Die Einrichtung einer Compliance-Organisation in mittleren und größeren Unternehmen der Privatwirtschaft, wie beispielsweise in Pharmaunternehmen, ist inzwischen nahezu selbstverständlich geworden. Dazu hat auch der Deutsche Corporate Governance Kodex beigetragen. Er fordert u. a. die Einrichtung eines Compliance Management Systems (CMS) durch den Vorstand sowie die Befassung des Aufsichtsrats mit der Compliance-Struktur des Unternehmens. Er entfaltet eine Abstrahlwirkung auch auf nicht börsennotierte Unternehmen, und wichtige Themen – wie beispielsweise die Forderung nach einem CMS – sind in diversen Public Corporate Governance Kodizes Teil der Anforderungen geworden, welche die öffentliche Hand an Organisationen mit staatlicher Beteiligung stellt.

Dennoch stehen viele Krankenhäuser bei der Frage nach der Ausgestaltung eines risikoadäquaten CMS weitgehend am Anfang. Viele setzen sich intensiv damit auseinander, welche Strukturen für regelkonformes Verhalten in der Organisation geschaffen werden sollten, um das Risiko für Compliance-Verstöße zu reduzieren und die Wahrscheinlichkeit zu erhöhen, dass ein dennoch stattfindender Compliance-Verstoß tatsächlich entdeckt wird.

Die finanziellen und strukturellen Möglichkeiten von Kliniken zur Einführung eines CMS unterliegen allerdings engen Grenzen. Die Compliance-Organisation muss nicht selten mit knappen Mitteln einer Stabsstelle miterledigt werden, die ihrerseits noch weitere Aufgaben erfüllt. Die mit Compliance-Aufgaben betrauten Mitarbeiter betreten zudem häufig inhaltliches Neuland.

Das Institut der Wirtschaftsprüfer (IDW) als berufsständische Organisation der deutschen Wirtschaftsprüfer hat schon im Jahr 2011 mit dem Prüfungsstandard 980 ein Rahmenwerk geschaffen, um die Berufsauffassung der Wirtschaftsprüfer zur Prüfung von Compliance Management Systemen festzulegen und zu dokumentieren. Es hat damit zugleich ein gewisses Vakuum in der Frage der konkreten Ausgestaltung eines CMS gefüllt. Durch die Konkretisierung der Anforderungen an ein risikoadäquates CMS in Form von sieben Grundelement ist neben einer konkreten Grundlage für CMS-Prüfungen auch ein nützliches Gerüst zur Strukturierung und Priorisierung der Ausgestaltung eines CMS entstanden.

Es zählt zu den unvermeidlichen Schwierigkeiten bei seiner Gestaltung, dass Angemessenheit und praxisorientierte Umsetzbarkeit sehr stark von der Branche, vom Geschäftsmodell und vor allem von der Größe eines Unternehmens abhängig sind. Daher wird mit diesem Buch der Versuch unternommen, die grundsätzlich formulierten Anforderungen zu den sieben Grundelementen eines CMS im Sinne des IDW PS 980 auf die rechtlichen, organisatorischen und finanziellen Rahmenbedingungen eines Krankenhauses zu projizieren. Auf diese Weise möchte dieses Buch eine Praxisunterstützung für Geschäftsführer¹ und Mitarbeiter von Krankenhäusern bei der Einrichtung eines CMS bieten. Die Erfahrungen der Autoren in diesem Prozess – einerseits aus der Innensicht des Krankenhauses, andererseits aus der prüferischen Außenperspektive – sollen so für Krankenhäuser nutzbar gemacht werden.

Dieser große Themenkreis sprengt allerdings den Zuschnitt des Buches und bietet Raum für weitere Werke, weshalb hier nur ein thematischer Anriss erfolgt.

Bei Redaktionsschluss dieses Buches lag der Referentenentwurf eines Verbandssanktionengesetzes vor, mit dem das im Volksmund sogenannte »Unternehmensstrafrecht« in Deutschland eingeführt werden soll. Damit würde dieser Grundsatz weiter aufgeweicht, der Begriff »Strafe« jedoch vermieden. Der Verbandsbegriff im derzeitigen Gesetzentwurf umfasst alle Arten von juristischen Personen, also auch Vereine, Verbände im engeren Sinne sowie juristische Personen des öffentlichen Rechts. Dazu würden also auch Krankenhäuser, unabhängig von Rechtsform und Trägerschaft, gehören. Auf der Ebene der Sanktionen sind in dem Entwurf die Option der »Verbandsauflösung« enthalten sowie ein öffentliches Verbandssanktionenregister. Bei der Höhe der Verbandssanktion wirken sich Vorkehrungen zur Vermeidung von Verbandstaten, die das Unternehmen im Vorhinein getroffen hat, also insbesondere die nachweisbare Einführung eines wirksamen CMS, zu Gunsten des Unternehmens auf die Bemessung der Geldsanktion aus.

Kernstrafrechtliche Haftungsrisiken bestehen hingegen für die unmittelbar Straftatbegehenden, also denjenigen Mitarbeiter, der persönlich regelwidrig gehandelt hat (z. B. durch Bestechlichkeit und Bestechung) und die nach den Grundsätzen der Beteiligungslehre Mitwirkenden (§§ 25 ff. StGB). Insbesondere durch die strafrechtlichen Zurechnungsmodelle der Mittäterschaft, mittelbaren Täterschaft, Anstiftung und Teilnahme sowie durch das weite Feld der Unterlassungsdelikte mit entsprechender Garantenstellung kraft vertraglich, gesetzlich oder aufgrund von pflichtwidrigem Vorverhalten übernommener Verpflichtung, erfasst der Kreis der Verantwortlichen leicht auch gesetzliche Vertreter, also Vorstand bzw. Geschäftsführer, und weitere Leitungsebenen.

Gerade die Möglichkeit einer Tatbegehung durch Unterlassen aufgrund einer sogenannten Überwachungsgarantenpflicht zur Verhinderung von Straftaten aus dem Unternehmen heraus hat die Rechtsprechung sogar für Compliance-Verantwortliche vereinzelt angenommen. Je nach arbeitsvertraglicher Ausgestaltung, Stellenbeschreibung und vor allem tatsächlicher Übernahme überträgt das Unternehmen nämlich eigene Leitungs- und Kontrollaufgaben als Delegation funktionaler Kompetenz und Herrschaft auf Compliance-Verantwortliche. Zur Last fallen einerseits intern unentdeckte Pflichtverletzungen mit externen Konsequenzen infolge Überwachungsversagens sowie andererseits fortgesetzte Rechtsverstöße des Unternehmens aufgrund unterbliebener Berichte an die Geschäftsleitung.

Daneben bestehen sanktionenrechtliche Risiken aus dem Recht der Ordnungswidrigkeiten für Verantwortungsträger. Im Gegensatz zu der oben beschriebenen strafrechtlichen Handelndenhaftung geht die Individualhaftung aus § 130 OWiG tatbestandlich deutlich weiter. Danach handelt ordnungswidrig, wer als Inhaber eines Unternehmens vorwerfbar Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, wenn eine solche Zuwiderhandlung begangen wird, die eine gehörige Aufsicht verhindert oder wesentlich erschwert hätte.

Zu den nötigen Aufsichtsmaßnahmen gehören die sorgfältige Auswahl, Instruktion, Organisation, Überwachung und Sanktionierung von Mitarbeitern. Unabhängig von Vorsatz oder Fahrlässigkeit begründet bereits der durch einen Mitarbeiter begangene Rechtsverstoß gegen Pflichten des Unternehmensinhabers die Ahndbarkeit eines Vergehens gem. § 130 OWiG. Dabei muss diese Anknüpfungstat nicht einmal unmittelbar mit der Aufsichtspflichtverletzung verknüpft sein, eine nur mittelbare Verbindung über Aufsichtspflichtenketten genügt bereits.

Bei einer juristischen Person ist die Gesellschaft selbst Unternehmensinhaber und damit Pflichtenträger des § 130 OWiG. Da sie als solche aber nicht handlungsfähig ist, trifft die Aufsichtspflicht nach der Zurechnungsnorm des § 9 Abs. 1 Nr. 1 OWiG grundsätzlich das inhaltlich ressortzuständige Leitungsorgan. Auch für die anderen Organe bestehen abgestufte Aufsichtspflichten in Form von Kontroll- oder Überwachungspflichten, ob jedes Leitungsorgan die ihm zugewiesenen Aufgaben tatsächlich erfüllt. Falls und solange allerdings keine eindeutige Aufgabenverteilung innerhalb des Gesamtorgans stattfindet, verbleibt die strafrechtliche Haftung bei allen Organmitgliedern gemeinsam (Grundsatz der Allzuständigkeit jedes einzelnen Organmitglieds). Jeder einzelne ist dann folglich umfassend aufsichtspflichtig.

Je nach konkreter Betriebsorganisation besteht darüber hinaus ein nicht unerhebliches Haftungsrisiko für leitende Angestellte nach § 9 Abs. 2 OWiG, sofern sie mit der eigenverantwortlichen und selbständigen Wahrnehmung von Aufgaben des Betriebsinhabers betraut sind. Ungeklärte Zuständigkeiten führen dabei nicht zu Enthaftungseffekten, sondern – ganz im Gegenteil – zu Haftungsvervielfachungen, wie sie aus dem Modell der Allzuständigkeit in der Krise bekannt sind.

Zwar ist die Geschäftsleitung nicht verpflichtet und auch gar nicht imstande, höchstpersönlich die unmittelbar notwendigen Maßnahmen zu ergreifen, mittelbar muss sie aber ein hierarchisches System etablieren, durch welches rechtmäßiges Handeln sichergestellt wird. Konkreter bedeutet es die Erfüllung der Grundsätze sorgfältiger Personalauswahl, Organisation und Überwachung. Sie hat darauf zu achten, dass die ihr direkt unterstellte Leitungsebene entweder selbst die beschriebenen Anforderungen erfüllt oder ihrerseits durch nachgeordnete Hierarchieebenen erfüllen lässt. Das System muss also jedenfalls in seiner Wirkweise Straftaten und Ordnungswidrigkeiten vermeiden, wobei Kenntnisdefizite nicht entlasten. Falls notwendige Aufsichtsmaßnahmen nicht oder lediglich unzureichend erfolgen, entsteht eine hierarchisch gestaffelte Verletzungskette von Aufsichtspflichten, die letztlich zu einem Pflichtenverstoß und damit zur Geschäftsleitungshaftung nach §§ 130 Abs. 1, 9 Abs. 1 Nr. 1 OWiG führt.

Alle Straftaten und Ordnungswidrigkeiten können Bezugstaten i. S. d. § 130 OWiG bilden. Als Folge drohen hier nach § 130 Abs. 3 S. 1 OWiG Individualgeldbußen für Täter und Teilnehmer von bis zu einer Million Euro, wobei nach § 130 Abs. 3 S. 2, 3 OWiG rechnerisch sogar noch höhere Summen möglich sind.

Zugleich ist auch die Gesellschaft als juristische Person möglicher Adressat von Bußgeldbescheiden nach § 30 OWiG. Als tatbestandlich vorausgesetzte, betriebsbezogene Bezugstaten kommen wiederum die genannten sanktionsbewehrten Verstöße, nun einschließlich § 130 OWiG, in Betracht. Nach § 30 Abs. 2 Nr. 1 OWiG drohen bereits bis zu 10 Millionen Euro Bußgeld, welches wiederum nach § 30 Abs. 2 S. 2, 3 OWiG rechnerisch höher liegen kann. Obendrein ist durch die Verweisung von § 30 Abs. 3 OWiG auf § 17 Abs. 4 OWiG die um ein Vielfaches höhere und insbesondere von süddeutschen Staatsanwaltschaften gerade in der jüngeren Vergangenheit mehrfach in Anspruch genommene Abschöpfungsmöglichkeit zu beachten.

Bei der Wahrnehmung der Pflichten kommt ihr nach den Maßstäben der »Business Judgement Rule« aus § 93 Abs. 1 S. 2 AktG (ggf. analog) ein unternehmerischer Ermessensspielraum zu. Hiernach sind auf der Basis einer ex-ante Betrachtung vernünftige unternehmerische Entscheidungen auf der Grundlage angemessener Informationen zum Wohle der Gesellschaft zu treffen. Dies findet seine Grenze im Legalitätsprinzip als der Kardinalpflicht zu rechtmäßigem Handeln, denn für illegales Verhalten darf es auch im Unternehmen keinen »sicheren Hafen« geben.

Ein eindrucksvolles Beispiel aus jüngerer Vergangenheit für die Bedeutung gesetzestreuen Vorstandsverhaltens bildet das Siemens/Neubürger-Urteil des Landgerichts (LG) München I mit der Verurteilung des ehemaligen Finanzvorstands zu 15 Millionen Euro Schadenersatz wegen Verletzung von Aufsichtspflichten. Laut LG München I muss ein Vorstandsmitglied in der Weise für eine Organisation und Beaufsichtigung im Unternehmen sorgen, dass Gesetzesverletzungen unterbleiben. Erforderlich sind daher Prävention und Ahndung inklusive Abstellung von Verstößen, mithin ein komplett funktionsfähiges CMS. Insbesondere folgt hieraus die Verpflichtung jedes einzelnen Vorstandsmitglieds zu ausreichenden Maßnahmen zur Aufklärung, Untersuchung und Unterbindung von zur Kenntnis gebrachten Gesetzesverletzungen. Die aus gesellschaftsrecht...