Kitabı oku: «Kapitalmarkt Compliance», sayfa 8
I. Einleitung
1
Auch wenn seit der Hochphase der Finanzkrise in Europa einige Jahre vergangen sind, steht der gesamte Kapitalmarkt noch immer im Fokus der Compliance-Diskussion. Während zunächst Schmiergeldzahlungen von Industriefirmen an ausländische Zuwendungsempfänger zur Akquise von Aufträgen die Gemüter erregten, sah und sieht sich auch der Finanzdienstleistungssektor verschiedensten Manipulationsvorwürfen zum Schaden von Kunden ausgesetzt. Erinnert sei nur an die Ermittlungen gegen den Vorstand und die Aufsichtsräte von Porsche SE in Folge des Versuchs der Übernahme der Volkswagenaktien oder den Libor-Skandal, in dessen Rahmen sich Mitarbeiter namhafter Institute an der Manipulation der Referenzzinssätze beteiligten und damit Kreditnehmer schädigten. Auch die finanzmarktrechtlichen Auswirkungen der Ermittlungen wegen Marktmanipulation gegen namhafte Manager des Volkswagenkonzerns, die ihren Ausgang in Verstößen gegen technische Compliance nahmen, sind derzeit noch nicht absehbar. Dem zunehmenden Bedarf national und international tätiger Unternehmen an Eigen- und Fremdkapital, Cross-Listings von Emittenten an mehreren Börsen, weltweit agierende Investoren und die stetig fortschreitende Internationalisierung der Kapitalmärkte, deren Innovationskräfte sich in stetig neuen Finanzierungskonzepten und Anlageformen widerspiegeln, steht der Wunsch der Investoren nach Anlegerschutz, Transparenz und Unterbindung von Marktmissbrauch gegenüber.[1] Dem ist auch die EU nachgekommen, indem sie mithilfe der Marktmissbrauchsverordnung (MAR) Kernbereiche der Kapitalmarkt Compliance nunmehr für den Binnenmarkt direkt und einheitlich geregelt und gleichzeitig Vorgaben für eine deutliche Verschärfung der Straf- und Bußgeldrahmen gemacht hat.[2]
2
Der Normenkomplex, der diese Themen regelt, wird allgemein als Kapitalmarktrecht bezeichnet. Darunter versteht man die Gesamtheit aller Normen und Grundsätze, die die Emission und den Handel mit fungiblen Anlageinstrumenten regeln und sowohl den Individualschutz der Kapitalanleger als auch den Funktionsschutz des Kapitalmarkts und der Wirtschaft zum Ziel haben.[3] Es stellt die Bereiche Banken-, Börsen-, Wertpapier- und Gesellschaftsrecht in einen funktionalen Zusammenhang. Unterschieden werden die Bereiche Marktorganisationsrecht, das institutionsbezogen die Struktur der Marktteilnehmer sowie die Struktur und den Inhalt der am Markt gehandelten Finanzinstrumente regelt, das Marktverhaltensrecht, das durch informations- und transaktionsbezogene Verhaltenspflichten das Verhalten der Marktteilnehmer am Markt bestimmt und durch entsprechende Sanktionsnormen strafrechtlich flankiert wird, sowie das Marktaufsichtsrecht, das die Zulassung der und die Aufsicht über die Marktteilnehmer einschließlich der Zusammenarbeit zwischen den Aufsichtsbehörden regelt.[4] Um den Zielen Funktionsschutz des Markts sowie dem Individualschutz der Anleger gerecht zu werden, sollte das Kapitalmarktstrafrecht, das auf Repression setzt, ferner durch interne Compliance-Regularien ergänzt werden, um eine angemessene Prävention zu gewährleisten.
3
Die Regelungen des Marktverhaltensrechts haben nicht nur Finanzdienstleister im Fokus, sondern richten sich an alle Akteure, die sich auf den nationalen und internationalen Märkten Geld besorgen und durch ihr Marktverhalten oder durch eine gezielte Informationspolitik in der Lage sind, das Verhalten aktueller und potentieller Investoren zu beeinflussen. Dem trägt beispielsweise auch die MAR Rechnung, die in der Präambel unter Ziff. 2 betont, dass ein integrierter und effizienter Finanzmarkt Marktintegrität voraussetzt. Mit ihrem Inkrafttreten wurde der Anwendungsbereich von Emittenten-Compliance-Regeln auch auf das Börsensegment des Freiverkehrs sowie auf Emissionszertifikate ausgedehnt. Sie sieht das reibungslose Funktionieren der Wertpapiermärkte und das Vertrauen der Öffentlichkeit in die Märkte als Voraussetzungen für Wirtschaftswachstum und Wohlstand an. Marktmissbrauch hingegen verletzt die Integrität der Finanzmärkte und untergräbt das Vertrauen der Öffentlichkeit in Wertpapiere und Derivate. Geschützt wird der Aktionär somit sowohl in seiner Stellung als Gesellschafter als auch als Anleger mit Vermögensinteressen. In diesem Zusammenhang wird der Begriff der Emittenten-Compliance gebraucht. Für Unternehmen stellt sich daher die Frage, wie eine Compliance-Organisation den besonderen Erfordernissen der Kapitalmärkte Rechnung tragen kann.
2. Teil Emittenten-Compliance › 2. Kapitel Aufbau einer kapitalmarktbezogenen Compliance-Organisation bei Emittenten › II. Definition
II. Definition
4
Unter Compliance versteht man die Gesamtheit vorbeugender Maßnahmen in Unternehmen, die sicherstellen, dass die geltenden Gesetze, Verhaltenspflichten, Regeln und Usancen eingehalten werden. Compliance umschreibt damit eine Managementfunktion, nämlich die Steuerung des Risikos, dass Regeln für das Geschäftsgebaren verletzt werden, verbunden mit verwaltungsrechtlichen Sanktionen oder strafrechtlichen und zivilrechtlichen Folgen sowie Verlust an Reputation.[5]
5
Emittenten-Compliance wird allgemein definiert als „jene Maßnahmen, die der Insiderprävention dienen und die die Mechanismen der Ad-Hoc-Publizität absichern sollen.“[6] So gehe es vor allem um die innerbetriebliche Kontrolle des Informationsflusses: sensible Informationen sollen geschützt und Interessenkollisionen möglichst vermieden werden. Diese Definition ist jedoch zu eng. Die vielfältigen Organisationspflichten, die Organen im Bereich der Emittenten-Compliance auferlegt werden, gehen wesentlich weiter und werden möglicherweise noch immer unterschätzt.[7] Insofern liefert der Emittenten-Leitfaden der Bundesanstalt für Finanzaufsicht (BaFin)[8] wertvolle Hilfe, welchen Risiken durch eine solche Compliance-Funktion begegnet werden soll. Nicht zu verkennen ist dabei allerdings, dass dieser in erster Linie dem Zweck dient, den betroffenen Unternehmen – vergleichbar dem Steuerrecht – die Sichtweise der Aufsichtsbehörde über die richtige Auslegung und Anwendung der Normen des WpHG durch die Emittenten zu vermitteln.[9]
6
Versteht man folglich Emittenten-Compliance in einem weiteren Sinne als Organisation zur Sicherstellung eines rechtskonformen Publizitätsverhaltens, ergeben sich zahlreiche Abgrenzungsfragen. Gegenstand dieses Kapitels ist daher nicht die Sicherung der gesetzlichen Anforderungen an die gesellschafts- oder handelsrechtliche Publizität, die sich in erster Linie an die aktuellen Anteilseigner, Unternehmensgläubiger und Mitarbeiter der Gesellschaft richtet. Hierunter fällt insbesondere der Bereich der Regelpublizität, mit der die Organmitglieder ihrer Rechenschafts- und Berichtspflicht nachkommen. Die kapitalmarktrechtliche Compliance richtet sich demgegenüber an einen breiteren Adressatenkreis. Sie dient dazu, dem allgemeinen Anlegerpublikum Daten für informierte Kauf- und Verkaufsentscheidungen zu vermitteln. Diese ermöglichen es Anlegern, transparentes Marktverhalten zu honorieren und sich bei Zweifeln an einer soliden und transparenten Unternehmensführung aus den entsprechenden Anteilspapieren zurückzuziehen. Auch stellt die Regelpublizität aufgrund der gleichmäßig und regelmäßig wiederkehrenden Veröffentlichungszeitpunkte, der damit einhergehenden Planbarkeit und Veröffentlichung aggregierter Daten nicht die gleichen Anforderungen an Vertraulichkeit und Schnelligkeit, wie sie im Hinblick auf den Veröffentlichungszeitpunkt von Einzelsachverhalten mit erheblichem Kursbeeinflussungspotenzial vorliegen können.[10]
7
Ausgeklammert werden auch Sachverhalte der Unternehmensgründung[11] und der Übernahme von Emittenten nach dem WpÜG. In beiden Fällen handelt es sich regelmäßig um Spezialthemen, wohingegen dieses Kapitel den Aufbau einer Regelorganisation zum Gegenstand hat.
8
Diese Darstellung konzentriert sich schließlich auf Emittenten außerhalb des Finanzdienstleistungssektors. Für letztere gelten die nachfolgenden Anforderungen durchaus, doch stellen beispielsweise §§ 80 WpHG und 25a KWG an diese aufgrund branchenspezifischer Konstellationen wesentlich höhere Anforderungen.[12]
2. Teil Emittenten-Compliance › 2. Kapitel Aufbau einer kapitalmarktbezogenen Compliance-Organisation bei Emittenten › III. Grundüberlegungen
III. Grundüberlegungen
1. „Tone From the Top“
9
Im Bereich des Kapitalmarktrechts gilt nichts anderes als in anderen Gebieten des Wirtschaftsrechts und Wirtschaftsstrafrechts. Das durchdachteste und umfassendste Compliance-Programm nützt nichts, wenn es nicht gelebt wird. Zu dieser zugegebermaßen banalen Erkenntnis kommt man immer wieder in der Beratungspraxis oder bei einfacher Zeitungslektüre. Gerade die Bankinstitute, die in den letzten Jahren durch Skandale und fehlendes bzw. unzureichendes Risikomanagement von sich reden machten, verfügten bereits vor den jeweiligen öffentlichkeitswirksamen Vorfällen über Compliance- und Rechtsabteilungen und beschäftigten überdies ein Heer gutbezahlter externer Berater.
10
Solche Ansätze bleiben jedoch auf der Strecke, wenn Compliance im alltäglichen Geschäftsleben der operativen Abteilungen nicht „ankommt“, weil für diese andere Anreize gesetzt wurden. Nicht selten schwächt ein falsch ausgerichtetes Bonus- und Incentive-System die wirksame Arbeit einer Compliance-Abteilung. Insoweit muss sich die Unternehmensleitung die Frage gefallen lassen, ob die Compliance-Abteilung modisches Feigenblatt bleiben soll, das man seit dem „Siemens-Skandal“ einfach haben muss, oder ob man tatsächlich das Tagesgeschäft zur Einhaltung gewisser Standards verpflichten und diese effektiv überwachen will.
11
Ist letzteres der Fall, muss das Management Compliance auch tatsächlich vorleben und den Geschäftsbetrieb entsprechend ausrichten. Nur eine aktive Compliance-Organisation, die in das Unternehmen eingebunden ist und kein abgekapseltes Dasein führt, kann funktionieren.[13] Dabei spielt der „Tone From the Top“ eine entscheidende Rolle. Hat das Management wirklich das Interesse, das Unternehmen so zu organisieren, dass sich dessen Arbeit nach gesetzlichen und ethischen Standards ausrichtet oder steht allein die Gewinnmaximierung im Vordergrund? Liegen die entsprechenden Kommunikationsstrukturen vor und werden Hinweise auf Fehlentwicklungen ernst genommen oder haben Mitarbeiter und/oder die mittlere Managementebene das Gefühl, der Überbringer schlechter Nachrichten „wird erschossen“?[14]
12
Die Leitungsverantwortung des Vorstands einer Aktiengesellschaft wird in § 76 Abs. 1 AktG definiert. Nach § 93 Abs. 1 S. 1 AktG haben die Vorstandsmitglieder bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Ergänzt wird diese Pflicht durch den deutschen Corporate Governance Kodex (DCGK), der festhält, dass der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinwirkt (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen.[15] Obwohl es sich beim DCGK um Empfehlungen handelt, wird hieraus auch eine Rechtspflicht des Vorstands zu Compliance hergeleitet, die sich aus seiner Organverantwortung ergibt.[16] Allerdings hatte der Vorstand auch vor Aufnahme des Begriffs Compliance in den DCKG in 2007 bereits nach § 91 Abs. 2 AktG geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.[17]
13
In seiner Allgemeinheit umfasst § 93 Abs. 1 AktG sowohl die aktienrechtliche Legalitätspflicht als auch entsprechende Sorgfalts- und Überwachungspflichten (Legalitätskontrollpflicht).[18] Im Bereich der Legalitätsplichten, die die Einhaltung der inneren und äußeren rechtlichen Rahmenbedingungen gebieten, gibt es keinen Ermessensspielraum. Pflichtverletzungen, die bei oberflächlicher Betrachtung als „nützlich“ oder adäquat angesehen werden könnten, sind als das zu werten, was sie sind: Pflichtverletzungen.[19] Zu den Legalitätspflichten zählt auch die Einhaltung der kapitalmarktrechtlichen Veröffentlichungs-, Mitteilungs- und Informationspflichten.[20] Sie richten sich an den Emittenten, der, vertreten durch die Vorstandsmitglieder, für ein entsprechendes rechtskonformes Verhalten zu sorgen hat. Die unterschiedliche Gestaltung und die hohen Anforderungen, die im Einzelfall an Wahrung der Vertraulichkeit, inhaltliche Richtigkeit und Klassifizierung der Informationen sowie die Schnelligkeit der Veröffentlichung gestellt werden, gebieten die Schaffung einer entsprechenden internen Organisation. Die Notwendigkeit der Befolgung dieser Pflichten selbst ergibt sich aus dem Unternehmensinteresse, da Verstöße Bußgelder und Strafen für den Emittenten bzw. seine Verantwortlichen sowie Schadensersatzklagen und Reputationsverlust zur Folge haben können, wie die Fälle „Siemens“, „Deutsche Bank“ und „Volkswagen“ eindrucksvoll zeigen. Künftig wird die MAR und die CRIM-MAD die Strafrahmen nochmals verschärfen und in Zukunft die Veröffentlichung verhängter Geldbußen zur Pflicht (sog. Naming and Shaming) machen.
2. „Mission Statement“
14
Eine klare Auffassung der Geschäftsleitung zum Stellenwert von Compliance im Unternehmen bedarf auch einer entsprechenden Kommunikation. Ein sog. Mission Statement setzt hier sicherlich ein klares Signal. Noch vor wenigen Jahren in Deutschland belächelt, gehört es mittlerweile zum Standard. Das Mission Statement sollte selbstredend nicht in der Schublade verschwinden, sondern auch durch geeignete Maßnahmen der internen Unternehmenskommunikation bei den Mitarbeitern publik gemacht werden. Hier sind alle Kommunikationsformen von der Veröffentlichung im Intranet, einschlägigen Mitarbeiter-(Online-)Schulungen, Broschüren bis zu Plakaten denkbar. Eine Compliance-Organisation kann nur funktionieren, wenn bei den Mitarbeitern des Unternehmens eine entsprechende „Awareness“ geschaffen wurde.
15
Das Mission Statement spiegelt sich in einem sog. Code of Conduct oder Code of Ethics wider, in denen den Mitarbeitern konkrete Vorgaben zu einem einwandfreien Verhalten gemacht werden. Damit bei Verstößen auch disziplinarische Maßnahmen getroffen werden können, sollte dieser Verhaltens- oder Ethikkodex durch entsprechende Klauseln im Arbeitsvertrag auch integrierter Bestandteil des Arbeitsverhältnisses werden.[21]
16
Dieser Verhaltens- oder Ethikkodex und damit auch die Einhaltung der geltenden Gesetze ist durch das Management auf allen Ebenen zu vermitteln, vorzuleben, mithilfe entsprechender Organisationsstrukturen zu überwachen und bei Bedarf an veränderte tatsächliche und rechtliche Rahmenbedingungen anzupassen. Er sollte prägnant die ethische Grundhaltung des Unternehmens und die Verantwortlichkeiten auf allen Ebenen direkt ansprechen und in die Pflicht nehmen. Zunehmend Bedeutung gewinnt in diesem Zusammenhang auch der Begriff der Compliance-Kultur, der sich ausgehend vom Begriff der Unternehmenskultur am gelebten Wertekanon des Unternehmens und seiner Mitarbeiter sowie am gesamtgesellschaftlichen Kontext, in dem sich das Unternehmen bewegt, bestimmt.[22]
3. Praktische Probleme des Aufbaus einer Compliance-Abteilung
17
Die Notwendigkeit der Einrichtung einer Compliance-Abteilung ergibt sich für den Vorstand zwischenzeitlich schon allein daraus, dass er andernfalls seinen Legalitäts- und Sorgfaltspflichten in einem zunehmend komplexeren rechtlichen Umfeld kaum noch nachkommen kann. Weder das Aktienrecht noch der DCGK machen Vorgaben an die inhaltliche Ausgestaltung einer Compliance-Organisation. Ob die gewählte Organisation im konkreten Fall den richtigen „Zuschnitt“ hat oder hatte, zeigt sich regelmäßig erst im Fall eines Verstoßes.[23] Lag die Hauptaufgabe von Compliance-Funktionen anfangs noch darin, Vorwürfen von Rechtsverstößen nachzugehen und diese zu ahnden sowie zu diesem Zweck entsprechende Kontroll- und Überwachungssysteme zu etablieren, verlagert sich der Schwerpunkt heute zunehmend dahin, durch ein entsprechendes Risikomanagement, insbesondere durch stete Aufklärung und Schulung der Mitarbeiter, Verstöße weit möglichst zu verhindern.[24] Kernaufgabe ist es daher, Strukturen zu schaffen, in denen Risiken kontinuierlich identifiziert, intern adressiert und kontrolliert werden.[25] Hilfestellung vermögen dabei Standards für Compliance Management Systeme (CMS) zu bieten, wie der IDW PS 980 des Instituts der Wirtschaftsprüfer oder der ISO 19600 der Internationalen Organisation für Normung.[26] Ferner sollte dieser Gesamtvorgang dokumentiert werden, um im Fall eines Verstoßes darlegen zu können, dass das Unternehmen eine adäquate Risikovorsorge getroffen und gelebt hat. Dies kann spürbare Auswirkung auf die Höhe einer eventuellen Geldbuße nach § 130 OWiG haben, wenn es überhaupt zur Eröffnung eines Verfahrens gegen das Unternehmen und seine Organmitglieder kommt. Inwieweit hier eine Zertifizierung nach dem IDW PS 980 oder nach der ISO 19600 zum Tragen kommen kann, wird sich allerdings in der Zukunft noch zeigen müssen. Eine Enthaftungswirkung darf derzeit jedoch bezweifelt werden, da es zum Einen an der rechtlichen Verbindlichkeit fehlt und es sich zum Anderen um eine Überprüfung von Prozessen nach betriebswirtschaftlichen Grundsätzen handelt, die nicht die Beurteilung von Rechtsfragen zum Gegenstand hat.[27]
18
In erster Linie gilt es, Zuständigkeiten zu definieren. Schwierig ist es dabei grundsätzlich, wenn eine bereits bestehende Struktur zusätzlich noch Compliance-Aufgaben übernehmen soll, ohne dass organisatorisch oder personell Konsequenzen gezogen werden. Ein solcher Aufbau läuft immer Gefahr, dass die Compliance-Arbeit nur als lästige zusätzliche Tätigkeit wahrgenommen wird und in der täglichen Arbeit ein Schattendasein führt. Die Effizienz einer Funktionszuweisung an einen Mitarbeiter dergestalt, dass er zu seiner Tätigkeit anteilsmäßig die Funktion des Compliance Officer des entsprechenden Bereiches übertragen erhält, hängt nicht zuletzt auch von der Größe des Umfelds ab, in dem er agiert, sowie den dort auftretenden Risiken.
19
Dass die Compliance-Officer disziplinarisch nicht dem jeweiligen Fachbereich unterstellt sein sollten, den sie kritisch zu beraten haben, versteht sich von selbst.[28] Auch dass die Compliance-Funktion „ganz oben“ in der Geschäftsleitung verankert sein muss, dürfte allgemein anerkannt sein. Bei multinationalen Unternehmen ist es wichtig, dass auch die Compliance-Organisation multinational untergliedert und ausgerichtet ist. Dies ergibt sich schon daraus, dass sich aus der jeweiligen lokalen Organisationsstruktur regelmäßig andere rechtliche Pflichtenbindungen ergeben, denen Rechnung getragen werden muss. Wichtig ist somit nicht nur für die Mitarbeiter vor Ort, sondern auch für die Konzernoberleitung ein kompetenter Ansprechpartner. Im Interesse der eigenen Reputation sollten Unternehmen durch strukturelle Maßnahmen oder durch Bindung der lokalen Vorstände und Geschäftsführer darauf achten, dass die Compliance-Standards im Konzern auch vor Ort gewahrt werden.
20
Rivalitäten können sich insbesondere dann ergeben, wenn zu einer bestehenden Rechtsabteilung eine neue Compliance-Abteilung hinzukommt. Auch die Durchführung einer internen Untersuchung kann zu Differenzen über die Zuständigkeit führen. Wer führt diese aus und steuert die Internal Investigation? Wie und vor allem durch wen sind die Ergebnisse rechtlich zu würdigen? Und welche Schlüsse werden hier für das Management gezogen? Wer überwacht ggf. eingeleitete Korrekturmaßnahmen (Remediation)?
21
Es macht sicherlich Sinn, sämtliche Tätigkeiten, die im Zusammenhang mit strafrechtlichen Ermittlungen stehen oder Compliance-Bezug haben, auch auf die Compliance-Abteilung zu übertragen. Bei einer entsprechenden Größe des Unternehmens sollte eine Compliance-Abteilung auch durch eigene Inhouse-Juristen unterstützt werden, die organisatorisch von der allgemeinen (zivilen) Rechtsabteilung getrennt sind. Eine klare funktionelle Untergliederung ist hier schon deswegen angezeigt, um die Rechtsabteilung, deren Aufgabe es ist, das operative Geschäft zu beraten, vor Interessenkonflikten zu schützen.
2. Teil Emittenten-Compliance › 2. Kapitel Aufbau einer kapitalmarktbezogenen Compliance-Organisation bei Emittenten › IV. Aufbau einer Compliance-Organisation/Besonderheiten der Emittenten-Compliance
