Seite - 85 - in Austrian Law Journal, Band 1/2016

ALJ 1/2016 Mona Philomena Ladler 85 Vor diesem Hintergrund erscheint es auch problematisch, den Sorgfaltsmaßstab anhand allge- meiner Compliance-Standards zu konkretisieren. Aufgrund der Verschiedenartigkeit und Vielfäl- tigkeit unternehmerischer Tätigkeit kann keine allgemeingültige Lösung für die Organisation von Compliance gefunden werden. Dies zeigt auch der Aufbau und Umfang der ISO 19600 selbst: So haben Unternehmen etwa eine von den individuellen Bedürfnissen abhängige unternehmens- spezifische Analyse der eigenen Risikosituation vorzunehmen.50 Welche möglichen Risiken erfasst sein könnten, wird hingegen nicht vorgegeben. Selbst in Unternehmen, für die ein CMS gesetzlich vorgeschrieben ist, sind kaum pauschale Vorgaben möglich. So werden auch die dem WAG oder InvFG unterliegenden Rechtsträger von einzelnen Compliance-Organisationsanforderungen aus- genommen, sofern ein Nachweis der Unverhältnismäßigkeit erbracht wird.51 Die ON 192050 und ISO 19600 sind in diesem Sinne nicht mit anderen technischen Standards, wie etwa zur Produkt- sicherheit und technischer Eigenschaften, vergleichbar. Ein Geschäftsleiter kann sich demnach nicht unter Berufung auf eine ISO-Zertifizierung von der Haftung freizeichnen. Selbst bei Handeln in Einklang mit der Norm und einer Zertifizierung ist eine Haftung der Geschäftsleiter nicht ausgeschlossen.52 b. Kollision mit Vorstandspflichten? Eine Zertifizierung kann zudem in einem Spannungsverhältnis zu kardinalen Vorstandspflichten stehen. Insb kann eine Moral-hazard-Problematik auftreten: Indem Geschäftsleiter ihre Legalitäts- verantwortung auf eine Compliance-Funktion übertragen, wird die eigenverantwortliche Überwa- chung durch die Geschäftsleiter vermeintlich reduziert. Sie wiegen sich in falscher Sicherheit, dass eine Legalitätskontrolle ohnehin vorgenommen würde. Geschäftsleiter trifft aber immer die Gesamtverantwortung für die Legalitätskontrolle, einschließlich Compliance.53 Auch im Falle einer Ressortverteilung erfordert die horizontale Überwachungspflicht eine gegenseitige Kontrolle anderer Vorstandsmitglieder, die durch Informations- und Auskunftsrechte ausgeübt wird.54 Die Compliance-Funktion muss folglich in ihrer Tätigkeit überwacht werden, andernfalls eine Solidar- haftung der Geschäftsleitung eintreten könnte. Eine umfassende Überwachung durch den Vorstand könnte aber daran scheitern, dass Compli- ance-Funktionen unabhängig sind.55 Dies schließt Weisungen seitens der Geschäftsleitung an Com- pliance-Beauftragte aus. Compliance-Funktionen sind zudem mit den für die Wahrnehmung ihrer Tätigkeit notwendigen Informationen auszustatten bzw sind die notwendigen Informationsrechte einzuräumen.56 Der Vorstand unterliegt aber gem § 84 Abs 1 Satz 2 AktG einer Geheimhaltungs- pflicht. Eine Weitergabe von Informationen ist nur im Interesse der Gesellschaft zulässig.57 Die Er- richtung eines CMS kann daher mit wesentlichen Vorstandspflichten kollidieren. Eine „Übererfül- lung“ der Legalitätspflicht, im Sinne einer Ausstattung der Compliance-Funktion mit zu weitreichen- den Befugnissen, könnte letztlich sogar eine Sorgfaltspflichtverletzung des Vorstandes begründen. 50 Punkt A.4.10 CMS-Zertifizierungsschema. 51 § 18 Abs 4 UAbs 2 InvFG; § 15 Abs 4 WAG. 52 So auch Hussian, bau aktuell 2014, 163. 53 So zuletzt VwGH 11. 9. 2015, 2013/17/0485; 4. 7. 2008, 2008/17/0072. 54 Jabornegg in Jabornegg/Strasser, AktG5 § 70 Rz 41. 55 § 18 InvFG; § 15 WAG; Punkt A.5.12. CMS-Zertifizierungsschema. 56 Punkt A.5.15. Z 3 CMS-Zertifizierungsschema. 57 Eine Grenze bildet nach hL die Weitergabe von Aufsichtsratsprotokollen oder Protokollen von Vorstandssitzungen. Kalss/Schörghofer, Corporate Compliance und Gesellschaftsrecht, in Lucius/Oppitz/Pachinger, Compliance im Finanz- dienstleistungsbereich (2010) Kapitel 1.