Seite - 82 - in Austrian Law Journal, Band 1/2016

ALJ 1/2016 Haftung und Compliance 82 Auch der ISO-Standard 19600 entfaltet keine rechtliche Bindungswirkung, sondern dient primär als „Anhaltspunkt“32 oder „Orientierungsstandard“33. Er erfordert zu seiner Geltung mangels einer gesetzlichen oder behördlichen Verbindlicherklärung eine vertragliche Vereinbarung. Bei ent- sprechender Verbreitung könnte darüber hinaus eine den Ö-Normen vergleichbare faktische Bindungswirkung eintreten. Es liegt daher grundsätzlich im Ermessen der Geschäftsleitung, die interne Überwachungsarchi- tektur in Einklang mit ISO 19600 zu gestalten. Dies ergibt sich sowohl aus dem Organisationser- messen der Geschäftsleitung, als auch aus der mangelnden Bindungswirkung des Standards. Anderes gilt bei Erwerb einer Zertifizierung (dazu gleich im Folgenden unter Punkt 3.) bzw bei Bejahung einer faktischen Geltung (dazu im Folgenden unter Punkt 4.): Entschließt sich die Ge- schäftsleitung zum Aufbau eines CMS auf der Grundlage von ISO 19600 und zu einer Zertifizie- rung desselben, entfaltet der Standard Bindungswirkung. Darüber hinaus könnte bei Vorliegen eines Handelsbrauches auch eine faktische Geltung des ISO-Standards 19600 eintreten. Dies würde das Organisationsermessen der Geschäftsleitung in weiterer Folge reduzieren, weil ein dem Standard entsprechendes CMS erforderlich würde. III. Rechtslage bei einer CMS-Zertifizierung A. Rechtliche Einordnung einer CMS-Zertifizierung Die Geltung der ONR 192050 bzw ISO 19600 wird bei einer Zertifizierung vertraglich von den Par- teien vereinbart. Eine Zertifizierung durch die Zertifizierungsstelle von Austrian Standards (AS + C) ist zivilrechtlich als Vertrag zwischen der Gesellschaft und AS + C einzuordnen,34 dem die ISO 19600 bzw ONR 192050 zugrunde gelegt werden.35 Sie entfalten demnach Bindungswirkung zwischen den Parteien, sodass Handlungen der Gesellschaft entgegen der Zertifizierung eine Verletzung der vertraglichen Verpflichtungen darstellen. Dies kann in weiterer Folge zu einer Zurückziehung des Zertifikats durch AS + C führen.36 Aus dem Zertifizierungsverfahren entstandene Kosten sind von der Gesellschaft zu tragen.37 Doch auch außerhalb des Vertragsverhältnisses sind mit einer CMS-Zertifizierung besondere Verpflichtungen verbunden. Zu denken ist insb an § 2 Abs 3 Z 2 UWG, welcher der Nichteinhal- tung von Verpflichtungen aus einem Verhaltenskodex, dem sich der Unternehmer freiwillig unter- worfen hat, Irreführungseignung zuerkennt. Irreführung ist gegeben, wenn ein Unternehmer auf die Geltung eines Verhaltenskodizes verweist (lit a) und ein Marktteilnehmer aufgrund dieser Annahme zu einer geschäftlichen Entscheidung veranlasst wurde. Dies setzt voraus, dass der Verhaltenskodex eindeutige Verpflichtungen enthält, deren Einhaltung nachprüfbar ist (lit b).38 Unzulässig ist nicht bloß die Nichteinhaltung von freiwillig auferlegten Verpflichtungen, sondern auch die unrichtige Behauptung eines Unternehmers, einen Verhaltenskodex unterzeichnet zu 32 Zur ONR 192050 Dürager, ZIR 2013, 341. 33 Zur ONR 192050 Busch/Hjertonsson, Sieben Elemente eines effizienten und wirksamen Compliance-Management- Systems, CFO aktuell 2013, 96 (96). 34 Punkt 11 CMS-Zertifizierungsschema. 35 Punkt 3.1 CMS-Zertifizierungsschema iVm Anhang A, B. 36 Punkt 3.10 CMS-Zertifizierungsschema. 37 Anhang C, Punkt 2 und 11 CMS-Zertifizierungsschema. 38 Siehe Anderl/Appl in Wiebe/Kodek (Hrsg), UWG² (2012) § 2 UWG Rz 472 ff.