Page - 80 - in Austrian Law Journal, Volume 1/2016

ALJ 1/2016 Haftung und Compliance 80 sich auf die Überwachung, Anleitung und Kontrolle nachgeordneter Mitarbeiter.12 Um dieser Überwachungspflicht gerecht zu werden, ist eine entsprechende Organisation des Unterneh- mens erforderlich.13 So setzt die Gewährleistung der Einhaltung verwaltungsrechtlicher Vor- schriften gem § 9 Abs 1 VStG nach stRsp die Etablierung eines wirksamen Kontrollsystems vo- raus. Interne Schulungen oder Weisungen an untergeordnete Mitarbeiter sind nicht ausrei- chend; auch eine nachträgliche Überprüfung bereits gesetzten Verhaltens wird den Anforde- rungen an die (verwaltungsrechtliche) Legalitätspflicht nicht gerecht. Geschäftsleiter treffen vielmehr präventive Überwachungspflichten, deren wirksame Wahrnehmung die Installierung eines entsprechenden Risikomanagementsystems erfordert.14 In der Wahl der zu setzenden Maßnahmen haben Geschäftsleiter allerdings einen Ermessens- spielraum.15 Die interne Organisation hat den Anforderungen des Unternehmens zu entspre- chen; sie ist branchen- und unternehmensspezifisch. Maßgebliche Kriterien sind insb die Größe des Unternehmens, die Branche, das Geschäftsmodell sowie die konkrete Risikosituation im Unternehmen unter Berücksichtigung vergangener Missstände.16 Anhaltspunkte für die Aus- übung dieses Organisationsermessens finden sich nur in Sondergesetzen; und selbst diese erlauben es aufgrund ihrer Divergenz nicht, allgemeingültige Anforderungen an die interne Überwachungsarchitektur abzuleiten.17 Abhängig von der Art des Unternehmens (Börsennotie- rung) bzw Geschäftsfeld (Finanzdienstleistungssektor) und Kontrahierungspartner (Vergabe- recht) ist zwar eine Verpflichtung zur Installierung eines CMS zu bejahen. Die Ausgestaltung des CMS ist aber auch in diesen Fällen an das konkrete Unternehmen anzupassen.18 Auch sind diese Vorgaben nicht uneingeschränkt auf alle Unternehmen zu übertragen: Insb in kleinen Einheiten kann die Einrichtung einer gesonderten Compliance-Funktion unterbleiben, sofern die Legalitätskontrolle auch durch die Geschäftsführung selbst wahrgenommen werden kann. 12 Reich-Rohrwig in Straube/Ratka/Rauter, GmbHG § 25 Rz 48; Nowotny in Doralt/Nowotny/Kalss (Hrsg), Kommentar zum Aktiengesetz² (2012) § 70 Rz 17. 13 Feltl/Pucher, wbl 2010, 270; Strauss/Hiermann, Die Pflicht zur Einführung von Compliance-Management- Systemen und der Aufsichtsrat, Aufsichtsrat aktuell 2014/6, 8; deutlich zum dt Recht LG München 10. 12. 2013, 5 HK O 1387/10. 14 VwGH 24. 3. 2015 2013/03/0054; VwGH 30. 6. 2011 2011/03/0078; zum Arbeitgeber VwGH 18. 8. 2015 Ro 2015/11/0003. Reich-Rohrwig in Straube/Ratka/Rauter, GmbHG § 25 Rz 490. 15 Feltl/Pucher, wbl 2010, 270 f; Knafl, Compliance-Systeme 48; Schirmer/Uitz, Compliance-Maßnahmen zur Re- duktion der Haftungsrisiken von Vorstandsmitgliedern, RdW 2010, 200 (201); zum dt Recht Sünner, Von der Sorge für gesetzeskonformes Verhalten – Zugleich eine Besprechung des ISO-Entwurfs 19600, CCZ 2015, 2. 16 Dürager, ZIR 2013, 341; Strauss/Hiermann, Aufsichtsrat aktuell 2014/6, 10. 17 So ordnen § 15 InvFG bzw § 18 WAG die Einrichtung einer dauerhaften und unabhängigen Compliance- Funktion an. Diese besteht aus einem Compliance-Beauftragen und allenfalls weiteren betrauten Personen, die über die notwendige Sachkenntnis verfügen. Der Compliance-Beauftragte trägt die Verantwortung für die Compliance-Funktion und unterliegt Berichtspflichten gegenüber der Geschäftsleitung. Um die Funktions- tüchtigkeit der Compliance-Funktion sicherzustellen, sind den mit der Funktion betrauten Personen die not- wendigen Befugnisse, Ressourcen und Informationszugänge einzuräumen. § 73 Abs 2 BVergG setzt gar nur ein „qualitatives“ Kontrollwesen voraus; die Anforderungen an die interne Compliance-Funktion oder die Funktionsweise des internen Haftungs- und Entschädigungsregimes werden nicht weiter konkretisiert. Nach dem ÖCGK hat der Vorstand die „geeigneten Vorkehrungen“ zur Sicherstellung der Einhaltung der Gesetze zu treffen (Regel 15 ÖCGK). Zudem sind „die wesentlichen eingesetzten Risikomanagement-Instrumente in Be- zug auf nicht-finanzielle Risiken“ in den Konzernlagebericht aufzunehmen (Regel 70 ÖCGK. Diesbezüglich ge- nügt eine allgemeine Beschreibung der eingesetzten Risikomanagementsysteme; eine Darstellung der Funk- tionsfähigkeit ist nicht erforderlich: Interpretation zum ÖCGK, zu Regel 70) und ist der AR über alle relevanten Fragen der Geschäftsentwicklung, einschließlich des Risikomanagements, zu informieren (Regel 9, 40 ÖCGK). 18 Siehe § 18 Abs 4 UAbs 2 WAG bzw § 15 Abs 4 InvFG.