compliance

Sanktionen, Bußgelder und Schadensersatzpflicht – das neue Hinweisgeberschutzgesetz ist da!

Seit 02.07.2023 ist das neue Hinweisgeberschutzgesetz in Kraft – eine echte Herausforderung für Unternehmen. Mit dem Hinweisgeberschutzgesetz (HinSchG) trifft Unternehmen ab einer gewissen Größenordnung die gesetzliche Pflicht, eine interne Meldestelle einzuführen.

Die Einrichtung des Hinweisgeberverfahrens gilt dabei für Unternehmen mit mehr als 250 Beschäftigten bereits seit 02.07.2023. Kleineren Betrieben mit mehr als 50 Beschäftigten, aber weniger als 250 Mitarbeitenden wird noch eine „Schonfrist“ bis zum 17.12.2023 zur Implementierung einer internen Meldestelle eingeräumt.

Die Anschaffung und die Inbetriebnahme eines funktionierenden Hinweisgebersystems verursachen Aufwände in finanzieller und personeller Hinsicht. Gerade kleinere Unternehmen stehen vor der Frage, einen professionellen Anbieter eine Meldestelle zu beauftragen oder eigene betriebsinterne Personalressourcen für die Entgegennahme und Bearbeitung von Hinweisen entsprechend einzusetzen und zu schulen. Nicht zuletzt verlangt das HinSchG für die mit dem internen Meldesystem beauftragten Mitarbeiter eine gewisse Fachkunde, sodass entsprechende Schulungen für das Personal zu empfehlen sind, um eine ordnungsgemäße Bearbeitung von Hinweisen zu gewährleisten.

Die Einführung eines internen Meldesystems sollte von Betriebsinhabern und Geschäftsführern nicht stiefmütterlich behandelt werden, auch wenn die Nicht-Umsetzung eines internen Hinweisgebersystems oder aber eine kostengünstige Hinweisgeberplattform, wie eine einfache E-Mail-Adresse, zunächst lukrativer erscheint.

Ordnungswidrigkeiten nach dem HinSchG – gestaffelte Bußgelder

Verstöße gegen die Vorgaben des HinSchG können als Ordnungswidrigkeiten mit empfindlichen Geldbußen bewertet werden. § 40 Abs. 2 HinSchG normiert als bußgeldbewehrten Tatbestand, die Nicht-Einrichtung und Nicht-Inbetriebnahme einer internen Meldestelle trotz gesetzlicher Verpflichtung der Implementierung eines internen Meldesystems. Gleichzeitig werden die Behinderung der Kommunikation entgegen der gesetzlichen Vorschiften und der Verstoß gegen Repressalien mit Bußgeldern bedroht. Gemäß § 40 Abs. 3 HinSchG stellt auch die Verletzung der Vertraulichkeit ein bußgeldbewährtes Verhalten dar.

Die Bußgelder nach dem HinSchG unterliegen einer Staffelung:

Der Gesetzgeber hat Unternehmen ab 250 Beschäftigten aufgrund der kurzen Frist zwischen Verkündung des Gesetzes und Inkrafttreten ab dem 02.07.2023 eine „Übergangsfrist“ hinsichtlich der Verhängung von Bußgeldern wegen Nicht-Einrichtung einer internen Meldestelle gewährt. So werden Bußgelder wegen Nicht-Einrichtung erst ab dem 01.12.2023 vorgesehen. Während die Nicht-Einrichtung einer internen Meldestelle eine Geldbuße bis zu 20.000 € nach sich ziehen kann, fallen die Bußgelder für die Behinderung der Kommunikation und dem Einsatz von Repressalien deutlich höher aus.

Die Behinderung der Meldung von Hinweisen oder die Kommunikation zwischen hinweisgebender Person und der Meldestelle kann ebenso wie die Androhung oder Anwendung von Repressalien gegenüber hinweisgebenden Personen und die Verletzung der Vertraulichkeit mit einer Geldbuße von bis zu 50.000 € geahndet werden. Unter bestimmten Voraussetzungen verzehnfacht sich das Höchstmaß der Geldbuße im Fall der Behinderung der Kommunikation oder dem Einsatz von Repressalien auf mitunter 500.000 €. Betriebsinhaber, die sich aus finanziellen Gründen weigern eine interne Meldestelle einzuführen und darauf spekulieren, dass die Nicht-Implementierung unentdeckt bleibt, riskieren daher ein erhebliches Bußgeld, welches in der Summe höher ausfallen dürfte als die Einrichtung einer internen Meldestelle und die dazugehörige Personalschulung oder Beauftragung externer Dritter.

Kostengünstige Meldestellenvarianten – Problem der Vertraulichkeit

Die Verunsicherung vieler Unternehmen hinsichtlich der Einrichtung eines internen Meldesystems ist groß. Es gibt daher vielerorts Überlegungen, ein internes Meldesystem durch geringfügige Änderungen zu generieren.

Eigene Meldekanäle wie betriebseigene E-Mail-Adressen über einen allgemeinen E-Mailanbieter werden ebenso wie allgemeine Telefonhotlines den Anforderungen des Vertraulichkeitsgrundsatzes nach dem HinSchG nicht gerecht. Es besteht bei diesen Alternativen keinerlei Garantie, dass ausschließlich die mit dem internen Meldesystem beauftragte Person Zugriff auf interne Meldekanäle erhält und die Anonymität des Hinweisgebenden gewahrt wird.

Nicht zuletzt die interne IT-Administration des Unternehmens oder des Server-Anbieters kann auf das entsprechende E-Mail-Konto zugreifen und so die Kommunikation mitlesen. Die Rufnummer des Hinweisgebers kann gespeichert und ausgelesen werden, sodass Rückschlüsse auf den Hinweisgebenden bzw. sogar auf den Inhalt des Hinweises gezogen werden können.

Dies steht im direkten Widerspruch zum Vertraulichkeitsgebot des HinSchG. Das gesamte Hinweisgebersystem beruht auf dem Schutzgedanken des Hinweisgebers und muss dergestalt konzipiert sein, ein Meldesystem einzurichten, bei welchem die Vertraulichkeit der Identität der hinweisgebenden Person gewahrt wird. Nur die beauftragten Personen, die eingehende Hinweise bearbeiten, sollen auf diese Informationen Zugriff haben, sofern nicht eine Weitergabe nach § 8 HinSchG zulässig ist.

Weitergehende Schutzvorkehrungen wie eine Zwei-Faktor-Authentifizierung sind bei den genannten Konstellationen auch nur schwer realisierbar, aber zum Schutz der Vertraulichkeit dringend anzuraten. Beispielsweise bei Verhinderung der für die Meldestelle beauftragten Person müssen Zugangsbeschränkungen zur Hinweisgeberplattform wie Passwörter etc. an Vertreterpersonen weitergegeben werden. Dies stellt mitunter ein weiteres Risiko dar, dass Unberechtigte Zugang zur Hinweisgeberplattform erhalten oder etwa ausgeschiedene Mitarbeitende auch nach Beendigung des Arbeitsverhältnisses auf ein allgemeines E-Mail-Postfach zugreifen können.

Auch aus datenschutzrechtlicher Sicht bereiten derartige kostengünstigere Varianten Probleme, sodass hier weitere Bußgelder für die Unternehmen oder Betriebe drohen können.

Schadensersatz bei Verstößen – weitere finanzielle Belastung für Unternehmen

Neben den genannten empfindlichen Bußgeldern verpflichtet der Gesetzgeber Unternehmen und Betriebe zur Zahlung von Schadensersatz. Wird eine hinweisgebende Person im Zusammenhang mit ihrer beruflichen Tätigkeit nach einer Meldung benachteiligt, so steht ihr nach dem HinSchG ein Anspruch auf Schadensersatz zu. Dieser Anspruch besteht neben der Auferlegung des Bußgeldes, sodass es hier zu einer doppelten finanziellen Belastung des Unternehmens kommen kann. 

Fazit

Das HinSchG stellt betroffene Unternehmen vor besondere Herausforderungen. Um hohe Bußgelder zu vermeiden, sollten Unternehmen innerhalb der für sie geltenden Frist IT-geschützte Hinweisgebersysteme einführen und entsprechende Kosten auf sich nehmen, um später nicht mit noch größeren finanziellen Konsequenzen konfrontiert zu werden.

Wir beraten Sie gerne zu den rechtlichen Anforderungen nach dem HinSchG und unserem sicheren Hinweisgebersystem White Sparrow der MKM Compliance GmbH.

Wer muss bei Datenschutzverstößen zahlen? Klarheit durch EuGH-Urteil erwartet

Grundsätzlich können Verstöße gegen die Datenschutzgrundverordnung gemäß den Vorgaben aus Art. 83 Abs. 4, 5 und 6 DSGVO mit einem Bußgeld geahndet werden. Die deutschen Gerichte beschäftigt nach wie vor die Frage, ob ein Unternehmen als Verantwortlicher unmittelbar und ohne weitere Nachweise unmittelbar haftet oder nicht doch ein (schuldhafter) Verstoß eines leitenden Beschäftigten nachgewiesen werden muss.

Worum dreht sich der Streit?

Im Kern dreht sich der Streit um die Frage, ob bei der Verhängung von Bußgeldern das Funktions- oder das Rechtsträgerprinzip Anwendung findet. Bei Anwendung des Funktionsprinzips kann ein Bußgeld gegen ein Unternehmen bereits dann verhängt werden, wenn ein objektiver Verstoß eines Beschäftigten des Unternehmens vorliegt. Fordert man dagegen die Anwendung des Rechtsträgerprinzips, so könnte ein Bußgeld gegen ein Unternehmen nur dann verhängt werden, wenn nachgewiesen werden kann, dass eine Leitungsperson in Wahrnehmung ihrer Aufgabe einen schuldhaften Verstoß begangen oder ihre Aufsichtspflichten verletzt hat.

Diese Frage wird in naher Zukunft durch den Europäischen Gerichtshof (EuGH) beantwortet werden, da das Kammergericht Berlin (begrüßenswerterweise) im Wege des Vorabentscheidungsersuchens dem EuGH diese nicht ganz unwesentliche Rechtsfrage vorgelegt hat.

Datenschutzkonferenz hat sich bereits positioniert

Die Deutsche Datenschutzkonferenz (kurz DSK), der Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, hat sich in der Frage bereits positioniert und eine Pressemitteilung veröffentlicht.

Wenig überraschend hält die DSK das Funktionsträgerprinzip für anwendbar und lehnt die Anwendung des Rechtsträgerprinzips ab.

Die DSK begründet ihre Ansicht mit dem Adressatenkreis von Bußgeldern, der sich unmittelbar aus der DSGVO ergäbe und direkt auf Unternehmen abziele. Weiter führt die DSK an, dass sich aus Satz 3 des Erwägungsgrunds 150 eindeutig ergebe, dass hier das Funktionsträgerprinzip Anwendung finden müsse. Dieser sei von den Gerichten zwingend bei der Auslegung der Bußgeldvorschriften der DSGVO zu berücksichtigen.

Wann ist mit einem Urteil zu rechnen und welche Folgen hat dies für Unternehmen?

Das Gutachten des Generalanwalts, das für Ende April angekündigt wurde, wird einen ersten Hinweis liefern, wie der EuGH entscheiden könnte. In der Regel entscheidet der EuGH zeitnah nach Veröffentlichung des Gutachtens. Ein Termin zur Entscheidungsverkündung wurde jedoch noch nicht bekannt gegeben. Insofern darf die weitere Entwicklung mit Spannung erwartet werden.

Die Entscheidung des EuGH wird weitreichende Folgen für die Verhängung von Bußgeldern haben. Folgt der EuGH der Auffassung der Datenschutzkonferenz, so können wesentlich leichter Bußgelder verhängt werden. Entscheidet sich der EuGH für die Anwendung des Rechtsträgerprinzips, so müssten die Datenschutzbehörden vor Verhängung eines Bußgeldes einen Verstoß einer Leitungsperson feststellen und nachweisen. Dies stellt in der Praxis erheblich höhere Anforderungen an den Bußgeldbescheid dar als bei Anwendung des Funktionsträgerprinzips, da hier der konkrete Nachweis nicht weiter erbracht werden muss.

Am besten ist es jedoch ohnehin, es erst gar nicht zu Verstößen kommen zu lassen. Unser Datenschutz-Team berät Sie gerne und findet für Sie passgenaue und datenschutzkonforme Lösungen.

Sollte „das Kind schon in den Brunnen gefallen sein“ unterstützen wir Sie nicht minder gerne bei der Abwehr der von den Behörden gestellten Forderung.

Autor: Fabian Dechent (Rechtsanwalt)

ChatGPT – Rechtliche Herausforderungen im KI-Zeitalter

Manch einer witzelt, man solle doch erst einmal die natürliche Intelligenz stabilisieren, bevor man sich an die künstliche wagt. Davon abgesehen ist die Entwicklung der künstlichen Intelligenz (KI, AI) nicht aufzuhalten. Mehr noch: Sie hat in der letzten Zeit dermaßen an Fahrt aufgenommen, dass es vielen Beobachtern schwindelig wird. Wir können im Augenblick nur vermuten, wie sich unser Leben in den nächsten Jahren aufgrund des Fortschritts verändern wird. Und wie meist hinkt die Rechtsordnung der technischen Entwicklung meilenweit hinterher.

Gerade ChatGPT („Chat Generative Pre-trained Transformer“), der selbstlernende Chatbot von OpenAI, ist aus der Sicht vieler Unternehmern schon jetzt sehr attraktiv – wir sparen uns an dieser Stelle, die KI-Anwendung näher zu beschreiben. Die Entwicklung des Tools gipfelte kürzlich in der Version 4.0, die nicht mehr kostenfrei, aber dafür noch wesentlich leistungsfähiger sein soll. Es ist höchste Zeit, die rechtlichen Probleme beim Einsatz von ChatGPT zu beleuchten, da vor dem Einsatz von KI-gestützten Tools Haftungs- und anderen Fragen geklärt werden sollten.

Die Sache mit dem Copyright

Zum Einstieg lohnt sich der Blick auf eine naheliegende Schwierigkeit, die sich bei näherer Betrachtung in zwei Unterprobleme aufteilt: Zum einen muss man sich fragen, ob man bei der Verwendung der automatisch generierten Texte nicht zumindest teilweise das Urheberrecht eines Dritten verletzt. Es erscheint nicht ausgeschlossen, dass sich im Text – wenn auch zufällig – Passagen befinden, die wortgleich bereits anderweitig veröffentlicht sind. Zum anderen sollte der Verwender wissen, dass es zumindest nach dem bisherigen Stand der Diskussion schwierig wird, andere Dritte von der Verwendung der eigens generierten Texte abzuhalten – denn sie sind in der Regel keine urheberrechtlich geschützten Werke, da sie nicht durch einen Menschen geschaffen wurden. Wer also ein kreatives Marketing betreibt und dazu KI-Texte verwendet, sollte bei schmissigen Slogans aus der KI-Küche gleich an Markenschutz denken, um sich abzusichern.

Probleme mit Datenschutz und Geschäftsgeheimnissen

Bekannterweise sperrte die italienische Datenschutzbehörde ChatGPT kurzerhand, auch in anderen Ländern steht die Anwendung auf dem Prüfstand. Die deutsche Datenschutzkonferenz (DSK), bestehend aus den Landes- und dem Bundesbeauftragten für Datenschutz, prüfen noch eingehend, wie sie sich zum Verhältnis von ChatGPT zur DSGVO positionieren sollen.

Was es den Datenschützern so schwer macht, ist, dass die KI trotz anderslautender Bekundungen (Stichwort: OpenAI) überwiegend eine intransparente Blackbox ist. Von außen ist der Algorithmus nicht zu durchschauen, Quellen und Verwendungen von enthaltenen personenbezogenen Daten bleiben unklar. Eine relativ offensichtliche Hürde, die Datenschutz-Folgeabschätzung, die nach nach Art. 35 DGSVO bei einer solch bahnbrechenden Technik obligatorisch ist, muss eigentlich vor der erstmaligen Datenverarbeitung genommen werden – das gilt übrigens auch für den Anwender!

Angesichts der unklaren Verwendung der Daten durch OpenAI sollte auch tunlichst davon abgesehen werden, Geschäftsgeheimnisse für ChatGPT zugänglich zu machen: Zum einen können die Informationen dadurch den Schutzstatus nach dem GeschGehG verlieren, zum anderen ist eine Aneignung der Geheimnisse durch Dritte durchaus denkbar. Vor der erstmaligen Verwendung der KI-Unterstützung sowie in regelmäßigen Abständen sollten Mitarbeiter zu diesen Gefahren zwingend geschult werden.

Unternehmen sollten nicht vergessen, dass ChatGPT sekündlich mit Daten gefüttert wird und nicht selten auch wieder welche ausspuckt. Unternehmen, die KI-gestützt arbeiten möchten und solche Anbieter verwenden, sollten es grundsätzlich vermeiden, in solche Systeme personenbezogene Daten über Mitarbeiter, Kunden etc. einzugeben – insbesondere besonders geschützte Daten i.S. des Art. 9 DSGVO. Sollte es dennoch zu Datenschutzverletzungen kommen, drohen Geldbußen sowie die Geltendmachung von Ansprüchen durch Betroffene. Im Augenblick sollte der Blick fortwährend den Veröffentlichungen der Datenschutzbehörden gelten: Wird die Nutzung von ChatGPT auch hierzulande untersagt, ist die gleichwohl fortgesetzte Nutzung bereits Grund genug für eine Haftung.

Es menschelt – die rechtsverletzende Maschine

Die Maschine lernt letztlich vom menschlichen Verhalten. Es bedarf keiner großen Lebenserfahrung, um zu wissen, dass eine stark angepasste KI in der Lage ist, nicht nur moralisch verwerfliche, sondern auch strafwürdige Texte von sich zu geben. Wie man festgestellt hat, kann ChatGPT nicht nur versehentlich Unwahres verfassen, sondern auch bewusst lügen, um gesteckte Ziele zu erreichen. Die Komplexität heutiger Anforderungen an Political Correctness kommt erschwerend hinzu, wenn man als Unternehmen mit Formulierung nach außen auftritt: diskriminierende Äußerungen werden schnell publik, der Ruf wird mitunter irreparabel geschädigt.

Wenn man ChatGPT zum Thema Diskriminierung befragt, kommt die richtige Antwort, dass das KI-Sprachmodell gar nicht in der Lage ist, jemanden zu diskriminieren – es fehlt schlicht an einer Täterschaft. Die Organisation, die KI-Technologie einsetzt, beißen dann aber am Ende die sprichwörtlichen Hunde. Zu empfehlen ist daher, den Einsatz von KI damit zu vergleichen, dass man mit seinen Kindern irgendwo zu Besuch ist: man muss schon aufpassen, was sie erzählen. Umgesetzt bedeutet das, dass es eben Menschen als Aufpasser geben muss, die den Einsatz der KI in nicht zu großen Abständen evaluieren und jede Möglichkeit nutzen, um schädlichen Output im Ansatz zu verhindern. Gleichzeitig ist das Risiko von Rufschädigung, Geldbußen und Ansprüchen Dritter vor dem Einsatz von KI eingehend zu bewerten und der Nutzen vor dem Hintergrund möglicher Rechtsverletzungen ganz bewusst abzuwägen.

Blick in die Zukunft

In den nächsten Jahren wird die gesamte Riege der Gewaltenteilung auf die technische Entwicklung reagieren müssen: Die Gesetzgebung hat nicht die Zeit für lange ethische Diskussionen, zu groß sind die rechtlichen Unsicherheiten für die Anwender und die Betroffenen. Die Behörden versuchen derweil mit dem gegebenen Handwerkszeug, insbesondere dem Schwert des Datenschutzes, bedenklichen Entwicklungen zu begegnen – die Reichweite der Maßnahmen ist erfahrungsgemäß allerdings eher begrenzt. Nach einem zu langen Zeitraum werden dann Gerichte in vielen Einzelfällen zu einer gewissen Rechtssicherheit beitragen. Die Geschichte zeigt indes, dass alle staatlichen Maßnahmen vieles können, nur eines nicht: den Fortschritt aufhalten.

Bleiben Sie mit uns immer auf dem neuesten Stand der Entwicklungen. Vertrauen Sie auch in Sachen künstlicher Intelligenz lieber den Menschen von MKM.


Autor: Andree Hönninger (Rechtsanwalt I Fachanwalt für IT-Recht)

Abmahnwelle Google Fonts – Kein Anspruch auf Schadensersatz

Das Landgericht München I befand in seinem Urteil vom 20.01.2022, Az. 3 O 17493/20, dass die automatische Übermittlung von IP-Adressen bei der Nutzung des Dienstes Google Fonts ohne vorherige Einwilligung rechtswidrig ist, und sprach dem Kläger unter anderem Schadensersatz in Höhe von 100,00 € zu.

Anschließend brach in Deutschland eine regelrechte Abmahnwelle los. Die betroffenen Unternehmen wurden mittels anwaltlicher Abmahnung aufgefordert eine Unterlassungserklärung abzugeben und einen Betrag von 170,00 € als Schadensersatz zu zahlen.

Wir haben unseren Mandanten und Kunden geraten, die Abmahnungen zu ignorieren, da wir diese für unbegründet hielten. Unsere Auffassung wurde nun durch das Landgericht München I durch Urteil vom 30.03.2023, Az. 4 O 13063/22, bestätigt. Ob dieses Urteil rechtskräftig ist, ist jedoch nicht bekannt.

Kein Anspruch auf Unterlassung

Das LG München I stellt im Wege der negativen Feststellungsklage zunächst fest, dass seitens der Abmahner kein Anspruch auf Unterlassung besteht, da die rechtlichen Voraussetzungen für einen solchen Unterlassungsanspruch im konkreten Fall nicht vorlagen. Dabei urteilte das Gericht – aufgrund der ursprünglichen Entscheidung vom 20.01.2022 wenig überraschend – fest, dass die dynamische Einbindung von Google Fonts gegen das Datenschutzrecht verstößt, wenn die Webseitenbesucher nicht vorab in die Übermittlung der IP-Adresse an Google einwilligen.

Jedoch erkennt das LG München I, dass es an der erforderlichen konkreten Betroffenheit des Abmahnenden fehlte. Das Gericht merkte an, dass der Abmahnende die Webseiten der abgemahnten Unternehmen nicht selbst besuchte, sondern vielmehr einen Web-Crawler einsetzte, um solche Webseiten aufzufinden, die Google Fonts dynamisch eingebunden hatten. Das Gericht führt hierzu prägnant aus:

„Wer Websites gar nicht persönlich aufsucht, kann persönlich auch keine Verärgerung oder Verunsicherung über die Übertragung seiner IP-Adresse an die Fa. Google in den USA verspüren.“

Selbst wenn der Abmahner jedoch tatsächlich alle Webseiten der Abgemahnten Unternehmen selbst besucht hätte, so wären die Voraussetzungen des Unterlassungsanspruch nach der Ansicht des LG München I dennoch nicht gegeben. Hier begründet das Gericht, dass jemand, der gezielt eine Situation aufsuche, bei der eine Persönlichkeitsverletzung droht, um direkt im Anschluss daraus eigene Ansprüche zu begründen, gerade nicht schutzbedürftig ist.

Zudem erkannte das Gericht fest, dass die Abmahnungen allein der Gewinnerzielungsabsicht dienten und es dem Abmahner gerade nicht um das Aufzeigen und das Verfolgen eines datenschutzrechtlichen Missstands ging. Auch hier wird das Gericht in seiner Formulierung deutlich:

„Das Gericht erachtet es für kaum denkbar, dass eine Privatperson nur aus Verärgerung über einen aus ihrer Sicht gegebenen und weit verbreiteten Datenschutzverstoß von Website-Betreibern den mit der Versendung von mindestens 100.00 Abmahnschreiben verbundenen Aufwand auf sich nehmen wird, nur um auf den von ihm gesehenen Missstand beim Datenschutz aufmerksam zu machen.“

Da die Abmahnung jedenfalls rechtsmissbräuchlich erfolgte, konnte sich das Gericht weitere Ausführungen zum Unterlassungsanspruch sparen.

Kein Anspruch auf Schadensersatz

Der Anspruch auf Schadensersatz in Höhe von 170,00 € besteht nach Ansicht des Gerichts aus den vorgenannten Gründen ebenfalls nicht. In der Rechtsprechung ist derzeit umstritten, ob Angstgefühle bzw. Verunsicherungen für sich genommen ausreichen, um einen entsprechenden Anspruch nach Art. 82 DSGVO zu begründen. Im konkreten Fall kommt es nach Ansicht des LG München I auf die Klärung dieser Rechtsfrage gar nicht an, da der Abmahner durch den Einsatz eines Webcrawlers nicht in seinen Gefühlen verletzt werden konnte. Das Gericht führt hierzu aus:

„Wer gar nicht weiß, welche Websites „in seinem Namen“ besucht werden, kann sich überhaupt nicht individuell Gedanken dazu machen, dass ihm aus der Übertragung seiner IP-Adresse Unannehmlichkeiten entstehen könnten.“

Im Übrigen wäre auch ein Anspruch auf Schadensersatz aufgrund wegen des Rechtsmissbrauchs ausgeschlossen.

Fazit

Das LG München I hat die Abmahnwelle mit seinem Urteil vom 20.01.2022 mutmaßlich losgetreten und mit Urteil vom 30.03.2023 nicht nur die Google Fonts Abmahnwelle endgültig beendet, sondern die Hürden für Massen-Abmahnungen im Datenschutzrecht sehr hoch gesetzt.Auch wenn der dynamische Einsatz von Google Fonts ohne Einwilligung rechtswidrig ist, können Abmahnende hierdurch nicht „an das schnelle Geld“ gelangen, indem massenhaft (nach Angaben des Prozessvertreters der „IG Datenschutz“ übrigens eine „niedrige sechsstellige Zahl“) versendet werden.

Autor: Fabian Dechent (Rechtsanwalt)

Wir beschweren uns – aber wo? Meldesysteme nach LkSG und HinSchG

1. Hintergrund


Das Thema ESG (Environment, Social, Governance) wird gesellschaftlich immer wichtiger. Darauf reagiert auch der Gesetzgeber, weshalb im Jahr 2023 zwei (mit immensem bürokratischem Aufwand verbundene) Gesetze zur Stärkung von Nachhaltigkeit und Compliance in Kraft treten.

Bereits seit dem 01.01.2023 gilt das Lieferkettensorgfaltspflichtengesetz (kurz Lieferkettengesetz oder LkSG). Es soll für Transparenz und nachhaltige, faire Arbeitsbedingungen sorgen, indem große Unternehmen Verantwortung für die Menschenrechte und Umwelt nicht nur im eigenen Geschäftsbereich, sondern auch in ihrer Lieferkette übernehmen – d. h. auch außerhalb Deutschlands. Teil dieser Verantwortung ist ein Beschwerdesystem, bei dem eigene Mitarbeiterinnen, Lieferantinnen und deren Mitarbeiterinnen Verstöße gegen die Vorgaben des LkSG melden können, so z. B. bei unsicheren Arbeitsbedingungen.

Ebenfalls 2023, jedoch voraussichtlich erst im Mai oder Juni, tritt das Hinweisgeberschutzgesetz (kurz HinSchG) in Kraft. Hierdurch sollen sog. Whistleblowerinnen, die auf bestimmte Missstände in Unternehmen und Behörden aufmerksam machen, geschützt werden. Dafür müssen alle verpflichteten Stellen Meldestellen und -kanäle einrichten, über die Whistleblowerinnen Hinweise abgeben können, z. B. zu Korruptionsfällen.

Beide Gesetze erfordern es also, eine zuständige Stelle und (technische) Möglichkeiten zur Abgabe von bestimmten Meldungen einzurichten. Dieser Beitrag soll sich dem Thema widmen, ob man die Anforderungen des LkSG und des HinSchG gemeinsam umsetzen kann, oder ob zwei separate Meldesysteme eingerichtet werden müssen. Dazu sollen einige ausgewählte Gemeinsamkeiten und Unterschiede der Regime analysiert werden.

2. Gemeinsamkeiten und Unterschiede

2.1. Verpflichtete Stellen

Die beiden Gesetze unterscheiden sich bereits bei der Größenordnung der Unternehmen, die betroffen sind. Während das LkSG nur vergleichsweise große Unternehmen trifft (aktuell mit 3.000 Mitarbeiterinnen, ab 2024 mit 1.000 Mitarbeiterinnen), sind nach dem HinSchG bereits deutlich kleinere Unternehmen verpflichtet (bei Inkrafttreten mit 250 Mitarbeiterinnen, ab Dezember 2023 mit 50 Mitarbeiterinnen). Aber Achtung: Die Mitarbeiterzahlen werden unterschiedlich berechnet. Da beim LkSG die Mitarbeiterinnen des Konzerns zusammengezählt werden, ist dieser Schwellenwert ggf. schneller erreicht als gedacht. Beim HinSchG kommt es jedoch auf die einzelne Rechtseinheit an – dann muss aber auch jedes Unternehmen im Konzern, das diese Grenze überschreitet, eine Meldestelle einrichten.

2.2. Sachlicher Anwendungsbereich

Auch hinsichtlich des sachlichen Anwendungsbereichs ergeben sich Unterschiede. Beide Gesetze sehen einen abgeschlossenen Katalog an zulässigen Themenbereichen vor, zu denen Meldungen gemacht werden können. Diese Kataloge überschneiden sich nur teilweise (z.B. beim Thema Mindestlohn). Da die Sachbearbeiterin aber ohnehin überprüfen muss, ob das von der Melderin angegebene Rechtsgebiet zutrifft und ob es in den sachlichen Anwendungsbereich des jeweiligen Gesetzes fällt, steht dies einer gemeinsamen Meldestelle nicht entgegen.

2.3. Meldende Personen

Beide Gesetze sprechen als Whistleblowerin bzw. Beschwerdeführerin nicht jedermann an, sondern nur diejenigen, die im beruflichen Kontext Informationen von Verstößen gegen die betroffenen Rechtsnormen erfahren.

Während das Beschwerdesystem nach LkSG jedoch auch außerhalb des Unternehmens zugänglich sein muss – insbesondere für die Mitarbeiterinnen in der Lieferkette –, reicht es für das Hinweisgebersystem aus, wenn der Zugang nur intern ermöglicht wird, z.B. über das Intranet. Es ist jedoch empfehlenswert, auch hier das Meldesystem für Lieferantinnen zu öffnen – da diese sonst gezwungen wären, extern bei einer Behörde zu melden.

2.4. Personal

In beiden Fällen müssen die Sachbearbeiterinnen, die mit den Hinweisen befasst sind, unabhängig agieren können. Andere Aufgaben dürfen nicht zu Interessenskonflikten führen. D.h. sie dürfen im Fall des LkSG insbesondere nicht Teil des Einkaufs sein, da dort originär Probleme mit der Lieferkette angesiedelt sind. Besser ist es, die Meldestelle bei der Compliance-Abteilung anzusiedeln. Besteht eine solche nicht, bietet sich z.B. die Datenschutzbeauftrage als Zuständige an, da sie bereits eine ähnlich unabhängige Stellung im Unternehmen einnimmt. Zudem müssen die Mitarbeiterinnen über die nötige Fachkunde zur Bearbeitung von Hinweisen bzw. Beschwerden verfügen, also entsprechend geschult werden.

2.5. Verfahrensablauf

Bei beiden Gesetzen muss die meldende Person nach einer gewissen Zeit eine Eingangsbestätigung erhalten. Sofern dies nicht aufgrund einer anonymen Meldung ausgeschlossen ist, muss der Kontakt mit ihr aufrechterhalten werden, während der Sachverhalt geprüft wird. Beim HinSchG ist zudem zwingend nach drei Monaten eine Mitteilung über getroffene Folgemaßnahmen erforderlich.

In beiden Meldeverfahren ist die Vertraulichkeit ein zentraler Leitsatz. Das HinSchG bezweckt den Schutz von Hinweisgeberinnen – und das vor allem auch durch den Schutz ihrer Identität. Deshalb sind in Deutschland sogar anonyme Meldungen zulässig. Doch auch nach dem LkSG sollen die Beschwerdeführerinnen vor Benachteiligungen geschützt werden. Während anonyme Meldungen nach LkSG nicht zwingend vorgesehen sind, empfiehlt sich deshalb auch hier die Möglichkeit der Anonymität.Nach LkSG soll eine Verfahrensordnung veröffentlicht werden, dies ist beim HinSchG dagegen nicht erforderlich. Nichtsdestotrotz muss adäquat über das Verfahren informiert werden, ebenso ist eine zumindest interne Verfahrensanweisung sinnvoll, um den geordneten Ablauf der Hinweisbearbeitung zu gewähren.

3. Fazit


Wenn ein Unternehmen sowohl nach LkSG als auch nach HinSchG verpflichtet ist, ergibt eine gemeinsame Umsetzung der Beschwerdesysteme Sinn. So wird nicht nur der organisatorische und technische Aufwand der verantwortlichen Stelle geringer gehalten, sondern auch bei Whistleblowerinnen und Beschwerdeführerinnen Verwirrung und Unübersichtlichkeit vermieden. Um die Anforderungen beider Gesetze zu erfüllen, sollte man sich bei der Umsetzung dafür jeweils an den strengeren Vorgaben orientieren. Da jedoch verschiedene sachliche Anwendungsbereiche und eine unterschiedliche Bearbeitung der Meldungen vorgesehen sind, müssen getrennte Verfahrensabläufe organisiert werden. Auch für kleinere Unternehmen kann es sinnvoll sein, die Hinweisgebermeldekanäle für Beschwerden nach LkSG zu öffnen. So können sie nicht nur Probleme frühzeitig erkennen, sondern auch gegenüber den eigenen (potentiell nach LkSG verpflichteten) Kunden signalisieren, dass sie menschenrechts- und umweltbezogene Aspekte ernst nehmen. Dabei müssen sie jedoch nicht alle Voraussetzungen des LkSG erfüllen, sondern können sich nach dem HinSchG richten.

Autorin: Tanja Linebach

Jahresrückblick Compliance 2014: Was wichtig war

Compliance rückt immer mehr in den Fokus des Gesetzgebers und der Gerichte. Im Jahr 2014 hat sich besonders mit dem „Neubürger-Urteil“ ein beachtenswerter Präzedenzfall ereignet. Auch die weit fortgeschrittenen Pläne für ein Unternehmensstrafrecht sind Teil dieser Entwicklung.

Das Neubürger-Urteil: Darum ist Compliance wichtig!

Im viel beachteten „Neubürger-Urteil“ wurde ein ehemaliges Vorstandsmitglied der Siemens AG zu einer Schadenersatzzahlung von 15 Mio. EUR verurteilt. Die Richter des Landgerichts München I sahen es als erwiesen an, dass der beklagte Ex-Vorstand es versäumt hatte ein funktionierendes Compliance-System zu etablieren und zu kontrollieren. Hierfür wäre er als verantwortliches Vorstandsmitglied zuständig gewesen.

Private Haftung ausgeweitet

Mit diesem Urteil haben die Richter die private Haftung von Unternehmensorganen ausgeweitet. Erstmalig verurteilte ein deutsches Gericht den Vorstand eines deutschen Unternehmens zu einer derart hohen Schadensersatzzahlung. Zudem stellte das Gericht ausdrücklich klar, dass eine Compliance-Pflicht für Unternehmen besteht. Vorstandsmitglieder bzw. Geschäftsführer müssen auch gegenseitig darauf bedacht sein ihre Compliance-Pflicht zu erfüllen, da unter Umständen auch eine Schadensersatzpflicht gegenüber dem Unternehmen entstehen kann, wenn ein Mitglied des Vorstandes bzw. der Geschäftsführung seinen Pflichten nicht ordnungsgemäß nachkommt.

Keine Alternative bei Gesetzesverstößen

Die Richter stellten außerdem klar, dass ein Unternehmen bei Gesetzesverstößen keine Alternative hat. Die Verantwortlichen müssen Gesetzesverstößen zwingend nachgehen und alles Mögliche unternehmen, um eine Aufklärung und Beendigung zu erreichen.

 

Unternehmensstrafrecht – ja, nein, vielleicht?

Die Diskussion um ein eigenes Unternehmensstrafrecht wird in Deutschland schon länger geführt. Allerdings wurde die Debatte durch die Vorlage eines Gesetzentwurfes zu einem eigenen Verbandsstrafrecht durch die Landesregierung von Nordrhein-Westfalen erneut befeuert. Auf diesen Entwurf reagierten der Bundesverband der Unternehmensjuristen (BUJ) und das Deutsche Institut für Compliance e.V. (DICO). Im vergangenen Jahr haben wir uns den drei Vorschlägen gewidmet.

Von Zwangsauflösung bis Ordnungswidrigkeit – Die Vorschläge gehen weit auseinander

Die Vorschläge zu einem eigenen Unternehmensstrafrecht gehen sehr weit auseinander. Während das Land Nordrhein-Westfalen eigenes Verbandsstrafrecht einführen will lehnen diesen Schritt der BUJ und das DICO ab. Der BUJ will an Stelle eines Verbandsstrafrechts das bestehende Ordnungswidrigkeitenrecht anpassen, wobei auch eine Straffreiheit enthalten sein soll, wenn Unternehmen ernsthaft gegen Complianceverstöße vorzugehen.

Das Land NRW will in seinem Verbandsstrafrecht harte Sanktionen verankern, die bis zur Zwangsauflösung des Unternehmens reichen können. Auch der Ausschluss von Subventionen und der Vergabe von öffentlichen Aufträgen, sowie Eintrag in das Bundeszentralregister wurden von der Landesregierung ins Spiel gebracht.

Einen dritten Weg will das DICO gehen. Mit der Vorlage eines Entwurfes zu einem Compliance-Anreiz-Gesetz (CompAG) wird die eigentliche Zielsetzung aller drei Vorschläge in den Fokus gerückt: die Schaffung effektiver und ordnungsgemäßer Compliance-Strukturen in Unternehmen. Um das zu erreichen setzt das DICO auf Anpassungen des Ordnungswidrigkeitenrechts und will ebenfalls auf die Schaffung eines eigenen Unternehmens- bzw. Verbandsstrafrechts verzichten.

 

Datenschutz im Arbeitsrecht: Das hat sich getan und sollte von der Compliance beachtet werden

2014 hat sich auch im Bereich unserer Spezialfelder einiges getan. Hervorzuheben sind besonders die Auswirkungen der Rechtsprechung zum Datenschutz auf das Arbeitsrecht. Compliance-Abteilungen sollten gerade beim Umgang mit Kündigungen prozessuale Risiken im Blick haben.

Das Risiko eines Beweisverwertungsverbotes

Beweisverwertungsverbote im Prozess sind selten. Wenn höchstrichterlich ein solches Verbot angenommen wird, sollte man daher besonders darauf achten. Das Bundesarbeitsgericht (BAG) hat im vergangenen Jahr einen solchen Fall klargestellt. Dem Risiko eines Beweisverwertungsverbotes setzt sich ein Arbeitgeber im Kündigungsprozess aus, wenn für die Kündigung herangezogene Daten unter Verstoß des Datenschutzrechts (Alternative 1) bzw. Verletzung des Allgemeinen Persönlichkeitsrechts (Alternative 2) gewonnen wurden. Im Falle von Alternative 1 kann sich ein Beweisverwertungsverbot „unmittelbar aus § 32 BDSG“ ergeben. Einen solchen Verstoß erblickt das BAG auch bei rein tatsächlichen Handlungen, wie einer Spindkontrolle eines diebstahlverdächtigen Arbeitnehmers ohne dessen Wissen. Dieser Fall lag der Entscheidung des BAG zum Beweisverwertungsverbot zugrunde. Sollte nach der Alternative 2 kein Verstoß gegen das BDSG vorliegen, aber das Allgemeine Persönlichkeitsrecht des Betroffenen anderweitig verletzt werden, nimmt das Gericht ebenfalls ein Beweisverwertungsverbot an, insbesondere da das erneute Vorbingen der Informationen im Prozess eine fortgesetzte Verletzung des Persönlichkeitsrechtes darstellen würde.

Kommt das Unternehmensstrafrecht? Wir stellen drei Vorschläge vor

Im Zusammenhang mit den immer häufiger in den Fokus der Öffentlichkeit tretenden Compliance-Pflichten von Unternehmen bzw. deren Leitung ist ein eigenes Unternehmensstrafrecht immer wieder gefordert worden. Bisher können nur natürliche Personen Täter im strafrechtlichen Sinne sein. Wir stellen drei ausgereifte Reformvorschläge vor, die dies ändern könnten.

Unternehmensstrafrecht schon länger in der Diskussion

Ein spezielles Unternehmensstrafrecht und Verbandsstrafrecht befindet sich schon seit längerem in der Diskussion, die nicht nur Juristen an den Universitäten betrifft. Ein solches Strafrecht für juristische Personen könnte in näherer Zukunft Realität werden. Bislang werden Verstöße gegen Compliance-Pflichten nur nach Maßgabe des Ordnungswidrigkeitengesetzes (OWiG) und im Wesentlichen mit Geldbußen geahndet. Aktuell liegen drei Reformvorschläge von der staatlichen Verwaltung, der rechtlichen Praxis und aus der Wirtschaft vor, die unterschiedliche Ansätze verfolgen.

1. Der Gesetzentwurf des Landes Nordrhein-Westfalen

Von der Landesregierung Nordrhein-Westfalen stammt der Vorschlag, um ein eigenes Unternehmensstrafrecht zu schaffen, ein Verbandsstrafgesetzbuch (VerbStrG) einzuführen. Danach könnten sich Unternehmen bei Verletzung von Compliance-Pflichten selbst strafbar machen. Als „Verbandsstrafen“ sieht der Entwurf eine breite Palette unterschiedlicher Sanktionen vor: eine Verbandsgeldstrafe, eine Verbandsverwarnung mit Strafvorbehalt und die zwingende Öffentliche Bekanntmachung der Verurteilung.

Des Weiteren sieht der Entwurf weitere „Verbandsmaßregelungen“ vor. Obwohl dieser Begriff harmloser anmutet, als der der „Verbandsstrafe“, sind gerade hier harte Sanktionen für Unternehmen und Verbände vorgesehen: Ausschluss von Subventionen, Ausschluss von der Vergabe öffentlicher Aufträge und als letztes Mittel die erzwungene Auflösung des Unternehmens bzw. Verbandes.

Ähnliche wie das bestehende Strafrecht sieht der Entwurf auch Möglichkeiten zum Absehen von Strafe (z.B. „Schadenswiedergutmachung“, „erhebliche Milderungsgründe“), die Möglichkeit der Bewährung unter Auflagen (z.B. „Verbesserung von Compliance-Strukturen“, „Zahlungen an gemeinnützige Vereinigungen“) und die Eintragung in das Bundeszentralregister vor.

Als Vorbild dient diesem Entwurf das am 1.1.2006 in Kraft getretene österreichische Verbandsverantwortlichkeitsgesetz (VbVG).

2. Der Vorschlag des Bundesverbandes der Unternehmensjuristen (BUJ)

Der Gesetzgebungsvorschlag des BUJ versteht sich explizit als Gegenvorschlag zum nordrhein-westfälischen Gesetzentwurf. Der Vorschlag will ausdrücklich kein eigenes Unternehmensstrafrecht bzw. Verbandsstrafrecht und fordert stattdessen die Anpassung des bestehenden Ordnungswidrigkeitenrechts. Besonderes Augenmerk legt der Vorschlag dabei auf Änderungen der §§ 30 und 130 OWiG.

Hauptaugenmerk des Vorschlags ist es, die Compliance-Maßnahmen eines Unternehmens haftungsrechtlich zu würdigen und den Unternehmen einen Anreiz für eine präventive Einführung von Compliance-Maßnahmen sowie aktive und vorbehaltlose Zusammenarbeit mit den Strafverfolgungsbehörden zu bieten. Entscheidend für die Vermeidung der Haftung eines Unternehmens wären somit die von diesem geschaffene Compliance-Struktur und die Effizienz der zuständigen Abteilung.

Sanktionen wie die des nordrhein-westfälischen Entwurfs sieht dieser Vorschlag nicht vor. Entsprechend der Orientierung am Ordnungswidrigkeitenrecht sieht der Vorschlag lediglich Geldbußen vor. Darüber hinaus soll zusätzlich die Möglichkeit der Straffreiheit geschaffen werden, wenn Unternehmen Gesetzesverstöße selbst anzeigen. Ein Unternehmensstrafrecht soll nach dieser Ansicht überflüssig sein.

3. Der Vorschlag des Deutschen Instituts für Compliance e.V. (DICO)

Das DICO geht mit seinem Vorschlag einen dritten Weg. Es hat ein sogenanntes Compliance-Anreiz-Gesetzes (CompAG) entworfen und rückt damit die eigentliche Zielsetzung aller drei Vorschläge in den Mittelpunkt: die Schaffung von Anreizen für Unternehmen, geeignete und ordnungsgemäße Compliance-Strukturen zu bilden und Maßnahmen zu ergreifen.

Wie der zweite Vorschlag der Unternehmensjuristen möchte auch das DICO auf die Schaffung von einem eigenen Unternehmensstrafrecht bzw. Verbandsstrafrecht verzichten. Ohnehin ähnelt der Vorschlag des DICO dem des BUJ. So will auch das DICO durch das CompAG Veränderungen bzw. Konkretisierungen des Ordnungswidrigkeitenrechts einführen, um ein insgesamt dreistufiges Sanktionssystem zu implementieren. Die Unternehmen haften demnach wie bisher bei Fehlen ausreichender Compliance-Maßnahmen (1. Stufe). Der Gesetzgebungsvorschlag sieht hierzu eine Konkretisierung der erforderlichen Aufsichtsmaßnahmen in § OWIG § 130 Abs. OWIG vor (2. Stufe). Ebenso ist eine Milderung oder gar ein Verzicht von Sanktionen vorgesehen, wenn sich das betroffene Unternehmen ernsthaft und ausreichend um geeignete Compliance-Maßnahmen bemüht hat (3. Stufe).

Es bleibt abzuwarten, wie sich die Diskussion und das Gesetzgebungsverfahren weiter entwickeln. Über Neuigkeiten zu diesem Thema werden wir Sie informieren.

 

 

BGH schränkt Haftung von Geschäftsführern ein

Der Bundesgerichtshof (BGH) hat in einem Urteil vom 18.6.2014 (Az. I ZR 242/12) die persönliche Haftung von Geschäftsführern bei Wettbewerbsverstößen der Gesellschaft eingeschränkt. Der Geschäftsführer soll nur noch dann haften, wenn er persönlich an der unlauteren Wettbewerbshandlung beteiligt war oder verpflichtet gewesen wäre, einzugreifen.

Mit dieser Entscheidung ist der BGH von seiner ursprünglichen Linie abgerückt, die eine persönliche Haftung bereits dann bejahte, wenn der Geschäftsführer bloße Kenntnis vom Wettbewerbsverstoß hatte und diesen nicht durch organisatorische Maßnahmen verhinderte (ständige Rechtsprechung seit Urteil v. 26.9.1985 – Az. I ZR 86/83).

BGH verneint generelle Organhaftung

Nach der neuesten Rechtsprechung kann eine persönliche Haftung des Geschäftsführers bei Wettbewerbsverstößen nicht mehr aus der abstrakten generellen Organhaftung des Geschäftsführers abgeleitet werden, die den Geschäftsführer allgemein für den Geschäftsbetrieb verantwortlich macht. In Zukunft kann ein Geschäftsführer für Wettbewerbsverstöße seiner Mitarbeiter nur noch persönlich haftbar gemacht werden, wenn er sie nach besonderen deliktsrechtlichen Grundlagen hätte verhindern müssen (sog. Garantenstellung). Weiterhin kann er persönlich haftbar gemacht werden, wenn er an den Wettbewerbsverstößen selbst beteiligt gewesen ist.

Pflicht zur ordnungsgemäßen Geschäftsführung nur gegenüber Gesellschaft

Die gesetzliche Pflicht des Geschäftsführers (§ 43 Abs. 1 GmbHG) bzw. des Vorstandes (§ 93 Abs. 1 S. 1 AktG) zur ordnungsgemäßen Geschäftsführung besteht lediglich gegenüber der Gesellschaft und nicht gegenüber etwaigen Dritten. Gerade aus dieser Pflicht der ordnungsgemäßen Geschäftsführung wurden bisher persönliche Haftungsansprüche Dritter gegen den Geschäftsführer abgeleitet. Da diese Pflicht aber, wie der BGH nun urteilte, eben nur gegenüber der Gesellschaft gelte, kann daraus von nun an keine persönliche Haftung bei Wettbewerbsverstößen mehr begründet werden.

Haftung kann sich auch anders ergeben

Grundsätzlich hat der BGH mit diesem Urteil die persönliche Haftung von Geschäftsführern beschränkt, die sich aus der generellen Organhaftung ergeben können. Es muss, damit eine Haftung bejaht werden kann, ein Grund vorliegen, der über die bloße Verantwortlichkeit des Geschäftsführers zu einem ordnungsgemäßen Geschäftsbetrieb hinausgeht. Solche Gründe könnten aus dem Bereich der Compliance stammen. Geschäftsführer einer GmbH bzw. Vorstände einer AG sind verpflichtet, Schaden von ihrem Unternehmen abzuwenden. Zudem kann auch ein Verstoß gegen die Pflicht ein ordnungsgemäßes Compliance-System aufzubauen, dass eventuell Wettbewerbsverstöße durch Mitarbeiter verhindert oder gemindert hätte, eine persönliche Haftung begründen. Als Beispiel für eine solche prinzipielle Bedeutung eines funktionierenden Compliance-Systems und etwaige Folgen zeigt das sog. „Neubürger-Urteil“ des Landgerichts München I (Newsletter 9/2014).

Wer haftet bei kartellrechtlichen Verstößen vor dem Hintergrund eines Wechsels des Mutterkonzerns?

Ist ein Tochterunternehmen an einem Kartell beteiligt und wechselt es während des Bußgeldverfahrens der Kommission den Mutterkonzern, haften beide Mutterkonzerne. Diese Ansicht der Europäischen Kommission hat der Europäische Gerichtshof bestätigt.

Ist ein Tochterunternehmen eines Konzerns an einem Kartell beteiligt und wird das Tochterunternehmen noch vor dem Bußgelderlass der Kommission aus dem alten Mutterkonzern aus- und in einen neuen, fremden Mutterkonzern eingegliedert, bspw. durch Verkauf, stellt sich die Frage nach der Haftung des alten und neuen Mutterkonzerns.

Der Europäische Gerichtshof (EuGH) hat nun geurteilt, dass durchaus mehrere Mutterkonzerne für kartellrechtliche Verstöße des Tochterunternehmens haften können. Dies ist der Fall, wenn die Kommission nachweisen kann, dass die jeweiligen Mutterkonzerne während der Dauer des Kartells mit dem betroffenen Tochterunternehmen eine wirtschaftliche Einheit gebildet haben. Es kommt folglich nicht darauf an, ob das Tochterunternehmen vor Eingliederung in den neuen Mutterkonzern bereits am Kartell teilgenommen hat. Auch wenn der Bußgelderlass der Kommission nach Ausgliederung des betroffenen Tochterunternehmens ergeht, entlässt das den ehemaligen Mutterkonzern nicht aus der Haftung. Entscheidend ist, ob das Tochterunternehmen während der Teilnahme am Kartell in einer wirtschaftlichen Einheit mit dem Mutterkonzern gewesen ist. Wenn ja, ergibt sich daraus die jeweilige Haftung.

Aus der Ansicht der Kommission und des EuGH ergibt sich folglich, dass es zu zwei gesamtschuldnerischen Strafen kommt: der erste Mutterkonzern gesamtschuldnerisch mit dem Tochterunternehmen, sowie der zweite Mutterkonzern gesamtschuldnerisch mit dem Tochterunternehmen. Der erste Mutterkonzern kann sich somit nicht aus der Haftung „stehlen“, indem er vor Erlass des Bußgeldbescheides das Tochterunternehmen abstößt.

Das „Neubürger-Urteil“ und seine Folgen für die Compliance im Unternehmen

Das Landgericht (LG) München I verurteilte ein ehemaliges Vorstandsmitglied der Siemens AG zu einer Schadensersatzzahlung in Höhe von 15 Mio. EUR. Den Grund für die Schadensersatzpflicht des Ex-Vorstands sah das Gericht direkt in seinem Organisationsverschulden. Er hätte es versäumt, ein funktionierendes Compliance-System für seinen Aufgabenbereich zu etablieren.

Neubürger-Urteil schafft Präzendenzfall – Persönliche Haftung ausgeweitet

Das sog. „Neubürger-Urteil“ ist deswegen interessant, weil es einen Präzedenzfall darstellt. Zum ersten Mal wurde ein Vorstandsmitglied eines deutschen Unternehmens von einem deutschen Gericht wegen Organisationsverschuldens zu einem derart hohen Schadensersatz verurteilt. Damit verdeutlicht das Urteil, neben straf- und ordnungsrechtlichen Aspekten, auch die zivilrechtliche Tragweite bei Compliance-Verstößen. Grundsätzlich kann es automatisch zu einer Pflichtverletzung des Vorstands führen, wenn ein Compliance-System ungenügend aufgebaut ist – also bspw. nicht ausreichend Überwachungs- und Kontrollelemente enthält – oder auf ein Compliance-System komplett verzichtet wird. Auch mangelnde Aufklärungsbereitschaft kann eine Pflichtverletzung darstellen. Wie nun durch das „Neubürger-Urteil“ ersichtlich wird, kann ein Vorstand direkt zivilrechtlich für einen Compliance-Verstoß haftbar gemacht werden, wenn es zu tatsächlichen Gesetzesverstößen im Unternehmen kommt. Er macht sich zwar möglicherweise nicht strafbar (im vorliegenden Fall ging es um angebliche Korruptionszahlungen und schwarze Kassen, also Bestechung bzw. Bestechlichkeit), kann aber dafür verantwortlich gemacht werden, dass er kein ausreichendes System etabliert hat, das solche Verstöße effektiv zu verhindern versucht bzw. verhindern kann, vgl. § 91 Abs. 2 Aktiengesetz (AktG).

Dem betroffenen Unternehmen steht dann ein Schadensersatzanspruch zu. Daneben besteht für das Unternehmen auch das Risiko eines Bußgeldes von bis zu 1 Mio. EUR, wenn die Pflichtverletzung mit Strafe bedroht ist, § 130 Abs. 3 Ordnungswidrigkeitengesetz (OWiG).

Gericht bestätigt Pflicht zur Compliance

Zudem stellt das „Neubürger-Urteil“ klar: bei Gesetzesverstößen im Unternehmen gibt es für den Vorstand keine Alternativen. Er muss diesen zwingend nachgehen, diese aufklären bzw. alles unternehmen, um eine Aufklärung möglich zu machen. Ferner muss jedes Vorstandsmitglied darauf bedacht sein, dass die anderen Vorstandsmitglieder ebenfalls ihren Compliance-Verpflichtungen ausreichend nachkommen. Andernfalls droht eine persönliche Haftung, die im vorliegenden Fall durch außergerichtliche Vergleiche erfüllt wurde. Das LG München I führt dazu aus, dass ein Vorstand den genannten Pflichten nur dann ordnungsgemäß nachkomme, wenn „er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet […]“.

Unternehmen muss daher bewusst sein, dass ein ordnungsgemäß funktionierendes Compliance-System eine rechtliche Notwendigkeit darstellt. Letztendlich ist dafür die Geschäftsleitung auch zivilrechtlich haftbar. In seinem Urteil bezieht sich das Gericht zwar auf die Unternehmensform der Aktiengesellschaft. Zumindest für die Unternehmensform der GmbH gelten jedoch dieselben Anforderungen, da hier § 91 AktG analog angewandt wird.

Siemens AG klagte gegen ehemaligen Vorstand

Gegen ihr ehemaliges Vorstandsmitglied hatte die Siemens AG selber geklagt. Der Ex-Vorstand war Leiter des Bereichs „Corporate Finance“. In diesem Bereich waren Fälle eines Systems von schwarzen Kassen und Korruptionszahlungen aufgetaucht, von denen der Ex-Vorstand nichts wusste und entsprechende Zahlungen weder anordnete noch billigte. Allerdings sah es das LG München I als erwiesen an, dass ein funktionierendes Compliance-System im Bereich „Corporate Finance“ die schwarzen Kassen und Korruptionszahlungen verhindert oder zumindest erschwert hätte. Ein solches Compliance-System sicherzustellen wäre die Aufgabe des Ex-Vorstandes gewesen.