Die Gestaltung des Dienstvertrages des Chief Compliance Officers (CCO) ist von besonderer Bedeutung und kann nicht mit den üblichen HR-Textbausteinen zu Funktion und Tätigkeitsbeschreibung gelöst werden, zumal es nach wie vor an einem allgemeinen Verständnis zur Rolle des CCO fehlt. Die hohe Relevanz des Dienstvertragsinhalts spiegelt sich auch in der BGH-Entscheidung vom 17. Juli 2009 (5 StR 394/08) wider, in der dieser den Inhalt der dienstvertraglichen Regelungen zum wesentlichen Anknüpfungspunkt für eine strafrechtliche Haftung des CCO gemacht hat. Daraus kann man entnehmen, dass der CCO umso mehr im Risiko einer strafrechtlichen Verantwortung stehen kann, je mehr Verantwortlichkeiten er nach dem Inhalt des Dienstvertrags übernommen hat. Die Gerichte ziehen demnach im Wesentlichen aus der Gestaltung des Vertragsinhalts Rückschlüsse auf die Garantenpflichten des CCO und damit letztlich auch auf seine mögliche Haftung wegen Unterlassens.
Zivilrechtliches Haftungsrisiko
Neben dem Risiko einer strafrechtlichen Inanspruchnahme besteht für den CCO darüber hinaus auch ein bedeutsames zivilrechtliches Haftungsrisiko. Dieses Risiko wird künftig umso bedeutsamer werden, sofern der CCO zugleich als Syndikus zugelassen ist. Denn nach der zu erwartenden neuen Gesetzeslage ist zu befürchten, dass sich Syndizi auf die von der Rechtsprechung für Arbeitnehmer entwickelten Haftungserleichterungen nicht werden berufen können. Damit bleiben die Fragen rund um die zivilrechtlichen Haftungsrisiken gerade für die im Compliance Bereich tätigen Syndizi von ganz erheblicher praktischer Relevanz.
Wer nun glaubt, aus alldem zu schließen, die Haftungsrisiken seien umso geringer, je weniger konkret die Rolle des CCO im Dienstvertrag beschrieben und geregelt wird, der dürfte irren. Das Gegenteil ist der Fall. Die Gefahr, dass Gerichte in die Rolle des CCO und in die Reichweite seines Verantwortungsbereichs umso mehr hineinpacken, je verschwiegener, allgemeiner und pauschaler sich der Dienstvertrag hierzu verhält, ist nicht zuletzt aufgrund der vorgenannten BGH-Entscheidung evident. Die Angriffsfläche für eine haftungsrechtliche Inanspruchnahme des CCO wird durch entweder fehlende oder aber lediglich pauschale Formulierungen also nicht kleiner, sondern sie vergrößert sich. Denn mangels Legaldefinition kann man in die Begriffe „Compliance“ und „Compliance Officer“ nach wie vor alles was beliebt und was, je nach Bedarf und Interessenlage, gerade opportun erscheint, hineindeuten. Ohne klare Beschreibungen und Eingrenzungen dieses Begriffs sind die Verantwortlichkeiten des CCO daher uferlos und beliebig. Mithin bieten allgemein gehaltene Funktionszuordnungen und pauschale Aufgabendelegationen auch eine geeignete Grundlage für den Vorwurf des Organisationsverschuldens an das Management, wenn dieses auf die Frage, welche Aufgaben und Verantwortlichkeiten es denn nun konkret an den CCO delegiert hat, keine überzeugenden Antworten geben kann.
Was also tun?
Der Versuch, diesen vermeintlich unkalkulierbaren Risiken mit einer umfassenden Haftungsfreistel-lungsklausel zugunsten des CCO zu entgehen, dürfte aus zwei Gründen scheitern. Zum einen verhärten sich gerade bei Freistellungsklauseln die Fronten zwischen den Parteien sehr schnell und eine Einigung hierzu erscheint deshalb schlicht als unrealistisch. Zum Zweiten besteht bei Syndizi, die im Compliance Bereich Verantwortung tragen, jedenfalls de lege ferenda das hohe Risiko ihrer rechtlichen Unwirksamkeit, falls sie sich auf die für Arbeitnehmer geltenden Haftungserleichterungen künftig nicht mehr berufen können. Mithin ist zu berücksichtigen, dass Arbeitgeber und Arbeitnehmer den Arbeitsvertrag auf verschiedenen Seiten des Tisches verhandeln, obwohl die jeweiligen Interessenlagen keineswegs einfach gelagert und ggf. sogar widersprüchlich sind.
Der Arbeitgeber hat das Interesse, den CCO möglichst umfangreich für alle Compliance-relevanten Themen in die Verantwortung zu nehmen. Die damit verbundene Motivation der Enthaftung des Managements ist zwar nicht immer vordergründig, lässt sich bei ehrlicher Betrachtung aber auch nicht völlig leugnen. Andererseits möchte der Arbeitgeber bereits bestehende Zuständigkeiten und Verantwortlichkeiten im Unternehmen in der Regel nicht verändern, insbesondere nicht beschneiden, zumal die im Unternehmen bereits vorhandenen Funktionen bestimmte Compliance-relevante Themen seit langer Zeit sehr gut erledigen. Der CCO wiederum möchte zwar möglichst weitgehend Einfluss auf die Organisation nehmen, hat aber andererseits kein Interesse daran, sich für jedes Fehlverhalten in die Verantwortung nehmen zu lassen. Dies gilt umso mehr, je weniger und unklarer seine Verantwortungsbereiche geregelt sind.
Die Lösung
Die oben beschriebenen Risiken und wiederstreitenden Interessen kann man sehr gut in den Griff bekommen, wenn die Parteien ihre Aufmerksamkeit darauf richten, die Aufgaben, Kompetenzen und Verantwortlichkeiten des CCO möglichst konkret und vollständig im Dienstvertrag zu regeln. Auch wenn der Dienstvertrag bereits geschlossen ist, lohnt sich für beide Seiten dennoch der Aufwand der Vereinbarung eines Nachtrags, in dem die notwendigen Konkretisierungen niedergelegt sind. Letztlich möchte sicherlich kein Betroffener im Nachhinein Dritte darüber urteilen lassen, welchen Umfang an Zuständigkeit und Verantwortlichkeiten er tatsächlich gehabt hätte und wie weitreichend er seine Rolle tatsächlich hätte verstehen müssen. Und das ist Grund genug, sich bei der Vereinbarung ausführlicher Regelungen zur Rolle des CCO im Dienstvertrag allergrößte Mühe zu geben.
Eine sinnvolle Tätigkeitsbeschreibung sollte die folgenden Themenbereiche umfassen:
A. Allgemeine Tätigkeitsgrundsätze/ -Definitionen Compliance und Integrität
B. Konzernweite Fachverantwortung für Compliance-Themen
C. Zuständigkeit für die Compliance-Rechtsberatung
D. Beratung von und Berichterstattung an Vorstand, Aufsichtsrat und Gesellschaf-ter/Hauptversammlung
E. Datenschutz/ -Information Security
F. Führungs- und Managementaufgaben
G. Repräsentanz des Unternehmens im Außenverhältnis
H. Compliance für Führungskräfte
I. Zuständigkeit für Anweisungen, Richtlinien, Prozesse und Verfahren
Zu jedem der vorgenannten Punkte sollten möglichst konkrete und vollständige Aussagen und Formulierungen hinsichtlich der Aufgaben, Kompetenzen (im Sinne von Befugnissen, Rechten, Entscheidungen) und Verantwortlichkeiten (im Sinne von Rechenschaftspflichten) getroffen werden. Die Vereinbarung ausführlicher und konkreter Regelungen zur Rolle des CCO im Dienstvertrag bietet sowohl für Arbeitgeber als auch für Arbeitnehmer mehr Vorteile als Nachteile.
Die nachfolgende Darstellung zeigt auszugsweise Möglichkeiten der Ausgestaltung einzelner The-menbereiche im Dienstvertrag:
A. Allgemeine Tätigkeitsgrundsätze/ -Definitionen Compliance und Integrität
I. Aufgaben: Der CCO hat die Aufgabe, nach Maßgabe der vom Vorstand festgelegten Compliance-Ziele die zur Umsetzung erforderlichen Maßnahmen festzulegen und deren Implementierung zu steuern und zu überwachen. Der Vorstand hat derzeit die folgenden Compliance-Ziele festgelegt: (… vervollständigen). Dabei unterstützt der CCO die Unternehmensbereiche und ihre Mitarbeiter durch fachliches Coaching und Beratung. Im Rahmen seiner Tätigkeit kommt dem CCO eine funktionsübergreifende Koordinations- und Steuerungsaufgabe zu. Dabei hat er die gebotene Neutralität und persönliche Unabhängigkeit zu wahren, die Vorstand und Aufsichtsrat aufgrund der Vertrauensstellung von dieser Unternehmensfunktion erwarten dürfen.
II. Kompetenzen: Der CCO ist berechtigt, die Unternehmensbereiche und Konzerngesellschaften zur Umsetzung der nach seiner Ansicht erforderlichen Prozesse des Compliance Managements zu veranlassen. Er ist außerdem berechtigt, bei allen Führungskräften und Mitarbeitern im Konzern (unter Beachtung der rechtlichen Beschränkungen im Einzelfall) die zur Aufklärung von Compliance-Verstößen und Beurteilung von Compliance-Themen für erforderlich erachteten Informationen einzuholen.
III. Verantwortlichkeiten: Der CCO ist verantwortlich für die Angemessenheit und Effektivität des konzernweiten Compliance Managements in den definierten Risikobereichen (Rechtsgebieten) und seine Weiterentwicklung. Dies sind nach heutigem Stand insbesondere folgende Risikobereiche und Rechtsgebiete: (… vollständig aufzählen). Er stellt außerdem die Eskalation und Berichterstattung aller relevanten Compliance-Themen gegenüber Vorstand und Aufsichtsrat sicher.
B. Konzernweite Fachverantwortung für Compliance-Themen
I. Festlegung der Compliance Ziele (nachfolgend auszuformulieren)
1. Aufgaben: …
2. Kompetenzen: …
3. Verantwortlichkeiten: …
II. Compliance Management (nachfolgend auszuformulieren)
1. Aufgaben: …
2. Kompetenzen: …
3. Verantwortlichkeiten: …
C. Beratung und Berichterstattung gegenüber Vorstand und Aufsichtsrat
I. Aufgabe: Der CCO berät Vorstand und Aufsichtsrat zu Compliance-Grundsatzfragen. Er berät auch bei einzelnen Compliance-Fällen auf Anforderung des Vorstands oder des Aufsichtsrats. Er berichtet laufend und anlassbezogen schriftlich und mündlich an Vorstand und Aufsichtsrat über Compliance-Angelegenheiten (Vorfälle, Schwachstellen, Risiken). Er berichtet sowohl in Form einer Regelberichterstattung quartalsweise als auch in Form eines Jahresberichts.
II. Kompetenzen: Eigenverantwortliche fachliche und unternehmerische Bewertung von Compliance-Sachverhalten. Berichtsrecht an den Gesamtvorstand. Zeitlich und inhaltlich uneingeschränktes sowie unwiderrufliches Berichts- und Informationsrecht an den Aufsichtsrat, insbesondere an den Aufsichtsratsvorsitzenden sowie einen zuständigen Ausschuss des Aufsichtsrats. Befugnis zum Einholen aller im Konzern vorhandenen relevanten Informationen zu Compliance-Sachverhalten (Investigationsrecht). Befugnis zum einbinden von Fachfunktionen und Organisationeinheiten im Konzern in ein Compliance Management Reporting System.
III. Verantwortlichkeiten: Fachgerechte Aufbereitung und Empfehlungen zu Compliance-Grundsatzfragen und Einzelfällen unter angemessener Berücksichtigung der Unternehmensinteressen. Verantwortung für ein sachgerechtes Reporting zu Compliance-Angelegenheiten gegenüber Vorstand und Aufsichtsrat. …..
D. Zuständig für die Compliance-Rechtsberatung
I. Aufgaben: Der CCO organisiert die rechtliche Beratung bei Fragen zu Compliance-Themen (Richtlinien, Einzelfälle, fachliches Begleiten und Führen der Compliance-Hotline sowie des externen Mittlers). Er koordiniert und steuert straf- und ordnungsrechtliche Ermittlungs- und Enforcement-Verfahren. Er ist Ansprechpartner für Ermittlungs- und Aufsichtsbehörden bei unternehmensinternen Vorfällen und Untersuchungen. Er begleitet zivilrechtliche Rechtsstreitigkeiten im Zusammenhang mit Compliance-Verstößen. Er unterstützt bei Vertragsfragen mit Compliance-Schwerpunkt (z.B. Compliance-Vertragsklauseln).
II. Kompetenzen: Fachliche Entscheidungskompetenz zur Beurteilung von Compliance-Rechtsfragen. Befugnis zur Wahrnehmung der Unternehmensinteressen in Compliance-Angelegenheiten gegenüber den zuständigen Behörden. Im Rahmen seiner Zuständigkeit für Compliance-Themen: Recht zur Beauftragung von externen Experten (Rechtsanwälte, Steuerberater, Forensic-Berater, usw.).
III. Verantwortlichkeiten: Gewährleistung fachgerechter Beratung, Prüfung und Qualitätssicherung in Compliance-Rechtsfragen als Bestandteil der Corporate Governance. Wahrnehmung der rechtlichen Interessen des Unternehmens bei Compliance-Vorfällen. Kostenverantwortung bei der Einschaltung von Rechts-, Steuer und Forensic-Beratern für Compliance-Themen.