Compliance-Risikoanalyse

Praxisleitfaden für Unternehmen

vonDr. Klaus Moosmayer, Prof. Dr. Werner Beulke, Alexander Eufinger, Dr. Frank Fabian, Philip Haarmann, Jan Hansen,

Dr. Anabel Harting, Dr. Wolfgang Heckenberger, Meinhard Remberg, Dr. Anita Schieffer, Dr. Robert Schulz, Dr.Christian Steinle, Dr. Jochen Vetter, Ute Vogelsang, Dr. Antonie Wauschkuhn, Heiko Wendel, Matthias Wendt, Karl-

Heinz Withus, Dr. Tobias Witzigmann

1. Auflage

Verlag C.H. Beck München 2015

Verlag C.H. Beck im Internet:www.beck.de

ISBN 978 3 406 66299 7

Zu Leseprobe und Sachverzeichnis

schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG

beck-shop.de Moosmayer

Compliance-Risikoanalyse

beck-shop.de

beck-shop.de

III

Compliance-RisikoanalysePraxisleitfaden für Unternehmen

Herausgegeben von

Dr. Klaus Moosmayer

2015

beck-shop.de

IV

www.beck.de

ISBN 978 3 406 66299 7

© 2015 Verlag C.H. Beck oHGWilhelmstraße 9, 80801 München

Druck: Nomos Verlagsgesellschaft,In den Lissen 12, 76547 Sinzheim

Satz: Textservice Zink, 74869 Schwarzach

Gedruckt auf säurefreiem, alterungsbeständigem Papier(hergestellt aus chlorfrei gebleichtem Zellstoff)

beck-shop.de

V

Vorwort

Im gleichen Maße, wie Compliance im Bewusstsein von Unternehmen und in der öf-fentlichen Wahrnehmung an Bedeutung gewonnen hat, ist auch die Anzahl der Bücherund wissenschaftlichen Beiträge zum Thema gewachsen. Es gibt kaum noch Compli-ance-Aspekte, die nicht diskutiert und ausgeleuchtet sind.

Das von Dr. Klaus Moosmayer herausgegebene Werk zur Compliance-Risikoana-lyse ist dennoch einzigartig. Die Autoren haben es unternommen, Corporate Compli-ance konsequent aus der Risikoperspektive zu sehen. Damit haben sie den Nerv derPraxis getroffen! In der Unternehmensrealität geht es nämlich einzig darum, die mitNon-Compliance verbundenen Risiken zu erkennen, zu steuern und zu beherrschen.Risiko ist die alles dominierende Perspektive: Die Unternehmensprozesse und -inter-aktionen wollen systematisch auf ihre Risikoneigung hin untersucht werden, die Com-pliance-Organisation und der Ressourceneinsatz sind so zu konfigurieren, dass sie imLichte der vorhandenen Risiken verhältnismäßig sind, in der unternehmensinternenKommunikation und in der Compliance-Schulung muss eine risikogerechte Priorisie-rung der Compliance-Themen vorgenommen werden, und Compliance-Controllingund Enforcement funktionieren nur, wenn die betreffenden Teilprozesse nach Maß-gabe der konkreten Compliance-Risiken gestaltet sind.

Die Risikoperspektive rückt das Thema Compliance aus Sicht der Unternehmens-führung ins rechte Licht, bietet Ordnungsrahmen und Referenzpunkt für Planung undUmsetzung des Compliance-Managements. Diese Perspektive ist nicht nur aus Sichtder Praxis richtig und vernünftig. Sie weist auch in der Theorie den richtigen Weg.Compliance-Management ist nämlich letztlich zu verstehen als Teil des Risikoma-nagements des Unternehmens und dieses wiederum als unverzichtbarer Teil der Cor-porate Governance. In diesem Verständnis fällt es dann auch nicht mehr schwer, dieVerantwortung der obersten Unternehmensführung für Compliance im Unternehmenzu begründen.

St. Gallen, im Oktober 2014

Professor Dr. Leo StaubExecutive School of Management, Technology and Law der Universität St. Gallen

beck-shop.de

VI

beck-shop.de

VII

Bearbeiterverzeichnis

Prof. Dr. Werner BeulkeRechtsanwalt in Passau

Dr. Alexander EufingerLehrbeauftragter an der Universität Siegen und Jurist bei Gleiss Lutz, Stuttgart

Dr. Frank FabianGroup Chief Compliance Officer und Leiter Governance, Risk & Compliance im Volkswagen Konzern, Wolfsburg

Jan HansenLeiter Compliance Strategy & Risk der Siemens AG, München

Philip HaarmannLeiter Strafrecht im Volkswagen Konzern, Wolfsburg

Dr. Anabel HartingRechtsanwältin bei HengelerMueller, Frankfurt a.M.

Dr. Wolfgang HeckenbergerRechtsanwalt und Chief Counsel Competition der Siemens AG, München

Dr. Klaus Moosmayer Rechtsanwalt und Chief Compliance Officer der Siemens AG, Erlangen/München

Meinhard RembergGeneralbevollmächtigter bei der SMS GmbH, Hilchenbach,

und Vorstandsmitglied von DICO – Deutsches Institut für Compliance e.V., Berlin

Dr. Anita SchiefferLeiterin Compliance Policies and Legal Advice der Siemens AG, München

Dr. Robert SchulzRechtsanwalt und Senior Counsel Competition der Siemens AG, München

Dr. Christian SteinlePartner und Rechtsanwalt bei Gleiss Lutz, Stuttgart

Prof. Dr. Jochen VetterPartner und Rechtsanwalt bei HengelerMueller, München;

Honorarprofessor an der Universität zu Köln

beck-shop.de

VIII

Bearbeiterverzeichnis

Ute VogelsangReferatsleiterin und bis April 2014 Antikorruptionsbeauftragte im Referat

für Korruptionsprävention und Sponsoring im Bundesministerium des Innern, Berlin

Dr. Antonie WauschkuhnLeiterin Compliance Europa und CIS der Siemens AG, München

Heiko WendelRechtsanwalt und Chief Integrity & Compliance Officer der Rolls-Royce

Power Systems AG, Friedrichshafen

Mathias WendtSenior Manager, KPMG Audit Assurances Service, Köln

Dr. Karl-Heinz WithusWirtschaftsprüfer, Steuerberater und Certified Public Accountant (U.S.-Delaware)

bei KPMG, Berlin

Dr. Tobias WitzigmannStaatsanwalt in München

beck-shop.de

IX

Inhaltsverzeichnis

Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VBearbeiterverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIIAbkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVVerzeichnis der (abgekürzt) zitierten Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX

Kapitel 1. Einführung (Moosmayer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

A. Anlass für eine Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

B. Rechtliche Bedeutung und Quellen der Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . 2

C. Systematik und Durchführung der Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . 5

Kapitel 2. Rechtliche Grundlagen der Compliance-Risikoanalyse und Umsetzung im Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

§ 1. Überblick zu den straf- bzw. ordnungswidrigkeitenrechtlich relevanten Organisations- und Aufsichtspflichten im Unternehmen (Beulke/Witzigmann) . . . . . . 9

A. Strafrechtlich implizierte Organisations- und Aufsichtspflichten . . . . . . . . . . . . . . . . . . . . . 10I. Pflicht zur Vermeidung bzw. Kontrolle betriebsbezogener Gefahren . . . . . . . . . . . . . . . 11

1. Sachliche Gefahrenquellen für Leib und Leben Dritter . . . . . . . . . . . . . . . . . . . . . . . . 112. Personale „Gefahrenquellen“ – Pflicht zum Einschreiten gegen Straftaten

Beschäftigter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123. Erfordernis der „Betriebsbezogenheit“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144. Verantwortungsverteilung innerhalb des Unternehmens . . . . . . . . . . . . . . . . . . . . . . . 155. Inhalt der Garantenpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166. Strafbarkeitsvoraussetzungen jenseits der Garantenpflicht . . . . . . . . . . . . . . . . . . . . . 17

II. Sonstige strafrechtlich implizierte Organisations- und Aufsichtspflichten . . . . . . . . . . . 18III. Drohende Sanktionen bei Verletzung der Organisations- und Aufsichtspflichten . . . . . 19

1. Kriminalstrafe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192. Verfall und Einziehung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

B. Ordnungswidrigkeitenrechtlich implizierte Organisations- und Aufsichtspflichten . . . . . . . 23I. Organisations- und Aufsichtspflichten nach Maßgabe des § 130 OWiG . . . . . . . . . . . . 23

1. Das Unterlassen notwendiger Aufsichtsmaßnahmen als Tathandlung . . . . . . . . . . . . 232. Der Täterkreis des § 130 OWiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273. Weitere Voraussetzungen einer Ahndung gem. § 130 Abs. 1 OWiG . . . . . . . . . . . . . 27

II. Sonstige ordnungswidrigkeitenrechtlich implizierte Aufsichts- und Organisationspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

III. Drohende Sanktionen bei Verletzung der Organisations- und Aufsichtspflichten . . . . . 291. Geldbuße gegen natürliche Personen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292. Verbandsgeldbuße . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293. Verfall und Einziehung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

§ 2. Überblick zu den gesellschaftsrechtlichen Organisations- und Aufsichtspflichten im Unternehmen (Vetter/Harting) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

A. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

B. Allgemeine Organisations- und Aufsichtspflichten im Einzelunternehmen . . . . . . . . . . . . . 34I. Pflichten des Vorstands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

1. Pflicht zur Einrichtung eines Risikofrüherkennungssystems (§ 91 Abs. 2 AktG) . . . 35a) Keine verbindliche Vorgabe konkreter Mindestanforderungen . . . . . . . . . . . . . . . 35b) Elemente des Risikofrüherkennungssystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

aa) Erste Stufe: Früherkennung bestandsgefährdender Entwicklungen . . . . . . . . 37bb) Zweite Stufe: Überwachung der eingeleiteten Maßnahmen . . . . . . . . . . . . . . 38

beck-shop.de

X

Inhaltsverzeichnis

c) Absicherung durch korrespondierende Berichts- und Prüfungspflichten . . . . . . . 402. Risikoanalyse als Teil der allgemeinen Leitungsaufgabe (§§ 76, 93 AktG) . . . . . . . . 41

II. Pflichten des Aufsichtsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431. Gegenstand der Überwachung im Bereich des Risikomanagements . . . . . . . . . . . . . . 432. Mittel zur Überwachung des Risikomanagements durch den Aufsichtsrat . . . . . . . . . 443. Delegation der Überwachung des Risikomanagements an einen Prüfungsausschuss . 45

C. Organisations- und Aufsichtspflichten im Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46I. Pflichten des Vorstands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

1. Vorstand der herrschenden Gesellschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46a) Mittelbare Pflicht zum Risikomanagement im Konzern . . . . . . . . . . . . . . . . . . . . 46b) Mittel zur Umsetzung konzernweiter Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . 48

aa) Vertragskonzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48bb) Faktischer Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48cc) Ergänzung: Minderheitsbeteiligung oder Joint Venture . . . . . . . . . . . . . . . . . 48

2. Vorstand der abhängigen Gesellschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49II. Pflichten des Aufsichtsrats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

§ 3. Praktische Umsetzung der Compliance-Anforderungen im Unternehmen (Schieffer/Wauschkuhn) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

A. Ausgangspunkt: Haftungsrisiken für Unternehmensverantwortliche im Bereich der Organisations- und Aufsichtspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

B. Maßnahmen zur Umsetzung der gesetzlichen Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . 54I. Grundüberlegungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

1. Parameter für eine Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542. Umsetzung im Rahmen eines Compliance-Systems . . . . . . . . . . . . . . . . . . . . . . . . . . 54

II. Organisations- und Aufsichtspflichten in der Unternehmenspraxis . . . . . . . . . . . . . . . . 551. Sorgfältige Auswahl von Mitarbeitern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552. Organisatorische Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

a) Betriebs- und Unternehmensorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56b) Compliance-Organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57c) Erfordernis einer internen Revision und weiterer Fachabteilungen . . . . . . . . . . . . 59

3. Aufklärung und Unterweisung der Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59a) Aufklärung und Schulung von Mitarbeitern über deren Aufgaben und Pflichten . 59b) Kommunikation und Trainingsmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60c) Eigenverantwortlichkeit der Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61d) „Zero Tolerance“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

4. Unterweisung der Führungskräfte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61a) Grundsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61b) Informationsschrift für Führungskräfte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62c) Besondere vertragliche oder unternehmensinterne Regelungen . . . . . . . . . . . . . . 63

5. Überwachung und Kontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63a) Risikobasierter Ansatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63b) Ermessen bei der Befolgung von Gesetzen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

aa) Unsichere Rechtslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64bb) Beseitigung und Offenlegung von Verstößen . . . . . . . . . . . . . . . . . . . . . . . . . 65

c) Maßgebliche Faktoren für die Bestimmung geeigneter Kontrollmaßnahmen . . . . 65d) Integration in Geschäftsprozesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

III. Aufdeckung und Sanktionierung von Verstößen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681. Aufklärung und Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682. Offenlegung von Verstößen an die Behörden? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683. Sanktionierung und Beseitigung der Missstände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

C. Umsetzung der gesetzlichen Verpflichtungen im Konzern . . . . . . . . . . . . . . . . . . . . . . . . . . 70I. Berichtspflichten und Auskunftsrechte der Konzernmutter . . . . . . . . . . . . . . . . . . . . . . 71

II. Organisation und Instrumente der Konzernsteuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

beck-shop.de

XI

Inhaltsverzeichnis

1. Konzernweite Berichtslinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 722. Konzernweite Steuerung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

D. Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

Kapitel 3. Praxisbeispiele der Compliance-Risikoanalyse aus Verwaltung und Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

§ 4. Compliance-Risikoanalyse im Unternehmen am Beispiel des Volkswagen Konzerns (Fabian/Haarmann) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

A. Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75I. Ziel und Zweck einer unternehmensbezogenen Compliance-Risikoanalyse . . . . . . . . . . 75

II. Was sind Risiken für ein Unternehmen und was sind Compliance-Risiken? . . . . . . . . . 76III. Was ist eine Compliance-Risikoanalyse? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

B. Compliance-Risikoanalyse des Volkswagen Konzerns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77I. Der integrierte Governance, Risk & Compliance Ansatz des Volkswagen Konzerns . . 78

II. Die Elemente der Compliance-Risikoanalyse des Volkswagen Konzerns . . . . . . . . . . . 791. Der GRC-Regelprozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792. Auswertung relevanter Revisionsberichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823. Austausch mit anderen Fachbereichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834. Issue Management als weiteres top-down Instrument . . . . . . . . . . . . . . . . . . . . . . . . . 835. Korruptionsindizes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846. Abstimmung mit Gremien und Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

III. Implementierung von Compliance-Programmen auf Basis der Risikoanalyse . . . . . . . . 84IV. Integrierte Prüfung der Wirksamkeit von Compliance-Maßnahmen im Rahmen

des GRC-Regelprozesses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 851. Identifikation der für die Nachweisführung relevanten Gegenmaßnahmen und

Managementkontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 852. Wirksamkeitsnachweis für Gegenmaßnahmen und Managementkontrollen . . . . . . . 85

C. Resümee und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

§ 5. Compliance-Risikoanalyse im Unternehmen am Beispiel der Siemens AG (Hansen) 87

A. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

B. Bottom-up Compliance-Risikoanalyse – Compliance Risk Assessment . . . . . . . . . . . . . . . . 89I. Ziele des Compliance Risk Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

II. Der Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901. Vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 902. Der Management Workshop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913. Bericht an das Enterprise Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 924. Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

III. Zeitplan des Compliance Risk Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

C. Top-down Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93I. Das Ziel der top-down Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

II. Der Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 931. Auswahl von Fokus Einheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 932. Interne Datenanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933. Externe Datenanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

a) Externe Fälle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95b) Vertriebskanäle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96c) Markt- und Wettbewerbsdaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96d) Juristisches Umfeld . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

4. Zusammenfassung und Management Diskussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97III. Zeitplan der top-down Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

D. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

beck-shop.de

XII

Inhaltsverzeichnis

§ 6. Compliance-Risikoanalyse in mittelständischen Unternehmen des internationalen Maschinen- und Anlagenbaus (Remberg) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

B. Begriffsklärungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100I. Mittelstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

II. Internationaler Maschinen- und Anlagenbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101III. Risikomanagement und Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

C. Die Risikoanalyse als Grundlage eines Compliance-Management-Systems . . . . . . . . . . . . . 102I. Rechtliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

II. IDW Prüfungsstandard 980 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103

D. Risikoanalyse in ausgewählten Themengebieten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105I. Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

II. Korruption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105III. Kartellrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

1. Horizontale Absprachen mit Wettbewerbern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1082. Vertikale Absprachen mit Nicht-Wettbewerbern, insbes. Lieferanten und Kunden . . 1083. Missbrauch einer marktbeherrschenden Stellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

IV. Exportkontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

E. Zusammenfassung und Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

§ 7. Compliance-Risikoanalyse am Beispiel der öffentlichen Verwaltung (Vogelsang) . . . 113

A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113B. Gefährdungsanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114C. Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117D. Sicherungsmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119E. Zeitplan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119F. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Kapitel 4. Kartellrechtliche Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

§ 8. Kartellrechtliche Risikoanalyse – Systematik und Aufbau (Steinle/Eufinger) . . . . . . . 121

A. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

B. Gesetzliche Vorgaben zur kartellrechtlichen Risikoanalyse (§ 130 OWiG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122

C. Gravierende Sanktionen bei Kartellrechtsverstößen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

D. Kartellrechtliche Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125I. Marktabgrenzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

II. Allgemeines Kartellrisiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1261. Risikofaktor Marktstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1262. Risikofaktor Unternehmensstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1293. Risikofaktor Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130

III. Konkretes Kartellrisiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1311. Berührungspunkte mit Wettbewerbern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

a) Risikofaktor Verbandstätigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132b) Risikofaktor Kooperationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

2. Anlässe zum Tätigwerden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134a) Monitoring des Marktes und der Wettbewerber . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

aa) Pressemitteillungen und Marktäußerungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 134bb) Behördenaktivitäten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

b) Interne Hinweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136aa) Meldungen an Hinweisgebersysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136bb) Kartellrechtsschulungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136cc) Interne Dokumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

beck-shop.de

XIII

Inhaltsverzeichnis

dd) Arbeitsrechtliche Streitigkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137ee) M&A – Due Diligence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

E. Risikofaktor Marktmachtmissbrauch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

F. Organisation der kartellrechtlichen Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

G. Zusammenfassung und Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

§ 9. Kartellrechtliche Risikoanalyse – Planung und Umsetzung im Unternehmen (Heckenberger/Schulz) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

A. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

B. Notwendigkeit einer kartellrechtlichen Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

C. Anreizwirkungen für kartellrechtliche Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145I. Vermeidung von Kartellrechtsverstößen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

II. Compliance-Programme als bußgeldmindernder Faktor . . . . . . . . . . . . . . . . . . . . . . . . . 145

D. Zuständigkeit für die kartellrechtliche Risikoanalyse („Governance“) . . . . . . . . . . . . . . . . . 146

E. Durchführung der Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146I. Konzept der Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

II. Kriterien für die Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148III. Durchführung der Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149IV. Überprüfung und Verifizierung der dezentralen Risikoanalyse . . . . . . . . . . . . . . . . . . . 149V. Risikoanalyse im Rahmen der täglichen kartellrechtlichen Beratung . . . . . . . . . . . . . . . 149

F. Effektive Folgemaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150I. „Tone from the Top/Middle” – Sensibilisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

II. Präsenzschulungen und Schulungsinhalte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1501. Hardcore-Verstöße . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1512. Sonstige Kartellrechtsverstöße . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1513. Adressaten der Schulungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

III. Internet-basierte Schulungen („Web-based trainings“) . . . . . . . . . . . . . . . . . . . . . . . . . . 152IV. Interne Untersuchungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

G. Globalisierung des Kartellrechts – Einheitlichkeit der kartellrechtlichen Beratung? . . . . . . 153I. Global einheitliche Beratung zu Hardcore-Verstößen . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

II. Nach Ländern differenzierte Beratung zu sonstigen Wettbewerbsbeschränkungen . . . . 154

§ 10. Kartellrechtliche Risikoanalyse in mittelständischen Industrieunternehmen – Schwerpunkt Automobilindustrie (Wendel) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155I. Risiko mittelständischer Strukturen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155

II. Zielgruppen- und funktionsorientierte Risikobewertung . . . . . . . . . . . . . . . . . . . . . . . . . 156

B. Einzelrisiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157I. Personalauswahlrisiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

1. Fehlendes Erfahrungswissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1572. Risikominderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

II. Wertschöpfungsstufenrisiko oder: Das Spiel über Bande . . . . . . . . . . . . . . . . . . . . . . . . 1591. Mehrere Wertschöpfungsstufen im selben Unternehmen . . . . . . . . . . . . . . . . . . . . . . 1592. Der Lieferant als Bote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1593. Der Kunde als Bote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

a) Marktmacht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161b) Matrixorganisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

4. Risikominderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

C. Kooperationsrisiken in der Automobilindustrie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162I. Risikobeschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

II. Arbeitsteilungsrisiko auf Veranlassung des OEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1631. Wettbewerber als gemeinsame Lieferanten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1632. Risikominderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

beck-shop.de

XIV

Inhaltsverzeichnis

III. Das „Resident Engineer“ Risiko . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1641. Alle Wettbewerber unter einem (Kunden-)Dach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1642. Risikominderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165

D. Zusammenfassung/Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

Kapitel 5. Die Prüfung der Compliance-Risikoanalyse aus Sicht der Wirtschaftsprüfer . . 167

§ 11. Die Prüfung der Compliance-Risikoanalyse durch den Wirtschaftsprüfer (Wendt/Withus) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168

B. Grundlagen zur Prüfung von Compliance-Management-Systemen . . . . . . . . . . . . . . . . . . . . 169

C. Die Prüfung des Compliance Risk Assessments nach PS 980 . . . . . . . . . . . . . . . . . . . . . . . . 171I. Einordnung in die Systematik des PS 980 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

II. Mögliche Ziele einer Prüfung nach PS 980 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172III. Spezifische Anforderungen an den Wirtschaftsprüfer . . . . . . . . . . . . . . . . . . . . . . . . . . . 173IV. Prüfungsplanung und Risikobeurteilung des Wirtschaftsprüfers . . . . . . . . . . . . . . . . . . 173

D. Anforderungen an die Compliance-Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175I. Anforderungen an das (initiale) Compliance Risk Assessment . . . . . . . . . . . . . . . . . . . . 175

II. Anforderungen an den Managementprozess für Compliance-Risiken . . . . . . . . . . . . . . 178III. Anforderungen an die Dokumentation und Archivierung . . . . . . . . . . . . . . . . . . . . . . . . 178

E. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181