Es entbehrt nicht einer gewissen Ironie, dass, kurz nachdem das Bundesverfassungsgericht mit seinem Urteil zur Verfassungsmäßigkeit des Rundfunkstaatsvertrages dem Öffentlich-Rechtlichen Rundfunk (ÖRR) gegenüber privaten Medien quasi einen Freifahrtschein erteilt hatte (BVerfG, Beschl. v. 20. Juli 2021 – 1 BvR 2756/20, hier, s. auch Kommentierung hier), ausgerechnet das private Nachrichtenportal „Business Insider“ zahlreiche mögliche Verfehlungen beim Rundfunk Berlin-Brandenburg (RBB) aufdeckte. Neben einem gewissen Unterhaltungswert (s. für eine Chronologie der Ereignisse von Business Insider, s. hier) ermöglicht eine Analyse des Falls aber auch Rückschlüsse auf die Ausrichtung und den Aufbau von Corporate Governance- und Compliance-Strukturen in Unternehmen, von denen nachfolgend ein grundlegendes Thema herausgegriffen werden soll – nämlich die Frage, wie kritische Informationen an die Aufsichtsorgane gelangen.
So erscheint die Aussage einer verantwortlichen Person des RBB in einem Fernsehinterview, dass sie von Bedenken der Revisionsabteilung bezüglich der aufgelaufenen Kosten für den Umbau der Vorstandsetage keine Kenntnis hatte, bereits unter Governance-Gesichtspunkten bedenklich. Diese Bedenken werden durch die weitere Erklärung, dass der Leiter der Revision des RBB der Intendantin berichtspflichtig sei und dass „es schwierig sei, die Intendantin selber zu kontrollieren“ noch verstärkt.
Corporate Governance / Compliance bei Anstalten des öffentlichen Rechts?
Beim RBB handelt es sich um eine sog. „Anstalt des öffentlichen Rechts“ (AöR, s. dazu näher hier), also gerade keine privatwirtschaftliche Unternehmung, an die die Regelungen der Corporate Governance und Compliance originär adressiert sind. Der BGH hat sich in seiner sog. „BSR-Entscheidung“ allerdings sowohl grundsätzlich mit Compliance („Eine solche, neuerdings in Großunternehmen als „Compliance“ bezeichnete Ausrichtung, wird im Wirtschaftsleben mittlerweile dadurch umgesetzt, dass so genannte „Compliance Officers“ geschaffen werden.„, vgl. Rz. 27) als auch mit der Frage der Übertragung dieses Konzeptes auf AöR („Anders als ein privates Unternehmen, das lediglich innerhalb eines rechtlichen Rahmens, den es zu beachten hat, maßgeblich zur Gewinnerzielung tätig wird, ist bei einer Anstalt des öffentlichen Rechts der Gesetzesvollzug das eigentliche Kernstück ihrer Tätigkeit. Dies bedeutet auch, dass die Erfüllung dieser Aufgaben in gesetzmäßiger Form zentraler Bestandteil ihres „unternehmerischen“ Handelns ist.„, Rz. 29) auseinander gesetzt. Aus den Äußerungen des BGH sollte man mithin schon aus Gründen der Risikominimierung schließen, dass die Regeln der Corporate Governance und Compliance grundsätzlich sowohl in öffentlich- wie privat-wirtschaftlichen Unternehmen gelten, soweit nicht Spezialregeln greifen (so können AöR z.B. durch Landesrecht als nicht insolvenzfähig deklariert werden, vgl. § 12 Abs. 1 Nr. 2 InsO; für den RBB s. § 1 Abs. 2 des Staatsvertrages über die Errichtung des RBB (hier)). Die nachfolgende Analyse der für Aktiengesellschaften geltenden Regelungen dürften sich also sowohl auf AöR als auch (größenabhängig) auf Unternehmen anderer privatwirtschaftliche Rechtsform, wie etwa die GmbH, oder auch Verbände, übertragen lassen.
Grundsätzliches zur Corporate Governance beim RBB
Nach § 18 Abs. 1 des Staatsvertrages über die Errichtung des RBB überwacht der (aus dem Rundfunkrat zu wählende) Verwaltungsrat „die Geschäftsführung des Intendanten oder der Intendantin“ (und ist damit fast wortgleich mit der entsprechenden Formulierung zu den Pflichten des Aufsichtsrates in einer AG, vgl. § 111 Abs. 1 AktG). Der Verwaltungsrat im ÖRR ist strukturell mit einem Aufsichtsrat in einer Aktiengesellschaft vergleichbar, der/die Intendant/in einem Vorstand. Selbstredend kann der Verwaltungsrat nur solche Vorgänge der Geschäftsführung kontrollieren, über die er Kenntnis erlangt. Und da weisen Äußerungen in einem (dem Autor bekannten, aber hier aus Gründen des Persönlichkeitsschutzes nicht näher benannten) Interview darauf hin, dass der Verwaltungsrat mutmaßlich tatsächlich keine Kenntnis von den Verfehlungen hatte.
Die oben zitierten Äußerungen aus dem RBB deuten darauf hin, dass das für die Kontrolle der Geschäftsführung erforderliche Berichtswesen nicht so „aufgesetzt“ wurde, dass eine Berichterstattung an den Verwaltungsrates, insbesondere über kritische Geschäftsvorfälle, bruchlos gewährleistet ist. Somit ist die Frage, wie eine solch bruchlose Information des Verwaltungsrates strukturell sicher gestellt werden kann.
Grundsätzliches zur Information des Aufsichtsrates
Der Aufsichtsrat einer AG bezieht seine für die Überwachung des Aufsichtsrates erforderlichen Informationen regelmäßig über die nach § 90 AktG regelmäßig vom Vorstand zu erstattenden Berichte. Bereits nach Grundsatz 16 des Deutschen Corporate Governance Kodex (DCGK) hat der Aufsichtsrat „jedoch seinerseits sicherzustellen, dass er angemessen informiert wird.“ Dies betrifft ausdrücklich auch den Bereich „Compliance“. Den Aufsichtsrat trifft insoweit also eine Holschuld bezüglich der für die Überwachung der Geschäftsführung erforderlichen Informationen. Die Frage ist, wie weit diese Holschuld geht und ab wann sie in die alleinige Geschäftsführungsbefugnis des Vorstandes eingreift. Außerhalb der Berichte des Vorstandes können dem Aufsichtsrat einer AG über – mit anderen Stakeholdern des Unternehmens, etwa Wirtschaftsprüfern, agierende – Ausschüsse weitere relevante Informationen zugehen. So sah z.B. Ziff. 5.3. DCGK (2013) (hier) noch ausdrücklich die Betrauung des Prüfungsausschusses mit Fragen der Compliance vor.
Auch wenn diese Regelung im aktuellen Kodex nicht mehr explizit enthalten ist, sollte man nicht auf die fehlende Erforderlichkeit eines solchen zusätzlichen „Berichtsstranges“ neben den Berichten des Vorstandes schließen. Allerdings hatte die ursprüngliche Regierungskommission Deutscher Corporate Governance Kodex den Vorschlag „skeptisch“ beurteilt. Demnach solle es dem Aufsichtsrat freistehen, bestimmte Gegenstände durch die interne Revision untersuchen zu lassen. Insoweit wurde darauf verwiesen, dass die Mitglieder der internen Revision Angestellte des Unternehmens und insofern vom Vorstand weisungsabhängig seien. Der Einsatz der internen Revision am Vorstand vorbei und die Berichterstattung am Vorstand vorbei könne zu Loyalitätskonflikten führen, denen man weder den Vorstand noch die Mitarbeiter aussetzen sollte (s. hier, Rz. 58). Unabhängig von der Frage, ob dieses Abwägungsergebnis auch in Bezug auf Compliance-Mitarbeiter oder bei einer AöR überhaupt haltbar wäre, gilt diese Einschätzung bei Kreditinstituten schon jetzt nicht (vgl. BAFin, „MAComp“, hier, BT 1.2.2 Ziff. 3, „Die Berichte sind auch dem Aufsichtsorgan zu übermitteln.„). Zudem dürfte sich die Frage nach einer derartigen „Zusammenarbeit“ mit Angestellten des Unternehmens spätestens mit der Etablierung des sog. „Hinweisgeberschutzes“ im deutschen Recht (s. dazu schon hier, aktueller Stand Gesetzgebungsverfahren hier) insgesamt erledigen bzw. bereits erledigt haben. Denn spätestens wenn der Aufsichtsrat über ein Hinweisgebersystem Hinweise auf Missstände (sog. „Non-Compliance-Verdachtsfälle“) erhält, muss er tätig werden. Und Mitarbeiter werden spätestens mit In-Kraft-Treten der Regelungen des HinSchG unter bestimmten Voraussetzungen legal am Vorstand vorbei an den Aufsichtsrat berichten dürfen.
Korrespondierende Informationspflicht?
Was die Folgefrage aufwirft, ob die Mitarbeiter des Unternehmens auch zu derartigen Informationen (bzw. sogar mehr) gegenüber den Aufsichtsorganen (ggf. unter Umgehung der Geschäftsleitung verpflichtet sein können. In dem vorgenannten BSR-Urteil hatte der BGH nämlich im Leitsatz lapidar festgestellt: „Den Leiter der Innenrevision einer Anstalt des öffentlichen Rechts kann eine Garantenpflicht treffen, betrügerische Abrechnungen zu unterbinden.“ Dies spricht für eine Informationspflicht bei Mitarbeitern mit einem solchen Pflichtenkreis, der auch eine Garantenpflicht im strafrechtlichen Sinne begründen kann. Und tatsächlich stellt der BGH in Rz. 31 des zitierten Urteils fest, dass „der [Leiter der Innenrevision] die betrügerische Handlung des Vorstands G. ohne weiteres durch die Unterrichtung des Vorstandsvorsitzenden oder des Aufsichtsratsvorsitzenden hätte unterbinden können […].“ Demzufolge kann solche Mitarbeiter des Unternehmens eine besondere Informationspflicht treffen, die sich in einer besonderen Pflichtenstellung befinden und z.B. auch vom Unternehmen ausgehende Rechtsverstöße zu beanstanden und zu unterbinden haben (Rz. 26). Dies dürfte in der Praxis zumeist nur Leiter der Compliance-, Revisions- und ggf. des Risikomanagement-Abteilungen betreffen, nicht jedoch einfache Mitarbeiter dieser Abteilungen oder Mitarbeiter / Leiter anderer Abteilungen. Darüber hinaus dürfte, ausgehend vom hier behandelten Urteil des BGH, noch zusätzlich nach Art des Unternehmens abzustufen sein: Die Informationspflicht dürfte die vorgenannten Abteilungsleiter in AöR eher treffen, als die entsprechenden Personen in Kreditinstituten der Privatwirtschaft. Denn die oben zitierte Ziffer des MAComp des BAFin sieht im Folgesatz vor, dass eine „Verpflichtung, Compliance-Berichte ohne vorherige Information der Geschäftsleitung unmittelbar an das Aufsichtsorgan zu übermitteln“ nicht besteht. Wenn eine derartige generalisierende Verpflichtung schon im hochregulierten Bereich des Kreditwesens nicht vorgesehen ist, wird man sie für den Bereich der sonstigen Privatwirtschaft grundsätzlich (erst recht) nicht konstatieren können, so nicht die Statuten der Organisation oder arbeitsvertragliche Regelungen (soweit zulässig) eine entsprechende Pflicht vorsehen.
Selbst wenn eine Person nach den vorherigen Kriterien eine besondere Informationspflicht treffen sollte, so dürfte diese – mit Blick auf die BSR-Entscheidung – aber im Zweifel nur bei Verdachtsfällen greifen, die eine gewisse Schwere aufweisen. So wurde in dem der BSR-Entscheidung zu Grunde liegenden Sachverhalt Betrug in mehreren tausend Fällen mit einem nicht unerheblichen Schaden nachgewiesen. Dementsprechend werden die Verfehlungen, die eine Informationspflicht auslösen, im Zweifel die Schwelle zur Strafbarkeit überwinden müssen (bei der auch erst eine Garantenstellung und – pflicht nach § 13 StGB überhaupt entstehen kann). Spätestes bei Überschreiten der Strafbarkeitsschwelle sollte in der Abwägung aber auch die Loyalitätspflicht vor Position/Person der Geschäftsleitung gegenüber der Loyalitätspflicht vor dem Unternehmen in den Hintergrund treten.
Lessons Learnt (?)
Unabhängig von der Frage der Verantwortlichkeit der HANDELNDEN Personen haben die Ereignisse beim RBB die Frage nach der Verantwortlichkeit der ÜBERWACHENDEN Personen in den Vordergrund gerückt. Sprich, wer kontrolliert eigentlich die Kontrolleure? Beim RBB wurden die Kontrolleure (Revision/Compliance) offensichtlich von den zu Kontrollierenden (Intendantin) kontrolliert. Die dieser Konstellation zu Grunde liegenden Beschränkung des Aufsichtsrates auf eine informationstechnische „Einbahnstraße“ auf Grund der Auslegung des AktG und dem DKCG stellt damit bereits auf Ebene der Corporate Governance (also der übergeordneten Unternehmensführung) selbst ein Compliance-Risiko dar. Zumindest für Straftaten hat der BGH diese Beschränkungen allerdings aufgehoben.
Nicht nur im Hinblick auf Straftaten, sondern auch mit Blick auf das kommende HinGSchG sollte der Aufsichtsrat (Beirat, Verwaltungsrat) etwaig vorhandene „Informationseinbahnstraßen“ aufdecken und „mehrspurig“ umgestalten, z.B. über die Ausformung einer Vorlagepflicht von Berichten der Compliance und/oder internen Revision auch an sich. Nur so kann er sicherstellen, dass er von Verdachtsfällen in „seinem“ Unternehmen Kenntnis erhält. Zur Absicherung der Mitarbeiter des Unternehmens empfiehlt sich zudem, die entsprechenden Regelungen zum Verhalten und zur Meldung von Verstößen der Geschäftsleitungsorgane in Geschäftsordnungen, Stellen- und Prozessbeschreibungen festzulegen und Hilfestellungen zur Abwägung der Loyalitätspflichten zu geben.