Compliance-Management in der Immobilienwirtschaft: Risikomanagement und weniger Haftung in der Immobilienbranche.

Der Druck wird größer

Eine Umkehrung des aktuellen Trends zu mehr Regulierung und – damit häufig verbunden – zu mehr Bürokratisierung ist nicht in Sicht. Ganz im Gegenteil! Die nationalen, europäischen und internationalen Regulierer arbeiten für jedermann erkennbar an einer weiteren Ausweitung der rechtlichen Vorgaben für Unternehmen. Erinnert sei nur an die aktuellen Neuregelungen und Regelungsausweitungen in den Bereichen Datenschutz, Geldwäsche und Steuerrecht. Trotzdem sind die Zeiten für die Immobilienwirtschaft gut. Kapitalmarktorientierte Investoren betrachten Wohn- und Gewerbeimmobilien gerade in Zeiten von Niedrigzinsen als attraktive Kapitalanlage. Die Immobilienbranche rückt dadurch näher an den Bereich regulierter Finanzmärkte. Damit verbunden sind wiederum erhöhte Compliance-Anforderungen. Börsennotierte Unternehmen müssen Analysten und Investoren von der Qualität ihres Managements überzeugen, denn nur so können sie die Nachfrage nach der Unternehmensaktie weiter steigern. Vor diesem Hintergrund kann die Strategie der deutschen Immobilienwirtschaft nur darin bestehen, in den immobilienwirtschaftlichen Unternehmen eine starke Compliance-Kultur zu entwickeln, um auf der Grundlage einer eigenen Position der Stärke und der Unangreifbarkeit in Kooperation mit anderen Branchen proaktiv den Dialog mit dem Gesetzgeber und den Regulierungsbehörden zu suchen. Auf diese Weise gibt sie wirksame, einer weiteren Bürokratisierung entgegenwirkende Impulse in Richtung einer funktionalen Regulierung und eines angemessenen Enforcements (vgl. Krais 2018, S. 227-230).

Haftungsrisiken der Leitungsgremien

Die Haftungsrisiken für Vorstände und Geschäftsführer – also das, was auch als Managerhaftung bezeichnet wird – hat sich in den vergangenen Jahren in Deutschland erheblich verschärft. Eine Managerhaftung gab es zwar schon immer, gelebt wurde sie allerdings nicht wirklich. Das Schlimmste, was einem Manager in der Vergangenheit passieren konnte, war seine Kündigung, häufig sogar noch einhergehend mit saftigen Abfindungen. Diese Zeiten sind vorbei. Nun vergeht kaum ein Tag, an dem nicht über mehr oder weniger große Verfehlungen von Managern zu lesen ist – mit spektakulären Folgen wie Hausdurchsuchungen, Festnahmen und Schadensersatzprozessen.

Diese Entwicklung hat ihre Ursache nicht darin, dass es in jüngerer Zeit zu einer erheblichen Steigerung von Fehlleistungen gekommen wäre. Vielmehr hat es Fehlleistungen auch in der Vergangenheit schon gegeben. Früher waren diese Fehlleistungen aber entweder noch nicht justiziabel oder sie sind schlicht und einfach nicht verfolgt worden. Das ist heute undenkbar. Die Zeiten haben sich sehr gewandelt.

Das Haftungspotential ist enorm. Wenn ein Manager nicht aufpasst, dann haftet er eben. Und das häufig mit seinem gesamten Vermögen. Manchmal helfen selbst beste Compliance-Maßnahmen verbunden mit D&O-Versicherungen nicht. Maßgeblich ist für Vorstände der in § 93 Abs. 1 AktG enthaltene Sorgfaltsmaßstab eines „ordentlichen und gewissenhaften Geschäftsleiters“. Für Geschäftsführer ist der in § 43 Abs. 1 GmbH enthaltene Sorgfaltsmaßstab eines „ordentlichen Geschäftsmannes“ maßgeblich. Für beide Haftungstatbestände ergibt sich indes eine Haftungsreduktion aus der in § 93 Abs. 1 S. 2 AktG kodifizierten sogenannten „Business Judgement Rule“: Diese beschreibt den Umfang des unternehmerischen Entscheidungsspielraums von Geschäftsführern und Vorständen, der nicht gerichtlich überprüfbar ist. Danach haften Geschäftsführer und Vorstände dann nicht für negative Folgen unternehmerischer Entscheidungen, wenn diese auf der Grundlage angemessener Informationen, ohne Berücksichtigung sachfremder Interessen, zum Wohl des Unternehmens und in gutem Glauben gefasst wurden. Bei Verstößen drohen erhebliche Schadensersatzverpflichtungen und ein massiver Reputationsverlust für das Unternehmen. Compliance Management ist auch Risikomanagement und hilft dem Unternehmen und der Geschäftsleitung, Risiken zu erkennen, zu regeln und damit zu minimieren.

Laut der Umfrage einer großen Versicherungsgesellschaft (vgl. Managerhaftung 2017) berichtet jeder fünfte Manager von Ansprüchen gegen sich oder Kollegen. Gleichzeitig stellt diese Umfrage heraus, dass fast jeder siebte Geschäftsführer bzw. Vorstand keine Kenntnis über seine persönlichen Haftungsrisiken hat. Nach wie vor behandeln Teile der Immobilienwirtschaft das Thema Compliance nachrangig. Dies ergab eine Fachstudie des Bundeskriminalamtes zum Thema „Geldwäsche im Immobiliensektor“ vom Oktober 2012 (vgl. Bundeskriminalamt 2012), die nach wie vor aktuell ist. Ausweislich einer im Februar 2016 veröffentlichten Studie von Professor Bussmann von der Universität Halle (vgl. Bussmann 2015) handelt es sich bei der Immobilienbranche um einen Hochrisikosektor – bei gleichzeitig geringem Problembewusstsein. Die meisten Immobilienunternehmen sind von Compliance-Risiken auf mehreren Rechtsgebieten betroffen.

Um Risiken zu erkennen und Haftung vorzubeugen, ist ein Compliance Management System (CMS) das richtige Mittel. Ohne Zweifel gehört ein CMS inzwischen als Ausdruck guter Corporate Governance zur Unternehmensleitung und -kontrolle im Sinne von § 76 Abs. 1 AktG, auch wenn die Pflicht zur Einführung eines CMS bislang nicht offiziell im Gesetz verankert ist. Mittlerweile mehren sich sogar die Stimmen, die die Implementierung eines CMS als rechtliche Verpflichtung anerkennen: Nach einem Urteil des LG München vom 10.12.2013 müssen Mitglieder der Geschäftsleitung dafür Sorge tragen, dass ein CMS im Unternehmen installiert wird. Die neuere Rechtsprechung zeigt aber auch, dass allein ein niedergeschriebenes CMS in einem Dokument – also lediglich ein Papiertiger – nicht ausreicht. Verlangt wird vielmehr, dass ein effektives (vgl. LG Bochum, Urteil vom 14.12.2015 – II 13 KLs-48 Js 4/13-16/14, zitiert in Transparency International, Scheinwerfer 77, S. 20) bzw. effizientes (vgl. BGH vom 09.05.2017 – 1 StR 265/16, NJW 2017, 3798.) CMS vorhanden ist, also ein funktionierendes und gelebtes CMS. Erfreulich ist, dass der Bundesgerichtshof deutlich gemacht hat, dass das Vorhandensein eines effektiven CMS zu deutlichen Haftungsmilderungen führen kann, wenn denn doch einmal ein Verstoß begangen wird (vgl. BGH vom 09.05.2017 – 1 StR 265/16, NJW 2017, 3798).

Haftungsrisiken der Aufsichtsgremien

Längst sind auch die Aufsichtsgremien ins Visier der deutschen Justiz geraten und werden immer häufiger in Anspruch genommen. Der Aufsichtsrat ist als Überwachungsorgan einer Kapitalgesellschaft neben Vorstand oder Geschäftsführer Träger von Rechten und Pflichten. Der Aufsichtsrat wird damit de facto immer mehr zum Mitentscheidungsgremium, welches immer häufiger sogar das Kommando übernimmt (vgl. Rack 2017, S. 59-63). Daher stellt sich auch hier die Frage nach den Rechtsfolgen und insbesondere nach der persönlichen Haftung, wenn Mitglieder des Aufsichtsrats ihre Pflichten verletzt haben.

Die Diskussion über die Qualität der Unternehmensüberwachung ist noch relativ neu. Aber spätestens seit der Finanzkrise ist klar, dass die Zeiten der „Frühstücksdirektoren“ im Aufsichtsrat vorbei sind. So gelten inkompetente Aufsichtsräte als eine der Ursachen der Finanzmarktkrise von 2009. Die vermeintlichen Experten haben in vielen Fällen die gravierende Schieflage der Banken, deren Geschicke sie beaufsichtigen sollten, nicht erkannt. Mittlerweile hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) entsprechende Konsequenzen gezogen und kann nicht nur die Abberufung von Aufsichtsräten erzwingen, sondern auch Tätigkeitsverbote aussprechen (vgl. Fissenewert 2012, S. 445).

Unstreitig entsteht eine Haftung des Aufsichtsrats, wenn er in erkennbaren Krisensituationen des Unternehmens nicht bzw. nicht richtig reagiert. Wichtig ist in diesem Zusammenhang immer die Frage nach der Informationsbeschaffung. Zwar ist grundsätzlich der Vorstand verpflichtet, den Aufsichtsrat umfassend zu informieren. Dies ergibt sich aus der Informationspflicht des Vorstands. Allerdings soll sich der Aufsichtsrat auch nicht mit dem Hinweis auf fehlende oder lückenhafte Informationen durch den Vorstand entlasten können (vgl. Huthmacher 2015, S. 38). Der Aufsichtsrat hat daher die Pflicht zur Eigeninformation. Ohne die Informationspflicht des Aufsichtsrats wäre dessen Überwachungsaufgabe wirkungslos (vgl. Fissenewert 2013, S. 214-219). Es handelt sich hier somit um eine Holschuld. Bleiben Vorstandsberichte unvollständig, hat der Aufsichtsrat weitere Informationen anzufordern. Der Deutsche Corporate Governance Kodex schreibt nicht nur dem Vorstand vor, dass er sich um Compliance zu kümmern hat, wie es in Ziffer 3.4 (DCGK) niedergelegt ist. Der Aufsichtsrat soll darüber hinaus einen „Prüfungsausschuss einrichten, der sich – soweit kein anderer Ausschuss damit betraut ist – insbesondere mit der Überwachung der Rechnungslegung, der Wirksamkeit des internen Kontrollsystems, des Risikomanagements (…) sowie der Compliance, befasst“ (Ziffer 5.3.2 DCGK).

Die gleiche Aussage trifft auch § 107 Abs. 3 AktG seit seiner Anpassung durch das Bilanzrechtsmodernisierungsgesetz (BilMoG): „Der Aufsichtsrat kann insbesondere einen Prüfungsausschuss bestellen, der sich mit der Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems (…) befasst.“ Compliance Management wird nach der herrschenden Meinung als Teil des Risikomanagementsystems i.S. von § 107 Abs. 3 AktG verstanden.

Entsteht dem Unternehmen durch pflichtwidriges Verhalten des Aufsichtsrats ein Schaden, so haften die Aufsichtsratsmitglieder persönlich und gesamtschuldnerisch. Die Aufsichtsräte trifft die Beweislast, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters haben walten lassen. Besonders gefährlich ist die hier geltende Beweislastumkehr. Es wird nämlich solange von der Pflichtwidrigkeit und dem Verschulden des Aufsichtsrats ausgegangen, bis der Aufsichtsrat das Gegenteil bewiesen hat. Diese Beweisführung ist sehr schwierig. Wenn der Vorstand beispielsweise trotz der Insolvenzreife eines Unternehmens weiter Zahlungen leistet, so muss der Aufsichtsrat diese Zahlungen stoppen. Tut er es nicht, so haftet er mit seinem privaten Vermögen.

Auch die Geltendmachung von Schadensersatzansprüchen gegen Vorstandsmitglieder obliegt dem Aufsichtsrat im Rahmen seiner Überwachungsaufgabe. Hat die Durchsetzung eines Schadensersatzanspruchs gegen Vorstandsmitglieder hinreichende Aussicht auf Erfolg, muss der Anspruch vom Aufsichtsrat grundsätzlich geltend gemacht werden, andernfalls entsteht auch hier ein Haftungsrisiko. Die Aufsichtsratshaftung kann auch Politiker oder Beamte treffen, wenn sie beispielsweise Aufsichtsrat in einem öffentlichen Unternehmen sind und sich z. B. im Zusammenhang mit aufgetretenen Compliance-Fällen herausstellen sollte, dass die Aufsichtsratsmitglieder vorwerfbar gehandelt oder genauer: vorwerfbar nicht gehandelt haben.

Das Aktiengesetz enthält in §§ 116, 93 AktG die spezielle Anspruchsgrundlage der Gesellschaft bei Pflichtverletzungen von Aufsichtsräten. Dabei verweist § 116 AktG für die Sorgfaltspflicht und Verantwortlichkeit des Aufsichtsrats auf die sinngemäße Anwendung des § 93 AktG, der in Absatz 1 die Sorgfaltspflicht und in Abs. 2 die Verantwortlichkeit und Schadensersatzpflicht des Vorstandes regelt. Aufgrund der Unterschiedlichkeit der Aufgabenstellung zwischen Aufsichtsrat und Vorstand muss der Tatbestand der Anspruchsgrundlage entsprechend ausgelegt werden. Als Ausfluss seiner eigenen Sorgfaltspflicht muss der Aufsichtsrat überprüfen, ob das Unternehmen über die notwendigen Instrumente zur Sicherstellung einer ordnungsgemäßen Geschäftsführung verfügt. Hierzu zählt z. B. ein den Anforderungen des Unternehmens entsprechendes, angemessenes und wirksames CMS.

Die steigende Frequenz von höchstrichterlichen Entscheidungen zu einem zuvor nahezu „jungfräulich“ behandelten Thema verdeutlicht vor allem eines: Die diesbezüglichen Rechtsansichten sind mittlerweile gesetzt und nicht mehr disponibel. Vom Aufsichtsrat werden im Rahmen seiner Überwachungspflicht umfangreichere Tätigkeiten verlangt – erst recht in Krisenzeiten.