Page - 79 - in Austrian Law Journal, Volume 1/2016

ALJ 1/2016 Mona Philomena Ladler 79 gelungen.5 Im allgemeinen Gesellschafts- und Unternehmensrecht finden sich hingegen keine Bestimmungen zur Einrichtung einer Compliance-Organisation. Deshalb fehlt es auch an allge- meinen gesetzlichen Anhaltspunkten, wie ein Compliance Management System (CMS) zu organi- sieren ist. Entsprechende Hilfestellungen zur Organisation eines CMS bieten von nationalen und internationalen Normungsinstitutionen veröffentlichte Standards, wie die ONR 192050 bzw die ISO 19600.6 Bei Erfüllung der nach ONR 192050 bzw ISO 19600 vorgegebenen Kriterien7 kann einem Unternehmen ein zeitlich befristetes Zertifikat durch eine Zertifizierungsstelle zuerkannt werden, welches die Qualität und Funktionstüchtigkeit seines CMS belegt.8 Die zivil- und gesellschaftsrechtlichen Folgen einer solchen Zertifizierung sind bislang ungeklärt. In diesem Beitrag werden die Rechtsqualität der CMS-Standards und die Haftungsfolgen einer Zertifizierung untersucht. Darüber hinaus wird analysiert, ob auch ohne Zertifizierung eine Pflicht zur Orientierung an CMS-Standards bestehen kann. II. Ausgangslage A. Compliance als Leitungsverantwortung Ungeachtet der rudimentären gesetzlichen Ausgestaltung von Compliance-Organisationen wird eine generelle Verpflichtung zu Compliance einhellig bejaht.9 Es entspricht einer ordnungsgemäßen Unternehmensführung iSd § 25 GmbHG bzw §§ 70 iVm 84 AktG, die Einhaltung gesetzlicher und vertraglicher Verpflichtungen der Gesellschaft sicherzustellen.10 Der Geschäftsführer unterliegt nicht bloß in Ausübung seiner eigenen Tätigkeit einer Legalitätspflicht, vielmehr trifft ihn auch eine horizontale und vertikale Überwachungspflicht. Die horizontale Überwachung ist Ausfluss der Gesamtverantwortung des einzelnen Organmitgliedes für die Geschäftsführung und ver- pflichtet zur gegenseitigen Kontrolle bei Ressortverteilung.11 Die vertikale Überwachung erstreckt 5 Weiterführend Gölles/Makarius, Prüfpflicht öffentlicher Auftraggeber bei Unzuverlässigkeit und Chance auf „Selbst- reinigung“ für Unternehmer, RPA 2014, 185. 6 Dürager, Die rechtlichen Fallstricke bei der Überwachung und Durchsetzung einer Compliance-Organisation, ZIR 2013, 339 (341); Hussian, Compliance-Management-System nach der ONR 192050, bau aktuell 2014, 163. 7 ZB Identifikation und Neubewertung konkreter Compliance-Risiken; Einrichtung einer Compliance-Funktion; Definition von Compliance-Zielen; interne Bewusstseinsbildung und Schulungsmaßnahmen etc: Compliance ma- nagement systems – Guidelines, ISO 19600:2014(E); verfügbar unter Austrian Standards, Compliance Management Systeme: Zertifizierungsschema https://www.austrian-standards.at/fileadmin/user/bilder/downloads-produkte- und-leistungen/Zertifizierungsschema_Compliance.pdf (abgefragt am 25. 1. 2016; in der Folge kurz: CMS-Zerti- fizierungsschema). 8 Details dazu erläutert der Beitrag von Jonas, Die Internationale Norm ISO 19600 Compliance Management Sys- tems – Inhalte und Zertifizierung, ALJ 2016, 37. 9 Kalss in Kalss/Nowotny/Schauer (Hrsg), Österreichisches Gesellschaftsrecht (2008) Rz 3/334. Knafl, Einführung von Compliance-Systemen (2014) 41 f; Dürager, ZIR 2013, 340. 10 § 22 Abs 1 GmbHG verpflichtet den Geschäftsführer einer GmbH, ein Rechnungswesen und internes Kontroll- system einzurichten. Eine inhaltsgleiche Anordnung besteht gem § 82 AktG für den Vorstand einer AG. Das in- terne Kontrollsystem umfasst nach dem Willen des Gesetzgebers „sämtliche aufeinander abgestimmte Methoden und Maßnahmen in einem Unternehmen […], die dazu dienen, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeit der Abrechnungsdaten zu gewährleisten und die Einhaltung der vorgeschriebenen Geschäftspolitik zu unterstützen.“ Dementsprechend ist die Etablierung von Kontrollmechanismen, die die Liquidität der Gesellschaft sicherstellen und überwachen, verpflichtend. § 22 GmbHG bzw § 82 AktG beziehen sich lediglich auf die Einrich- tung eines Rechnungswesens; eine weitreichende Anordnung zur Installierung einer Compliance-Organisation ist nach hA daraus nicht ableitbar. Strasser in Jabornegg/Strasser (Hrsg), Kommentar zum Aktiengesetz5 (2011) §§ 77– 84 Rz 15; Reich-Rohrwig in Straube/Ratka/Rauter (Hrsg), GmbHG (2015) § 25 Rz 16; Feltl/Pucher, Corporate Compli- ance im österreichischen Recht – Ein Überblick, wbl 2010, 269; vlg auch Koppensteiner/Rüffler in Koppensteiner/ Rüffler (Hrsg), GmbH-Gesetz Kommentar³ (2007) § 22 Rz 2. 11 Kalss in Kalss/Nowotny/Schauer Rz 3/347; Strasser in Jabornegg/Strasser, AktG5 § 70 Rz 41.