finanzberichterstattung betreffen. Die Kontrolle über die Ordnungsmä- ßigkeit der Rechnungslegung, die Wirksamkeit der Geschäftsführung sowie die Einhaltung der gesetzlichen Regelungen sind dabei die Hauptbereiche, welche von dem internen Kontrollsystem abgedeckt werden müssen.1102 Es beinhaltet interne Kontrollen durch Kontrolltests und gesondert abzugebende Erklärungen der Führungskräfte, inwiefern die genannten Bereiche für ihren angestrebten Zweck funktionieren und es somit zu keinen internen Regelverstößen kommen kann.1103 Ferner schreibt der Sarbanes-Oxley Act die Einrichtung eines Verfahrens zum Beschwerdemanagement vor, welches den Mitarbeitern eines verpflichteten Unternehmens erlaubt, Hinweise anonym abzugeben.1104 Das Gesetz normiert in diesem Zusammenhang den Schutz des Mitarbeiters dahingehend, dass es jedem Vorgesetzten verboten ist, einen Angestellten zu entlassen, herabzustufen, zu suspendieren oder auf irgendeine andere Art und Weise zu diskriminieren, weil dieser rechtmäßig eine Bundesbehörde, ein Kongressmitglied oder einen Kongressausschuss über Rechtsverstöße im Unternehmen informiert hat.1105 In diesem Kontext wird angemerkt, dass der englische Begriff 1099 Regelin/Fisher in IStR 2003, 276; Wolf in BC 2003, 268. 1100 Behringer, Compliance kompakt, 3. Auflage, S. 146; Wolf in BC 2003, 268. 1101 Passarge in Martinek/Semler/Flohr, Vertriebsrecht, § 79 Rn. 119, 120. 1102 Obermayr in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 44, Rn. 112. 1103 Passarge in Martinek/Semler/Flohr, Vertriebsrecht, § 79 Rn. 120. 1104 Passarge in Martinek/Semler/Flohr, Vertriebsrecht, § 79 Rn. 120. 1105 Block in BKR 2003, 787. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 236 des Whistleblower-Systems besser mit der Formulierung des Hinweisgebersystems als mit dem Wort Beschwerdemanagement übersetzt werden sollte. Schließlich muss nicht jeder Hinweis einen Beschwerdecharakter haben. Der Begriff des Beschwerdemanagements wird in der deutschen Unternehmenssprache eher in Bezug auf die Kunden anstatt im Hinblick auf die Mitarbeiter eines Unternehmens verwendet. Die US Federal Sentencing Guidelines Schließlich können die ersten Rechtsgrundlagen der Compliance auch in den „US Federal Sentencing Guidelines“1106 erkannt werden.1107 Im Gegensatz zum deutschen Rechtssystem kennt die amerikanische Rechtsordnung die Unternehmensstrafe und erlaubt demnach die strafrechtliche Sanktionierung von juristischen Personen.1108 Die einzelnen Details zu den Sanktionen sind in den US Federal Sentencing Guidelines normiert, welche in ihrem Kapitel 8 auch spezielle Erwägungen zur Strafzumessung bei der Involvierung von juristischen Personen enthalten.1109 Das Ziel der Strafzumessung ist es, für das Unternehmen eine Strafe festzulegen, die der Wiedergutmachung des von ihm verursachten Schadens dient.1110 Die Strafhöhe bemisst sich dabei nach der Schwere der Schuld und wird nach amerikanischem Recht durch sechs Faktoren präzisiert, von denen vier strafverschärfend und zwei strafmildernd sind.1111 Beachtenswert ist, dass ein strafmindernder Aspekt in diesem Zusammenhang das Vorhandensein eines effektiven Compliance- und Ethik-Programms im straffälligen Unternehmen darstellt, für welches die US Federal Sentencing Guidelines in § 8 B 2.1 präzise Vorgaben aufführen.1112 Die Effektivität des Programms kann nach 3. 1106 https://www.ussc.gov/sites/default/files/pdf/guidelines-manual/2018/GLMFull. pdf (aufgerufen am 22.04.2019). 1107 Rieder/Falge in Inderst/Bannenberg/Poppe, Compliance, Kapitel 2, Rn. 35. 1108 Rieder/Falge in Inderst/Bannenberg/Poppe, Compliance, Kapitel 2, Rn. 31. 1109 Rieder/Falge in Inderst/Bannenberg/Poppe, Compliance, Kapitel 2, Rn. 31. 1110 Rieder/Falge in Inderst/Bannenberg/Poppe, Compliance, Kapitel 2, Rn. 32. 1111 https://www.ussc.gov/guidelines/2015-guidelines-manual/2015-chapter-8 (aufgerufen am 13.10.2017). 1112 https://www.ussc.gov/guidelines/2015-guidelines-manual/2015-chapter-8 (aufgerufen am 13.10.2017). B. Rechtliche Grundlagen der Compliance 237 den US Sentencing Guidelines demnach bejaht werden, wenn neben der Implementierung von Einzelmaßnahmen auch eine entsprechende Unternehmenskultur etabliert ist, die sowohl moralisch-ethisches Verhalten als auch die Regeltreue forciert.1113 Ein wirksames Compliance- Programm bleibt nach den US Sentencing Guidelines dabei nur dann auf einem hohen Niveau, wenn in regelmäßigen Abständen die möglichen Compliance-Risiken identifiziert werden und das bestehende System risikoangemessen angepasst und überarbeitet wird.1114 Durch die strafmildernde Wirkung von effektiven Compliance- Programmen werden für amerikanische Unternehmen Anreize geschaffen, mit erfolgreichen Compliance-Management-Systemen rechtswidriges Verhalten in ihrer Organisation präventiv zu bekämpfen, weil sie im Ernstfall schließlich mit Blick auf eine Strafmilderung davon profitieren können.1115 Auch wenn dies keine explizite Pflicht zur Einrichtung einer Compliance-Organisation darstellt, wird dennoch ein Großteil der Unternehmen indirekt veranlasst, derartige Strukturen einzurichten, um nicht hinter den von der amerikanischen Behörde gesetzten Standards zurückzubleiben. Der UK Bribery Act 2010 Schließlich enthält der sogenannte „UK Bribery Act 2010“1116 gesetzlich verankerte Vorgaben zu Compliance-Strukturen in Unternehmen. Der in Großbritannien im Jahr 2010 verabschiedete und zum 1. Juli 2011 in Kraft getretene UK Bribery Act 2010 ist ein strafrechtliches Gesetz zur Korruptionsprävention in Unternehmen. Das englische Wort „bribery“ kann mit der Formulierung „Unzulässige Zahlungen“ in die deutsche Sprache übersetzt werden,1117 welche durch den UK Bribery Act 2010 sanktioniert werden. Seine starke internationale Ausstrahlungskraft ist ähnlich dem amerikanischen Foreign Corrupt Practices Act, denn der britische Gesetzgeber eröffnet in § 12 Abs. 2 (c) des 4. 1113 Moosmayer, Compliance, Kapitel B Rn. 18. 1114 US Federal Sentencing Guidelines, Chapter 8 B 2.1 c). 1115 Rode in Passarge/Behringer, Handbuch Compliance international, S. 674. 1116 http://www.legislation.gov.uk/ukpga/2010/23/pdfs/ukpga_20100023_en.pdf (aufgerufen am 22.04.2019). 1117 Langenscheidt, Englisch-Deutsch Wörterbuch, bribery. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 238 UK Bribery Act 2010 den Anwendungsbereich auch für straffällige ausländische Unternehmen, sofern diese eine sogenannte „close connection“, d.h. eine enge Verbindung, zum Vereinigten Königreich aufweisen.1118 Dabei ist der Begriff sehr weit zu verstehen.1119 So sanktioniert das Gesetz nicht nur in Großbritannien gegründete Gesellschaften, sondern trifft auch juristische Personen, die weder ihren Sitz auf dem britischen Landesgebiet innehaben noch innerhalb des Vereinigten Königreichs gegründet worden sind.1120 Denn es reicht aus, dass die ausländische Gesellschaft zumindest teilweise geschäftlich innerhalb des Vereinigten Königreichs tätig ist, womit die Regelungen des UK Bribery Act 2010 auch von deutschen Unternehmen mit britischen Geschäftsaktivitäten zu beachten sind.1121 Der UK Bribery Act 2010 normiert vier wesentliche Straftatbestände, um Korruptionshandlungen zu sanktionieren.1122 Darunter fallen das Anbieten, Versprechen oder die Gewährung eines Bestechungsgeldes,1123 das Fordern, die Vereinbarung oder die Annahme eines Bestechungsgeldes1124, die Bestechung ausländischer Beamter1125 sowie die unterlassene Verhinderung von Korruption1126 durch Unternehmen. Insbesondere letzterer Straftatbestand zielt auf adäquate Maßnahmen zur Korruptionsbekämpfung und damit auf einzurichtende Compliance-Programme innerhalb eines Unternehmens ab. Die Vorgaben des § 7 UK Bribery Act 2010 konkretisieren, dass ein Unternehmen strafbar wird, wenn eine mit ihm assoziierte Person eine andere Person im geschäftlichen Rahmen besticht, um einen Vorteil für das Unternehmen zu erlangen. Nach § 7 Abs. 2 UK Bribery Act 2010 kann sich das Unternehmen jedoch von dieser Haftung exkulpieren, wenn es nachweisen kann, dass unternehmensintern angemessene 1118 § 12 Abs. 2 UK Bribery Act 2010. 1119 Bannenberg, Handbuch Wirtschafts- und Steuerstrafrecht, 12. Kapitel, Rn. 115. 1120 Deister/Geier in CCZ 2011, 12 (18). 1121 Greeve in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 25 Rn. 80; Cordes in Szesny/Kuthe, Kapitalmarkt Compliance Kapitel 21, Rn. 171. 1122 Pörnbacher/Mark in NZG 2010, 1372 (1373). 1123 § 1 UK Bribery Act 2010, Offences of bribing another person. 1124 § 2 UK Bribery Act 2010, Offences relating to being bribed. 1125 § 6 UK Bribery Act 2010, Bribery of foreign public officials. 1126 § 7 UK Bribery Act 2010, Failure of commercial organisations to prevent bribery. B. Rechtliche Grundlagen der Compliance 239 Präventionsmaßnahmen existieren, die Korruptionshandlungen generell vorbeugen und verhindern sollen.1127 Das Gesetz bietet damit die Möglichkeit einer Exkulpation des Unternehmens von einer Unternehmensstrafe, sofern es wirksam etablierte Compliance-Strukturen vorweisen kann,1128 obwohl diese in einem unvorhersehbaren Einzelfall nicht gegriffen haben. Fraglich ist allerdings, was der UK Bribery Act 2010 unter angemessenen Präventionsverfahren und wirksamen Compliance-Strukturen versteht und wie ein damit zusammenhängendes Compliance-Programm aussehen soll. Aufgrund der Tatsache, dass sowohl die konkreten Inhalte der Straftatbestände im UK Bribery Act 2010 selbst als auch die Anforderungen an die zu implementierenden Compliance- Strukturen zur Exkulpation im Gesetz nicht deutlich präzisiert werden, hat das Justizministerium des Vereinigten Königreichs (UK Ministry of Justice) im März 2011 einen Leitfaden1129 herausgegeben, der insbesondere eine Klarheit über das einzuführende Compliance-System in Unternehmen schaffen soll.1130 Nach diesem wird eine angemessene Compliance-Organisation durch sechs Prinzipien definiert.1131 Zunächst bedarf es einer umfassenden Risikoanalyse (risk assessment), in welcher die wesentlichen internen und externen Risiken für die Korruption im Geschäftsbereich identifiziert werden, da nur bei genauer Kenntnis über die konkreten Risiken diese auch bekämpft werden können.1132 Des Weiteren sehen die Leitlinien ein klares Bekenntnis der Führungsebene zu einer hohen Compliance-Kultur und der damit forcierten Regelkonformität vor (top level commitment).1133 Auf diesen essentiellen, sogenannten „tone from the top“ (der maßgebende Ton der Geschäftsleitung) wird auch schon im Sarbanes-Oxley Act hingewiesen,1134 denn die Führungsebene dient auch als ein Vorbild für alle weiteren Angestellten im Unternehmen. Ist die Ausgangslage bezüglich 1127 Deister/Geier/Rew in CCZ 2011, 81. 1128 Rieder/Falge in Inderst/Bannenberg/Poppe, Compliance, Kapitel 2, Rn. 42. 1129 https://www.justice.gov.uk/downloads/legislation/bribery-act-2010-guidance. pdf (aufgerufen am 02.06.2019). 1130 Rieder/Falge in Inderst/Bannenberg/Poppe, Compliance, 2. Kapitel, Rn. 43. 1131 Teichmann, Compliance, 1. Kapitel, Rn. 54. 1132 Deister/Geier in CCZ 2011, 12 (16). 1133 Teichmann, Compliance, 1. Kapitel, Rn. 54. 1134 Deister/Geier in CCZ 2011, 12 (16). Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 240 der Korruptionsrisiken ausführlich analysiert (due diligence), müssen Verfahrensregeln (policies und procedures) etabliert werden und im Unternehmen angemessen umgesetzt und kommuniziert werden (effective implementation/communication).1135 Um ein funktionierendes Compliance-System zu garantieren, müssen die genannten Abläufe in regelmäßigen Abständen überwacht und wenn nötig überarbeitet werden (monitoring and review).1136 Aufgrund der Tatsache, dass die nach dem UK Bribery Act 2010 normierten Sanktionen bei Erfüllung eines Korruptionstatbestandes nicht nur geringfügig sind und Gefängnisstrafen von bis zu zehn Jahren oder für Unternehmen entsprechende Geldstrafen in unbeschränkter Höhe vorgesehen sind, lohnt sich die Einrichtung von strafreduzierenden Compliance-Maßnahmen enorm.1137 Eine Pflicht zur Einrichtung präventiver Compliance-Systeme wird ähnlich wie beim amerikanischen Foreign Corrupt Practices Act über die Strafzumessung indirekt impliziert. Nationale Rechtsgrundlagen der Compliance Neben den genannten Rechtsnormen aus dem angloamerikanischen Bereich sind auch im deutschen Recht einige Grundzüge einer Pflicht zur Etablierung einer Compliance-Organisation mit entsprechenden Maßnahmen zu erkennen. Im Gegensatz zu den englischsprachigen Regelungen findet man sie nicht nur im Bereich der Strafzumessung, sondern insbesondere auch in den gesellschaftsrechtlichen Vorschriften. Dabei ist zu beachten, dass die Pflicht zur Einrichtung einer Compliance-Funktion für Unternehmen außerhalb der Finanzbranche zwar in jedem Fall geboten, allerdings nicht gesetzlich vorgeschrieben ist, wohingegen Spezialnormen für Institute der Finanzbranche das Erfordernis einer Compliance-Organisation ausdrücklich normieren. II. 1135 Deister/Geier/Rew in CCZ 2011, 86. 1136 Pörnbacher/Mark in NZG 2010, 1372 (1375). 1137 Bannenberg, Handbuch Wirtschafts- und Steuerstrafrecht, 12. Kapitel, Rn. 115; Pörnbacher/Mark in NZG 2010, 1372 (1374). B. Rechtliche Grundlagen der Compliance 241 Die Geschäftsleiterverantwortung als Rechtsgrundlage der Compliance Die Legalitätspflicht der Geschäftsleitung Die Verantwortung der Geschäftsleitung eines Unternehmens, allen einschlägigen rechtlichen Regelungen nachzukommen, könnte eine Rechtsgrundlage für die Einrichtung einer Compliance-Funktion darstellen. Abzustellen ist hierzu zunächst auf eine Kardinalpflicht, die sogenannte Legalitätspflicht des Geschäftsleitungsorgans.1138 Unter der Legalitätspflicht versteht man die allgemeine Pflicht eines jeden Geschäftsleiters, die Gesellschaft in eigener Verantwortung zu leiten und dabei regelkonformes Verhalten der Gesellschaft gegenüber Mitarbeitern, Geschäftspartnern und sonstigen Dritten sicherzustellen.1139 Für den Vorstand einer Aktiengesellschaft sind die einschlägigen Normen §§ 76, 93 Abs. 1 AktG, wohingegen die Geschäftsführung einer Gesellschaft mit beschränkter Haftung gemäß § 43 Abs. 1 GmbHG verpflichtet ist, das Unternehmen in eigener Verantwortung zu leiten und dabei stets die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.1140 Stets ordentlich und gewissenhaft handelt dabei derjenige Vorstand, der nicht nur selbst die geltenden Gesetze und Verordnungen beachtet, sondern auch in seinem Unternehmen für die Einhaltung der entsprechenden Regelungen sorgt.1141 Bei der Missachtung geltender Gesetze und aufsichtsrechtlicher Regelungen bzw. bei der Duldung einer solchen Missachtung handelt jede Geschäftsleitung nicht ordentlich und gewissenhaft und damit nicht regelkonform im Sinne ihrer Legalitätspflicht. Die Sorgfaltspflicht zum ordentlichen und gewissenhaften Geschäftsverhalten impliziert eine ordnungsgemä- ße Organisation und Delegation von Aufgaben sowie geeignete Maßnahmen zur Überwachung und Kontrolle des Unternehmens, um dadurch seine Regeltreue sicherstellen zu können.1142 Um die Einhaltung der Gesetze zu garantieren und Präventivmaßnahmen zur Vermeidung von Verstößen zu etablieren, kann aus den allgemeinen Sorg- 1. a) 1138 Fleischer in Spindler/Stilz, AktienG, § 93 Rn. 14. 1139 Knierim in Wabnitz/Janovsky Kapitel 5, Rn. 31. 1140 Gebauer/Niermann in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36, Rn. 12; Spindler in MüKo zum Aktiengesetz, § 93 Rn. 1. 1141 Schmidt in Heidel, Aktienrecht und Kapitalmarktrecht, § 93 Rn. 7. 1142 Rieder/Falge in Inderst/Bannenberg/Poppe, Compliance, Kapitel 2, Rn. 5. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 242 faltspflichten einer jeden Geschäftsleitung die explizite Pflicht zur Einrichtung einer Funktion hergeleitet werden, die letztlich dafür sorgt, dass sich das Unternehmen gesetzestreu – compliant – verhält.1143 Schließlich sind die Förderung der Regelkonformität, die Einhaltung aller anwendbaren Gesetze und internen Regelungen sowie die aktive Prävention von Schadensersatz-, Bußgeld- und Reputationsrisiken solche offensichtlichen Pflichten, die jede Geschäftsleitung zu tragen hat.1144 Die Tatsache, dass sie sich hierzu einer gesonderten Funktion bedienen muss, liegt auf der Hand, denn das gesetzliche und regulatorische Umfeld ist zu groß, um ohne Unterstützung gemeistert zu werden. Damit kann die Legalitätspflicht der Geschäftsleitung richtigerweise als ein gesetzlich verankertes Erfordernis zur Einrichtung einer Compliance-Organisation angesehen werden.1145 Die Risikosteuerungspflicht der Geschäftsleitung Neben der Legalitätspflicht vermag des Weiteren die sogenannte Risikosteuerungspflicht der Geschäftsleitung zur Einrichtung einer Compliance-Funktion führen. Die speziell für die Aktiengesellschaft bestehende Pflicht gemäß § 91 Abs. 2 AktG zur Einrichtung eines angemessenen Risikomanagements könnte gleichzeitig die Implementierung einer Compliance-Organisation indizieren.1146 So muss gemäß § 91 Abs. 2 AktG der Vorstand geeignete Maßnahmen treffen, um mögliche, den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig zu erkennen. Insbesondere muss zur Risikofrüherkennung ein Überwachungssystem eingerichtet werden, um Regelverstöße schon vorzeitig zu entdecken.1147 Im Rahmen dieser Risikosteuerungspflicht hat der Vorstand nicht nur die Einhaltung der Gesetze zu gewährleisten, sondern auch die aktive Verhinderung möglicher Gesetzesverstöße zu garantieren. Dem Erfordernis der Früherkennung und der Überwachung von bestandsgefährdenden Entwicklungen kann dab) 1143 Fleischer in Spindler/Stilz, AktienG, § 91, Rn. 50. 1144 Gebauer/Niermann in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36, Rn. 12. 1145 Rieder/Falge in Inderst/Bannenberg/Poppe, Compliance, Kapitel 2, Rn. 7. 1146 BT-Drs. 13/9712, S. 15; Weber-Rey/Benzler in Inderst/Bannenberg/Poppe, Compliance, Kapitel 8, Rn. 140. 1147 Fleischer in Spindler/Stilz, AktienG, § 93, Rn. 112. B. Rechtliche Grundlagen der Compliance 243 durch nachgekommen werden, dass das Institut ein Risikomanagementsystem im Rahmen der Früherkennung einführt, welches Risikoquellen und Schadensherde im Unternehmen identifiziert und präventiv vor Eintritt des schädigenden Ereignisses dagegen einschreitet.1148 Damit ist auch die Prävention strafrechtlicher Risiken ein Bestandteil der Leistungspflicht und gehört folglich zu den Kernbereichen jeder Führungsebene.1149 Dementsprechend muss von der Leitung eines jeden Unternehmens stets analysiert werden, welche kriminalitätsbezogenen, risikominimierenden Maßnahmen rechtlich geboten sowie für das Institut angemessen und zielführend sind.1150 Zwar wird in § 91 Abs. 2 AktG der Begriff der „Compliance“ nicht explizit erwähnt, doch passt der erläuterte Kontrollauftrag an die Geschäftsleitung ausgezeichnet zur Definition von Compliance.1151 Als praktisches Beispiel sei an dieser Stelle das sogenannte „Neubürger-Urteil“ erwähnt. Ausdrücklich betont das Landgericht München I in seiner Entscheidung vom 10. Dezember 2013 („Neubürger- Urteil),1152 dass ein Vorstandsmitglied seiner Organisationspflicht bei entsprechender Gefährdungslage nur dann nachgekommen ist, wenn das Unternehmen eine auf Schadensprävention und Überwachung angelegte Compliance-Organisation eingerichtet hat.1153 Die wesentlichen Punkte der Risikobekämpfung und der Kontrollfunktion, welche die Basis einer ordnungsgemäßen Risikosteuerungspflicht der Geschäftsleitung darstellen, haben im Fall Neuburger offensichtlich versagt. In diesem Kontext wird darauf hingewiesen, dass der Gesetzgeber für die Gesellschaft mit beschränkter Haftung zwar keine entsprechende Regelung gesetzlich normiert hat. So sollen für diese und andere Gesellschaftsformen jedoch richtigerweise ähnliche Regelungen gelten, die sich an der Größe, der Komplexität sowie der Struktur der Gesellschaft ausrichten müssen.1154 1148 Spindler in MüKo zum Aktiengesetz, § 91 Rn. 21. 1149 Bottmann in Park, Kapitalmarktstrafrecht, Teil 2, Kapitel 2, Rn. 7. 1150 Bottmann in Park, Kapitalmarktstrafrecht, Teil 2, Kapitel 2, Rn. 7. 1151 Michalke in StV 2011, 245 (248). 1152 ZIP 2014, 570 (LG München I, Urteil v. 10.12.2013 – 5 HKO 1387/10). 1153 Bürkle in CCZ 2015, 52. 1154 BT-Drucks. 13/9712, S. 15; Bottmann in Park, Kapitalmarktstrafrecht, Teil 2, Kapitel 2, Rn. 8; Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 244 Der Deutsche Corporate Governance Kodex (DCGK) Eine weitere Rechtsgrundlage zur Einrichtung einer Compliance- Funktion könnte mittelbar die sogenannte „Entsprechenserklärung“ gemäß § 161 Abs. 1 Satz 1 AktG darstellen, nach der der Vorstand und der Aufsichtsrat einer jeden börsennotierten Gesellschaft jährlich zu erklären haben, dass das Handeln der Gesellschaft den Inhalten des Deutschen Corporate Governance Kodex1155 (im Folgenden der Kodex) entsprochen hat oder welche seiner Anforderungen nicht zur Anwendung gekommen sind. Die Erklärung ist gemäß § 161 Abs. 2 AktG auf der Internetseite des Unternehmens dauerhaft öffentlich zu machen. Der Deutsche Corporate Governance Kodex ist ein von der Regierungskommission „Corporate Governance – Unternehmensführung – Unternehmenskontrolle – Modernisierung des Aktienrechts“ etabliertes Regelwerk,1156 welches wesentliche Empfehlungen zur Leitung und Überwachung deutscher börsennotierter Gesellschaften darlegt sowie internationale und nationale Standards einer guten und verantwortungsvollen Führung von Unternehmen aufzeigt.1157 Sein Ziel ist es, die Transparenz und Nachvollziehbarkeit der deutschen Unternehmensführung zu erhöhen, um das Vertrauen der Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Unternehmensleitung sowie die Überwachung deutscher börsennotierter Gesellschaften zu steigern.1158 Auch wenn die Bestimmungen des Kodex keinen formellen Rechtscharakter haben, werden sie im allgemeinen Sprachgebrauch als sogenanntes „Soft Law“ bezeichnet.1159 Danach hat der Vorstand gemäß dem Punkt 4.1.3 des Kodex für die Einhaltung der gesetzlichen Bestimmungen ebenso wie für die Befolgung der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch alle Konzernunternehmen hinzuwirken. Diese Anforderung wird durch den Kodex selbst explizit mit dem Begriff der 2. 1155 DCGK in der Fassung vom 07.02.2017, http://www.dcgk.de//files/dcgk/user content/de/download/kodex/170424_Kodex.pdf (aufgerufen am 22.04.2019). 1156 BT-Drs. 14/8769, S. 10. 1157 DCGK, Präambel. 1158 BT-Drs. 14/8769, S. 21. 1159 Wittmann/Kirschbaum in Heidel, Aktienrecht und Kapitalmarktrecht, § 161 Rn. 3. B. Rechtliche Grundlagen der Compliance 245 Compliance bezeichnet. Im Zuge der letzten Überarbeitung des Kodex in der Fassung vom 7. Februar 2017 fügte die Regierungskommission in diesem Kontext hinzu, dass die Geschäftsleitung für angemessene, an der Risikosituation des Unternehmens ausgerichtete Maßnahmen verantwortlich ist, und nennt diese Anforderung in Punkt 4.1.3 ausdrücklich ein sogenanntes Compliance-Management-System. In diesem Zusammenhang fordert der Kodex ebenfalls gemäß Punkt 4.1.3 die Einrichtung eines Hinweisgebersystems, wodurch es den Beschäftigten, aber auch Dritten möglich sein soll, Hinweise auf Rechtsverstö- ße im Unternehmen geschützt und ohne die Befürchtung, dadurch eine Benachteiligung zu erfahren, abgeben zu können. Die Formulierungen des Deutschen Corporate Governance Kodex zeigen, dass zumindest in börsennotierten Gesellschaften die Einrichtung einer Compliance-Organisation erforderlich ist, um der gesetzlichen Entsprechenserklärung des § 161 Abs. 1 Satz 1 AktG nachkommen zu können. Die Bestimmung, dass sich die Geschäftsführung bei Nichteinhaltung der Empfehlungen nach dem Kodex diesbezüglich auch erklären muss (sogenannte „comply or explain-Regelung“1160), forciert einen entsprechenden positiven Druck ebenso wie der Aspekt, dass die jährliche Entsprechenserklärung sowohl im Bundesanzeiger als auch im Handelsregister bekannt gemacht wird.1161 Die Tatsache, dass der Vorstand und der Aufsichtsrat eine Compliance-Erklärung jährlich abgeben müssen, zwingt sie zur regelmäßigen Auseinandersetzung mit dem wesentlichen Thema einer regelkonformen Unternehmensführung.1162 Auch wenn diese Verpflichtung bislang nur börsennotierte Unternehmen trifft, ist allgemein anerkannt, dass sich auch alle anderen Gesellschaften, unabhängig von der Rechtsform, auf die Inhalte des Deutschen Corporate Governance Kodex freiwillig verpflichten dürfen und damit ihrer Regeltreue mehr Publizität geben können.1163 1160 Bayer/Scholz in Spindler/Stilz, AktienG, § 161, Rn. 2. 1161 BT-Drs. 14/8769, S. 22; Wittmann/Kirschbaum in Heidel, Aktienrecht und Kapitalmarktrecht, § 161 Rn. 39. 1162 BT-Drs. 14/8769, S. 21. 1163 Weber-Rey/Benzler in Inderst/Bannenberg/Poppe, Compliance, 8. Kapitel, Rn. 99. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 246 Spezialgesetzliche Rechtsgrundlagen der Compliance Neben den dargelegten Rechtsgrundlagen der Compliance, welche sich zunächst aus solchen Normen herleiten lassen, die für sämtliche Unternehmensbranchen anwendbar sind, existieren für die Institute der Finanzbranche ferner spezialgesetzliche Rechtsgrundlagen für die Einrichtung einer Compliance-Funktion. Hierunter fallen Normen aus dem Kreditwesengesetz, dem Wertpapierhandelsgesetz und der mit Letzterem verbundenen Verordnung zur Ergänzung der Richtlinie 2014/65/EU über Märkte für Finanzinstrumente. Sie beschreiben die Compliance-Organisation und ihre dezidierten Anforderungen für die Institute der Finanzbranche deutlich ausführlicher. Hinzu kommen konkretisierende Verwaltungsanweisungen der Bundesanstalt für Finanzdienstleistungsaufsicht, welche den Instituten bei der Auslegung der gesetzlichen Normen helfen sollen und Umsetzungsmöglichkeiten präzisieren. Diese spezialgesetzlichen Vorgaben normieren eine explizite Pflicht zur Einrichtung einer Compliance-Organisation in den verschiedenen Instituten und stellen detaillierte Vorgaben für ihre Ausgestaltung und ihre Aufgaben auf. Im Folgenden werden die wesentlichen spezialgesetzlichen Rechtsnormen einer Compliance-Funktion in den Instituten der Finanzbranche erläutert. Die Compliance-Funktion im Sinne des Wertpapierhandelsgesetzes Die Einrichtung einer WpHG-Compliance-Funktion Als gesetzlich verankerter Ursprung der Compliance-Funktion, zumindest für Wertpapierhandelsinstitute, wird die wertpapierhandelsrechtliche Norm des § 33 Abs. 1 Satz 2 Nr. 1 WpHG a.F.1164 gesehen, da der Gesetzgeber im Kontext der dort normierten institutseigenen Organisationspflichten den Begriff der Compliance mit Artikel 1 Nr. 20 des Gesetzes zur Umsetzung der Richtlinie über Märkte für Finanzinstrumente und der Durchführungsrichtlinie der Kommission (Finanz- III. 1. a) 1164 Wertpapierhandelsgesetz in der Fassung der Bekanntmachung vom 19.07.2007 (BGBl. 2007 I 1330). B. Rechtliche Grundlagen der Compliance 247 marktrichtlinie-Umsetzungsgesetz)1165 erstmalig ausdrücklich in den Gesetzestext einführte.1166 Danach hatten die Institute im Sinne dieser Norm, seit ihrem Inkrafttreten am 1. November 2007, sicherzustellen, dass sie selbst und ihre Mitarbeiter den Verpflichtungen des Wertpapierhandelsgesetzes nachkommen, wobei sie hierzu insbesondere eine dauerhafte und wirksame Compliance-Funktion einzurichten hatten, die ihre Aufgaben unabhängig wahrnehmen sollte.1167 Ihre Anforderungen wurden gemäß § 33 Abs. 4 Satz 1 WpHG a.F. zunächst in § 12 der Wertpapierdienstleistungs-, Verhaltens- und Organisationsverordnung (WpDVerOV)1168 konkretisiert. Zu beachten ist dennoch, dass aufgrund des Anwendungsbereichs des Wertpapierhandelsgesetzes zunächst nur solche Institute dieser gesetzlichen Pflicht nachkommen mussten, die Wertpapierdienstleistungen im Sinne von § 2 Abs. 8 Satz 1 WpHG anbieten, wie beispielsweise das Finanzkommissionsgeschäft, die Anlagevermittlung oder die Finanzportfoliovermittlung. Die Einführung dieser bis dato für das deutsche Recht neuen Funktion war insbesondere durch europäische Vorgaben geprägt.1169 So diente die Verpflichtung zur Einrichtung einer Compliance-Funktion der Umsetzung von Artikel 13 Abs. 2 der Richtlinie über Märkte für Finanzinstrumente1170 (kurz MiFID I) in Verbindung mit Artikel 6 Abs. 1 und Abs. 2 der entsprechenden Durchführungsrichtlinie1171. Die umfassenden europäischen Regelungen der beiden Richtlinien zielten insbesondere auf die von den Instituten einzurichtenden neuen organisatorischen Anforderungen ab.1172 Nach diesen Vorgaben hatten Wertpapierfirmen angemessene Grundsätze und Verfahren festzulegen und auf Dauer einzuhalten, die darauf ausgelegt sein sollten, jedes Risiko einer potentiellen Missachtung der in der Richtlinie über Märkte 1165 BGBl. 2007 I S. 1330 (1344). 1166 Poppe in Inderst/Bannenberg/Poppe, Compliance, Kapitel 1, Rn. 43. 1167 BGBl. 2007 I 1330 (1344). 1168 BGBl. 2007 I 1432 (1439). 1169 Meyer/Paetzel/Will in Hirte/Möllers, Kölner Kommentar zum WpHG, § 33 Rn. 99. 1170 ABl. EU 2004 L 145/1 (14). 1171 ABl. EU 2006 L 251/26 (36). 1172 BT-Drs. 16/4028, S. 70. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 248 für Finanzinstrumente1173 festgelegten Pflichten durch die betreffende Wertpapierfirma aufzudecken.1174 Nach dem wesentlichen Grundprinzip, dass ein Wertpapierdienstleistungsinstitut dafür Sorge zu tragen hat, dass im Kontext ihrer Geschäftstätigkeiten sämtliche Pflichten und Vorschriften nach dem Wertpapierhandelsgesetz eingehalten werden, hat das Unternehmen als organisatorische, adäquate Maßnahme eine dauerhafte, wirksame und unabhängige Compliance-Funktion als eine Art des Kontrollverfahrens einzurichten.1175 Zur Gewährleistung der Regelkonformität hinsichtlich jeglichen wertpapieraufsichtsrechtlichen Handelns verpflichtete die Regelung des § 33 Abs. 1 Satz 2 Nr. 1 WpHG a.F. damit erstmalig jedes Wertpapierdienstleistungsunternehmen zur Implementierung einer Compliance-Funktion und die damit verbundene Benennung eines verantwortlichen Compliance-Beauftragten.1176 Mit der Umsetzung der Europäischen Richtlinie 2014/65/EU vom 15. Mai 2014 über Märkte für Finanzinstrumente1177 (MiFID II) durch das Zweite Finanzmarktnovellierungsgesetz1178 strukturierte der deutsche Gesetzgeber das Wertpapierhandelsgesetz grundlegend neu. Die Pflicht zur Einrichtung einer Compliance-Funktion findet sich nun nicht mehr im Wertpapierhandelsgesetz selbst, sondern wird seit Inkrafttreten der Delegierten Verordnung (EU) 2017/565 am 3. Januar 2018 vom europäischen Gesetzgeber geregelt.1179 Gemäß Artikel 22 Abs. 2 der Delegierten Verordnung muss die Compliance-Funktion als unabhängige Stelle permanent im Wertpapierdienstleistungsunternehmen errichtet sein.1180 Ihre Zielsetzung ist es dabei insbesondere, die im Institut etablierten Strategien und Verfahren zur Einhaltung der 1173 ABl. EU 2004 L 145/1. 1174 ABl. EU 2006 L 251/26 (36). 1175 BT-Drs. 16/4028, S. 70. 1176 Auerbach, Banken- und Wertpapieraufsicht, S. 297, Rn. 161. 1177 ABl. EU 2014 L 173/349. 1178 BGBl. 2017 I 1693 ff. 1179 ABl. EU 2017 L 87/1 (Delegierte Verordnung (EU) 2017/565 der Kommission vom 25. April 2016 zur Ergänzung der Richtlinie 2014/65/EU des Europäischen Parlaments und des Rates in Bezug auf die organisatorischen Anforderungen an Wertpapierfirmen und die Bedingungen für die Ausübung ihrer Tätigkeit sowie in Bezug auf die Definition bestimmter Begriffe für die Zwecke der genannten Richtlinie). 1180 ABl. EU 2017 L 87/1 (28,29). B. Rechtliche Grundlagen der Compliance 249 Anforderungen der Richtlinie 2014/65/EU sowie zur Abstellung von erkannten Defiziten zu überwachen und die getroffenen Maßnahmen regelmäßig hinsichtlich ihrer Angemessenheit und Wirksamkeit zu überprüfen.1181 Eine weitere Aufgabe ist in diesem Kontext die Beratung und Unterstützung der im Institut für Wertpapierdienstleistungen und Anlagetätigkeiten zuständigen Mitarbeiter hinsichtlich der relevanten einzuhaltenden Bestimmungen.1182 Hierzu hat die Compliance-Funktion ein risikobasiertes Überwachungsprogramm aufzubauen. Neben einer mindestens jährlichen Berichterstattung an das Leitungsorgan des Instituts hat die Compliance-Funktion ad hoc zu berichten, wenn das Risiko besteht, dass den Anforderungen der Richtlinie 2014/65/EU und dem Wertpapierdienstleistungsgesetz nicht angemessen nachgekommen werden kann.1183 Schließlich ist die Compliance-Funktion eines Wertpapierdienstleistungsinstituts verpflichtet, die Prozessabläufe für die Abwicklung von Beschwerden zu überwachen und in diesem Kontext die einzelnen Beschwerden als eine Quelle relevanter Informationen für die Ausführung der Überwachungshandlungen heranzuziehen.1184 Die Mindestanforderungen an die Compliance-Funktion (MaComp) Um den Wertpapierdienstleistungsinstituten eine praxisnahe Interpretation der gesetzlichen Bestimmungen zur Compliance-Funktion gemäß der Delegierten Verordnung (EU) 2017/5651185 zu liefern und die Ausführungen der Verordnung zu konkretisieren, hat die Bundesanstalt für Finanzdienstleistungsaufsicht sogenannte „Mindestanforderungen an die Compliance-Funktion und weitere Verhaltens-, Organisations- und Transparenzpflichten – MaComp“ veröffentlicht.1186 Die mit dem Rundschreiben 05/2018 (WA) vom 19. April 2018 überarbeiteten, normenkonkretisierenden Verwaltungsanweisungen haben das Ziel, die Verwaltungspraxis der Bundesanstalt hinsichtlich der Verhalb) 1181 Artikel 22 Abs. 2 Satz 1 a) DV, ABl. EU 2017 L 87/1 (29). 1182 Artikel 22 Abs. 2 Satz 1 b) i.V.m. Artikel 22 Abs. 2 Satz 2 und 3 DV, ABl. EU 2017 L 87/1 (29). 1183 Artikel 22 Abs. 2 Satz 1 c) DV, ABl. EU 2017 L 87/1 (29). 1184 Artikel 22 Abs. 2 Satz 1 d) DV, ABl. EU 2017 L 87/1 (29). 1185 ABl. EU 2017 L 87/1. 1186 BaFin RS 05/2018 (WA) vom 19.04.2018, zuletzt geändert am 09.05.2018. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 250 tens-, Organisations- und Transparenzpflichten für die Wertpapierunternehmen darzustellen. Die grundlegende Überarbeitung der Ma- Comp, welche erstmalig mit dem BaFin-Rundschreiben 4/2010 am 7. Juni 2010 veröffentlicht worden sind, war aufgrund der Änderungen im Zuge der Finanzmarktrichtlinie MiFID II erforderlich.1187 Wie die Bundesanstalt in ihrer Vorbemerkung ausführt, enthalten die Anweisungen sowohl obligatorische Vorgaben als auch nicht zwingende Empfehlungen.1188 Hinsichtlich der Vorgaben zur Compliance-Funktion wurden allerdings nur kleine Modifikationen und Ergänzungen vorgenommen, die sich auf die hinzugekommenen Aufgaben der Compliance-Funktion in Wertpapierdienstleistungsunternehmen gemäß Artikel 22 der Delegierten Verordnung (EU) 2017/5651189 beziehen.1190 Grundsätzlich können die primären Aufgaben der WpHG-Compliance-Funktion gemäß BT 1 MaComp in überwachende, beratende und berichtende Tätigkeiten aufgeteilt werden.1191 Im Rahmen ihrer Überwachungsfunktion kontrolliert und bewertet die Compliance-Funktion nach BT 1.2.1 Tz. 1 und BT 1.2.1 Tz. 2 MaComp die in dem Wertpapierdienstleistungsinstitut etablierten Prinzipien, eingerichtete Verfahren und Maßnahmen und wirkt darauf hin, dass diese, sowohl vom Unternehmen selbst als auch von den Mitarbeitern der einzelnen Geschäftsbereiche, befolgt werden. Den Umfang und den Schwerpunkt ihrer Überwachungshandlungen zieht die Compliance-Funktion gemäß BT 1.2.1.1 Tz. 2 MaComp in diesem Zusammenhang aus ihrer in regelmäßigen Abständen durchgeführten Risikoanalyse, in der das Risikoprofil des Wertpapierdienstleistungsunternehmens auf der Grundlage der Art, des Umfangs und der Komplexität der von ihm angebotenen Wertpapierdienstleistungen und Wertpapiernebendienstleistungen sowie der Art der gehandelten und vertriebenen Finanzinstrumente ermittelt wird.1192 1187 BaFin, Anschreiben zum RS 05/2018 (WA) vom 19.04.2018. 1188 BaFin RS 05/2018 (WA) vom 19.04.2018, zuletzt geändert am 09.05.2018, AT 1 Punkt 6. 1189 ABl. EU 2017 L 87/1 (29). 1190 BaFin, Anschreiben zum RS 05/2018 vom 19.04.2018, zuletzt geändert am 09.05.2018. 1191 Auerbach, Banken- und Wertpapieraufsicht, S. 298, Rn. 165. 1192 Auerbach, Banken- und Wertpapieraufsicht, S. 298, Rn. 166. B. Rechtliche Grundlagen der Compliance 251 In Ausübung ihrer Überwachungsfunktion muss die Compliance- Funktion ferner eine laufende Kontrolle über die Einhaltung der wertpapierdienstleistungsrechtlichen Anforderungen ausüben. Es ist gemäß Artikel 22 Abs. 2 a) der Delegierten Verordnung (EU) 2017/5651193 die Aufgabe der Compliance-Funktion die Angemessenheit und Wirksamkeit der Grundsätze und Vorkehrungen zur Prävention von Verletzungen der Vorschriften aus dem Wertpapierhandelsgesetz sowie die zur Beseitigung von Mängeln getroffenen Maßnahmen in regelmäßigen Abständen zu überwachen. Eine Konkretisierung findet sich diesbezüglich in BT 1.2.1.2 MaComp1194, welche die Compliance-Funktion veranlassen soll, insbesondere Vor-Ort-Prüfungen, Auswertungen von Problemberichten oder Hinweisen aus dem Beschwerdemanagement zu überprüfen, um die Adäquanz und Effektivität der eingerichteten Organisations- und Arbeitsanweisungen des Wertpapierunternehmens zu kontrollieren.1195 Im Rahmen ihrer Beratungsfunktion hat die Compliance-Funktion gemäß BT 1.2.3 MaComp die Aufgabe, die Mitarbeiter hinsichtlich der Vorschriften aus dem Wertpapierhandelsgesetz sowie der entsprechenden Organisations- und Arbeitsanweisungen zu betreuen und bei der Erstellung neuer Maßnahmen beratend zu unterstützen. Insbesondere soll sie die Mitarbeiter durch eine frühzeitige Kommunikation, beispielsweise mittels Schulungen, auf regulatorische Änderungen mit Wertpapierhandelsbezug sensibilisieren.1196 Schließlich trägt die Compliance-Funktion eine Berichtspflicht gemäß Artikel 22 Abs. 2 c) der Delegierten Verordnung (EU) 2017/5651197 i.V.m. BT 1.2.2 MaComp, in deren Rahmen sie mindestens einmal jährlich die Geschäftsleitung und das Aufsichtsorgan über die Angemessenheit und Effektivität der Maßnahmen zur Prävention von Verstößen gegen die wertpapierdienstleistungsrechtlichen Vorschriften informieren muss. Neben der regelmäßigen Berichterstattung hat die Compliance-Funktion konsequenterweise auch ad hoc aufkommende WpHG-relevante Risiken der Geschäftsleitung sowie dem 1193 ABl. EU 2017 L 87/1 (29). 1194 BaFin RS 05/2018 (WA) vom 19.04.2018, zuletzt geändert am 09.05.2018. 1195 Auerbach, Banken- und Wertpapieraufsicht, S. 298, Rn. 167. 1196 Auerbach, Banken- und Wertpapieraufsicht, S. 298, Rn. 168. 1197 ABl. EU 2017 L 87/1 (29). Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 252 Aufsichtsorgan unverzüglich zu berichten. Letzteren soll durch die Berichterstattung ein reales Bild darüber gegeben werden, ob die wertpapierhandelsrechtlichen Risiken im Institut angemessen kontrolliert und wirksam behandelt werden.1198 Im Zuge der Umsetzung der Europäischen Richtlinie 2014/65/EU vom 15. Mai 2014 über Märkte für Finanzinstrumente1199 durch das Zweite Finanzmarktnovellierungsgesetz1200 hat sich das Aufgabenspektrum der Compliance-Funktion in Wertpapierdienstleistungsunternehmen gemäß § 80 Abs. 13 WpHG erweitert. So hat sie unter Bezugnahme auf Artikel 22 Abs. 2 der Delegierten Verordnung (EU) 2017/5651201 auch die Entwicklung und regelmäßige Überprüfung der Produktfreigabevorkehrungen zu überwachen und potentielle Risiken in diesem Zusammenhang frühzeitig zu erkennen. Die Compliance-Funktion im Sinne des Kreditwesengesetzes Neben der Compliance-Funktion für den eingeschränkten Kreis der Wertpapierdienstleistungsunternehmen haben seit dem 1. Januar 2014 auch alle weiteren Institute der Finanzbranche eine Compliance-Funktion nach dem Kreditwesengesetz einzurichten. Die Existenz einer Compliance-Organisation wird damit für jedes Institut im Sinne des § 1 Abs. 1b KWG zum gesetzlichen Erfordernis. Die seither im Kreditwesengesetz verankerte Rechtsgrundlage stellt die wichtigste spezialgesetzliche Vorgabe zur Einrichtung einer Compliance-Funktion dar. Aufgrund ihres deutlich generellen Charakters im Vergleich zu der sehr spezifischen WpHG-Compliance-Funktion hat die Compliance-Funktion nach dem Kreditwesengesetz (auch als MaRisk-Compliance-Funktion bezeichnet) ein sehr umfassendes Aufgabenspektrum im jeweiligen Institut.1202 Obwohl die beiden Compliance-Funktionen im Detail unterschiedliche Zielrichtungen verfolgen, schließen sie sich gegenseitig 2. 1198 Auerbach, Banken- und Wertpapieraufsicht, S. 298, Rn. 169. 1199 ABl. EU 2014 L 173/349. 1200 BGBl. 2017 I 1693 ff. 1201 ABl. EU 2017 L 87/1 (29). 1202 Langen in Schwennicke/Auerach, KWG, § 25a Rn. 84. B. Rechtliche Grundlagen der Compliance 253 nicht aus, insbesondere wird die WpHG-Compliance-Funktion nicht verdrängt.1203 Im Folgenden werden die Hintergründe der Compliance-Funktion nach dem Kreditwesengesetz dargestellt und ihre Ausgestaltung unter Berücksichtigung der normenkonkretisierenden durch die Bundesanstalt veröffentlichten „Mindestanforderungen an das Risikomanagement“ umfassend behandelt. Die gesetzliche Verankerung im Kreditwesengesetz Im Zuge der Umsetzung der Europäischen Richtlinie 2013/36/EU1204 (sogenannte Kapitaladäquanzrichtlinie) sowie der Anpassung des nationalen Aufsichtsrechts an die Europäische Verordnung (EU) Nr. 575/20131205 (sogenannte Kapitaladäquanzverordnung) ist seit Inkrafttreten des Artikels 1 Nr. 48 des sogenannten „CRD IV-Umsetzungsgesetzes“1206 am 1. Januar 2014 die Compliance-Funktion in § 25a Abs. 1 Satz 3 Nr. 3c Alt. 2 KWG gesetzlich verankert.1207 Demnach muss jedes Institut im Sinne des § 1 Abs. 1b KWG, d.h. jedes Kredit- oder Finanzdienstleistungsinstitut,1208 welches Bankgeschäfte gemäß § 1 Ab. 1 KWG betreibt oder Finanzdienstleistungen im Sinne von § 1 Abs. 1a KWG erbringt, eine Compliance-Funktion als Teil seines internen Kontrollverfahrens einrichten.1209 Die Hintergründe der gesetzlichen Grundlage im Kreditwesengesetz bedürfen einer weiteren Erläuterung. Zunächst wird festgestellt, dass die Verabschiedung der Kapitaladäquanzrichtlinie sowie der Kapitaladäquanzverordnung durch den europäischen Gesetzgeber auf die im Dezember 2010 veröffentlichten sogenannten „Basel-III-Papiere“ des Baseler Ausschusses für Bankenaufsicht zurückzuführen sind.1210 Die Inhalte der Kapitaladäquanzverordnung und der Kapitaladäquanzrichtlinie dienen damit der Realisiea) 1203 Braun in Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 433. 1204 ABl. EU 2013 L 176/338. 1205 ABl. EU 2013 L 176/1. 1206 BGBl. 2013 I 3395. 1207 Langen in Schwennicke/Auerbach, KWG, § 25a Rn. 1c. 1208 Schwennicke in Schwennicke/Auerbach, KWG, § 1 Rn. 161. 1209 Langen in Schwennicke/Auerbach, KWG, § 25a Rn. 66. 1210 BT-Drs. 17/10974, S. 1. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 254 rung der Empfehlungen von Basel III in europäisches Recht.1211 Die mit dem Titel „Basel III“ benannten Papiere „A global regulatory framework for more resilient banks and banking systems“1212, „Guidance for national authorities operating the countercyclical capital buffer“1213 und „International framework for liquidity risk measurement standards and monitoring“1214 sind vom Baseler Ausschuss herausgegebene Empfehlungen, welche verschiedene Regeln hinsichtlich neuer Eigenkapitalund Liquiditätsstandards für international tätige Banken definieren.1215 Sie haben zum Ziel, eine nachhaltige Stärkung der Widerstandskraft des Bankensystems zu erreichen und werden ferner als eine Reaktion auf die Finanzmarktkrise im Herbst 2008 interpretiert.1216 Neben der Erhöhung der Belastbarkeit der Banken in Krisenfällen, der Verbesserung des Risikomanagements der Banken sowie der Steigerung der Transparenz und der Verbesserung der Offenlegungspflichten der Banken wird die Einrichtung einer Compliance-Funktion in den europäischen Vorgaben zwar nicht explizit im Wortlaut gefordert, doch drängt sich die Implementierung einer Organisation zur Einhaltung der neuen Anforderungen auch im Sinne der Empfehlungen von Basel III geradezu auf. Des Weiteren lässt sich die gesetzliche Normierung der Compliance- Funktion im Kreditwesengesetz, als wesentliches Element eines angemessenen Risikomanagements,1217 gemäß der Gesetzesbegründung des CRD-IV-Umsetzungsgesetzes auf eine Anforderung der sogenannten „EBA Guidelines on Internal Governance (GL 44)“1218 vom 27. September 2011 zurückführen.1219 So verlangt die Anforderung Nr. 28 des Titels II der EBA Guidelines (Anforderungen an die Interne Governance von Instituten) die Einrichtung einer Compliance-Funktion mit einer für diese verantwortlichen Person, um die spezifischen Compliance-Risiken eines Instituts vertretbar zu halten.1220 Grundsätzliche Aspekte wie 1211 Langen in Schwennicke/Auerbach, KWG, § 25a Rn. 1b. 1212 https://www.bis.org/publ/bcbs189.pdf (aufgerufen am 22.04.2019). 1213 https://www.bis.org/publ/bcbs187.pdf (aufgerufen am 22.04.2019). 1214 https://www.bis.org/publ/bcbs188.pdf (aufgerufen am 22.04.2019). 1215 Langen in Schwennicke/Auerbach, KWG, § 25a Rn. 1a. 1216 BT-Drs. 17/10974, S. 1. 1217 Braun in Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 432. 1218 EBA, Leitlinien zur Internen Governance. 1219 BT-Drs. 17/10974, S. 85. 1220 EBA, Leitlinien zur Internen Governance, S. 36, 37. B. Rechtliche Grundlagen der Compliance 255 insbesondere die Beratung des Instituts hinsichtlich gesetzlicher und aufsichtsrechtlicher Vorgaben, die Überwachung der Regeltreue im Institut und die Berichtspflicht an die Geschäftsleitung werden von der EBA als zwingend vorausgesetzt, um den Risiken, die sich aus der Nichteinhaltung der rechtlichen Regelungen und Vorgaben ergeben können, wirksam entgegenzuwirken.1221 Damit ist es seit dem Inkrafttreten des überarbeiteten § 25a KWG nicht mehr nur die Aufgabe von Wertpapierdienstleistungsinstituten eine Compliance-Organisation einzurichten, vielmehr werden nun alle durch das Kreditwesengesetz verpflichteten Institute angewiesen, eine Compliance-Funktion zu implementieren, um nach den bankenaufsichtsrechtlichen Anforderungen ein angemessenes und wirksames Risikomanagement zu garantieren. Aufsichtsrechtliche Vorgaben nach den Mindestanforderungen an das Risikomanagement (MaRisk) Am 14. Dezember 2012 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht mit ihrem Rundschreiben 10/20121222 die überarbeitete Form der Mindestanforderungen an das Risikomanagement (MaRisk), welche mit Wirkung zum 1. Januar 2013 schließlich in Kraft traten.1223 Diese zum damaligen Zeitpunkt vierte Überarbeitung der MaRisk bezeichnete erstmalig die Einrichtung einer sogenannten „Ma- Risk-Compliance-Funktion“ als eine besondere Funktion im Institut und als eine wesentliche Komponente zur Förderung der institutseigenen Compliance-Kultur.1224 Der Zeitraum zwischen der Veröffentlichung des Rundschreibens und dem Inkrafttreten der neuen Regelungen schien anlässlich der nicht unerheblichen Änderungen knapp bemessen. Um den Instituten genügend Zeit zur Umsetzung einzuräumen, waren die neuen Anforderungen, wie insbesondere die Einführung der neuen MaRisk-Compliance-Funktion, jedoch erst bis zum 31. Dezember 2013 umzusetzen.1225 b) 1221 BT-Drs. 17/10974, S. 85. 1222 BaFin RS 10/2012 (BA) vom 14.12.2012. 1223 BaFin RS 10/2012 (BA) vom 14.12.2012. 1224 BaFin, Protokoll zur Sitzung des FG MaRisk am 24.04.2013, Punkt 2. 1225 BaFin RS 10/2012 (BA) vom 14.12.2012. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 256 Bei den durch das Rundschreiben 10/2012 veröffentlichten Mindestanforderungen an das Risikomanagement handelt es sich hinsichtlich ihrer Rechtsnatur um sogenannte norminterpretierende Verwaltungsvorschriften der Bundesanstalt für Finanzdienstleistungsaufsicht, die unter anderem der Konkretisierung und näheren Erläuterung von § 25a Abs. 1 KWG dienen.1226 Sie sollen gemäß AT 1 Tz. 1 MaRisk einen flexiblen und praxisnahen Rahmen für die Ausgestaltung des Risikomanagements in Instituten vorgeben. Durch die verbindliche Auslegung von unbestimmten Rechtsbegriffen des § 25a KWG geben sie den Instituten eine Orientierungshilfe, was die Aufsichtsbehörde ihrer Rechtsauffassung nach beispielsweise unter einem angemessenen Risikomanagement oder einem internen Kontrollverfahren versteht.1227 Die Mindestanforderungen an das Risikomanagement wurden erstmalig von der Bundesanstalt für Finanzdienstleistungsaufsicht in der Fassung vom 20. Dezember 20051228 veröffentlicht und waren hauptsächlich durch verschiedene Initiativen des Baseler Ausschusses für Bankenaufsicht sowie des europäischen Gesetzgebers geprägt, um die Schwächen der bis dato geltenden Eigenkapitalregelungen zu beseitigen.1229 Die vierte Novellierung der Mindestanforderungen an das Risikomanagement ist ebenso wie das CRD-IV-Umsetzungsgesetz1230 zur Änderung des Kreditwesengesetzes eine Reaktion auf die Vorgaben des Regelwerks „Basel III“ des Baseler Ausschusses für Bankenaufsicht.1231 Neben Überarbeitungen zum Kapitalplanungsprozess, der Risikocontrolling-Funktion sowie dem Verrechnungssystem für Liquiditätskosten, ihren Nutzen und Risiken, sind insbesondere die Erläuterungen zur Compliance-Funktion ein zentrales Element der vierten MaRisk-Novelle.1232 Im Zuge der Neufassung des § 25a KWG, in dem wie dargestellt die Compliance-Funktion nun in Absatz 1 Satz 3 Nr. 3c Alt. 2 ausdrücklich 1226 Langen in Schwennicke/Auerbach, KWG, § 25a Rn. 6; Hannemann/Steinbrecher/ Weigl, MaRisk, S. 45, Rn. 127. 1227 Langen in Schwennicke/Auerbach, KWG, § 25a Rn. 6; Hannemann/Steinbrecher/ Weigl, MaRisk, Kommentar, S. 45, Rn. 127. 1228 BaFin RS 18/2005 (BA) vom 20.12.2005. 1229 Hannemann/Steinbrecher/Weigl, MaRisk, S. 9, Rn. 17. 1230 BGBl. 2013 I 3395. 1231 Übermittlungsschreiben zum BaFin RS 10/2012 (BA) vom 14.12.2012, S. 1. 1232 Übermittlungsschreiben zum BaFin RS 10/2012 (BA) vom 14.12.2012, S. 1; Braun in Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 79. B. Rechtliche Grundlagen der Compliance 257 genannt wird, folgten konsequenterweise entsprechende Konkretisierungen in den MaRisk. Ferner beeinflussten auch die EBA Guidelines on Internal Governance (GL 44) vom 27. September 2011 die Ausführungen zum Themenkomplex der Compliance im Rahmen der Vierten MaRisk-Novelle wesentlich,1233 welche wie zuvor erläutert die Einrichtung einer Compliance-Funktion zur Steuerung der Compliance-Risiken eines Instituts verlangen.1234 Durch die fünfte Novelle der MaRisk, die von der Bundesanstalt am 27. Oktober 2017 mit dem Rundschreiben 09/2017 (BA) veröffentlicht worden ist, sind die Regelungen zur Compliance-Funktion nur geringfügig überarbeitet worden.1235 Die wesentlichen Punkte deckten schon die Konkretisierungen im BaFin-Rundschreiben 10/2012 ab. Zur detaillierteren Ausführung und Konkretisierung erläutert seit dem 27. Oktober 2017 weiterhin AT 4.4.2 MaRisk die wesentlichen Inhalte der Compliance-Funktion für die Institute der Finanzbranche.1236 Die Darstellungen in AT 4.4.2 MaRisk sollen den Instituten eine Klarstellung bei der Etablierung und Unterhaltung einer derartigen Funktion geben. Die Einhaltung der MaRisk und damit das Vorliegen einer effektiven Compliance-Funktion werden vom Abschlussprüfer im Rahmen der Jahresabschlussprüfung eines Instituts gemäß § 11 Abs. 2 Nr. 3 PrüfbV geprüft und können auch Gegenstand einer Sonderprüfung nach § 44 Abs. 1 KWG sein.1237 In diesem Kontext anzumerken ist jedoch die Tatsache, dass aufgrund der fehlenden Bindungswirkung der MaRisk sich die konkreten Feststellungen im Rahmen der Abschlussprüfung auf die gesetzliche Grundlage des § 25a KWG beziehen müssen und die MaRisk auch hier zur Interpretation und Auslegung herangezogen werden können. Die inhaltliche Ausgestaltung der MaRisk-Compliance-Funktion Fraglich ist, wie eine wirksame Compliance-Funktion im Sinne des Kreditwesengesetzes und damit implizit durch Auslegung der verwalc) 1233 Hannemann/Steinbrecher/Weigl, MaRisk, S. 19, Rn. 47. 1234 EBA, Leitlinien zur Internen Governance, S. 36. 1235 BaFin RS 09/2917 (BA) vom 27.10.2017. 1236 BaFin RS 09/2017 (BA) vom 27.10.2017. 1237 Boldt/Büll/Voss, Die Compliance-Funktion, S. 24. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 258 tungsrechtlichen Praxis im Sinne der Mindestanforderungen an das Risikomanagement ausgestaltet sein sollte sowie welche Aufgaben ihr zugewiesen sind, um eine Regelkonformität in den Instituten sicherzustellen. Die organisatorische Stellung der MaRisk-Compliance-Funktion Die organisatorische Stellung der MaRisk-Compliance-Funktion in einem Institut ist auf vorzugswürdige Art und Weise anhand des Modells der drei Verteidigungslinien darzustellen.1238 Das Modell zeigt eine unternehmensinterne Rollenaufteilung, mittels derer in einem Institut ein funktionierendes Kontroll- und Überwachungssystem etabliert werden soll, um das Unternehmen gegen drohende Risiken, wie beispielsweise Bußgelder oder Reputationsschäden, zu verteidigen.1239 Das Modell der drei Verteidigungslinien1240 Das dargestellte Modell ist in Anlehnung an die von dem Dachverband europäischer Risikomanagement-Verbände (Federation of European (1) Abbildung 4: 1238 Obermayr in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 44 Rn. 117; Boldt/Büll/Voss in CCZ 2013, 250 (251). 1239 Obermayr in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 44 Rn. 116; Grützner/Jakob in Grützner/Jakob, Compliance, Verteidigungslinien. 1240 In Anlehnung an FERMA, Guidance on the 8th EU Company Law Directive vom 14.12.2011, S. 7. B. Rechtliche Grundlagen der Compliance 259 Risk Management Associations, kurz FERMA) sowie dem europäischen Zusammenschluss von Verbänden der Internen Revision (European Confederation of Institutes of Internal Auditing) herausgegebenen Leitlinien zu Artikel 41 der Europäischen Richtlinie über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen1241 konzipiert.1242 Die Compliance-Funktion ist als Teil der zweiten Verteidigungsebene gemäß des AT 4.4.2 Tz. 3 MaRisk grundsätzlich unmittelbar der Geschäftsleitung unterstellt und hat zu dieser eine direkte Berichtslinie. Der Leiter dieser Funktionseinheit sollte im Sinne des AT 4.4.2 Tz. 5 Satz 1 MaRisk als Compliance-Beauftragter benannt werden, da er schließlich für die ordnungsgemäße Erfüllung der Aufgaben die Verantwortung trägt.1243 Über einen Wechsel des Compliance-Beauftragten ist gemäß AT 4.4.2 Tz. 8 MaRisk das Aufsichtsorgan vorab unter Angabe von Gründen zu informieren, beispielsweise bei Vorliegen einer Aktiengesellschaft ist dem Aufsichtsrat im Sinne der §§ 95, 111 Abs. 1 AktG der Wechsel anzuzeigen. Für kleine Institute sowie in Abhängigkeit von der Art, dem Umfang, der Komplexität und dem Risikogehalt der institutsspezifischen Geschäftsaktivitäten sieht AT 4.4.2 Tz. 4 Satz 2 MaRisk ausnahmsweise die Möglichkeit vor, die Funktion des Compliance-Beauftragten auf einen Geschäftsleiter zu übertragen oder sie gemäß AT 4.4.2 Tz. 3 Satz 2 MaRisk an andere Kontrolleinheiten wie beispielsweise an die Funktion des Risikocontrollings anzubinden.1244 Insbesondere die Anbindung an die Funktion des Geldwäschebeauftragten erscheint bei nicht systemrelevanten Instituten gemäß den Erläuterungen der Bundesanstalt für vorzugswürdig,1245 da schließlich die Einhaltung der geldwäscherechtlichen Regelungen in einem Institut der Finanzbranche ein wesentlicher Bestandteil zur Reduzierung schadhafter Ereignisse wie Bußgelder oder Reputationsschäden ist. Eine Anbindung an die Geschäftsleitung erscheint unter 1241 ABl. EU 2006 L 157/87 (103). 1242 FERMA, Guidance on the 8th EU Company Law Directive vom 14.12.2011, S. 7. 1243 BaFin RS 09/2017 (BA) vom 27.10.2017. 1244 BaFin RS 09/2017 (BA) vom 27.10.2017, Erläuterung zu AT 4.4.2 Tz. 3 MaRisk. 1245 Übermittlungsschreiben zum BaFin RS 10/2012, S. 5; Langen in Schwennicke/ Auerbach, § 25a Rn. 87. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 260 dem Aspekt möglicher Interessenkonflikte als fragwürdig und sollte höchstens in kleinen Finanzdienstleistungsinstituten möglich sein.1246 Im Kontext der fünften Novellierung der MaRisk fügte die Bundesanstalt gemäß AT 4.4.2 Tz. 4 MaRisk die Bedingung hinzu, dass systemrelevante Institute für die Compliance-Funktion eine eigene Organisationseinheit bilden müssen, und verdeutlicht dadurch die Wesentlichkeit dieser Einheit.1247 Schließlich ist bei derartigen Instituten, deren Ausfall oder deren Versagen gemäß Artikel 3 Abs. 1 Nr. 30 der Richtlinie 2013/36/EU1248 zu einem Systemrisiko führen könnte, eine selbstständige Einheit, die jederzeit auf die Regelkonformität des Instituts hinwirken muss, unabdingbar. Das Legal Inventory Die Vorgabe der Bundesanstalt für Finanzdienstleistungsaufsicht zur Einrichtung einer Compliance-Funktion in den Instituten der Finanzbranche ergibt sich in Hinblick auf die Normenkonkretisierung zu § 25a Abs. 1 Satz 3 Nr. 3c Alt. 2 KWG aus AT 4.4.2 Tz. 1 MaRisk. Ihr primäres Ziel ist es den Ausführungen der MaRisk zufolge, denjenigen Risiken entgegenzuwirken, welche sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben für das Institut ergeben können. Diese Zielrichtung stellt offensichtlich einen bedeutenden Unterschied zur WpHG Compliance-Funktion dar, weil mit Letzterer ausschließlich wertpapierdienstleistungsrechtliche Risiken bekämpft werden. Es wird angemerkt, dass auch in diesem Kontext die MaRisk-Compliance- Funktion nicht zu einer Verdrängung der WpHG-Compliance-Funktion führen soll, sondern im Anwendungsfall eines Wertpapierdienstleistungsinstituts beide Organisationen implementiert werden müssen. Denn die MaRisk-Compliance-Funktion ist deutlich umfangreicher, weiterführender in ihrer Anwendung und umfasst zunächst alle rechtlichen Regelungen im Allgemeinen.1249 Doch bei der Pflicht zur Bekämpfung aller Risiken, welche aus der Nichteinhaltung sämtlicher rechtlichen Regelungen und Vorgaben für (2) 1246 Braun in Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 437. 1247 BaFin RS 09/2017 (BA) vom 27.10.2017. 1248 ABl. EU 2013 L 176/338 (352). 1249 Langen in Schwennicke/Auerbach, KWG Kommentar, § 25a Rn. 85. B. Rechtliche Grundlagen der Compliance 261 das Institut drohen können, besteht zunächst eine Schwierigkeit für die Institute. Schließlich drängt sich im Vergleich zur WpHG-Compliance- Funktion nicht sofort auf, welche rechtlichen Regelungen in den Fokus einer MaRisk-Compliance-Funktion rücken sollen, wenn sie ursprünglich für alle Rechtsvorgaben zuständig sein soll. Einer diesbezüglichen Klarstellung in den Anmerkungen zur MaRisk sowie einer Beschränkung des AT 4.4.2 Tz. 1 MaRisk auf „wesentliche aufsichtsrechtliche“ Regelungen und Vorgaben ist die Bundesanstalt auf Vorschlag der Deutschen Kreditwirtschaft im Rahmen des Konsultationsverfahrens der Vierten MaRisk-Novelle nicht nachgekommen.1250 Eine entsprechende Überarbeitung dieser Formulierung fand auch durch die fünfte Novellierung der Mindestanforderungen an das Risikomanagement nicht statt. Um diese Problematik zu lösen, muss die MaRisk-Compliance- Funktion gemäß dem Wortlaut des AT 4.4.2 Tz. 2 MaRisk die wesentlichen rechtlichen Regelungen und Vorgaben, deren Nichteinhaltung zu einer Gefährdung des Vermögens des Instituts führen kann, unter der Berücksichtigung von Risikogesichtspunkten in regelmäßigen Abständen identifizieren und systematisch aufstellen.1251 In der Praxis spricht man diesbezüglich von der Erstellung eines sogenannten „Legal Inventory“, eines Inventars, das alle für das spezifische Institut relevanten gesetzlichen und aufsichtsrechtlichen Bestimmungen, Grundsätze und institutsspezifischen Verhaltensanweisungen sowie privatrechtlichen Verpflichtungen wie den Deutschen Corporate Governance Kodex aufführt.1252 Mit dieser Vorgehensweise kann das Institut die spezifischen Normen feststellen, deren Nichteinhaltung zu einer Gefährdung des Vermögens, sei es durch Bußgelder oder durch Reputationsschäden, führen würde.1253 So liegt der Fokus einer Retailbank, die sich auf Massenprodukte im Privatkundengeschäft spezialisiert hat, auf anderen wesentlichen Normen als bei einem Spezialinstitut, das Factoringlösungen für Geschäftskunden anbietet. Letzteres hat beispielsweise 1250 DK, Stellungnahme zu BaFin Konsultation 1/2012, S. 10; Hannemann/Steinbrecher/Weigl, MaRisk, S. 616, Rn. 12, 14. 1251 Braun in Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 435. 1252 Boldt/Büll/Voss in CCZ 2013, 248 (249); Langen in Schwennicke/Auerbach, KWG, § 25a Rn. 86. 1253 Hannemann/Steinbrecher/Weigl, MaRisk, S. 620, Rn. 27. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 262 die Regelungen zum Verbraucherschutz mangels praktischer Anwendbarkeit aufgrund des Geschäftsmodells nicht zwingend als wesentliche Vorschrift in das institutsspezifische „Legal Inventory“ mit aufzunehmen. Um effektiv auf die Einhaltung aller für das Institut wesentlichen Regelungen hinwirken zu können, ist es unerlässlich, dass das „Legal Inventory“ regelmäßig aktualisiert wird, damit alle gesetzlichen sowie aufsichtsrechtlichen Veränderungen und Neuerungen vollständig erfasst werden und neue Risiken zeitnah erkannt werden können.1254 Auch Änderungen in der Struktur des Instituts oder seines Produktangebots können eine Anpassung des „Legal Inventory“ hervorrufen. Es ist nach AT 4.4.2 Tz. 2 MaRisk die Aufgabe der Compliance-Funktion, diese Aktualisierungen in regelmäßigen Abständen anzustoßen, um stets die realen, institutsspezifischen, wesentlichen Regelungen und Vorgaben zu kennen. Die Compliance-Risikoanalyse Sind nun in einem ersten Schritt alle wesentlichen gesetzlichen und aufsichtsrechtlichen Regelungen und Vorgaben gemäß 4.4.2 Tz. 2 Ma- Risk für das Institut bestimmt, so gilt es in einem zweiten Schritt, alle Risiken zu ermitteln und zu bewerten, die sich aus der Nichteinhaltung der als wesentlich identifizierten Regelungen ergeben. Hierzu hat das Institut auf Basis des „Legal Inventory“ eine sogenannte „Compliance-Risikoanalyse“ (oder „Compliance Risk Assessment“) durchzuführen.1255 Die Compliance-Risikoanalyse besteht zunächst aus einer Risikoidentifizierung sowie des Weiteren aus einer Risikobewertung der erfassten institutsspezifischen Risiken, die sich aus der Nichteinhaltung der wesentlichen Regelungen ergeben können.1256 Nur so können folglich entsprechende Maßnahmen zur Verhinderung der Risiken institutsspezifisch abgeleitet werden. Aufgrund einer fehlenden Legal- (3) 1254 Boldt/Büll/Voss in CCZ 2013, 248 (250); Braun in Boos/Fischer/Schulte-Mattler, KWG, § 25a, Rn. 435. 1255 Boldt/Büll/Voss in CCZ 2013, 248 (250). 1256 Hannemann/Steinbrecher/Weigl, MaRisk, S. 625, Rn. 43. B. Rechtliche Grundlagen der Compliance 263 definition ist es fraglich, was unter einem Compliance-Risiko verstanden werden kann.1257 In Anlehnung an das Papier des Baseler Ausschusses für Bankenaufsicht „Compliance and the compliance function in banks“ kann das Compliance-Risiko als ein Risiko des Eintritts aufsichtsrechtlicher oder rechtlicher Sanktionen, beispielsweise Verwarnungen, Bußgelder oder Vertragsstrafen, ferner als ein Risiko des finanziellen Verlustes oder des nicht als unerheblich zu betrachtenden Reputationsschadens definiert werden.1258 Dabei sollten Kriterien wie insbesondere die Gefahr von Schadensersatzzahlungen, Prozesskosten, das Risiko des Entzuges der Banklizenz, aber auch potentielle Feststellungen der Internen Revision oder von externen Prüfern eine Berücksichtigung finden.1259 Weitere ähnliche Definitionsansätze bietet Punkt 28 der „Guidelines on Internal Governance (GL 44)“ der Europäischen Aufsichtsbehörden, nach dem das Compliance-Risiko jedes aktuelle oder in der Zukunft liegende Risiko hinsichtlich des Vermögens oder des Gewinns eines Instituts darstellt, welches dadurch besteht, dass Gesetze, Regelungen, aufsichtsrechtliche Vorgaben, Abkommen, etablierte Verfahren oder ethische Standards nicht eingehalten werden und aus der Nichteinhaltung der dargestellten Bestimmungen in der Folge Bußgelder, finanzielle Verluste und/oder die Nichtigkeit von Vertragsbeziehungen sowie Schäden an der Reputation des Instituts resultieren können.1260 Ein wichtiger Aspekt ist in diesem Kontext die Unterscheidung zwischen der Ursache und der Wirkung eines Compliance-Risikos. So wird ein erhöhtes Compliance-Risiko durch die Verletzung der Regelkonformität verursacht und wirkt sich in dem Eintritt des Schadens aus.1261 Nachdem mit Unterstützung der Fachabteilungen alle Risiken eines Instituts identifiziert, d.h. erfasst, worden sind, müssen diese mit- 1257 Haberhauer in CCZ 2017, 78. 1258 BCBS, Compliance, April 2005, S. 7; Gebauer/Niermann in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36, Rn. 4. 1259 Boldt/Büll/Voss in CCZ 2013, 248 (250). 1260 EBA, Leitlinien zur Internen Governance, S. 43. 1261 Haberhauer in CCZ 2017, 78 (79). Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 264 tels eines Risikomodells bewertet werden.1262 Die Bewertung des Risikos sollte dabei grundsätzlich anhand der Höhe des potentiellen Schadens sowie der Eintrittswahrscheinlichkeit des Schadens ermittelt werden.1263 Hierbei ist zwischen dem inhärenten Risiko und dem residualen Risiko zu unterscheiden. Während die inhärenten Risiken auf die abstrakte Risikosituation abzielen, wird das Residualrisiko als ein Risiko bezeichnet, welches unter Berücksichtigung von eingerichteten Präventions- und Kontrollmaßnahmen als Restrisiko bestehen bleibt. Das Residualrisiko ist damit das institutsspezifische Risiko und sollte für die Bildung und Verbesserung der im Institut etablierten Maßnahmen der Ausgangspunkt sein. Die Ergebnisse der Risikobewertung sind schließlich die Basis der Auswahl wirksamer zu implementierender Verfahren zur Einhaltung der institutsspezifischen, wesentlichen rechtlichen Regelungen, auf die die MaRisk-Compliance-Funktion als eine ihrer Kernaufgaben gemäß Tz. 1 Satz 2 des 4.4.2 MaRisk hinzuwirken hat.1264 Die Beratungs- und Berichtsfunktion der MaRisk-Compliance Neben der Erstellung eines „Legal Inventory“ und der Identifizierung sowie Bewertung der institutseigenen Risiken gehört zu den Hauptaufgaben der MaRisk-Compliance-Funktion die Unterstützung und Beratung der Geschäftsleitung hinsichtlich der Einhaltung aller als wesentlich identifizierten rechtlichen Regelungen und Vorgaben gemäß 4.4.2 Tz. 1 Satz 3 MaRisk. Als Funktion der zweiten Verteidigungsebene soll sie darauf achten, dass die einzelnen Fachbereiche die etablierte Regelkonformität im Institut pflegen und keine gesetzlichen und aufsichtsrechtlichen Lücken aufkommen lassen.1265 Um ihrer Beratungsfunktion angemessen nachkommen zu können, sind den Mitarbeitern der Compliance-Funktion zur Erfüllung ihrer Aufgaben gemäß AT 4.4.2 Tz. 5 Satz 1 MaRisk ausreichende Befugnisse und ein uneingeschränk- (4) 1262 Boldt/Büll/Voss, Die Compliance-Funktion, S. 123. 1263 Boldt/Büll/Voss in CCZ 2013, 248 (250). 1264 Hannemann/Steinbrecher/Weigl, MaRisk, S. 619, Rn. 23. 1265 BaFin RS 10/2012 (BA) vom 14.12.2012; Braun in Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 432. B. Rechtliche Grundlagen der Compliance 265 ter Zugang zu sämtlichen Informationen zu gewähren.1266 Es ist konsequent, dass die Compliance-Funktion nach AT 4.4.2 Tz. 5 Satz 2 Ma- Risk über wesentliche Änderungen, welche die Maßnahmen zur Einhaltung der Regelkonformität im Unternehmen betreffen, bereits im Rahmen ihres Planungsprozesses informiert wird, damit sie schon von Beginn an beratend tätig werden und auf potentielle Risiken hinweisen kann. Die entsprechende aufsichtsrechtliche Vorgabe zur Einbindung der Compliance-Funktion in den Neu-Produkt-Prozess eines Instituts oder bei Änderungen betrieblicher Prozesse und Strukturen ist in AT 8.1 Tz. 5 bzw. AT 8.2 Tz. 1 MaRisk geregelt. Richtigerweise haben ebenso die Fachabteilungen auf der ersten Verteidigungsebene die frühzeitige Einbindung der Compliance-Funktion zu koordinieren und nicht darauf zu warten, dass dem Compliance-Beauftragten neue Produkte oder geänderte Prozesse erst im Nachhinein zufällig auffallen.1267 Neben ihrer Beratungs- und Unterstützungsfunktion hat die Compliance-Funktion auch eine Berichtsfunktion gegenüber der Geschäftsleitung. In diesem Rahmen hat sie gemäß AT 4.4.2 Tz. 6 MaRisk ähnlich der WpHG-Compliance-Funktion die Geschäftsleitung mindestens einmal im Jahr oder im entsprechenden Eilfall auch anlassbezogen in einem Tätigkeitsbericht über die Angemessenheit und Effektivität der etablierten Regelungen zur Herstellung einer Regelkonformität im Institut zu informieren. Außerdem soll die Compliance-Funktion in ihrem Bericht auf potentielle Schwachstellen hinweisen und mögliche Maßnahmen zur Schließung der Lücken vorschlagen. Ihr Bericht ist schließlich gemäß 4.4.2 Tz. 7 Satz 4 MaRisk sowohl der Internen Revision als auch dem Aufsichtsorgan weiterzuleiten. Die Berichtsund Informationspflicht der Geschäftsleitung ist essentiell; die Geschäftsleitung bleibt schließlich für die Einhaltung der gesetzlichen und aufsichtsrechtlichen Vorgaben letztverantwortlich.1268 Die dargestellten Erläuterungen zur inhaltlichen Ausgestaltung der MaRisk-Compliance-Funktion zeigen, dass die Institute bei der Einrichtung sicherlich vor eine größere Herausforderung gestellt werden, 1266 Braun in Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 438. 1267 Braun in Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 438. 1268 Erläuterung zu AT 4.4.2 Tz. 1 MaRisk; Langen in Schwennicke/Auerbach, KWG, § 25a Rn. 87. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 266 um den gesetzlichen und aufsichtsrechtlichen Anforderungen des § 25a Abs. 1 Satz 3 Nr. 3c Alt. 2 KWG i.V.m. AT 4.4.2 MaRisk in einem angemessenem Umfang gerecht werden zu können. Dabei darf das von der Bundesanstalt statuierte Proportionalitätsprinzip nicht unbeachtet bleiben, nach dem die Umsetzung der Mindestanforderungen an das Risikomanagement neben dem prinzipienbasierten Aufbau ferner die Institute in die Pflicht nimmt, weitergehende Maßnahmen und Vorkehrungen zu treffen, die in Relation zu ihrer Größe, ihrem Umfang und der Komplexität ihres Geschäftsmodells zu einem angemessenen und wirksamen Risikomanagement führen.1269 Dies kann mit Blick auf die MaRisk-Compliance-Funktion bewirken, dass die Compliance-Organisation in größeren Instituten der Finanzbranche mit mehr Personal ausgestattet ist, das Compliance-Programm mit seinen Maßnahmen umfangreicher ausgestaltet ist, die Beratungsfunktion im Institut viel häufiger in Anspruch genommen wird und nicht zuletzt die Berichtspflicht an die Geschäftsleitung deutlich umfassender ausfällt als die grundsätzliche Mindestvorgabe eines Jahresberichts. Das Compliance-Management-System (CMS) Um die MaRisk-Compliance-Funktion in einem Institut der Finanzbranche angemessen zu implementieren und den Anforderungen des § 25a Abs. 1 Satz 3 Nr. 3c Alt. 2 KWG sowie des AT 4.4.2 MaRisk lückenlos gerecht zu werden, ist es unerlässlich, ein wirksames, sogenanntes „Compliance-Management-System“ (kurz CMS) aufzubauen und zu erhalten, d.h. ein System, mit dem die Regeltreue in einem Institut strukturiert sichergestellt werden soll. Schließlich gilt es die theoretischen Vorgaben aus dem Kreditwesengesetz und den Mindestanforderungen an das Risikomanagement auch in der institutseigenen Praxis umzusetzen. Unter einem solchen System versteht man sämtliche Grundsätze und Maßnahmen eines Unternehmens, welche das regelkonforme Verhalten sowohl der Geschäftsleitung als auch der Mitarbeiter sowie die Prävention von wesentlichen Verstößen sicherstellen sollen und dabei stets die eigenen Unternehmensziele berücksichti- C. 1269 BaFin RS 10/2012 vom 14.12.2012, AT 1 Tz. 2 MaRisk (Vorbemerkung). C. Das Compliance-Management-System (CMS) 267 gen.1270 Mit einem funktionierenden Compliance-Management-System soll die Einhaltung sämtlicher für das Institut identifizierten, wesentlichen Regelungen gewährleistet werden.1271 Einer dieser wesentlichen Rechtsbereiche ist für die Institute der Finanzbranche nach dem Übermittlungsschreiben zum Rundschreiben 10/2012 (BA) der Bundesanstalt für Finanzdienstleistungsaufsicht der Themenkomplex der Geldwäscheprävention, da nach Ansicht der Bundesanstalt diesem Bereich ein wesentliches Compliance-Risiko anhaftet.1272 Diese Meinung wurde auf der Sitzung des Fachgremiums MaRisk der Bundesanstalt am 24. April 2013 zum Thema Compliance-Funktion richtigerweise bestätigt. So ordnen die Experten des Fachgremiums ebenso die Vorgaben zur Geldwäscheprävention dem Anwendungsbereich der MaRisk-Compliance-Funktion zu.1273 Doch auch ohne den ausdrücklichen Hinweis der Bundesanstalt liegt es offensichtlich auf der Hand, dass das komplexe Thema der Geldwäschebekämpfung in einem Institut der Finanzbranche im Rahmen seines Compliance-Management-Systems eine starke Berücksichtigung finden muss, da die Risiken der Nichteinhaltung der geldwäscherechtlichen Vorschriften, wie insbesondere Bußgelder gemäß § 56 und § 57 GwG oder Reputationsverluste für die Institute, aber auch Feststellungen des Abschlussprüfers im Rahmen der jährlichen Geldwäscheprüfung nicht unerheblich sind, wie in der vorliegenden Arbeit schon ausführlich erläutert wurde. Im Folgenden wird zunächst der Aufbau eines effektiven Compliance-Management-Systems grundlegend dargestellt und in diesem Kontext der Prüfstandard PS 980 in den Fokus der Betrachtung gerückt. Sodann werden die Möglichkeiten einer Integration der Geldwäscheprävention in das Compliance-Management-System diskutiert und dabei ausgewählte geldwäscherechtliche Anforderungen mit den Komponenten eines wirksamen Compliance-Management-Systems verbunden. 1270 IDW PS 980 S. 3 Rn. 6. 1271 Schmidt in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 45 Rn. 18. 1272 Übermittlungsschreiben zum BaFin RS 10/2012 (BA) vom 14.12.2012, S. 5. 1273 BaFin, Protokoll zur Sitzung des FG MaRisk am 24.04.2013, Punkt 3. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 268 Der Aufbau eines Compliance-Management-Systems Fraglich ist, wie und mit welchen Elementen ein effektives Compliance-Management-System ausgestaltet sein sollte, um die Geldwäschebekämpfung in einem Institut systematisch und strukturiert sicherzustellen. Grundsätzlich gilt die Freiheit eines jeden Instituts, unter Beachtung der gesetzlichen Vorgaben und Anforderungen des Kreditwesengesetzes sowie der Mindestanforderungen an das Risikomanagement die Grundsätze ihres Compliance-Management-Systems selbst zu entwickeln.1274 In Anlehnung an das Proportionalitätsprinzip ist dies in der Praxis auch vorzugswürdig. Allerdings haben sich einige Orientierungshilfen für den Aufbau eines Compliance-Management-Systems etabliert, welche von den Instituten unter Beachtung ihrer institutsspezifisch gesetzten Schwerpunkte Berücksichtigung finden sollten. Besonders nennenswert sind in diesem Zusammenhang der Prüfstandard des Instituts für Wirtschaftsprüfer PS 980 mit dem Titel „Grundsätze ordnungsgemäßer Prüfung von Compliance Management Systemen“ sowie der global anzuwendende Leitfaden der Internationalen Organisation für Normung ISO 19600 „Compliance Management System“. Die Grundsätze ordnungsgemäßer Prüfung eines CMS gemäß PS 980 Eine elementare Orientierung zur Einrichtung eines wirksamen Compliance-Management-Systems bildet der vom Institut für Wirtschaftsprüfer am 11.03.2011 herausgegebene Prüfstandard PS 980, nach dem sich dieses Kapitel auch ausrichten wird. Das Institut für Wirtschaftsprüfer in Deutschland e.V. ist die Vereinigung deutscher Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften mit Sitz in Düsseldorf.1275 Der eingetragene Verein fördert die Fachgebiete des Wirtschaftsprüferberufs und hat für die Interessen der Wirtschaftsprüfer einzutreten.1276 Er entwickelt zahlreiche für die Prüfungspraxis relevante Prüfungsstandards (kurz PS), welche von seinen I. 1. 1274 Schmidt in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 45 Rn. 19. 1275 IDW Satzung, § 1 Abs. 1 und Abs. 2. 1276 IDW Satzung, § 2 Abs. 1. C. Das Compliance-Management-System (CMS) 269 Mitgliedern bei der Ausübung ihres Berufs beachtet werden müssen.1277 Im Rahmen des PS 980 erläutert das Institut der Wirtschaftsprüfer ausführlich seine Berufsauffassung zum Inhalt eines Compliance-Management-Systems.1278 Auch wenn der Prüfstandard in erster Linie dazu konzipiert worden ist, den Wirtschaftsprüfern bei der Durchführung der Prüfung eines Compliance-Management-Systems eine Richtschnur für ihre Konzeptions- und Angemessenheitsprüfung zu geben,1279 ist aus ihm längst ein sogenanntes Best-Practices-Modell geworden,1280 welches die Institute der Finanzbranche für die Etablierung ihres Systems sowie die Ausgestaltung ihrer funktionierenden Compliance-Funktion verwenden können.1281 Dies ist auch konsequent, denn sofern das institutseigene Compliance-Management-System einer Prüfung standhält, scheint die Angemessenheit und Wirksamkeit des Vorgehens im Institut zu bejahen zu sein. Relativiert wird diese potentielle Sicherheit allerdings durch die Tatsache, dass der vom Institut der Wirtschaftsprüfer herausgegebene Prüfstandard keine rechtsgleiche Wirkung entfalten kann, sondern nur eine – durchaus in der Praxis sehr etablierte – Fachexpertenmeinung widerspiegelt.1282 Ein angemessenes und wirksames Compliance-Management-System nach PS 980 weist sieben Grundelemente bzw. Module auf, welche voneinander abhängig sind und miteinander in einer Wechselwirkung stehen.1283 Es gilt für jedes der sieben Module entsprechende Instrumente zu schaffen, welche ihre Implementierung im Institut ermöglichen können.1284 Zu den Grundelementen gehören die Entwicklung einer vorbildlichen Compliance-Kultur, die Festlegung der Compliance-Ziele, die Identifizierung und Analyse der Compliance-Risiken, die Erstellung eines Compliance-Programms, der Aufbau der Compli- 1277 IDW Satzung, § 4 Abs. 9 Satz 1; Grützner/Jakob in Grützner/Jakob, Compliance, Institut der Wirtschaftsprüfer. 1278 IDW PS 980 S. 2 Rn. 1. 1279 IDW PS 980 S. 4 Rn. 15. 1280 Ghahreman in CB 2017, S. 36. 1281 KPMG, Das wirksame Compliance-Management-System, S. 4. 1282 Fleischer in Spindler/Stilz, AktG, § 91 Rn. 62. 1283 IDW PS 980 S. 5 Rn. 23. 1284 Grüninger/Steinmeyer/Strenger in Wieland/Steinmeyer/Grüninger, Handbuch Compliance-Management, S. 863 Rn. 65. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 270 ance-Organisation, die Etablierung eines Kommunikationsprozesses sowie das Vorliegen von Verfahren zur Überwachung und Verbesserung des Compliance-Management-Systems.1285 Für die praktische Ausgestaltung der einzelnen Komponenten sind die jeweiligen Geschäftsleiter des Instituts verantwortlich,1286 schließlich tragen sie unbeschadet der Errichtung und Implementierung einer Compliance- Funktion uneingeschränkt die Verantwortung für die Einhaltung sämtlicher rechtlichen und aufsichtsrechtlichen Regelungen.1287 Die angemessene Durchführung der einzelnen CMS-Elemente wird dahingegen von der Compliance-Funktion im Auftrag der Geschäftsleitung koordiniert. Sie unterstützt und berät bei der Entwicklung entsprechender Prozesse im Rahmen des CMS. In diesem Kontext ist es in der Praxis essentiell, das Compliance-Management-System institutsspezifisch anhand der festgelegten Compliance-Ziele, der Größe und Komplexität des Unternehmens sowie der Art und des Umfangs der Geschäftstätigkeit wieder mit der Bezugnahme auf das Proportionalitätsprinzip zu konzipieren und das theoretische Modell mit Inhalt zu füllen.1288 Der ISO-Standard 19600 Compliance Als eine weitere Richtschnur zum Aufbau eines Compliance-Management-Systems kann den Instituten der Finanzbranche der ISO-Standard 19600 mit dem Titel „Compliance Management Systems – Guidelines“ dienen.1289 Das im Dezember 2014 von der Internationalen Organisation für Normung herausgegebene Compliance-Regelwerk wurde auf eine Initiative des Staates Australien mit dem Ziel entwickelt, die weltweit existierende große Anzahl an unterschiedlichen Compliance-Richtlinien in einem Werk zu harmonisieren, damit sich die Unternehmen auf einen Standard zur Umsetzung der Regelkonformität konzentrieren können.1290 Die Norm soll als grenz- und branchen- 2. 1285 IDW PS 980 S. 3 Rn. 10. 1286 IDW PS 980 S. 5 Rn. 23. 1287 Erläuterung zu AT 4.4.2 Tz. 1 MaRisk. 1288 IDW PS 980 S. 5 Rn. 23. 1289 Schmidt in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 45 Rn. 113. 1290 Grützner/Jakob in Grützner/Jakob, Compliance, ISO 19600. C. Das Compliance-Management-System (CMS) 271 übergreifender Leitfaden kongruente Rahmenbedingungen bei der Etablierung und Umsetzung eines Compliance-Management-Systems in unterschiedlichen Organisationen schaffen.1291 Zu beachten ist, dass die ISO 19600 der Internationalen Organisation für Normung keine Konkurrenz zum Prüfstandard 980 des Instituts für Wirtschaftsprüfer darstellen kann, vielmehr ergänzen sich die beiden Rahmenwerke.1292 Während die Inhalte des PS 980 grundsätzlich darauf ausgerichtet sind, Anforderungen für die Prüfung eines Compliance-Management-Systems aufzuzeigen, soll der ISO-Standard 19600 den Compliance-Beauftragten eines Instituts Richtlinien vorgeben, wie ein solches System etabliert und aufrechterhalten werden kann.1293 Der ISO-Standard kann dabei die Grundelemente eines Compliance-Management-Systems nach PS 980 konkretisieren und den Instituten bei der Anwendung Empfehlungen geben.1294 Aber auch wenn der ISO-Standard 19600 den Instituten die entsprechende Hilfestellung beim Aufbau eines Compliance-Management-Systems geben kann, darf mit der möglichen Zertifizierung gemäß dieser DIN- Norm nicht der Anschein erweckt werden, dass das in der Theorie etablierte und zertifizierte System für alle institutsspezifischen Einzelfragen gewappnet ist.1295 Die Geldwäscheprävention im Rahmen eines effektiven Compliance-Management-Systems Der Umfang und die Komplexität der gesetzlichen sowie aufsichtsrechtlichen Vorgaben und mit diesen einhergehenden Maßnahmen im Rahmen der Geldwäscheprävention können die Institute der Finanzbranche bei der Einhaltung ihrer Regelkonformität vor große Herausforderungen stellen. Durch die Einrichtung eines effektiven Compliance-Management-Systems kann daraus jedoch die Chance zu einer besseren Bekämpfung und Prävention von Geldwäsche entstehen. Im II. 1291 Fissenewert in CB 2016, 89. 1292 Withus/Kunz in BB 2015, 685 (689). 1293 KPMG, Das wirksame Compliance-Management-System, S. 38. 1294 Fissenewert in CB 2016, 89 (90). 1295 Bürkle in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 36 Rn. 32. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 272 Folgenden wird erörtert, inwiefern die in dieser Arbeit aufgezeigten und diskutierten Maßnahmen zur Geldwäschebekämpfung in den Instituten der Finanzbranche in die sieben Grundelemente eines Compliance-Management-Systems integriert werden können, um die Geldwäscheprävention in einem Institut angemessen und wirksam etablieren sowie unterhalten zu können. Dabei wird bei der Ausgestaltung des Compliance-Management-Systems auf die zuvor erwähnten Orientierungshilfen Bezug genommen. Compliance-Kultur Die Compliance-Kultur sollte als die Basis für ein funktionierendes und effektives Compliance-Management-System bezeichnet werden. Sie ist das Spiegelbild der Einstellung der Geschäftsleitung und des Aufsichtsorgans gegenüber der Einhaltung von gesetzlichen und aufsichtsrechtlichen Regelungen sowie internen Verfahren.1296 Der sogenannte „tone at the top“ ist die maßgebende Marschrichtung zur Qualität und zum Respekt vor der Befolgung sämtlicher relevanten Regelungen.1297 Um die Compliance-Kultur in einem Unternehmen zu fördern, gilt es für alle Mitarbeiter gültige Unternehmenswerte zu formulieren, die nicht nur auf das legale Verhalten, sondern auch auf legitimes Verhalten im Institut abstellen. Sowohl die Mitarbeiter als auch die Geschäftsleitung sollen zu einer Kultur des integren, verantwortungsvollen und werteorientierten Verhaltens angehalten werden, damit auf sämtlichen Managementebenen die Regelkonformität des Instituts an erster Stelle steht.1298 In der Praxis ist es zur Vermittlung der Unternehmenswerte üblich, einen institutsspezifischen Verhaltenskodex (Code of Conduct) verbindlich und beispielsweise als Teil des Arbeitsvertrags für alle Mitarbeiter einzuführen. Seit der Fünften MaRisk- Novelle schreibt die Bundesanstalt für Finanzdienstleistungsaufsicht die Etablierung eines solchen Verhaltenskodex gemäß AT 5 Tz. 3g Ma- Risk in Abhängigkeit von der Größe, der Art, dem Umfang, der Komplexität des Instituts sowie dem Risikogehalt ihrer Geschäftsaktivitäten 1. 1296 IDW PS 980 S. 5 Rn. 23. 1297 KPMG, Das wirksame Compliance-Management-System, S. 5. 1298 IDW PS 980 S. 20 Rn. A14. C. Das Compliance-Management-System (CMS) 273 explizit vor.1299 Es liegt auf der Hand, dass dieser in einem Institut der Finanzbranche insbesondere die Wichtigkeit der Geldwäschebekämpfung verdeutlichen soll und das Bewusstsein der Mitarbeiter dahingehend schärfen muss. Ist die Compliance-Kultur vorbildlich etabliert, so hat die Beachtung der geldwäscherechtlichen Vorschriften und der entsprechenden aufsichtsrechtlichen Anforderungen sowohl bei der Geschäftsleitung als auch bei den Mitarbeitern eine hohe Bedeutung mit der Folge, dass bewusste Verstöße gegen das Geldwäschegesetz, wie beispielsweise die nicht sachgerechte Durchführung der Sorgfaltspflichten oder die Versäumung von Meldepflichten, verhindert werden können.1300 Bei Vorliegen einer günstigen Compliance-Kultur ist die arbeitsrechtliche Sanktionierung von Mitarbeitern bei Nichteinhalten der geldwäscherechtlichen Regelungen akzeptiert. Ferner sollte sich äußerst aufmerksames Verhalten, wie beispielsweise das frühzeitige Erkennen von meldepflichtigen Sachverhalten im Sinne des § 43 Abs. 1 GwG, im Rahmen der regelmäßigen Personalbeurteilung besonders positiv auswirken.1301 Compliance-Ziele Ein weiterer Bestandteil des Compliance-Management-Systems nach dem PS 980 ist die Ermittlung bestimmter Compliance-Ziele.1302 Diese Anforderung mag zunächst sehr simpel erscheinen, da das primäre Ziel eines Unternehmens stets die Einhaltung sämtlicher Gesetze und Aufsichtsnormen sein sollte. So ist allerdings zu berücksichtigen, dass in der Praxis diese Definition ohne eine weitere Konkretisierung zu unbestimmt ist und für das Institut eine Überforderung darstellen kann. Vielmehr muss die Geschäftsleitung unter Berücksichtigung der allgemeinen Unternehmensziele analysieren, welche Schwerpunkte sie setzen möchte und welche relevanten Teilbereiche zu den Compliance- Zielen gezählt werden dürfen.1303 In diesem Kontext ist nicht offen- 2. 1299 BaFin RS 09/2017 vom 27.10.2017, AT 5 Tz. 3g MaRisk. 1300 IDW PS 980 S. 20 Rn. A14. 1301 IDW PS 980 S. 20 Rn. A14. 1302 IDW PS 980 S. 6 Rn. 23. 1303 IDW PS 980 S. 21 Tz. A15. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 274 sichtlich, was der Prüfstandard 980 unter dem Begriff des allgemeinen Unternehmensziels versteht, nach dem sich die Compliance-Ziele ausrichten sollen. Stellt man auf den Gesellschaftszweck ab, so wird dieser stets auf die Gewinnerzielung gerichtet sein.1304 Letztere ist zur Ableitung von konkreten Compliance-Zielen jedoch ebenso ungeeignet wie die schlichte Anforderung der Einhaltung sämtlicher Regelungen. Deshalb ist bei der Festlegung von klar umgrenzten Compliance-Zielen neben dem Gesellschaftszweck insbesondere auch auf den Unternehmensgegenstand selbst abzustellen.1305 Unterschiedliche Unternehmensgegenstände sind bei Instituten der Finanzbranche beispielsweise das Anbieten und Vertreiben von Finanzprodukten für Geschäftskunden im Gegensatz zum Privatkundengeschäft. Die Schwerpunktsetzung der Compliance-Ziele sollte bei diesen unterschiedlichen Geschäftsansätzen schließlich divergieren. So ist es vorzugswürdig, die Compliance-Ziele auf der Grundlage einer Kombination aus Unternehmensgegenstand und Unternehmenszweck zu erarbeiten.1306 Ein relevanter Teilbereich und damit ein essentielles Compliance- Ziel stellt in einem Institut der Finanzbranche zweifellos die Geldwäschebekämpfung dar, die mit der Etablierung eines Compliance-Management-Systems sachgerecht verfolgt werden muss. Die Festlegung der Einhaltung aller geldwäscherelevanten Gesetze und aufsichtsrechtlichen Anforderungen muss von jeder Geschäftsleitung eines Instituts der Finanzbranche als ein Compliance-Ziel und damit als ein integraler Bestandteil eines Compliance-Management-Systems festgesetzt werden. Compliance-Risiken Ferner ist die Bestimmung der Compliance-Risiken ein Kernelement eines wirksamen Compliance-Management-Systems, da diese die Grundlage zur Festlegung sämtlicher Compliance-Maßnahmen darstellen.1307 Unter Beachtung der gesetzten institutsspezifischen Schwerpunkte im Rahmen der Festlegung der Compliance-Ziele sollen 3. 1304 Schorn in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 13 Rn. 28. 1305 Schorn in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 13 Rn. 28. 1306 Schorn in Hauschka/Moosmayer/Lösler, Corporate Compliance, § 13 Rn. 30. 1307 IDW PS 980 S. 21 Tz. A16. C. Das Compliance-Management-System (CMS) 275 die Compliance-Risiken eines Instituts systematisch erfasst und bewertet werden.1308 Im Rahmen der Risikoanalyse werden die Eintrittswahrscheinlichkeit und mögliche Folgen von Verstößen sowie die Nichtbeachtung der Compliance-Ziele erörtert.1309 Hierbei müssen auch die von der Geschäftsleitung vorgegebenen Grundsätze zur Risikosteuerung, d.h. Kriterien der Risikovermeidung, der Risikoreduktion, der Risikoüberwälzung sowie der Akzeptanz von Risiken, berücksichtigt werden.1310 Es bietet sich an die Compliance-Risiken unter Einbindung der im Institut bestimmten internen Risikoeigner,1311 d.h. der für die jeweiligen Prozesse zuständigen Personen (Prozesseigner), zu erheben. Dies kann beispielsweise durch Befragung der Prozesseigner, im Rahmen von interaktiven Workshops im Institut oder anhand der Auswertung von Prüfungsberichten geschehen. Aufgrund des stetigen Wandels der gesetzlichen und aufsichtsrechtlichen Bestimmungen oder wegen möglicher Änderungen der Geschäftsstrategie eines Instituts liegt es auf der Hand, dass die Compliance-Risiken regelmäßig überarbeitet und neu erfasst werden müssen und dies kein einmaliger Prozess sein kann.1312 Für den wesentlichen Teilbereich der Geldwäschebekämpfung sieht § 5 Abs. 1 Satz 1 GwG als geldwäscherechtliche Spezialnorm im Risikomanagement die Erfassung und Beurteilung der Risiken im Institut vor. So kann angenommen werden, dass die Analyse der Geldwäscherisiken als Element der Risikoanalyse im Sinne des Compliance- Management-Systems erste Anhaltspunkte bietet, die in der spezifischen sowie detaillierteren Risikoanalyse nach dem Geldwäschegesetz erneut aufgenommen und beurteilt werden. Compliance-Programm Unter einem Compliance-Programm im Sinne des Compliance-Management-Systems versteht man einerseits die Errichtung von Grund- 4. 1308 IDW PS 980 S. 6 Tz. 23. 1309 IDW PS 980 S. 6 Tz. 23. 1310 IDW PS 980 S. 21 Tz. A16. 1311 Ghahreman in CB 2017, S. 36 (37). 1312 IDW PS 980 S. 21 Tz. A16. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 276 sätzen und andererseits die Bildung von Maßnahmen zur Verhinderung oder Begrenzung der Compliance-Risiken mit dem Ziel, die Regelkonformität der festgelegten Compliance-Ziele im Institut sicherzustellen.1313 Im Kontext der Geldwäschebekämpfung ist hinsichtlich der Etablierung eines Compliance-Programms zu berücksichtigen, dass viele Präventionsmaßnahmen schon durch das Geldwäschegesetz und das Kreditwesengesetz für die Institute der Finanzbranche vorgegeben sind. Das Compliance-Programm zur Verhinderung von Geldwäsche ist zunächst die pflichtgemäße Erfüllung der internen Sicherungsmaßnahmen gemäß § 6 GwG. Trotzdem lässt der risikobasierte Ansatz der Geldwäschebekämpfung zu, weitere Maßnahmen einzuführen und anhand der bestehenden Risiken neben dem gesetzlich Vorgeschriebenen ferner zusätzliche Maßnahmen zu implementieren, die insgesamt ein wirksames Compliance-Programm für den Themenkomplex der Geldwäsche bilden. Des Weiteren haben die Institute angemessene Kontrollen in ihr Compliance-Management-System zu integrieren, welche die regelkonforme Durchführung des Compliance-Programms gewährleisten sollen.1314 Im Kontext der Geldwäschebekämpfung und der Durchführung der internen Sicherungsmaßnahmen kann dies beispielsweise die unabhängige Gegenkontrolle mit einem Vier-Augen-Prinzip bei Ausführung von Transaktionen mit einem hohen Geldwäscherisiko sein oder die Genehmigung der Annahme eines Hochrisikokunden mittels einer Unterschriftenregelung über mehrere Hierarchiestufen hinweg. Die vom PS 980 vorgeschlagenen Jobrotationen als Kontrollverfahren sind im Hinblick auf die Geldwäscheprävention nicht unbedingt hilfreich und würden eher das aufgebaute Expertenwissen schmälern. Allerdings ist es in der Praxis üblich, dass die relevanten Mitarbeiter die Pflicht haben, einmal im Jahr mindestens vierzehn Tage Urlaub am Stück zu nehmen. Durch ihre längere Zeit der Abwesenheit soll garantiert werden, dass sie selbst nicht an geldwäscherelevanten Transaktionen beteiligt sind, da diese einer Vertretungsperson so leicht auffallen könnten. 1313 IDW PS 980 S. 21 Tz. A17. 1314 IDW PS 980 S. 22 Tz. A17. C. Das Compliance-Management-System (CMS) 277 Compliance-Organisation Die Ausgestaltung der Compliance-Organisation ist eine Aufgabe der Geschäftsleitung. Sie hat die relevanten Rollen und Verantwortlichkeiten festzulegen und hierfür entsprechende Ressourcen für das Institut zu schaffen.1315 Ein wesentlicher Bestandteil ist eine klar strukturierte Aufbau- und Ablauforganisation.1316 Mit Blick auf ein wirksames Compliance-Management-System ist es sinnvoll, neben dem nach den Mindestanforderungen an das Risikomanagement zu benennenden Compliance-Beauftragten auch ein Compliance-Gremium einzurichten,1317 in dem Führungspersonen aus unterschiedlichen Abteilungen Mitglied sein sollten und in regelmäßigen Abständen compliance-relevante Problematiken thematisieren. Mit Blick auf den Teilbereich der Geldwäscheprävention ist es insbesondere in kleineren Instituten denkbar, die Funktion des Geldwäschebeauftragten und die des Compliance-Beauftragten in Personeneinheit zu führen. Compliance-Kommunikation Im Rahmen des Moduls der Compliance-Kommunikation werden die Mitarbeiter über das definierte Compliance-Programm sowie die im Kontext der Compliance-Organisation festgelegten Rollen und Verantwortlichkeiten informiert, damit sie ihre Funktion und die mit dieser verbundenen Aufgaben verstehen und ihnen angemessen nachkommen können.1318 Doch nicht nur die primären Maßnahmen sollen Teil der Compliance-Kommunikation sein, sondern auch die Ergebnisse der durchgeführten Kontrollen und Überwachungsmaßnahmen, da nur so aufgedeckte Unzulänglichkeiten im Compliance-Management- System bekannt werden und an Verbesserungsmöglichkeiten gearbeitet werden kann.1319 Ferner sollen nach den Bestimmungen des Prüfstandards 980 die Auslöser für Berichtspflichten und die entsprechen- 5. 6. 1315 IDW PS 980 S. 6 Tz. 23. 1316 IDW PS 980 S. 6 Tz. 23. 1317 IDW PS 980 S. 22 Tz. A18. 1318 IDW PS 980 S. 6 Tz. 23. 1319 IDW PS 980 S. 23 Tz. A19. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 278 den Berichtswege für die Kommunikation von Compliance-Risiken oder Compliance-Verstößen an die verantwortlichen Stellen im Institut, festgelegt werden.1320 Des Weiteren gehört zu einer effektiven Compliance-Kommunikation auch die Möglichkeit, Hinweise zu potentiellen oder realen Verstößen gesetzlicher, aufsichtsrechtlicher oder unternehmensinterner Art an die geeignete Stelle richten zu können. Ähnlich wie die Ausgestaltung der Compliance-Kultur ist auch das Element der Compliance-Kommunikation sehr institutsspezifisch und von einem hohen Maß an Individualität geprägt.1321 So ist es die Aufgabe der Compliance-Funktion den richtigen Kommunikationskanal zur Darstellung des Compliance-Programms für die Mitarbeiter des Instituts zu finden. Im Themenkomplex der Geldwäscheprävention können die von den Mitarbeitern der operativen Einheiten durchzuführenden internen Sicherungsmaßnahmen durch Schulungsveranstaltungen, Informationsmails oder Workshops ausführlich erläutert werden. Zu beachten ist, dass im Kontext der Geldwäschebekämpfung eine intensive Schulung der Mitarbeiter über die Geldwäschethematik und mit dieser verbundene Pflichten gemäß § 6 Abs. 2 Nr. 6 GwG durchgeführt werden muss und somit zwingend Teil der Compliance-Kommunikation ist. Ebenso ist das nach dem neuen Geldwäschegesetz einzurichtende Hinweisgebersystem gemäß § 6 Abs. 5 GwG ein wichtiger Bestandteil der Compliance-Kommunikation, der jedem Mitarbeiter bekannt sein sollte. Schließlich ist es offensichtlich nicht von der Hand zu weisen, dass die elementare Voraussetzung für ein funktionierendes Compliance-Management-System eine effektive Kommunikation innerhalb des Unternehmens ist, welche mittels klarer Berichtswege und Berichtspflichten über alle Managementebenen hinweg ausführlich definiert ist.1322 So kann man durchaus sagen, dass eine stabile Regelkonformität innerhalb eines Instituts zum größten Teil von einer angemessenen Compliance-Kommunikation abhängig ist.1323 1320 IDW PS 980 S. 23 Tz. A19. 1321 Ghahreman in CB 2017, 36 (37). 1322 IDW PS 980 S. 23 Tz. A19. 1323 Ghahreman in CB 2017, 36 (38). C. Das Compliance-Management-System (CMS) 279 Compliance-Überwachung und -Verbesserung Schließlich ist es für ein wirksames Compliance-Management-System unerlässlich, dass dieses in sachgerechter Weise überwacht wird. Nur so können Fehler im System selbst erkannt werden, die festgestellten Mängel analysiert und Lösungen zur Verbesserung des Compliance- Management-Systems erarbeitet werden. Die Compliance-Überwachung soll nachweisen, dass mit der Implementierung des konkreten Compliance-Programms die nach den festgelegten Zielen identifizierten Compliance-Risiken im Institut beherrscht werden.1324 Eine wirksame Überwachung kann konsequenterweise nur gewährleistet werden, wenn sie durch eine prozessunabhängige Stelle des Instituts wahrgenommen wird.1325 Hier bietet sich die Interne Revision als Element der dritten Verteidigungsebene an, da sie gemäß § 25a Abs. 1 Satz 3 Nr. 3 Alt. 2 KWG neben dem internen Kontrollverfahren, d.h. neben der Risikocontrolling- und Compliance-Funktion, steht und davon unabhängig ist. Ferner zielen auch die Vorgaben aus Tz. 3 des AT 4.4.3 MaRisk auf ihre Unabhängigkeit ab, nach denen die Interne Revision insbesondere die Wirksamkeit und Angemessenheit des internen Kontrollsystems und damit die Compliance-Funktion prüfen und beurteilen muss. Mittels geeigneter und ausreichend erfahrener Ressourcen hat die unabhängige Stelle in regelmäßigen Abständen Überwachungsmaßnahmen durchzuführen und das gesamte Compliance-Management auf seine korrekte Funktionsweise zu prüfen. Potentielle Schwachstellen im Compliance-Management-System sind zu ermitteln, damit zu ihrer Behebung zukünftige Lösungsmöglichkeiten erarbeitet werden können.1326 Es ist die Aufgabe der Geschäftsleitung die Beseitigung der Unzulänglichkeiten im System zu forcieren und eine Verbesserung des CMS anzustreben.1327 Die Compliance-Funktion selbst steht der Internen Revision dabei konsequenterweise unterstützend und beratend zur Seite. 7. 1324 Ghahreman in CB 2017, 36 (38). 1325 IDW PS 980 S. 23 Tz. A20. 1326 IDW PS 980 S. 23 Tz. A20. 1327 IDW PS 980 S. 7 Rn. 23. Kapitel 5. Die Integration der Geldwäschebekämpfung in ein wirksames Compliance-Management-System 280 Im Kontext des Teilbereichs der Geldwäschebekämpfung sieht der Gesetzgeber unabhängig von den Überwachungsmaßnahmen nach einem etablierten Compliance-Management-System die Überprüfung der geldwäscherechtlichen Präventionsmaßnahmen und damit eines Teils des Compliance-Programms gemäß § 6 Abs. 2 Nr. 7 GwG vor, nach dem die Grundsätze und Verfahren der internen Sicherungsmaßnahmen durch eine unabhängige Prüfung zu erfolgen haben. In Umsetzung von Artikel 8 Abs. 4 Buchstabe b der Vierten Geldwäscherichtlinie1328 nennt die Gesetzesbegründung explizit die Überprüfung der internen Sicherungsmaßnahmen durch die Interne Revision oder externe Prüfer und setzt damit den Grundstein für eine regelmäßige Verbesserung des Systems zur Bekämpfung der Geldwäsche.1329 1328 ABl. EU 2015 L 141/73 (90). 1329 BT-Drs. 18/11555, S. 111. C. Das Compliance-Management-System (CMS) 281

Chapter Preview

References

Abstract

Recent cases of money laundering involving globally active banks illustrate the growing importance of legal provisions to curb money laundering. Vollmuth examines the prevention of money laundering in financial institutions and shows that the security measures to be established must be an essential part of compliance management in order to combat money laundering successfully. The author deals with the new requirements of the revised Money Laundering Act of June 23, 2017 and discusses legal questions of interpretation of the revised Act. Eva-Maria Vollmuth is working in the field of regulatory audits and consulting on money laundering law and compliance.

Zusammenfassung

Jüngste Geldwäschefälle mit der Involvierung global agierender Banken verdeutlichen die steigende Relevanz von gesetzlichen Bestimmungen zur Eindämmung der Geldwäsche. Vollmuth untersucht die Geldwäscheprävention in den Instituten der Finanzbranche und zeigt auf, dass die zu etablierenden Sicherungsmaßnahmen für eine erfolgreiche Geldwäschebekämpfung ein wesentlicher Bestandteil des Compliance-Management-Systems sein müssen. Die Autorin behandelt die neuen Anforderungen des novellierten Geldwäschegesetzes vom 23. Juni 2017 und diskutiert rechtliche Auslegungsfragen der Gesetzesnovelle. Eva-Maria Vollmuth ist in der aufsichtsrechtlichen Prüfung und geldwäscherechtlichen Beratung tätig.