Compliance Management-Systeme

Umsetzung von MiFID II

Gesetzliche Grundlage

Mit den im Rahmen der Novellierung der EU-Finanzmarktrichtlinie (Markets in Financial Instruments Directive, MiFID II) festgelegten Regelungen beabsichtigen Politik und Gesetzgebung, dem Entstehen einer erneuten Finanzmarktkrise entgegenzuwirken. Höhere Transparenzvorschriften an den Kapitalmärkten und strengere Verfahrensregelungen sollen in Zukunft insbesondere den Anlegerschutz verbessern. Die MiFID II wurde im Rahmen des zweiten Finanzmarktnovellierungsgesetzes (2. FiMaNoG) in nationales Recht umgesetzt.

Die MiFID II wird ergänzt durch die Finanzmarktverordnung (Markets in Financial Instruments Regulation – MiFIR), deren thematischer Schwerpunkt auf der Markttransparenz bei Geschäften in Finanzinstrumenten liegt. MiFIR bedarf aufgrund der Eigenschaft als Verordnung keiner weiteren Umsetzung. Eine verbesserte Markttransparenz soll insbesondere durch eine starke Ausweitung der Vor- und Nachhandelstransparenzvorschriften und zum anderen durch eine Meldepflicht für Geschäfte in Finanzinstrumenten erreicht werden. Darüber hinaus wurde durch die MiFIR eine Handelspflicht für bestimmte OTC-Derivate eingeführt.

Das im Juni 2017 verkündete 2. FiMaNoG trat in weiten Teilen am 03.01.2018 in Kraft. Durch dieses wurde die MiFID II in deutsches Recht umgesetzt und unter anderem zu folgenden Verordnungen Ausführungsbestimmungen erlassen:

  • Verordnung (EU) Nr. 600/2014 (MiFIR)
  • Verordnung (EU) Nr. 2015/2365 (SFT-Verordnung, SFTR)
  • Verordnung (EU) Nr. 2016/1011 (Benchmark-Verordnung)

Die nachfolgenden bereits bestehenden nationalen Vorschriften wurden insbesondere durch das 2. FiMaNoG geändert:

  • Wertpapierhandelsgesetz (WpHG)
  • Kreditwesengesetz (KWG)
  • Börsengesetz (BörsG)
  • Kapitalanlagegesetzbuch (KAGB)
  • Versicherungsaufsichtsgesetz (VAG)
  • diverse Durchführungsverordnungen wie z.B. die Verordnung zur Konkretisierung der Verhaltensregeln und Organisationsanforderungen für Wertpapierdienstleistungsunternehmen (WpDVerOV).

Die nachfolgenden Themen wurden u.a. durch das 2. FiMaNoG umgesetzt:

Positionen in Warenderivaten

Im WpHG wurden die Regelungen zur Überwachung von Positionslimits bei Warenderivaten neu definiert. Durch eine verstärkte Kontrolle sollen das Potential für Marktmanipulationen und Missbrauch einer marktbeherrschenden Position bei Warenderivaten reduziert werden. Insbesondere auf den Märkten für Nahrungsmittel und Rohstoffe sollen potentielle negative Folgen für die Realwirtschaft vermieden werden.

Datenbereitstellungsdienste

Durch das 2. FiMaNoG soll eine verbesserte Transparenz durch einen einfachen und kostengünstigen Zugriff auf wichtige Marktdaten erreicht werden. Hierzu wurde ein verbindliches Regelwerk für Anbieter von Datenbereitstellungsdiensten festgelegt. Solche Anbieter werden seit dem 03.01.2018 von der BaFin unter Berücksichtigung des neuen Abschnitts 10 des WpHG beaufsichtigt und bedürfen einer Erlaubnis nach dem KWG.

Hochfrequenzhandel

Der Hochfrequenzhandel wird zukünftig einer verschärften Regulierung unterliegen. Hier wurden insbesondere die Vorschriften zu den Mindestpreisänderungsgrößen und zum Order-Transaktionsverhältnis konkretisiert.

Organisierte Handelssysteme

Neu ist ebenfalls, dass ab sofort nicht nur reguläre Märkte und multilaterale Handelssysteme der Regulierung durch die BaFin unterliegen, sondern auch die sogenannten organisierten Handelssysteme. Hierdurch werden intransparente Handelssysteme wie z.B. Broker-Crossing-Netzwerke, die elektronischen Handel außerhalb regulärer Märkte durchführen, von der Aufsicht kontrolliert und unterliegen einer Vielzahl an Organisations- und Verhaltenspflichten, da seit dem 01.03.2018 das Betreiben eines organisierten Handelssysteme als erlaubnispflichtige Finanzdienstleistung nach dem KWG gilt.

Befugnisse der BaFin und Sanktionen

Die Befugnisse der BaFin werden ausgeweitet sowie der Informationsaustausch zwischen den betroffenen Behörden neu geregelt. Ferner werden im WpHG, KWG, BörsG und KAGB die Kataloge der Ordnungswidrigkeitstatbestände erweitert und der Bußgeldrahmen erhöht.

Verhaltens- und Organisationspflichten

Im WpHG wurden in dem neuen Abschnitt 11 die erweiterten Verhaltens- und Organisationspflichten für Wertpapierdienstleistungsunternehmen, die insbesondere höhere Transparenz- und Informationspflichten vorsehen, festgelegt. Die Schwerpunkte liegen insbesondere in den neuen Regelungen zu den Aufzeichnungspflichten, zur Geeignetheitserklärung, zu Kosten und Zuwendungen sowie zur Produktüberwachung.

© Fotolia / Robert Kneschke

Gesetzliche Grundlage und Bedeutung 

Die Einhaltung von Gesetzen, Richtlinien, Verordnungen, vertraglichen Pflichten und unternehmensinternen Leitlinien ist neben der Verfolgung von Good Practice-Standards von besonderer Bedeutung für einen nachhaltigen Unternehmenserfolg. Compliance als integraler Bestandteil der Corporate Governance bedeutet aufgrund der steigenden rechtlichen Anforderungen, der erhöhten Sensibilität der Öffentlichkeit sowie der strafrechtlichen Verfolgung von Compliance-Verstößen eine verstärkte Herausforderung für Verantwortungsträger in Unternehmen.

Das deutsche Recht sieht bis heute keine faktische Verpflichtung zur Implementierung von Compliance Management-Systemen für Unternehmen vor, die nicht den Mindestanforderungen an das Risikomanagement (MaRisk) oder den Mindestanforderungen an die Compliance-Funktion (MaComp) unterliegen. Jedoch lässt sich eine mittelbare Verpflichtung durch die den gesetzlichen Vertretern von Unternehmen obliegende allgemeine Legalitätsverantwortung herleiten, die die Einhaltung rechtlicher Vorgaben zwingend vorschreibt. Diese ergibt sich insbesondere aus dem Aktiengesetz (nachfolgend AktG), dem GmbH-Gesetz (nachfolgend GmbHG) oder dem Gesetz über Ordnungswidrigkeiten (nachfolgend OWiG) wie folgt:

Gemäß § 91 Abs. 2 AktG hat der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Weiter legen §§ 76, 93 AktG und auch § 43 GmbHG fest, dass die Unternehmensleitung zur Abwendung vermeidbarer Schäden von der Gesellschaft verpflichtet ist. Darüber hinaus ist gemäß § 107 Abs. 3 Satz 2 AktG eine Überwachung der Wirksamkeit des Rechnungslegungsprozesses, des internen Kontrollsystems, des Risikomanagementsystems, der internen Revision sowie der Abschlussprüfung vorgesehen. Diese nicht abschließende Aufzählung wird durch § 130 OWiG ergänzt, der festlegt, dass sich die gesetzlichen Vertreter eines Unternehmens, die Aufsichtsmaßnahmen unterlassen, die erforderlich sind, um Zuwiderhandlungen zu verhindern, ordnungswidrig verhalten.

Die Erfüllung der dargestellten Compliance-Anforderungen obliegt im Grundsatz stets den gesetzlichen Vertretern und dem Aufsichtsorgan. Diese Verantwortung lässt sich auch nicht durch eine Auslagerung delegieren.

Unternehmen, die nicht die Anforderungen der MaRisk oder MaComp erfüllen müssen, gehören regelmäßig der Industrie-, Handels- und Dienstleistungsbranche an. Für diese gibt der Prüfungsstandard des Instituts der Wirtschaftsprüfer IDW PS 980 ein Rahmenwerk zur Einhaltung von rechtlichen Vorgaben sowie Selbstverpflichtungen im Rahmen eines unternehmensspezifischen Compliance Management-Systems vor. Darüber hinaus erfolgt hierdurch sowohl eine Dokumentation der eigenen Compliance-Standards als auch die Formulierung von Compliance-Anforderungen an die Geschäftspartner.

Begriffsbestimmungen

Die vorherrschende Definition von Compliance umfasst zum einen die Einhaltung rechtlicher Vorgaben sowie die Vorhaltung von Vorkehrungen zum Entgegenwirken von Risiken, die sich aus der Nichteinhaltung dieser Vorgaben ergeben können. Darüber hinaus berücksichtigt Compliance auch die Einhaltung unternehmensinterner Regelungen und Selbstverpflichtungen sowie Fragestellungen der Unternehmensethik und Nachhaltigkeit.

Die Gesamtheit der zur Einhaltung rechtlicher Vorgaben sowie unternehmensinterner Regelungen definierten Grundsätze und Maßnahmen, die auf Grundlage der von den gesetzlichen Vertretern definierten Ziele festgelegt werden, wird als Compliance Management-System bezeichnet.

Die definierten Grundsätze und Maßnahmen zielen auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens sowie ggf. Dritter ab und sollen auf die Verhinderung von Compliance-Verstößen hinwirken. Die Struktur und der Aufbau eines Compliance Management-Systems im Sinne des IDW PS 980 werden in den nachfolgenden Ausführungen dargestellt.

Grundelemente eines Compliance Management-Systems nach IDW PS 980

1. Compliance-Kultur

Die Compliance-Kultur stellt die Grundlage für die Angemessenheit und Wirksamkeit des Compliance Management-Systems dar. Sie wird vor allem durch die Grundeinstellungen und Verhaltensweisen der gesetzlichen Vertreter des Unternehmens sowie durch die Rolle des Aufsichtsorgans („Tone at the Top”) geprägt. Die Compliance-Kultur beeinflusst die Bedeutung, die die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.

2. Compliance-Ziele

Die gesetzlichen Vertreter legen auf Grundlage der allgemeinen Unternehmensziele sowie einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln die Ziele fest, die mit dem Compliance Management-System erreicht werden sollen. Insbesondere umfasst dies auch die Festlegung der relevanten Teilbereiche und der einzuhaltenden Regeln. Die Compliance-Ziele stellen die Grundlage für die Beurteilung von Compliance-Risiken dar.

3. Compliance-Risiken

Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, die Verstöße gegen einzuhaltende Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Hierzu ist ein Verfahren zur systematischen Risikoerkennung und –berichterstattung zu implementieren. Die festgestellten Risiken werden im Rahmen eines Risk Assessments im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Auswirkungen (z.B. Schadenshöhe) analysiert.

4. Compliance-Organisation

Das Management regelt die Funktionen, Rollen, Verantwortlichkeiten sowie die Aufbau- und Ablauforganisation im Rahmen des Compliance Management-Systems als integraler Bestandteil der Unternehmensorganisation und stellt die für ein wirksames Compliance Management-System notwendigen Ressourcen zur Verfügung.

5. Compliance-Programm

Basierend auf der Beurteilung der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Compliance-Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind. Das Compliance-Programm umfasst auch die bei festgestellten Compliance-Verstößen zu ergreifenden Maßnahmen und ist angemessen zu dokumentieren.

6. Compliance-Kommunikation

Die jeweils betroffenen Mitarbeiter und ggf. Dritte werden sodann über das Compliance-Programm sowie die festgelegten Verantwortlichkeiten informiert, damit sie ihre Aufgaben im Compliance Management-System ausreichend verstehen und sachgerecht erfüllen können. Berichtswege im Unternehmen werden definiert und festgelegt.

7. Compliance-Überwachung und Verbesserung

Naturgemäß ist es mit der bloßen Errichtung eines Compliance Management-Systems nicht getan – dies muss vielmehr fortwährend überwacht und ggf. an aktuelle Entwicklungen angepasst werden. Voraussetzung für die Überwachung und Verbesserung ist eine ausreichende Dokumentation des Compliance Management-Systems. Werden im Rahmen der Überwachung systemische Schwachstellen oder Compliance-Verstöße identifiziert, sind diese an die gesetzlichen Vertreter des Unternehmens zu berichten. Die gesetzlichen Vertreter sind für die Durchsetzung des Compliance Management-Systems sowie die Beseitigung der Mängel und die Verbesserung des Systems verantwortlich.

Individualisierung des Compliance Management-Systems

Diese sieben Grundelemente sind nicht als starre Anforderungskriterien oder Messgrößen zu verstehen, sondern als Rahmenkonzept, welches dem Unternehmen gewisse Handlungs- und Gestaltungsspielräume belässt, um das Compliance Management-System speziell auf die unternehmensspezifischen Anforderungen auszurichten. Zudem stehen die genannten Grundelemente in Wechselwirkung zueinander. Ein Compliance Management-System sollte demnach unter Berücksichtigung des vorgegebenen Rahmenkonzeptes individuell und bedarfsgerecht an die Unternehmensbedürfnisse im konkreten Einzelfall angepasst werden.

Hierbei gilt es, die Rechtsform und Größe des Unternehmens, die Art der Geschäftsaktivitäten und deren Risikogehalt sowie weitere unternehmensspezifische Besonderheiten zu berücksichtigten. Darüber hinaus ist die Bestimmung der relevanten Teilbereiche des Compliance Management-Systems ein wichtiger Parameter für dessen Angemessenheit und Wirksamkeit. Neben der Korruptionsvermeidung über die Beachtung zollrechtlicher Vorgaben können der Datenschutz, die Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen, das Kartell- und Wettbewerbsrecht, aber auch rechtliche Bestimmungen zum Umweltschutz wichtige Teilbereiche des Compliance Management-Systems sein.

Diese bedarfsgerechte Individualisierung ist zur Vermeidung von Compliance-Verstößen und sonstigen Verfehlungen sowie zur Reduzierung von Vermögens- und Reputationsrisiken durch Verletzung rechtlicher Vorgaben, erforderlich.

Zur Sicherstellung der Einhaltung der für das Unternehmen relevanten gesetzlichen Vorgaben sowie der von den gesetzlichen Vertretern festgelegten internen Regelungen sind im Rahmen des unternehmensspezifischen Compliance-Management-Systems angemessene und wirksame Grundsätze und Verfahren festzulegen. Diese zielen auf ein verantwortungsvolles und gesetzeskonformes Verhalten der gesetzlichen Vertreter und Mitarbeiter des Unternehmens, insbesondere gegenüber der Öffentlichkeit, Umwelt, Geschäftspartner sowie Kunden und sonstigen Interessengruppen wie z.B. Stake- und Shareholdern des Unternehmens, ab. Die angemessene und wirksame Ausgestaltung des Compliance Management-Systems ist unter Berücksichtigung der Unternehmenswerte regelmäßig zu überprüfen.

Obwohl eine individuelle Ausrichtung des Compliance Management-Systems erforderlich ist, haben sich in den letzten Jahren Standards etabliert, die einer Vielzahl von Systemen zugrunde liegen. Diese umfassen insbesondere die nachfolgenden Punkte:

  • Identifizierung und Systematisierung von Compliance-Anforderungen und -Risiken,
  • Festlegung von Compliance-Standards in Form eines Code of Conduct und sonstiger Richtlinien,
  • Festlegung von Zuständigkeiten und Funktionen im Rahmen des Compliance Management-Systems,
  • Information und Schulung der Mitarbeiter als Präventivmaßnahmen,
  • Einrichtung von Kontrollhandlungen zur Überwachung der Einhaltung von Compliance-Anforderungen,
  • Implementierung eines standardisierten Prozesses zum Umgang mit Compliance-Verstößen,
  • Regelmäßige Berichterstattung der Compliance-Verantwortlichen an die gesetzlichen Vertreter und den Aufsichtsrat des Unternehmens. 

Fazit

Die gesetzlichen Vertreter und Aufsichtsorgane von Unternehmen sollten der gesteigerten Bedeutung, die der Erfüllung von Compliance-Standards und -Anforderungen zukommt, durch die Vorhaltung entsprechender Sicherungssysteme Rechnung tragen. Die Implementierung eines Compliance Management-Systems unterstützt die gesetzlichen Vertreter von Unternehmen bei der Wahrnehmung dieser Verantwortung.

Relevante Risiken werden durch ein angemessenes und wirksames Compliance Management-System frühzeitig erkannt und an geeignete Stellen berichtet, sodass diesen rechtzeitig begegnet werden kann, um negative Auswirkungen für das Unternehmen zu verhindern. Compliance sollte nicht nur als notwendige regulatorische Anforderung gesehen werden, sondern auch als Möglichkeit, das Vertrauen in die Integrität und Seriosität des Unternehmens zu fördern und somit die Reputation des Unternehmens nachhaltig zu verbessern.

(Kristin Kramer, Fachreferentin Compliance und Geldwäscheprävention, Creditreform Compliance Services GmbH)

 

image descriptionKontakt