Die Strafabteilung des US-Justizministeriums „Criminal Division of the U.S. Department of Justice“ (DoJ) hat am 1. Juni eine Aktualisierung ihres Leitfadens mit dem Titel „Evaluation of Corporate Compliance Programs“ zur Bewertung der Wirksamkeit von Compliance-Programmen veröffentlicht.

Unternehmen mit geschäftlichen Beziehungen in die USA sollten sich intensiv mit den Anforderungen der amerikanischen Strafverfolgungsbehörden auseinandersetzen. Es reichen bereits kleinste Berührungspunkte, wie zum Beispiel die Beschäftigung von US-Bürgern oder die Eröffnung von Bankkonten bei US-Banken. Aufgrund der daraus folgenden Verbindung zu den USA können Verstöße zu Ermittlungen der US-Strafverfolgungsbehörden und ggf. zu Sanktionen gegen das Unternehmen führen.

Hierbei spielt der Leitfaden des DoJ hinsichtlich des Vorhandenseins, der Rahmenbedingungen sowie der Effektivität und Angemessenheit eines Corporate-Compliance-Programms eine wesentliche Rolle. Auch, um besser verstehen zu können, was dem DoJ bei einem Corporate-Compliance-Programm wichtig ist.

Der Leitfaden, der 2017 veröffentlicht und im April 2019 überarbeitet wurde, bietet einen wertvollen Einblick in die derzeitigen Prioritäten des DoJ und ist ein nützlicher Maßstab für Unternehmen, um ihr Compliance-Programm beurteilen zu können. Die Publikation verdeutlicht, welche Erwartungshaltung das DoJ hat, wenn es um die Umsetzung eines Compliance-Programms geht. Daher sollten sich deutsche Unternehmen mit Geschäftsbeziehungen in die USA den Leitfaden zunutze machen und sich an diesem orientieren.

er Leitfaden des DoJ beinhaltet drei wesentliche Fragen, die sich aus dem amerikanischen „Justice Manual“ ergeben. Die Fragen bilden auch im Rahmen der jüngsten Aktualisierung des Leitfadens die wesentlichen Kernaspekte, während die Antworten auf diese ein wichtiger Bestandteil bei der Beurteilung strafrechtlicher Untersuchungen durch das DoJ gegen ein Unternehmen sind:

1. Ist das Compliance-Programm des Unternehmens gut konzipiert?
2. Wird das Compliance-Programm im Unternehmen sowohl ernsthaft als auch mit guten Absichten angewendet? 
3. Ist das Compliance-Programm praxistauglich?

Die erste Frage beschäftigt sich vor allem mit Faktoren, die den Rahmen des Compliance-Programms bilden. Diese umfassen Risikoanalysen, Richtlinien und Prozesse, Kommunikation gegenüber den Mitarbeitern, Schulungen, Whistleblower-Systeme, Untersuchungsprozesse sowie den Umgang mit Third Party Risks und Mergers & Acquisitions (M&A). Diese Faktoren sind die Elemente, die bei Ermittlungen gegen ein Unternehmen vom DoJ einzelfallabhängig untersucht werden.

Aktualisierungen in diesem Abschnitt betreffen insbesondere die Risikoanalyse. Das DoJ prüft künftig, ob die Risikoanalyse fortlaufend und unter Berücksichtigung der betrieblichen und funktionsübergreifenden Daten erfolgt. Miteinbezogen werden soll, ob das Unternehmen über einen Prozess verfügt, der zur Nachverfolgung und Eingliederung gewonnener Erkenntnisse in die regelmäßig durchzuführende Risikoanalyse befähigt ist. Hervorzuheben ist zudem die Wichtigkeit, die nun durch die Aktualisierung der Drittparteienprüfung zukommt. Das DoJ fordert, dass Unternehmen ihr Bewusstsein im Hinblick auf Third Party Risks und der Beteiligung von Dritten an Transaktionen im Allgemeinen, stärken.

Ein Third-Party-Risk-Managementsystem sollte daher künftig nicht nur den Beginn einer Geschäftsbeziehung mit Dritten berücksichtigen, sondern die gesamte Geschäftsbeziehung im Blick haben. Im Rahmen von M&A wird gefordert, dass bestehende Prozesse zeitnah und geordnet akquirierte Unternehmen in bestehende Compliance-Strukturen mit aufgenommen werden. Zudem sind Post-M&A Compliance Audits durchzuführen.

Mit der zweiten Frage zielt der Leitfaden des DoJ auf die Effektivität des Compliance-Programms ab sowie dessen Ausstattung in Bezug auf die hierfür erforderlichen Ressourcen. Dieser Abschnitt des Leitfadens verdeutlicht die Relevanz der erforderlichen Verpflichtung des mittleren und oberen Managements eines Unternehmens zum eigenen Compliance-Programm. Zusätzlich sind Anreize zur Einhaltung des Compliance-Programmes vorzuhalten sowie die Qualität und Konsistenz von Disziplinarmaßnahmen bei Verstößen sicherzustellen. Daher darf das Compliance-Programm kein „Papiertiger“ bleiben, sondern sollte im Unternehmen tatsächlich gelebt werden. 

Eine Neuerung des Leitfadens betrifft das Erfordernis der Compliance-Abteilung bezüglich eines ausreichenden Zugangs zu relevanten Daten im Unternehmen. Dadurch soll sichergestellt sein, dass die Compliance-Abteilung zum Beispiel Richtlinien und Prozesse zeitnah und effektiv überwachen sowie überprüfen kann. Sofern Zugangshindernisse bestehen, hat das Unternehmen für Abhilfemaßnahmen zu sorgen.

Die dritte Frage des Leitfadens konzentriert sich darauf, wie das Compliance-Programm im Rahmen von Tests und Reviews verbessert und weiterentwickelt werden kann, wie ein Unternehmen interne Missstände aufdeckt und wie mit Fehlverhalten umgegangen wird. 

Neu ist hierbei der Umstand, dass das DoJ bei einem durch das Unternehmen nicht verhinderten oder nicht unmittelbar aufgedeckten Fehlverhalten daraus den Schluss zieht, dass das Compliance-Programm zum Zeitpunkt des Fehlverhaltens nicht effektiv genug war und deswegen das Fehlverhalten begangen werden konnte. Ein bestehendes Fehlverhalten impliziert somit künftig ein nicht-ordnungsgemäßes Compliance-Programm.

Die Kernaussage des Leitfadens bleibt der Hinweis über die Nicht-Existenz eines Muster-Compliance-Programmes. Die dargestellten Fragestellungen sind daher jeweils unter Berücksichtigung der Unternehmensspezifika und eigener Risikoprofile umzusetzen. Auch das US-Justizministerium berücksichtigt bei der Bewertung der Compliance-Programme die Besonderheiten des jeweiligen Unternehmens. Hauptaufgabe des Unternehmens bleibt die kontinuierliche Überwachung, Anpassung und Weiterentwicklung des Compliance-Programms unter Berücksichtigung der gewonnenen Erkenntnisse aus eigenem Fehlverhalten sowie anderer Unternehmen mit vergleichbarem Risikoprofil.

Die Drittparteienprüfung war bislang bereits wesentlicher Bestandteil des Leitfadens und ist Kernprozess eines jeden Compliance-Management-Systems. Die bisherigen Anforderungen des DoJ sind risikobereichsneutral gehalten und haben daher gemäß des Risikoprofils des eigenen Unternehmens zu erfolgen. Die Strafverfolgungsbehörden sichten im Rahmen von Ermittlungen insbesondere, ob die Vergütung von Dritten in einem angemessenen Verhältnis zu der Arbeit steht, die in der jeweiligen Branche und Region erbracht wird. Unternehmen müssen zudem nachweisen, dass Verträge mit Dritten die erbrachten Leistungen konkret beschreiben und dass der Dritte die Leistung entsprechend ausführt. Außerdem weist das DoJ auf die Relevanz von Drittparteienprüfungen hin. Dies verdeutlicht die Wichtigkeit der Thematik und die potenziellen Risiken, die mit der Vertragsbeziehung mit einem Dritten einhergehen. Das DoJ prüft somit künftig, ob die Beziehung zu Dritten durch das Unternehmen durchgehend überwacht worden ist und ob der Dritte nicht nur bei Vertragsschluss, sondern während der laufenden Geschäftsbeziehung weiterhin überprüft worden ist. Dadurch sollen Risiken in der Kette früher erkannt und entsprechende Abhilfemaßnahmen zügig umgesetzt werden.

Für deutsche Unternehmen mit Geschäftsbeziehungen in die USA ist der Leitfaden des DoJ eine wichtige Hilfestellung und Informationsquelle. Der Leitfaden kann dabei helfen, Anforderungen effektiv umzusetzen und bestehende Lücken im Compliance-Programm zu schließen. Wichtig ist, dass der Leitfaden keine Mustervorlage bietet, sondern dass Unternehmen stets die individuellen Risikoprofile und Besonderheiten im Blick behalten und das Compliance-Programm entsprechend an die eigenen Rahmenbedingungen anpassen. Und Risiken mit Drittparteien rücken vermehrt in den Fokus. Diesbezüglich haben Unternehmen nicht lediglich bei Vertragsschluss, sondern vielmehr im Rahmen der gesamten Geschäftsbeziehung, Risiken im Zusammenhang mit Dritten zu identifizieren und zu mitigieren. 

Auch die jüngsten Aktualisierungen des Leitfadens zielen auf das bisherige Vorgehen des DoJ ab: „lessons learned“ sowie kontinuierliche Überwachung und Anpassung sind und bleiben das A und O im Hinblick auf die Effektivität des Corporate-Compliance-Programms. Unternehmen sollten, auch mit Blick auf das neue Verbandssanktionengesetz, die Möglichkeiten zum Hinterfragen, Überdenken und Stärken der eigenen Compliance-Strukturen nutzen.