Compliance

4. Konzeption und Gliederung des SCC 2008

258

Die Idee der Gliederung des SCC 2008 war, mit den Grundsätzen ordnungsgemäßer Compliance als eine Art übergeordneter Regelung zu beginnen und danach einzelne „Bücher“ oder Module fertig zu stellen. Der SCC 2008 ist somit wie folgt aufgebaut bzw. enthält die folgenden Regelungen:

259

Überbau und Modul 1 sind die „Grundsätze ordnungsgemäßer Compliance“.

260

Modul 2 zuletzt geändert im Jahr 2010, enthält jeweils einen ausführlichen Teil zu „Insiderrecht“ und „Marktmanipulation“ und einen dritten Abschnitt zu „Meldepflichten“. Im ersten Abschnitt wird auf den Begriff der „compliance-relevanten Informationen“, die Insidertatbestände des § 48a und b BörseG, die Finanzinstrumente des WAG 2007 und auch auf die drei Eckpfeiler des ursprünglichen SCC, sprich die Vertraulichkeitsbereiche, die Beobachtungsliste und die Sperrliste näher eingegangen. Zusätzlich wird die Handels- und Beratungsbeschränkung bei Sperrlistennotizen behandelt.

Jedes Kreditinstitut muss für sich organisatorisch Vertraulichkeitsbereiche (auch Chinese Walls genannt) definieren. Als „klassische Vertraulichkeitsbereiche“ wurden neben Wertpapierhandel auch Emission und Research, natürlich Vermögensverwaltung und Fonds- bzw. Portfoliomanagement, aber auch die Beratung genannt. U.U. müssen aber auch andere Geschäftsbereiche, so etwa die Kreditabteilung, einen Vertraulichkeitsbereich darstellen.

Die innerhalb eines Vertraulichkeitsbereiches angefallenen compliance-relevanten Informationen dürfen diesen Bereich grundsätzlich nicht verlassen. Da es zu betriebsnotwendigen Weitergaben kommen kann oder muss, dürfen compliance-relevante Informationen nur mit Wissen des Bereichsleiters und des Compliance Officers weitergegeben werden, wobei eine diesbezügliche Dokumentationspflicht besteht. Weiterhin ist es unbedingt erforderlich, das Zusammenwirken kreditinstitutsinterner Stellen bei der Bearbeitung von Geschäftsfällen festzulegen. Mitarbeiter müssen ex ante wissen, mit wem sie bedenkenlos kommunizieren dürfen. Grundsätzlich wird auf die betriebsgrößenspezifischen Erfordernisse des Bankbetriebs abgestellt.

Der Kontrolle, ob die Vertraulichkeitsbereiche „dicht halten“, dient das Instrument der Beobachtungsliste (Watch List). Dabei handelt es sich um eine interne, nur Compliance bekannte Liste, auf die Finanzinstrumente gesetzt werden, bei denen compliance-relevante Informationen anfallen können, oder schon angefallen sind. Die Eintragung auf der Beobachtungsliste hat keine rechtlichen Folgen, vor allem gibt es keine Handels- und Beratungsbeschränkungen. Die Eintragung dient lediglich der Beobachtung von Eigenhandels- und Mitarbeitergeschäften, die den Verdacht nahelegen, dass compliance-relevante Information unfair ausgenützt worden sind.

Im Gegensatz dazu stehen auf der Sperrliste (Restricted List) Finanzinstrumente, bei deren Emittenten sich Informationen verdichten oder über die neue Information in das Kreditinstitut dringen, aufgrund derer sofortige wesentliche Kursänderungen bei Bekanntwerden zu erwarten sind. Diese Sperrliste kann kreditinstitutsweit bekannt gemacht werden oder nur bestimmten Abteilungen bzw. Vertraulichkeitsbereichen (man spricht dann von einer selektiven Sperrliste). Die Entscheidung darüber trifft Compliance. Finanzinstrumente sollen nur kurz, bis zum Bekanntwerden, auf der Sperrliste stehen. In Finanzinstrumenten der Sperrliste darf nicht aktiv gehandelt bzw. nicht aktiv beraten werden. Der zweite Abschnitt dieses Moduls beschäftigt sich mit der Marktmanipulation. Behandelt werden insbesondere jene Praktiken, welche mit den börsengesetzlichen Marktmanipulationsverboten gem. § 48a Abs. 1 Z 2 BörseG unvereinbar sind. In einem weiteren Teil werden die sogenannten „Safe Harbours“, nämlich der Handel mit eigenen Aktien im Rahmen von Rückkaufprogrammen sowie die Maßnahmen zur Stabilisierung des Preises von Finanzinstrumenten nach § 48e Abs. 6 BörseG i.V.m. der VO (EG) 2273/2003 zur Durchführung der Richtlinie 2003/06/EG behandelt. In zwei weiteren Punkten wird näher auf die Meldepflicht eines Verdachts auf Marktmanipulation und den Vorbehalt eines Kreditinstitutes, Mitarbeitergeschäfte zu beschränken oder ex post zu stornieren, eingegangen.

Der dritte und letzte Abschnitt geht näher auf die Meldepflichten ein und beschäftigt sich insbesondere mit internen Meldungen und den Meldungen an die FMA.

261

Modul 3 beinhaltet die „Richtlinien für Geschäfte von Mitarbeitern in Kreditinstituten“. Diese Richtlinien werden entweder Teil einer allgemeinen Betriebsvereinbarung oder direkt Bestandteil eines Arbeitsvertrages.

262

Modul 4 regelt „Interessenkonflikte und Vorteile“ und wurde durch die Vorgaben der MiFID notwendig und behandelt die schwierige Frage der Inducements, also grundsätzlich verbotener Vorteile, die ein Kreditinstitut (und nicht der Kunde) erhält. Dieses Modul gibt auch Hinweise auf organisatorische Maßnahmen, wie Konfliktregister oder Konfliktbeobachtungsliste.

263

Modul 5 enthält Ausführungen zum Thema „Orderdurchführung“ und umfasst auch die Thematik der „Best Execution“.

264

Modul 6 beinhaltet die „Österreichischen Analysestandards“ aus 2010. Die bisherigen Analysestandards aus dem Jahr 2005, welche von der FMA mit Rundschreiben v. 6.5.2005 als Markstandard anerkannt und mit minimalen Modifikationen aufgenommen wurden, wurden im Jahr 2010 in engster Abstimmung einer Adaption unterworfen.

265

Modul 7 enthält Sondervorschriften für Kapitalanlagegesellschaften, da diese ja nur Sondervermögen verwalten und vom Wirkungsbereich der MiFID weitestgehend ausgenommen sind.

5. Standard Compliance Code der Österreichischen Versicherungswirtschaft (SCCV)

266

Versicherungsunternehmen sind nach § 82 Abs. 5 BörseG verpflichtet, zur Hintanhaltung von Insider-Geschäften die in den §§ 82 Abs. 5 Z. 1–3 BörseG genannten Maßnahmen zu treffen, also auch dann, wenn sie selbst nicht als Emittent auftreten. In diesem Lichte, sowie basierend auf § 16 WAG hat der Verband der Versicherungsunternehmen Österreichs einen Standard Compliance Code der Österreichischen Versicherungswirtschaft verabschiedet,[8] mit dem die Versicherungsunternehmen einen unzulässigen Umgang mit noch nicht öffentlich zugänglichen Informationen, die anlage- bzw. preisrelevant sind, verhindern, Verstöße aufdecken und ggf. Sanktionen verhängen, die von eingeschränkten Geschäftsmöglichkeiten des Mitarbeiters bis zu arbeitsrechtlichen Konsequenzen reichen. Dieser SCCV bezieht sich auf die Bereiche Vermögensveranlagung und -verwaltung, inklusive Beteiligungsverwaltung und Elementar- und Vermögensschadenversicherung von börsenotierten Unternehmen.

Der SCCV ist ein Mindeststandard, den jedes Versicherungsunternehmen seinen unternehmensinternen Richtlinien zugrunde legt. Diese beschreiben jedenfalls die Vertraulichkeitsbereiche, den Compliance-Beauftragten, die Form der Mitarbeiterinformation und bei Emittenten die Vorgangsweise bei Geschäften mit Wertpapieren des eigenen Unternehmens.

Anmerkungen

[1]

Kalss/Oppitz/Zollner Kapitalmarktrecht, 2005, Band I, S. 522.

[2]

Oppitz ÖBA 2007, 954.

[3]

BGBl I Nr. 107/2007; BGBl I Nr. 108/2007.

[4]

Gilt auch für die Sparkassen gem. § 17 SpG.

[5]

Betrifft gem. § 28a Abs. 5 BWG Kreditinstitute mit Bilanzsumme zum Zeitpunkt der Wahl über 750 Mio. EUR; gem. § 11a Abs. 5 VAG Versicherungsunternehmen, deren verrechnete Prämien zum Zeitpunkt der Wahl 500 Mio. EUR übersteigen.

[6]

Schmidbauer ecolex 2008, 234 ff.

[7]

Gilt für Wahl nach 1.1.2008; bei bereits angenommenen Vorsitzmandaten gilt der Fit-and-Proper Test bis zum Ablauf der Funktionsperiode, längstens bis 31.12.2010 nicht.

[8]

Abrufbar im Internet unter www.fma.gv.at/cms/site/DE/einzel.html?channel=CH0387.

2. Kapitel Grundlagen für Compliance › C. Schweiz

C. Schweiz[1]

Anmerkungen

[1]

Herrn Michele Vitali, MLAW, BSc in BWL, sowie Frau Marianne Müller, M.A. HSG, sei für ihre Unterstützung bei Literatur- und Rechtsprechungsrecherchen im Zusammenhang mit der Aktualisierung des Texts herzlich gedankt.

2. Kapitel Grundlagen für Compliance › C. Schweiz › I. Einführung

I. Einführung

267

Unter dem Begriff Compliance wird im schweizerischen Recht die Gesamtheit der Regeln und organisatorischen Maßnahmen verstanden, die darauf gerichtet sind, die Einhaltung aller für eine Organisation einschlägigen Gesetzesvorschriften, regulatorischen Standards und Selbstregulierungsnormen sicherzustellen, kritische Vorfälle frühzeitig aufzudecken und im Fall von relevanten Regelverstößen geeignete Maßnahmen zur Herstellung eines regelkonformen Zustands und zur Vermeidung von Wiederholungen zu treffen. Es liegt in der Natur der Sache, dass es sich bei den relevanten Vorschriften in Abhängigkeit von der Branche, dem geografischen Tätigkeitsgebiet und der Struktur des Unternehmens um ganz unterschiedliche Regeln handeln kann. Gewisse Branchen, insbesondere der Finanz- und Pharmasektor, unterliegen einer engmaschigen staatlichen Regulierung und Aufsicht. In nicht-regulierten Industrien ergeben sich die gesetzlichen Anforderungen an die Geschäftstätigkeit des Unternehmens demgegenüber aus allgemeinen Regeln und Standards, z.B. hinsichtlich der Vermeidung strafrechtlich relevanten Verhaltens. Unternehmen in nicht regulierten Wirtschaftsbereichen verfügen folglich über einen erheblich größeren Spielraum in der Ausgestaltung ihrer Compliance-Organisation; gleichzeitig kann es das Fehlen verbindlicher gesetzlicher Vorgaben aber auch schwieriger machen, die adäquaten Maßnahmen und Vorkehrungen zu bestimmen.

268

Im schweizerischen Recht haben sich die Anforderungen an die unternehmensinterne Compliance im Wesentlichen aus der Rechtsprechung zur zivilrechtlichen Organhaftung sowie zur strafrechtlichen Geschäftsherrenhaftung entwickelt. Aufbau und Durchsetzung adäquater Strukturen und Maßnahmen zur Einhaltung aller Rechtsvorschriften gehören zu den nicht-delegierbaren Aufgaben des Verwaltungsrats von Aktiengesellschaften (Art. 716a Abs. 1 Ziff. 1, 2 und 5 OR) bzw. der Geschäftsführung einer GmbH (vgl. Art. 810 Abs. 2 Ziff. 1, 2 und 4 OR).

Außerdem hat das Bundesgericht schon früh festgehalten, dass die obersten Leitungsorgane für Gesetzesverletzungen im Machtbereich des Unternehmens einzustehen haben, wenn ihnen eine Garantenstellung zukommt. Der „Tone from the top“ (BGE 96 IV 155); die Notwendigkeit einer unternehmensspezifischen Risikoerfassung, risikoadäquater interner Kontrollen (BGE 122 IV 103; 125 IV 9; 6, S.447/2003) und klarer Verhaltensweisungen (BGE 96 IV 155, 125 IV 9); einer klaren und straffen Organisation mit Verantwortlichkeits- und Vertretungsregelungen (BGE 125 IV 9); das Erfordernis eines ausreichenden Informationsmanagements und der Dokumentation des betrieblich wichtigen Knowhows (BGE 125 IV 9) gehören damit bereits seit Langem zum Kanon der richterlichen Anforderungen an ein adäquates Compliance-Management. Im Licht der heutigen Unternehmenspraxis und der Erwartungen in- und ausländischer Behörden sind darüber hinaus, jedenfalls für große, international tätige Unternehmen, weiter der Betrieb einer Whistleblower-Hotline und, im Fall vermuteter Regelverstöße, die Durchführung von internen Untersuchungen dazu zu rechnen.

Auf Gesetzesebene wurde die Notwendigkeit risikoadäquater Compliancemaßnahmen sodann vor allem für den Finanzsektor durch das Geldwäschereigesetz (GwG) und eine Reihe von Ausführungsverordnungen sowie Rundschreiben der Finanzmarktaufsichtsbehörde (FINMA) konkretisiert. Es folgte 2003 die Bestimmung zur Unternehmensstrafbarkeit im Strafgesetzbuch (Art. 102 StGB). Danach kann das Fehlen adäquater Maßnahmen zur Verhinderung von Verbrechen oder Vergehen im Rahmen des Unternehmenszwecks dazu führen, dass sich das Unternehmen selbst – ggf. neben einzelnen Mitarbeitern oder Leitungsorganen – strafbar macht. Neben einer bloß subsidiären Strafbarkeit für allgemeine Delikte besteht dabei eine generelle Strafbarkeit des Unternehmens für das Unterlassen adäquater organisatorischer Maßnahmen zur Verhinderung von Geldwäscherei, aktiver Bestechung, Terrorismusfinanzierung sowie der Beteiligung an (bzw. Unterstützung von) kriminellen Organisationen.

269

Rechtstatsächlich wurde die Bedeutung der Compliance zunächst vor allem von größeren und international tätigen Gesellschaften erkannt; inzwischen hat sich aber die Überzeugung durchgesetzt, dass risikoadäquate Compliance-Maßnahmen in Unternehmen jeglicher Größe erforderlich sind. Die Unternehmensorganisationen werden durch entsprechende Abteilungen ergänzt, entweder separat oder – seltener – als Teil der Rechtsabteilung, wobei große Unterschiede hinsichtlich der verfügbaren Ressourcen bestehen. Fachverbände wie Ethics and Compliance Switzerland (ECS) oder die Swiss Association of Compliance Officers (SACO) fördern den Erfahrungsaustausch, insbesondere auch hinsichtlich der Strukturierung und laufenden Überprüfung adäquater Compliance-Management-Systeme.

270

Im Sinne des für dieses Handbuch geltenden Compliance-Begriffs soll nicht auf die gesamte Gesetzgebung eingegangen werden – denn grundsätzlich verpflichtet jeder Gesetzesartikel des zwingenden Rechts zur Compliance –, viel mehr soll spezifisch im Hinblick auf die regulatorische Entwicklung der letzten Jahre und der diesbezüglichen Praxis von Behörden und behördenähnlichen Institutionen berichtet werden. Dies geschieht immer unter dem Blickwinkel, dass sich eine ausländische Gesellschaft in der Schweiz ansiedeln will, sei es mit ihrem Headquarter oder aber – was häufiger der Fall ist – durch ihre Tochtergesellschaft.

271

Auf zwei Besonderheiten des Schweizer Rechts ist dabei vorweg noch einzugehen:

272

Hinzu kommt ein kulturelles Element: Schweizerische Behörden, selbst solche mit Untersuchungsaufgaben – wie z.B. die Wettbewerbskommission, die Finanzmarktaufsicht (FINMA) und Steuerämter – verhalten sich in der Regel bürgernah und kundenfreundlich. Wer mit ihnen in Kontakt tritt, wird nicht a priori als Gegner empfunden. Mit den meisten Behörden besteht die Möglichkeit, Vorhaben oder offene Fragen zu diskutieren. Oft zeigen die Behörden auch einen Weg auf, um ein Problem zu lösen. Dies bedeutet nicht, dass schweizerische Behörden keine harten Sanktionen aussprechen oder das Recht nicht effektiv und unter Wahrung rechtsstaatlicher Garantien durchsetzen. Dennoch ist die Beziehung zwischen Unternehmen und Behörden stärker durch Kooperation geprägt, als dies in Deutschland der Fall ist.

2. Kapitel Grundlagen für Compliance › C. Schweiz › II. Unternehmensstrafrecht und Compliance-Management

II. Unternehmensstrafrecht und Compliance-Management

1. Unternehmensstrafrecht

273

Seit dem 1.10.2003 besteht in der Schweiz ein Unternehmensstrafrecht, d.h. Unternehmen können strafrechtlich mit einer Buße bis zu 5 Mio. CHF belangt werden. Unter gewissen Voraussetzungen kann das Fehlen einer adäquaten Compliance-Organisation damit auch strafrechtlich sanktioniert werden. Die entsprechende Regelung in Art. 102 Strafgesetzbuch (StGB) umfasst zwei Sachverhalte:

Bemessungsgrundlage für die Buße sind sowohl die wirtschaftliche Leistungsfähigkeit des Unternehmens als auch die Schwere der Tat, die Größe des Schadens und die Schwere des Organisationsverschuldens (Art. 102 Abs. 3 StGB).

274

Daneben bestehen in einzelnen Gesetzen Bestimmungen über die Strafbarkeit des Unternehmens, wie etwa im Bundesgesetz über die direkte Bundessteuer (DBG) oder im Steuerharmonisierungsgesetz (StHG), je im Zusammenhang mit Steuerhinterziehung durch das Unternehmen. Im Verwaltungsstrafrecht (also bei strafbewehrten Verstößen gegen Verwaltungsgesetze) des Bundes können die strafverfolgenden Behörden nach dem sog. Opportunitätsprinzip auf die Fahndung nach verantwortlichen Einzelpersonen verzichten und stattdessen das Unternehmen büßen; Voraussetzung ist allerdings, dass eine Buße von maximal 5 000 CHF in Betracht fällt (Art. 7 des Bundesgesetzes über Verwaltungsstrafrecht, VStrR). Außerhalb dieser Spezialbestimmungen und der generellen Norm zur strafrechtlichen Haftung von Unternehmen (Art. 102 StGB) können juristische Personen nicht strafrechtlich wegen Gesetzesverletzungen in ihrem Machbereich verfolgt werden. Allerdings können im typischen Risikobereich des Unternehmens begangene Straftaten nach den Regeln der Geschäftsherrenhaftung unter bestimmten Voraussetzungen den Leitungspersonen mit beherrschender Stellung zugerechnet werden. Rechtsgrundlage ist in diesem Fall Art. 11 StGB bzw. im Verwaltungsstrafrecht Art. 6 VStrR. Weiter kann ein Unternehmen ungeachtet seiner Strafbarkeit den Zugriff auf Erlöse verlieren, die als Deliktserlöse zu qualifizieren sind (Art. 70–73 StGB). Die letztgenannten Sanktionen sind, obschon keine Kriminalstrafen, häufig für Unternehmen ungleich schmerzlicher (da in der Regel mehrfach höher) als die eigentlichen Unternehmensbußen nach den Bestimmungen über die Unternehmensstrafbarkeit. Trotz verbreiteter Kritik werden schließlich Kartellrechtsverstöße nach den besonderen Verfahrensnormen des KG untersucht und geahndet. Prozessual unterliegen kartellrechtliche Sanktionen gem. Art. 49a KG nicht den Regeln des Unternehmensstrafrechts, womit sich betroffene Unternehmen nicht auf den Schutz strafprozessualer Grundsätze berufen können.

275

Mit Ausnahme der vorgenannten spezialgesetzlichen Bestimmungen ist somit für das Unternehmensstrafrecht die Bestimmung von Art. 102 StGB zur Strafbarkeit für mangelhafte Organisation zentral. Die subsidiäre Haftung für Nichtauffinden eines Individualtäters im Unternehmen gem. Abs. 1 der Bestimmung hat in der Praxis kaum Bedeutung erlangt, wie auch durch einen kürzlich ergangenen Entscheid zu Compliance-Verstößen bei PostFinance bestätigt wird (vgl. dazu, allerdings stark einschränkend, BGer 6B_124/2016 vom 11.10.2016). Sehr wohl relevant ist aber die zweite Variante: Die Unternehmenshaftung für mangelhafte Compliance zur Verhinderung von aktiver Korruption, Geldwäscherei, etc. Die für die Vermeidung der Unternehmensstrafbarkeit notwendigen Compliance-Maßnahmen knüpfen im Wesentlichen an die Compliance-Prinzipien an, die das Bundesgericht im Zusammenhang mit der strafrechtlichen Geschäftsherrenhaftung von Verwaltungsrats- und Geschäftsführungsmitgliedern entwickelt hat.