Eric Mayer, GSK Stockmann

Wirtschaftskriminalität effektiv vorbeugen

Immer wiederkehrende Geldwäscheprobleme bei Finanzdienstleistern und vor allem der Wirecard-Skandal werfen ein Schlaglicht auf die geltenden Börsenregeln, insbesondere auf die Börsenzulassungsvorschriften. Der Dax steht vor dem größten Umbau seiner...

Wirtschaftskriminalität effektiv vorbeugen

Immer wiederkehrende Geldwäscheprobleme bei Finanzdienstleistern und vor allem der Wirecard-Skandal werfen ein Schlaglicht auf die geltenden Börsenregeln, insbesondere auf die Börsenzulassungsvorschriften. Der Dax steht vor dem größten Umbau seiner Geschichte. Was braucht Deutschlands bekanntester Börsenindex in Zukunft noch außer zusätzlichen Mitgliedern?

Im Zusammenhang mit dem Bilanzbetrug- und Geldwäscheskandal beim inzwischen insolventen Finanzdienstleister Wirecard machte die bildhafte Beschreibung der deutschen Börsen-“Champions League“ als „Trainingslager“ für junge Wachstumsunternehmen die Runde in den Medien. Ein Rückblick in die jüngere deutsche Wirtschaftsgeschichte auf sehr vergleichbare Bilanzbetrugsfälle wie Flowtex, Comroad oder EM.TV macht deutlich, dass trotz aktueller Medienbrisanz der Wirecard-Skandal vielleicht gar nicht einmal so einzigartig ist – oder ob insgesamt der Wirtschaftsstandort Deutschland ein Strukturproblem mit einer vielleicht fragwürdigen Toleranz für Wirtschaftskriminalität hat.

Neben unter Umständen erforderlichen neuen Vorgaben für einen Zwangsabstieg aus dem 1988 gegründeten deutschen Top-Börsensegment, einem zusätzlichen Profitabilitätskriterium und eben einer Erweiterung auf 40 oder gar 50 Mitglieder stellt sich die Frage, ob und wie Dax-Kandidaten ganz grundsätzlich schon vor einer Index-Aufnahme zu effektiver Prävention von Wirtschaftskriminalität verpflichtet werden müssen.

Vorbild USA

In den Börsenzulassungsvorschriften der Deutschen Börse (§19 BörsenG) finden sich derzeit keine zwingenden Vorgaben zur notwendigen Einführung beziehungsweise dem Betrieb, der Kontrolle und der kontinuierlichen Weiterentwicklung eines Compliance-Management-Systems (CMS). Allenfalls das Zulassungskriterium der Zuverlässigkeit des Leitungspersonals eines Börsenkandidaten könnte als mittelbarer Hinweis auf ein CMS-Erfordernis gewertet werden. Dazu zählen neben der Solvenz auch die fachliche Befähigung und die persönliche Integrität als nächstliegender Hinweis auf Compliance Kriterien. Von der zwingenden Erfordernis eines effektiv implementierten CMS ist dem Börsengesetz aber de lega lata heute nichts zu entnehmen.

Die derzeit geltende Fassung des Aktiengesetzes sieht bis auf die Forderung nach einem Risikofrüherkennungssystem (§91 II AktG) ebenfalls keine ausdrückliche Verpflichtung zur Einrichtung eines CMS vor. Immerhin wird aber über die inzwischen im deutschen Aktienrecht inkorporierte Business Judgment Rule (§93 I. 2. AktG) eine gesellschaftsrechtliche CMS-Pflicht für Unternehmen aller Größen und Rechtsformen hergeleitet – allerdings eben auch keine besonders ausformulierte gesetzliche CMS-Verpflichtung gerade für Dax-30-Kandidaten.

In den USA muss jedes Unternehmen, das einen IPO an einem US-Börsensegment anstrebt, unabhängig von Größe oder Reife CMS Mindestinhalte implementiert haben wie einen Verhaltenskodex, ausreichende und regelmäßig selbst getestete Finanzkontrollen sowie eine Hinweisgebermöglichkeit beziehungsweise ein Whistleblowing-System vorhalten.

Ernüchternde Bilanz

Der vergleichende Blick über den Atlantischen Ozean zeigt eine weitere ernüchternde Bilanz. Die USA alleine haben mehr Geldwäschebußen gegen die Deutsche Bank verhängt als deutsche Behörden. Und sie haben nach Volkswagen inzwischen mit Daimler ein weiteres Dax-30-Mitglied zur Verantwortung für manipulierte Dieselmotoremissionen gezogen. Seit dem Jahr 2008 haben das US-Justizministerium (DoJ) und die Börsenaufsicht Securities and Exchange Commission (SEC) zehn deutsche Unternehmen wegen Auslandskorruptionsvorwürfen verfolgt.

Die Liste der betroffenen Unternehmen beginnt mit Siemens und enthält weitere prominente deutsche Konzernnamen wie die Dax-30-Mitglieder SAP, Allianz, Linde, Deutsche Telekom und Daimler. Die aktuellsten Fälle waren im vergangenen Jahr Fresenius Medical Care und die Deutsche Bank. Mit anderen Worten haben US-Behörden und nicht ihre deutschen Counterparts die Verfolgung von Wirtschaftskriminalität angeführt.

Ist dies nun alleine ein Problem mangelnder Aufsicht oder Strafverfolgung? Die in Berlin beheimatete und inzwischen weltweit anerkannte Nichtregierungsorganisation Transparency International (TI) hält Wirecard nicht für einen Einzelfall, sondern moniert strukturelle Defizite im deutschen Rechtssystem.

Egal ob die Ursache in unzureichenden gesetzlichen Vorschriften, unzureichender Aufsicht und von Bundesland zu Bundesland abweichender Strafverfolgung oder auch einem möglicherweise bestehenden Hang zum Laissez-faire deutscher Führungskräfte in Sachen Compliance zu suchen ist, wird der Wirtschaftsstandort einen strukturellen Wandel benötigen.

Nicht explizit definiert

Hierzulande enthält der aktuelle Regierungsentwurf zum seit langem geplanten und nach wie vor um­strittenen Verbandssanktionengesetz wiederum keine expliziten CMS-Definitionen, was in der Bundesratssitzung am 18. September 2020 völlig zu Recht neben vielen anderem heftig kritisiert wurde. Während die Bundesregierung ihre Reaktion auf die Mängelliste des Bundesrats zur Vorbereitung einer weiteren Be­handlung dieser grundlegenden Gesetzesreform im Bundestag vorbereitet, hat sie am 6. Oktober 2020 einen Aktionsplan zur Bekämpfung von Bilanzbetrug und zur Stärkung der Kontrolle über Kapital- und Finanzmärkte vorgelegt. Dieses sechsseitige Papier führt als erstes Ziel an, das System der Bilanzprüfung und ihrer Aufsicht sowie die Corporate Governance schlagkräftiger machen zu wollen.

Im Ermessen des Vorstands

Auf europäischer Ebene soll eine Art EU-SEC kommen, hierzulande soll die Corporate Governance von börsennotierten Unternehmen da­durch gestärkt werden, indem sie zur Etablierung angemessener und wirksamer interner Kontroll- und wirksamer Kontroll- und Risikomanagementsysteme, zur verpflichtenden Einrichtung eines Prüfungsausschusses im Aufsichtsrat und zur Stärkung der Informationsrechte der Aufsichtsräte angehalten werden. Wiederum werden weder der CMS-Begriff erwähnt noch Compliance-Management-System-Mindestinhalte angeführt.

Als weitere Reaktion auf den Wirecard-Skandal ist der Regierungsentwurf vom 26. Dezember 2020 für ein Finanzmarktintegritätsgesetz (FSIG) zu sehen. Doch auch hier versäumt der Gesetzgeber, eine CMS-Definition einzuführen. Lediglich das Aktiengesetz soll dahingehend geändert werden (§91 AktG), dass der Vorstand einer börsennotierten Gesellschaft ein in Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmers angemessenes und wirksames internes Kontroll- und Risikomanagementsystem einzurichten hat. Die konkrete Ausgestaltung eines solchen soll aber weiter im Ermessen des Vorstandes verbleiben.

Verhaltensänderung bewirkt

Es zeigt sich, dass weder im bestehenden Recht noch in aktuell schwebenden Gesetzgebungsverfahren oder in Aktionsplänen die Chance ergriffen wird, von der positiven Signalwirkung durch die Verwendung einer international längst tradierten CMS-Begrifflichkeit Ge­brauch zu machen. Die nunmehr 43-jäh­rige weltweite Anwendungspraxis eines US Foreign Corrupt Practices Act – diese internationale „Mutter“ aller Compliance-Gesetze ist übrigens exakt gleich alt wie das deutsche Bundesdatenschutzgesetz –, der Sarbanes-Oxley Act 2002, der UK Bribery Act 2010 und die französische Loi Sapin II 2016 zeigen aber deutlich auf, dass eine ausdrückliche Formulierung von CMS-Inhalten das katalytische Auftaktsignal zu einer nachhaltigen Verhaltensveränderung in den Unternehmen geben kann.

Mehr Durchschlagskraft

Bereits Ende dieses Jahres wird eine neue EU-Richtlinie zur verpflichtenden Einführung von Whistleblowing-Systemen auf alle deutsche Unternehmen mit mehr als 50 Arbeitnehmern zukommen. Mit klar formulierten gesetzlichen CMS-Vorgaben könnten auch ESG-Kriterien zu mehr Durchschlagskraft verholfen werden.

Natürlich müssen alle Unternehmen unabhängig von Größe und Reife ein risikobasiertes CMS effektiv implementieren, um Fehlverhalten angemessen und zuverlässig zu vermeiden, zu erkennen und zu sanktionieren. Und insofern könnte eine ausdrückliche CMS-Pflicht nur für Dax-Mitglieder kontraproduktiv wirken und dem Scheinargument weiteren Vorschub leisten, dass CMS doch nur etwas für Siemens und Co. seien.