Anika Feger, RAin

Compliance-Risiken aus Sicht des Aufsichtsrates

Aufgrund der inzwischen erreichten Verdichtung gesetzlicher Anforderungen, potenzieller Angriffe Dritter auf ein Unternehmen oder möglicher strafbarer Handlungen von Mitarbeitenden zu Lasten eines Unternehmens ergeben sich für Aufsichtsräte immer größere Risiken für eine mögliche persönliche Haftung. Auch die aktuelle geopolitische Lage mit nicht vorhersehbaren und somit unplanbaren Ereignissen, wie z. B. zu Zollvorschriften, neuen Sanktionen oder kurzfristigen Änderungen gesetzlicher Anforderungen, stellen eine Situation dar, bei der es sich lohnt, aus Sicht des Aufsichtsrates zu analysieren, wie groß der eigentliche Umfang der bestehenden Verantwortlichkeiten zu Compliance-Risiken für Aufsichtsräte ist.

I. Einführung

Die aktuelle vorstehend beschriebene und von diversen Sonderereignissen geprägte Lage führt derzeit immer wieder zur Frage des Umfangs und der Abgrenzung von Verantwortlichkeiten zwischen Aufsichtsrat und Vorstand.1 Der vorliegende Fachbeitrag geht hierbei auf die Besonderheiten im Zusammenhang mit Compliance-Risiken ein.

Zunächst ist es die Aufgabe des Aufsichtsrates, die Pflicht des Vorstandes zur ordnungsgemäßen Geschäftsführung zu überwachen.2 Des Weiteren kommt dem Aufsichtsrat auch eine beratende Funktion zu.3 Lediglich in besonderen Einzelfällen muss der Aufsichtsrat aufgrund der Entstehung eigener Sorgfaltspflichten damit beginnen, selbst Maßnahmen einzuleiten. Der Aufsichtsrat hat jedoch beispielsweise keine eigene Befugnis, Mitarbeitende des Unternehmens zu überwachen.

Kommt ein Mitglied eines Aufsichtsrates seinen Pflichten nicht bzw. nicht ordnungsgemäß nach, kann es selbst wegen Untreue strafbar sein, sofern in Bezug auf das Vermögen eines Unternehmens ein wirtschaftlicher Nachteil eingetreten ist.4 Denn der Aufsichtsrat hat im Rahmen seiner Überwachungspflicht auch eine sogenannte Vermögensbetreuungspflicht.5 Beide Pflichten können z. B. dazu führen, nach pflichtgemäßem Ermessen prüfen zu müssen, ob aufgrund eines Schadens, der durch eine nicht ordnungsgemäße Geschäftsführung eines Vorstandes entstanden ist, gegen einzelne oder mehrere Vorstandsmitglieder Schadensersatzansprüche durchzusetzen sind.

Für den Fall des Vorliegens der Verletzung eigener Überwachungspflichten durch einen Aufsichtsrat werden D&O-Versicherer mit großer Wahrscheinlichkeit keine Schadensregulierung durchführen. Versicherer prüfen regelmäßig, insbesondere bei hohen Schadenssummen, ob sie eine Auszahlung wegen möglicher Pflichtverletzungen eines Aufsichtsrates überhaupt leisten müssen.

Der vorliegende Beitrag befasst sich mit der Fragestellung, welche Steuerungsmöglichkeiten ein Aufsichtsrat hat, um das Auftreten von Compliance-Risiken und das damit verbundene Schadenspotenzial zu reduzieren. Des Weiteren wird darauf eingegangen, wann aufgrund der Entstehung eigener Sorgfaltspflichten in besonderen Fällen durch den Aufsichtsrat selbst Maßnahmen eingeleitet werden müssen. Im Ergebnis dienen die Steuerungsmöglichkeiten und Maßnahmen der Verhinderung möglicher Schäden für das Unternehmen wie auch dem Schutz aller Beteiligten in Bezug auf deren mögliche persönliche Haftung.

Die Abb. 1 (siehe S. 146) beinhaltet einen Überblick über die wesentlichen Steuerungsmöglichkeiten als Aufsichtsrat, nach denen der vorliegende Fachbeitrag im weiteren Verlauf untergliedert ist.

Abb. 1: Möglichkeiten zur Steuerung von Compliance-Risiken als Aufsichtsrat

II. Verantwortlichkeiten und Definitionen

Zunächst stellt sich jedoch die Frage, welche Aufgaben generell beim Aufsichtsrat in Bezug auf das Themengebiet Compliance liegen, worin Compliance-Risiken bestehen, wie sich diese bewerten lassen und ob die Aufgaben auf einen Ausschuss übertragen werden können.

1. Aufgaben des Aufsichtsrates

Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein internes Kontrollsystem und ein Risikomanagementsystem einzurichten, damit „den Fortbestand der Gesellschaft gefährdende Entwicklungen“ frühzeitig erkannt werden.6 Aufgrund der Aufgabe des Aufsichtsrates zur Überwachung und Beratung des Vorstandes, lässt sich daraus ableiten, dass auch das interne Kontrollsystem und das Risikomanagementsystem Bestandteile der Überwachungsaufgaben des Aufsichtsrates sind.7

Ein internes Kontrollsystem und ein Risikomanagementsystem umfassen auch ein an die Risikolage des Unternehmens ausgerichtetes Compliance-Management-System (CMS).8 Insofern umfassen die Aufgaben der Überwachung und Beratung des Vorstandes durch den Aufsichtsrat thematisch auch das CMS.

Die gesetzlichen Vorgaben sehen vor, dass es sich um Maßnahmen zur Überwachung von Gefährdungen handeln muss, die den Fortbestand der Gesellschaft tangieren können.9 Hierbei ist zu berücksichtigen, dass auch scheinbar unwesentliche Risiken kumuliert oder in Wechselwirkung mit anderen Risiken eine „bestandsgefährdende“ Wirkung haben können.

2. Definition von Compliance-Risiken

Compliance-Risiken sind Risiken, die auf nicht konformen Handlungen oder Unterlassungen beruhen. Sie entstehen durch Verstöße gegen Verordnungen, Gesetze, aufsichtsrechtliche Vorgaben, Richtlinien oder sonstige Normen sowie freiwillige Kodizes oder Vereinbarungen. Compliance-Risiken können:

• Strafen, Bußgelder oder andere Sanktionen,
• Risiken für Vermögenswerte,
• Reputationsrisiken oder
• zivilrechtliche Verfahren

zur Folge haben.

Im Unternehmenskontext ist ein Compliance-Verstoß jedes unternehmerische Handeln, gleich ob Tun oder Unterlassen, das gegen vorstehende Anforderungen verstößt.

3. Bewertung von Compliance-Risiken

Ab welcher konkreten Schadenshöhe Compliance-Risiken vorliegen, die „den Fortbestand der Gesellschaft gefährden“, kann je nach Bezeichnung der internen Unternehmensorganisationen z. B. von Mitarbeitenden der Bereiche Treasury oder dem Financial-Risk-Management für das einzelne Unternehmen individuell berechnet werden. Bei Unternehmensgruppen sollten hierbei auch die finanziellen Verhältnisse und Rechtsbeziehungen innerhalb der gesamten Gruppe, bestehend z. B. aus der Holding wie auch einzelnen Tochter- oder Schwestergesellschaften, berücksichtigt werden.

Die Bewertung des Schadenspotenzials in Bezug auf einzelne Compliance-Risiken erfolgt aus dem Zusammenspiel der Eintrittswahrscheinlichkeit und der Schadenshöhe. Auch Reputationsrisiken können geeignet sein, sich zu einem „bestandsgefährdenden“ Risiko zu entwickeln, beispielsweise bei einem vollständigen Verlust des Vertrauens der Kunden in die Reputation einer Marke in dafür besonders sensiblen Sektoren.

Aufgrund der Höhe möglicher Strafzahlungen oder Bußgelder für eine nicht durchgeführte oder unvollständige Umsetzung rechtlicher Vorschriften, können die sich hieraus ergebenden Risiken im Fall ihres Eintretens einzeln oder kumuliert, ein die jeweilige Wertgrenze übersteigendes Schadenspotenzial entfalten. Hierbei ist bei grenzüberschreitenden Geschäftstätigkeiten zu berücksichtigen, dass Strafzahlungen oder Bußgelder für identische Sachverhalte in anderen Ländern zum Teil erheblich über denen des Landes des Sitzes des Unternehmens liegen können.

4. Kompetenzbündelung in Ausschüssen

Wie bei anderen Themengebieten stellt sich auch bei der Steuerung von Compliance-Risiken die Frage der Übertragung auf einen Ausschuss innerhalb des Aufsichtsratsgremiums. Besteht für ein Unternehmen die Pflicht zur Einrichtung eines Prüfungsausschusses10 bzw. wurde ein solcher freiwillig eingerichtet, ist es empfehlenswert, die Steuerung von Compliance-Risiken aufgrund der vorhandenen Fachkompetenzen der Mitglieder auf diese zu übertragen.

Sollten darüber hinaus weitere Ausschüsse gebildet worden sein, wie z. B. ein eigener Risikoausschuss, ist eine Abstimmung zur Übernahme der unterschiedlichen Aufgaben sinnvoll. Unabhängig von der Übertragung einzelner Aufgaben an die Mitglieder eines Ausschusses ist von diesen aufgrund der Gesamtverantwortung aller Aufsichtsratsmitglieder eine regelmäßige Berichterstattung zu Compliance-Risiken im Innenverhältnis in Bezug auf das gesamte Aufsichtsratsgremium durchzuführen.

III. Beratung und Überwachung des Vorstandes zu Maßnahmen der Prävention oder zur Identifizierung „bestandsgefährdender“ Compliance-Risiken

Aufgrund der Beratungs- und Überwachungsaufgaben des Aufsichtsrates zum Themengebiet Compliance, sollte in diesem auch hierzu eine grundlegende Fachkompetenz vorhanden sein, um den eigenen Aufgaben gerecht werden zu können. In der öffentlichen Wahrnehmung wird Compliance oftmals „nur“ mit bekannten Fällen wie Wirecard, Referenzzinssatzmanipulationen oder dem Dieselskandal in Verbindung gebracht. Hierbei handelte es sich um Fälle mit einem Bezug zu strafbaren Handlungen, die von Mitarbeitenden oder Dritten begangen wurden.

Wie der Fall Bayer gezeigt hat, können sich auch Schadensersatzforderungen einer Vielzahl von Personen, z. B. wegen von den Anspruchstellern vorgebrachter nicht ausreichender Risikohinweise zu einem krebsverursachenden Wirkstoff, im Ergebnis zu einer Schadenssumme entwickeln, die sich erheblich auf die Ertragslage und Reputation sowie den Wert der Aktien des Unternehmens auswirken kann.

1. Wesentliche Inhalte der Beratung des Vorstandes durch den Aufsichtsrat

Besonders effizient zur Reduzierung des Eintritts von „bestandsgefährdenden“ Compliance-Risiken ist die Implementierung eines unternehmensweit geltenden wirksamen CMS.

In diesem Zusammenhang bestehen z. B. zwei relevante Management-Standards der International Organization for Standardization (ISO).11 Der Standard ISO 37301 zur Implementierung eines CMS12 mit dem Fokus auf die Sicherstellung der Einhaltung gesetzlicher und regulatorischer Anforderungen sowie der Standard ISO 37001 zur Implementierung eines Anti-Bribery-Management-Systems inklusive Maßnahmen zum Anti-Korruptionsmanagement13 mit dem Schwerpunkt der Prävention und Aufdeckung strafbarer Handlungen.

Die Management-Standards haben den Vorteil, dass verschiedene Maßnahmen zur Reduzierung von Compliance-Risiken so zu implementieren sind, dass die erforderlichen Prozesse sinnvoll aufeinander aufbauen und ineinandergreifen. Beide Systeme beinhalten eine Risikoanalyse als wesentlichen Baustein, die z. B. neben der Ermittlung von unternehmensspezifischen Risikokonzentrationen auch dem prozessorientierten Aufsatz von Überwachungshandlungen dient.

Bei einem CMS wird in diesem Zusammenhang in der Praxis oftmals auch von der unternehmensweiten Implementierung eines sogenannten Compliance-Life-Cycle gesprochen. Bei diesem bauen die internen Prozesse vom Monitoring neuer gesetzlicher und regulatorischer Anforderungen bis hin zur Berichterstattung sinnvoll aufeinander auf (siehe Abb. 2 oben).

Abb. 2: Compliance-Life-Cycle zu einem CMS

Weitere wesentliche Bestandteile eines CMS sind z. B. die eindeutige Zuordnung von Verantwortlichkeiten sowie die Definition von Schnittstellen der Sonderfunktionen untereinander, wie z. B. dem Compliance-, Datenschutz-, Cyber-Security- oder Nachhaltigkeits-Beauftragten sowie dem Anti-Financial-Crime-Manager.

Das Erkennen der Notwendigkeit der Implementierung eines CMS setzt das Vorliegen einer „guten Compliance-Kultur“ voraus, die „tone from the top“ vorgelebt wird und nicht nur durch einen „Code of Conduct“ zum Ausdruck kommt, sondern z. B. auch durch die Zurverfügungstellung ausreichender personeller Ressourcen durch den Vorstand für die Beauftragten-Funktionen mit qualifizierten Mitarbeitenden.

Bestandteil eines CMS ist auch die Berücksichtigung unterschiedlicher Strategien mit der Ableitung von Maßnahmen zur Steuerung der identifizierten Risiken. In der Praxis haben sich die folgenden fünf Strategien der Risikosteuerung durchgesetzt:

• Risikovermeidung
• Risikoverminderung
• Risikobegrenzung
• Risikoabwälzung
• Risikoakzeptanz

Zur Bildung von der Höhe nach geeigneten finanziellen Rückstellungen zur Aufrechterhaltung der Liquidität im Fall des Eintritts eines Schadens beinhaltet ein wirksames CMS ebenfalls Schnittstellen zur OpRisk-Schadensfalldatenbank.

Aus Sicht des Aufsichtsrates ist es von besonderer Relevanz, dass mit einem CMS auch Prozesse zu Berichtslinien vorhanden sind, die der Erlangung von Informationen zu „bestandgefährdenden“ Compliance-Risiken dienen. Hierbei handelt es sich im Anwendungsfall um die Ausführung der sogenannten Ad-hoc-Berichterstattung, die in der Praxis oftmals in einer sogenannten Eskalationsrichtlinie beschrieben wird.

In der Regel erfolgt die Berichterstattung von den unteren Ebenen über den Vorstand an den Aufsichtsrat. Mitarbeitenden sollte jedoch in den internen Richtlinien das Recht eingeräumt werden, eine direkte Berichterstattung am Vorstand vorbei direkt zum Aufsichtsrat vorzunehmen, wenn Anhaltspunkte dafür bestehen, dass der Vorstand selbst in einen Compliance-Sachverhalt involviert ist. Berichtsempfänger sollte der Aufsichtsratsvorsitzende und/oder der Vorsitzende des Prüfungsausschusses sein, die anschließend innerhalb des gesamten Aufsichtsratsgremiums die Informationen weiterleiten.

Sofern die Ausübung der internen Hinweisgeberstelle gemäß Hinweisgeberschutzgesetz durch eine externe (Ombuds-)Person erfolgt, sollte auch dieser ein entsprechendes Recht zu einer direkten Berichterstattung eingeräumt werden, wenn Anhaltspunkte dafür bestehen, dass der Vorstand selbst in einen Compliance-Sachverhalt involviert ist.

2. Wesentliche Überwachungsmaßnahmen des Aufsichtsrates

Im Rahmen seiner Aufgaben muss der Aufsichtsrat überwachen, ob der Vorstand unternehmensweit wirksame Maßnahmen implementiert hat, mit denen der Eintritt von „bestandsgefährdenden“ Compliance-Risiken verhindert werden kann. Die besondere Wirksamkeit der vorstehend zitierten relevanten Management-Systeme wurde bereits erläutert.

Besteht für ein Unternehmen die Pflicht zur Erstellung eines Lageberichtes, sind dessen Inhalte in dem Abschnitt zum Risikomanagement auf entgegenstehende Anhaltspunkte zu prüfen. Die Dokumentation der Prüfung kann mittels eigener dokumentierter Stichproben erfolgen. Sofern sich bei der Durchsicht der Berichte oder der Durchführung von eigenen Stichproben Unplausibilitäten ergeben, muss der Aufsichtsrat diesen weiter nachgehen.

Es ist nicht ausreichend, sich als Aufsichtsrat auf die Ergebnisse der Berichterstattung des Jahresabschlussprüfers zu verlassen, dessen Beauftragung eine der wesentlichen Aufgaben des Aufsichtsrates ist.14 Die Prüfung des Jahresabschlusses durch den Aufsichtsrat ist eine gesetzliche Pflicht,15 die über die reine Entgegennahme des Berichtes hinausgeht. Selbstverständlich kommt hierbei auch der regelmäßigen Kommunikation und dem Austausch mit dem Jahresabschlussprüfer bei der Überwachung der ordnungsgemäßen Geschäftsführung des Vorstandes eine besondere Bedeutung zu.

Die Implementierung eines CMS wird innerhalb der Unternehmen in der Praxis von den Vorständen an Compliance-Beauftragte übertragen. Dennoch verbleibt beim Vorstand die Gesamtverantwortung und Pflicht zur Überwachung, ob das vorhandene CMS wirksam ist. Die hierzu vom Vorstand durchzuführende Überwachungshandlung und deren Dokumentation kann vom Aufsichtsrat ebenfalls angefordert und somit überwacht werden.

Neben der Überwachung der Implementierung eines wirksamen CMS sind vom Aufsichtsrat auch die Bilanz sowie die Finanzkennzahlen eines Unternehmens zu prüfen und die Daten nachweislich zu plausibilisieren.16 Hierbei wird der Aufsichtsrat ebenfalls vom Jahresabschlussprüfer unterstützt, wobei hierdurch eigene Überwachungshandlungen gleichermaßen nicht ersetzt werden. Die Prüfung der Bilanz sowie der Finanzkennzahlen dient insbesondere der Identifizierung bereits vorliegender „bestandsgefährdender“ Compliance-Risiken.

IV. Beratung & Überwachung des Vorstandes zur Steuerung des Vorliegens „bestandsgefährdender“ Risiken

Auch nach Bekanntwerden „bestandsgefährdender“ Compliance-Risiken gilt, dass die Steuerung dieser grundsätzlich in der Verantwortung des Vorstandes liegt (zur Ausnahme siehe Abschnitt V.) und der Aufsichtsrat hierzu selbst nicht operativ tätig wird. Beim Aufsichtsrat verbleiben in diesen Fällen ebenfalls die Aufgaben der Beratung und Überwachung.

Zum Management „bestandsgefährdender“ Compliance-Risiken wird der Vorstand in der Regel interne Funktionen wie Compliance, Internal Audit, Controlling oder Finance sowie – je nach Einzelfall – auch einzelne operativ tätige Abteilungen in eine Sachverhaltsanalyse einbinden. Gegebenenfalls erfolgt eine zusätzliche Beauftragung externer (Forensik-)Spezialisten.

Beim Vorliegen „bestandsgefährdender“ Compliance-Risiken muss die Berichterstattung vom Vorstand an den Aufsichtsrat dahingehend intensiviert werden, dass nicht nur häufiger, sondern auch detaillierter berichtet wird. Darauf aufbauend wird in solchen Situationen auch die Intensität der Beratung sowie die Überwachungsfunktion des Aufsichtsrates einen größeren Umfang erreichen. Sollte der Vorstand seine Berichterstattung an den Aufsichtsrat in entsprechenden Fällen nicht intensivieren, muss der Aufsichtsrat den Vorstand hierzu auffordern und sollte diese Aufforderung ebenfalls dokumentieren.

V. Einleitung von Maßnahmen in besonderen Einzelfällen

Wie vorstehend bereits erläutert, ist die Übernahme der Steuerung bereits bekannter Compliance-Sachverhalte durch den Aufsichtsrat der Ausnahmefall. Nur in den Fällen, in denen der Vorstand selbst involviert ist, gelten erhöhte Anforderungen an die Sorgfaltspflichten des Aufsichtsrates. Zunächst ist jedoch erforderlich, dass der Aufsichtsrat von einem solchen Fall Kenntnis erlangt.

1. Mögliche Eingangskanäle zur Kenntniserlangung

Wie vorstehend in Abschnitt III.1. bereits beschrieben, kann der Aufsichtsrat, sofern entsprechende Prozesse im Unternehmen vorhanden sind, über den Eingangskanal der Ad-hoc-Berichterstattung zum Vorliegen eines Compliance-Sachverhaltes, bei dem der Vorstand involviert ist, informiert werden. Ist dies der Fall, erfolgt eine Berichterstattung oftmals durch Mitarbeitende der Bereiche Compliance, Internal Audit, Controlling oder Finance.

Ein weiterer möglicher Eingangskanal kann die interne Hinweisgeberstelle eines Unternehmens sein, die von Mitarbeitenden des Unternehmens selbst oder einer externen (Ombuds-)Person verantwortet wird, an die sich hinweisgebende Personen unter Wahrung der Vertraulichkeit ihrer Identität wenden können.

Der Aufsichtsrat sollte sich vom Vorliegen entsprechender direkter Berichtswege oder Hinweisgebersysteme in besonderen vorab definierten Einzelfällen im Rahmen seiner eigenen Überwachungshandlungen überzeugen und bei Nichtvorliegen auf deren Implementierung hinwirken.

Relevante Informationen können sich auch aus den Prüfungen zur Jahresabschlussprüfung ergeben. Hierzu wird im Regelfall der für die Jahresabschlussprüfung verantwortliche Partner der beauftragten Prüfungsgesellschaft direkt auf den Aufsichtsratsvorsitzenden und/oder den Vorsitzenden des Prüfungsausschusses zugehen.17

Auch Erkenntnisse aus den eigenen Prüfungen des Aufsichtsrates können zu einem Anfangsverdacht des Vorliegens eines entsprechenden Compliance-Vorfalls führen, dem in der Folge mit weiteren Maßnahmen zur Plausibilisierung der Verdachtslage nachzugehen ist.

2. Steuerungsmöglichkeiten

Zu Beginn des Auftretens eines Anfangsverdachtes zum Vorliegen eines entsprechenden Sachverhaltes wird oftmals die Entscheidung stehen, ob externe (Forensik-)Spezialisten beauftragt werden sollten, um einen Sachverhalt möglichst vollständig aufzuklären.18 In der Praxis ergibt sich hierbei die Frage, welche Vorstandsmitglieder in einen Sachverhalt unmittelbar involviert sind und welche Vorstandsmitglieder Verpflichtungen zur Prävention oder Aufdeckung eines Sachverhaltes nicht ordnungsgemäß nachgekommen sind. Die möglichst vollständige Aufklärung eines Sachverhaltes dient unter anderem der Prüfung von Schadensersatzansprüchen gegen einzelne oder mehrere Vorstandsmitglieder.

Um diese Entscheidung treffen zu können, an die sich oftmals sehr umfangreiche forensische Untersuchungen anschließen, stehen dem Aufsichtsrat z. B. die folgenden unterschiedlichen Möglichkeiten zur Verfügung:

• das Verlangen von Sonderberichten,19
• die Anforderung von und Einsichtnahme in Unterlagen wie auch die Prüfung von Vermögensgegenständen wie der sogenannten Gesellschaftskasse und der Bestände an Wertpapieren und Waren20 oder
• die unmittelbare Einholung von Auskünften bei den Leitern derjenigen Zentralbereiche der Gesellschaft, die in der Gesellschaft für die Aufgaben zuständig sind, die den Prüfungsausschuss in besonderen Fällen betreffen. Diese Möglichkeit besteht durch jedes Mitglied des Prüfungsausschusses über den Ausschussvorsitzenden.21

Sofern sich ein Anfangsverdacht bestätigt, sind weitere Folgemaßnahmen einzuleiten. Hierzu zählt z. B. die Beauftragung externer (Forensik-)Spezialisten zur vollständigen Aufklärung der Sachlage und Bemessung der Schadenshöhe zur Vorbereitung einer Prüfung und gegebenenfalls Durchsetzung von Schadensersatzansprüchen gegen einzelne oder mehrere Vorstandsmitglieder.

Eine weitere Maßnahme sollte die Beauftragung von Rechtsanwälten mit einer Spezialisierung auf Wirtschaftsstrafrecht in Bezug auf die Prüfung und mögliche Erstattung einer Strafanzeige gegen einzelne oder mehrere Vorstände sein. Außerdem sind bereits frühzeitig Fachanwälte für Arbeitsrecht zur Prüfung und Umsetzung möglicher dienstvertraglicher Maßnahmen gegen einzelne oder mehrere Vorstandsmitglieder hinzuzuziehen. Empfehlenswert ist auch die Entwicklung einer Kommunikationsstrategie gegenüber Investoren und der Öffentlichkeit sowie bei Bedarf die Einberufung einer Hauptversammlung.22

Bei einer Übernahme und Steuerung vorstehender Maßnahmen durch einen Ausschuss sind dennoch alle Mitglieder des Aufsichtsrates aufgrund ihrer Gesamtverantwortung regelmäßig in einem dem Sachverhalt angepassten Turnus zum jeweiligen Sachstand zu informieren.

VI. Fazit

Zur Beratung und Überwachung des Vorstandes in Bezug auf „bestandgefährdende“ Compliance-Risiken sollten grundlegende Kenntnisse im Aufsichtsrat zum Compliance-Management vorhanden sein. Auch nach der Kenntniserlangung des Vorliegens „bestandgefährdender“ Compliance-Sachverhalte wird der Aufsichtsrat grundsätzlich nicht zu einer operativ tätigen Funktion. Nur in den Fällen, in denen der Vorstand selbst in einen Compliance-Vorfall involviert ist, besteht die Pflicht zur Einleitung von Maßnahmen durch den Aufsichtsrat selbst.

Es muss sichergestellt sein, dass die einzelnen Aufsichtsratsmitglieder für den Fall der Ausübung mehrerer Mandate (sogenannte Multi-Aufsichtsräte), insbesondere in der Situation einer besonders umfangreichen Intensität der Ausführung eigener Verantwortlichkeiten, über ausreichende Kapazitäten verfügen. In diesem Zusammenhang hat in der Praxis in den vergangenen Jahren das sogenannte „Overboarding“ immer mehr an Bedeutung gewonnen.23

---