Das US Department of Justice (DOJ), Criminal Division, hat seinen Leitfaden "Evaluation of Corporate Compliance Programs" auf Stand Juni 2020 aktualisiert (abrufbar über www.justice.gov/criminal-fraud/page/file/937501/download). Der Leitfaden soll den Strafverfolgungsbehörden in den USA bei strafrechtlichen Ermittlungen helfen, Compliance-Programme von Unternehmen zu bewerten. Diese Bewertung hat insbesondere Auswirkungen auf die Strafzumessung und die Art der Beendigung des Strafverfahrens. Auch für Unternehmen außerhalb der USA ist der Leitfaden ein wichtiger Maßstab bei der Gestaltung von Compliance-Programmen und der Bewertung der Frage, welche Anforderungen Gerichte und Behörden an ein wirksames Compliance Management System stellen ("best practice"). Das wird vermutlich auch für deutsche Unternehmen künftig so bleiben, wenn das geplante Verbandssanktionengesetz keine konkreten Anforderungen an ein Compliance-System definiert.
Die im aktualisierten Leitfaden genannten Kriterien führen zu keinen wesentlichen Änderungen. Die entscheidenden Fragen sind weiterhin, ob das Compliance-Programm (1) gut konzipiert ist, (2) ernsthaft umgesetzt ist, d.h. vor allem ausreichend mit Ressourcen ausgestattet ist, und (3) in der Praxis tatsächlich funktioniert. Die Aktualisierung bringt aber einige interessante Konkretisierungen mit sich: Zu der für das DOJ wichtigen Frage, ob ein Compliance-Programm effektiv umgesetzt wurde, hebt der Leitfaden nunmehr hervor, dass es dafür (auch) auf die adäquate Ausstattung mit Ressourcen und Befugnissen ankommt. Die Compliance-Beauftragten sollten unter anderem hinreichenden Zugang zu relevanten Informationsquellen haben, um effektiv und rechtzeitig die Richtlinien, Kontrollmechanismen und Transaktionen überwachen und prüfen zu können. Der Leitfaden stellt zudem ausdrücklich darauf ab, ob ein Unternehmen das Compliance-Programm auf Basis sogenannter "lessons learned" überprüft und anpasst. Dabei soll das Unternehmen sowohl die Erkenntnisgewinne aus Vorfällen im eigenen Unternehmen als auch in solchen Unternehmen, die ähnlichen Risiken ausgesetzt sind (z.B. gleiche Industrie und/oder Region) berücksichtigen. Ein weiterer Aspekt ist die Frage, ob aufgrund regelmäßiger Risikobewertungen die Richtlinien, Verfahren und Kontrollmechanismen im Unternehmen aktualisiert werden. Bei der Geschäftspartner-Compliance sollten effektive Compliance-Programme nicht nur eine einmalige Überprüfung bei Aufnahme der Geschäftsbeziehung vorsehen, sondern für die gesamte Dauer der Geschäftsbeziehung ein Risikomanagement beinhalten. Der Leitfaden hebt außerdem konkret die Wichtigkeit einer Ethik- und Compliance-Kultur auf allen Ebenen eines Unternehmens hervor und dazu insbesondere das Commitment des mittleren und oberen Managements. Schließlich stellt der Leitfaden zu einzelnen Aspekten des Compliance-Programms konkrete Fragen, wie z.B.: Überprüft das Unternehmen, ob Mitarbeiter die Compliance-Hotline kennen und sich bei deren Nutzung sicher fühlen? Wird die Effektivität der Compliance-Hotline und von Schulungsmaßnahmen regelmäßig überprüft? Gibt es Rückfragemöglichkeiten im Nachgang zu Schulungen? Sind Richtlinien einfach auffindbar und durchsuchbar? Was investiert das Unternehmen in die Fortbildung des Compliance-Personals?
Unternehmen können die Konkretisierungen im Leitfaden auch mit Blick auf die zu erwartenden zusätzlichen Risiken durch das Verbandssanktionengesetz zum Anlass nehmen, das eigene Compliance-Programm auf seine Aktualität und Effektivität hin zu überprüfen.