Seite - 84 - in Austrian Law Journal, Band 1/2016

ALJ 1/2016 Haftung und Compliance 84 können.44 Darüber hinaus werden potenzielle Mängel im CMS durch externe Auditors aufgezeigt. Im Zuge des Zertifizierungsverfahrens sind zwei Überprüfungen des CMS durchzuführen45 und während aufrechter Zertifizierung jährlich zu kontrollieren.46 Hierdurch können Risiken identifi- ziert werden, die „betriebsblinde“ Leitungsorgane uU übersehen. Zudem kann eine CMS-Zertifizierung eine Vermutungswirkung für sorgfältiges Handeln begründen. Der Geschäftsleiter ist seinem Organisationsermessen ordnungsgemäß nachgekommen, weil er ein CMS aufgebaut hat, das international erarbeiteten Standards entspricht. Darüber hinaus wurde dieses zertifiziert, sodass der Beweis, dass in Einklang mit der branchenüblichen Sorgfalt gehandelt wurde, leichter gelingen wird.47 3. Sorgfaltsminderung? a. Normgerecht, aber nicht fehlerfrei Eine Zertifizierung darf aber nicht dahingehend verstanden werden, dass die Sorgfaltspflicht damit begrenzt ist. Zwar indiziert eine normgerechte Herstellungsart nach stRsp die Fehlerfrei- heit eines Produkts,48 doch ist diese rechtliche Vermutung in Bezug auf zertifizierte CMS zu relati- vieren. Zunächst wird eine Zertifizierung nur für einen von der Gesellschaft definierten Geltungs- bereich ausgestellt.49 Ein CMS-Zertifikat kann sich daher durchaus auch nur auf einen Teilbereich der Compliance-Organisation beziehen und nicht sämtliche zu überwachenden Bereiche und Materien umfassen. Das CMS-Zertifikat belegt dann bloß, dass dieser Teilbereich in Einklang mit der ISO 19600 gestaltet wurde. Zudem ist bei einem mangelhaften Produkt oder Werk problemlos feststellbar, ob der zugrunde- liegenden Ö-Norm/ISO entsprochen wurde. Wird etwa ein Fenster in Einklang mit der entspre- chenden Ö-Norm hergestellt, verfügt es über gewisse technische Eigenschaften, wie eine Dichtung. Ist die Dichtung wasserdurchlässig, wurde nicht dem aktuellen Stand der Technik entsprechend gehandelt und ist das Produkt fehlerhaft. Alle Fenster-Hersteller haben dieselben technischen Eigenschaften zu erfüllen, ungeachtet der Größe oder technischen Ausstattung des Unterneh- mens. Unternehmen als Organisationen sind hingegen nicht mit Produkten vergleichbar. Leitungs- organe unterliegen einem Ermessensspielraum, wie das Unternehmen zu organisieren ist; die konkrete Ausgestaltung eines CMS ist stets an das Unternehmen anzupassen. Es ist daher immer eine Einzelfallbetrachtung vorzunehmen, ob das CMS den Anforderungen eines Unternehmens genügt. Mechanismen, die sich in einem Unternehmen bewährt haben, sind kein Garant für die Unterbindung von Gesetzesverstößen in anderen Unternehmen. Compliance ist von der Unter- nehmenskultur abhängig: So können sich etwa Whistleblowing-Systeme in manchen Unternehmen als wichtiger Teil der Aufdeckung und Ahndung unternehmensinterner Verstöße erweisen, in anderen Unternehmen aber kaum genutzt werden. 44 Vgl Dürager, ZIR 2013, 341. 45 Punkt 3.3 CMS-Zertifizierungsschema. 46 Punkt 3.6 CMS-Zertifizierungsschema. 47 Vgl Ebmer, Haftungsbefreiende Wirkung von Compliance-Management-Systemen für Verbände und Leitungsorgane, bau aktuell 2014, 205. 48 OGH 28. 6. 1995, 3 Ob 547/95; 16. 7. 1998, 6 Ob 157/98a; 23. 9. 2004, 6 Ob 73/04k. 49 Punkt 3.1.3 CMS-Zertifizierungsschema; Die Rosenbauer International AG hat etwa die Risikofelder „Korruption“ und „Wettbewerbsrecht“ zertifiziert: https://certificates.austrian-standards.at/certificate?1 (abgefragt am 25. 1. 2016).