of 18/18
University of Zurich Zurich Open Repository and Archive Winterthurerstr. 190 CH-8057 Zurich http://www.zora.uzh.ch Year: 2007 Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme Sethe, R Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme. Zeitschrift für Bankrecht und Bankwirtschaft, 19(6):421-437. Postprint available at: http://www.zora.uzh.ch Posted at the Zurich Open Repository and Archive, University of Zurich. http://www.zora.uzh.ch Originally published at: Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437.

University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

  • View
    0

  • Download
    0

Embed Size (px)

Text of University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437....

  • University of ZurichZurich Open Repository and Archive

    Winterthurerstr. 190

    CH-8057 Zurich

    http://www.zora.uzh.ch

    Year: 2007

    Erweiterung der bank- und kapitalmarktrechtlichenOrganisationspflichten um Reporting-Systeme

    Sethe, R

    Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme.Zeitschrift für Bankrecht und Bankwirtschaft, 19(6):421-437.Postprint available at:http://www.zora.uzh.ch

    Posted at the Zurich Open Repository and Archive, University of Zurich.http://www.zora.uzh.ch

    Originally published at:Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437.

    Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme.Zeitschrift für Bankrecht und Bankwirtschaft, 19(6):421-437.Postprint available at:http://www.zora.uzh.ch

    Posted at the Zurich Open Repository and Archive, University of Zurich.http://www.zora.uzh.ch

    Originally published at:Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437.

  • 19. Jahrgang Heft 6 15. Dezember 2007, S. 421…516

    Aufsätze

    Rolf Sethe*)

    Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten umReporting-Systeme**)

    Der Beitrag untersucht, wie schadensanfällige Prozesse beherrsch-barer gemacht werden können. Die Rechtsordnung reagiert zuneh-mend mit dem Erlass und weiteren Ausbau von Organisations-pflichten. Diese werden am Beispiel der Kredit- und Finanzdienst-leistungsinstitute dargestellt. Anschließend geht der Verfasser derFrage nach, ob die aus dem Bereich der Flugindustrie und Medizinbekannten Reporting-Systeme, die ein anonymes Whistleblowing er-lauben, eine sinnvolle Ergänzung zur Schadensverhütung auch imBank- und Kapitalmarktrecht sein können.

    Inhaltsübersicht

    I. Einleitung

    II. Rechtliche Vorgaben für komplexe und schadens-anfällige Prozesse im Bank- und Kapitalmarktrecht1. Gesellschaftsrechtliche Organisationspflichten

    1.1 Pflicht zur sorgfältigen Geschäftsführung1.2 Pflicht zur Beobachtung bestandsgefährdender

    Entwicklungen1.3 Pflichten aus dem Corporate Governance Kodex

    2. Staatliche Beaufsichtigung3. Besondere Organisationspflichten für Kredit- und

    Finanzdienstleistungsinstitute3.1 Inhalt des Geschäftsplans3.2 Risikomanagement- und Risikocontrollingsystem

    3.2.1 Festlegung angemessener Strategien3.2.2 Interne Kontrollverfahren

    3.3 Personelle und technische Ausstattung3.4 Notfallkonzept3.5 Ausgestaltung und Überprüfung des Risiko-

    managements3.6 Überwachung der finanziellen Lage3.7 Aufnahme aller Geschäftsvorfälle3.8 Sicherungssysteme gegen Geldwäsche und

    Betrug4. Sonderregelungen für Wertpapierdienstleistungs-

    unternehmen4.1 Überblick4.2 Compliance-Organisation4.3 Kontinuität und Regelmäßigkeit der Wertpapier-

    dienstleistungen4.4 Vermeidung von Interessenkonflikten4.5 Beschwerdewesen4.6 Berichte der Compliance-Stelle4.7 Überprüfung der Maßnahmen4.8 Outsourcing4.9 Weitere Organisationspflichten

    5. Corporate Governance für Banken6. Beurteilung der ergriffenen Maßnahmen

    6.1 Zweck und Reichweite der Regulierung6.2 Wirksamkeit der Organisationspflichten

    III. Reporting-Systeme1. Lehren aus der Luftfahrt

    1.1 Fehlerquellen1.2 Verheimlichen von Fehlern1.3 Reaktion der Flugindustrie

    2. Lehren aus der Medizin2.1 Die Diskussion um die Notwendigkeit eines

    Umdenkens2.2 Die Entwicklung von Reporting-Systemen im

    Bereich der Medizin3. Die Vor- und Nachteile von Reporting-Systemen

    *) Dr. jur., LL.M. (London), Universitätsprofessor an der Univer-sität Halle-Wittenberg.**) Gekürzte und um Fußnoten ergänzte Fassung der am10. 6. 2004 gehaltenen Antrittsvorlesung an der Martin-Luther-Universität Halle-Wittenberg. Da die MiFID die Organisations-pflichten stark ausgeweitet hat, wurde ihre Umsetzung in das deut-sche Recht abgewartet. Der Beitrag befindet sich auf dem Stand15. 11. 2007.

  • 422 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

    4. Juristische Aspekte von Reporting-Systemen4.1 Unabhängigkeit der Systembetreuer4.2 Gewährleistung technischer Anonymität4.3 Prozessuale Verwertung

    IV. Ergebnisse

    I. Einleitung

    Das Bank- und Kapitalmarktrecht gehört heute zu den sicham raschesten wandelnden Rechtsgebieten. Eine sehr aktiveund Rechtsfortbildungen nicht abgeneigte Rechtsprechungbaut den Anlegerschutz stetig aus.1) Die hohe Taktfrequenzdes europäischen Gesetzgebers zwingt die nationalen Gesetz-geber zu fortdauernden Reformen des Aufsichtsrechts. Dabeiist zu beobachten, dass die EU und der deutsche Gesetzgeberals Reaktion auf komplexe und schadensanfällige Prozesse ver-mehrt Organisationspflichten2) vorschreiben. Es wird dahervon einer zunehmenden „Verrechtlichung von Organisations-anforderungen“ gesprochen.3) Das Stichwort „Compliance“ istin aller Munde.4) Das Haftungsrecht, dessen präventive Funk-tion außer Zweifel steht, entfaltet hier zwar eine wichtigeSteuerungsfunktion. Sie wird vom Gesetzgeber aber zu Rechtnicht als einziges Mittel der Prävention angesehen, denn dieex post eintretende Haftung wirkt regelmäßig nur mittelbar.

    Besonders augenfällig wird der Ausbau der Organisations-pflichten, wenn man sich die MiFID5) und die zu ihr ergange-ne Durchführungsrichtlinie (im Folgenden DRL)6) anschaut.Sie weiten die organisatorischen Vorgaben im Bereich derWertpapierdienstleistungen nochmals stark aus. Beide Richt-linien sind soeben durch das Finanzrichtlinie-Umsetzungs-gesetz (FRUG)7) in deutsches Recht überführt worden.

    Allerdings belegen die Erfahrungen, dass rechtliche Vorgabenallein nicht ausreichen, um Schädigungen von Kunden undZusammenbrüche von Instituten völlig auszuschließen.8)

    Wenn größere Schadensfälle auftreten, ist immer wieder der„menschliche Faktor“ eine, wenn nicht gar die Hauptursache.Eine ähnlich risikoreiche Ausgangslage findet sich in der Flug-industrie und in der Medizin, in denen eine sehr gefahren-trächtige Leistung angeboten wird. Man verfügt deshalb beider Vorsorge gegen Schadensfälle über eine lange Erfahrung.Dabei bedient man sich sogenannter anonymer Reporting-Systeme. Der Beitrag untersucht die Frage, ob und unter wel-chen Bedingungen sich diese Vorsorgetechnik auf das Bank-und Kapitalmarktrecht übertragen lässt.

    Mit diesem Untersuchungsziel ist auch schon das weitere Vor-gehen vorgezeichnet. In einem ersten Schritt wird der Statusquo der bank- und kapitalmarktrechtlichen Organisations-pflichten beschrieben. Faktisch muss man dabei auch das Ka-pitalgesellschaftsrecht einbeziehen, denn die meisten Institutesind als Kapitalgesellschaften organisiert. Dabei kann es nichtdarum gehen, jedes Detail zu erörtern. Im Mittelpunkt sollendaher Pflichten stehen, die sich auf das Risikomanagement be-ziehen (II). Anschließend werden die Reporting-Systeme dar-gestellt, und es wird untersucht, welche gesetzgeberischenMaßnahmen notwendig sind, um ihnen zu einem noch brei-teren Einsatzgebiet zu verhelfen (III).

    II. Rechtliche Vorgaben für komplexe und schadens-anfällige Prozesse im Bank- und Kapitalmarktrecht

    1. Allgemeine gesellschaftsrechtliche Organisations-pflichten

    1.1 Pflicht zur sorgfältigen Geschäftsführung

    Regelmäßig werden Gesellschaften vor komplexe Entschei-dungen und Überwachungsvorgänge gestellt. Es ist dahernicht verwunderlich, dass wir gerade im Gesellschaftsrecht Or-ganisationspflichten finden, die … je nach Rechtsform, Größeund Struktur des Unternehmens … unterschiedlich intensivausgestaltet sind. So hat die Rechtsprechung festgestellt, dasses zur Sorgfaltspflicht der Geschäftsführung von Unterneh-men gehört, die wirtschaftliche Entwicklung der Gesellschaftlaufend zu beobachten und den Betrieb entsprechend zu orga-nisieren.9) Damit trifft die Geschäftsführung eine Organisa-tionspflicht in Gestalt einer Beobachtungspflicht.

    1) Beispielhaft erwähnt sei nur die jüngste Rechtsprechung zu fehlerhaftenAd-hoc-Mitteilungen, vgl. BGH, Urt. v. 19. 7. 2004 … II ZR 402/02, ZIP 2004,1593 = WM 2004, 1721, dazu EWiR 2004, 961 (Lenenbach); BGH, Urt. v.19. 7. 2004 … II ZR 217/03, WM 2004, 1726; BGH, Urt. v. 19. 7. 2004 … II ZR218/03, ZIP 2004, 1599 = WM 2004, 1731; BGH, Urt. v. 4. 6. 2007 … II ZR147/05, ZIP 2007, 1560 = WM 2007, 1557; BGH, Urt. v. 4. 6. 2007 … II ZR173/05, ZIP 2007, 1564 = WM 2007, 1560; dazu statt vieler Möllers/Leisch, in:Kölner Komm. zum WpHG, 2007, §§ 37b, c Rz. 398 ff; Sethe, in: Assmann/Schneider, WpHG, 4. Aufl., 2006, §§ 37b, 37c Rz.102 ff.2) Aus verschiedenen Blickwinkeln ist dieses Thema in den letzten Jahren mo-nographisch untersucht worden, vgl. Bosch, Organisationsverschulden in Un-ternehmen, 2002; Fischbach, Organisationspflichten von Wertpapierdienstleis-tungsunternehmen nach § 33 Abs. 1 Nr. 1 WpHG, 2000; Matusche-Beckmann,Das Organisationsverschulden, 2001; Spindler, Unternehmensorganisations-pflichten, 2001.3) Spindler (Fußn. 2), S. 186 ff; Spindler/Kasten, Organisationspflichten nachder MiFID und ihre Umsetzung, AG 2006, 785.4) Vgl. aus der jüngeren Diskussion etwa nur die sehr anschaulichen Vorträgevon Bachmann und Hauschka auf der Tagung der Gesellschaftsrechtlichen Ver-einigung am 9.11. 2007 (Tagungsband im Erscheinen) sowie Eisele, in:Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 3. Aufl., 2007, § 109Rz.1 ff.5) Richtlinie 2004/39/EG des Europäischen Parlaments und des Rates vom21. 4. 2004 über Märkte für Finanzinstrumente, zur ˜nderung der Richtlinien85/611/EWG und 93/6/EWG des Rates und der Richtlinie 2000/12/EG desEuropäischen Parlaments und des Rates und zur Aufhebung der Richtlinie93/22/EWG des Rates (Markets in Financial Instruments Directive … MiFID),ABl L 145/1, ber. ABl 2005 L 45/18, geändert durch die Richtlinie2006/31/EG des Europäischen Parlaments und des Rates vom 5. 4. 2006 zur˜nderung der Richtlinie 2004/39/EG über Märkte für Finanzinstrumente inBezug auf bestimmte Fristen, ABl L 114/60. Vgl. hierzu eingehend Balzer, DerVorschlag der EG-Kommission für eine neue Wertpapierdienstleistungsricht-linie, ZBB 2003, 177; Fleischer, Die Richtlinie über Märkte für Finanzinstru-mente und das Finanzmarkt-Richtlinie-Umsetzungsgesetz … Entstehung,Grundkonzeption, Regelungsschwerpunkte …, BKR 2006, 389; Sethe, Anleger-schutz im Recht der Vermögensverwaltung, 2005, S. 477 ff.6) Richtlinie 2006/73/EG der Kommission vom 10. 8. 2006 zur Durchfüh-rung der Richtlinie 2004/39/EG des Europäischen Parlaments und des Ratesin Bezug auf die organisatorischen Anforderungen an Wertpapierfirmen unddie Bedingungen für die Ausübung ihrer Tätigkeit sowie in Bezug auf die De-finition bestimmter Begriffe für die Zwecke der genannten Richtlinie (MiFID-Durchführungsrichtlinie … DRL), ABl L 241/26.7) Gesetz zur Umsetzung der Richtlinie über Märkte für Finanzinstrumenteund der Durchführungsrichtlinie der Kommission (Finanzmarktrichtlinie-Um-setzungsgesetz … FRUG) vom 16. 7. 2007, BGBl I, 1330. Dazu Spindler/Kasten,Der neue Rechtsrahmen für den Finanzdienstleistungssektor … die MiFID undihre Umsetzung, WM 2006, 1749 (Teil I), 1797 (Teil II); dies., ˜nderungen desWpHG durch das Finanzmarktrichtlinie-Umsetzungsgesetz (FRUG), WM2007, 1245.8) Sethe, in: Assmann/Schütze, Handbuch des Kapitalanlagerechts, 3. Aufl.,2007, § 25 Rz. 2 m. w. N.9) BGH, Urt. v. 20. 2. 1995 … II ZR 9/94, ZIP 1995, 560, dazu EWiR 1995, 785(Wittkowski) … zur GmbH.

  • ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 423

    1.2 Pflicht zur Beobachtung bestandsgefährdenderEntwicklungen

    Im Bereich des Aktienrechts hat man diese Pflicht 1998 sogarausdrücklich gesetzlich verankert.10) § 91 Abs. 2 AktG ver-pflichtet den Vorstand, geeignete Maßnahmen zu treffen, ins-besondere ein Überwachungssystem einzurichten, damit denFortbestand der Gesellschaft gefährdende Entwicklungen früherkannt werden. Nach Ansicht des Gesetzgebers soll damitverdeutlicht werden, dass der Vorstand im Rahmen der all-gemeinen Leitungsaufgabe für ein angemessenes Risikomana-gement und für eine angemessene interne Revision zu sorgenhat. Die konkrete Ausformung der Pflicht ist von der Größe,Branche, Struktur, dem Kapitalmarktzugang usw. des jeweili-gen Unternehmens abhängig.11) Zu den den Fortbestand derGesellschaft gefährdenden Entwicklungen gehören insbeson-dere risikobehaftete Geschäfte, Unrichtigkeiten der Rech-nungslegung und Verstöße gegen gesetzliche Vorschriften, diesich auf die Vermögens-, Finanz- und Ertragslage der Gesell-schaft oder des Konzerns wesentlich auswirken. Durch eine in-terne Überwachung sollen solche Entwicklungen frühzeitig er-kannt werden, damit noch rechtzeitig geeignete Maßnahmenzur Sicherung des Fortbestandes der Gesellschaft ergriffen wer-den können. Die Einhaltung der Pflicht ist bei börsennotier-ten Aktiengesellschaften durch den Abschlussprüfer zu über-wachen (§ 317 Abs. 4 HGB). Auf eine parallele Regelung imGmbH-Gesetz verzichtete der Gesetzgeber. Er ging davon aus,dass für diese je nach ihrer Größe und Komplexität ihrerStruktur nichts anderes gelte und die Neuregelung im Aktien-gesetz auch Ausstrahlungswirkung auf den Pflichtenrahmender Geschäftsführer der GmbH habe. Da die meisten großenBanken als Kapitalgesellschaften organisiert sind, werden sievon dieser Pflicht erfasst. Sie müssen folglich über ein Con-trollingsystem und eine Innenrevision verfügen.

    1.3 Pflichten aus dem Corporate Governance Kodex

    Die von der Bundesministerin für Justiz im September 2001hierfür eingesetzte Regierungskommission hat am 26. Februar2002 den deutschen Corporate Governance Kodex für börsen-notierte Gesellschaften verabschiedet.12) Börsennotierte Gesell-schaften müssen nach § 161 AktG13) eine sogenannte Entspre-chenserklärung abgeben, also transparent machen, ob und in-wieweit sie den Vorgaben des Kodex folgen. Mit dem Kodexsollen die in Deutschland geltenden Regeln für Unterneh-mensleitung und -überwachung für nationale wie internationa-le Investoren transparent gemacht werden. Dies dient dazu,das Vertrauen in die Unternehmensführung deutscher Gesell-schaften zu stärken. Ob mit dem Kodex dieses Ziel erreichtwird bzw. überhaupt erreicht werden kann, ist fraglich,14) mussan dieser Stelle aber offen bleiben. Die hier interessierendenOrganisationspflichten zum Risikomanagement15) sind an vierStellen im Kodex angesprochen:

    l Nach 3.4 muss der Vorstand den Aufsichtsrat regelmäßig,zeitnah und umfassend über alle für das Unternehmen re-levanten Fragen der Planung, der Geschäftsentwicklung,der Risikolage und des Risikomanagements informieren.Er muss auf Abweichungen des Geschäftsverlaufs von den

    aufgestellten Plänen und Zielen unter Angabe von Grün-den eingehen.16)

    l Nach 4.1.4 sorgt der Vorstand für ein angemessenes Risiko-management und Risikocontrolling im Unternehmen. Da-mit wiederholt der Kodex die Vorgabe in § 91 Abs. 2AktG,17) geht aber insofern über diesen hinaus, als auchandere, nicht bestandsgefährdende Entwicklungen zu be-obachten sind.18)

    l Nach 5.2 soll der Aufsichtsratsvorsitzende mit dem Vor-stand, insbesondere mit dem Vorsitzenden bzw. Sprecherdes Vorstands, regelmäßig Kontakt halten und mit ihmdie Strategie, die Geschäftsentwicklung und das Risikoma-nagement des Unternehmens beraten. Der Aufsichtsrats-vorsitzende wird über wichtige Ereignisse, die für die Beur-teilung der Lage und Entwicklung sowie für die Leitungdes Unternehmens von wesentlicher Bedeutung sind, un-verzüglich durch den Vorsitzenden bzw. Sprecher des Vor-stands informiert. Der Aufsichtsratsvorsitzende soll so-dann den Aufsichtsrat unterrichten und erforderlichenfallseine außerordentliche Aufsichtsratssitzung einberufen.19)

    l Nach 5.3.2 soll der Aufsichtsrat einen Prüfungsausschuss(audit committee) einrichten, der sich insbesondere mit Fra-gen der Rechnungslegung und des Risikomanagements,der erforderlichen Unabhängigkeit des Abschlussprüfers,der Erteilung des Prüfungsauftrags an den Abschlussprüfer,der Bestimmung von Prüfungsschwerpunkten und der Ho-norarvereinbarung befasst.20)

    Der Kodex wiederholt und präzisiert damit die gesetzlichenPflichten, denen die Verwaltung einer börsennotierten Gesell-schaft bereits nach dem Aktiengesetz unterliegt. Sein darüber

    10) Eingeführt durch Art. 1 Nr. 9 des Gesetzes zur Kontrolle und Transparenzim Unternehmensbereich (KonTraG) v. 27. 4. 1998, BGBl I, 786. Zur Kritik ander Einführung dieser als überflüssig empfundenen Bestimmung vgl. etwaDAV Handelsrechtsausschuss, Referentenentwurf zur ˜nderung des Aktiengeset-zes („KonTraG“), ZIP 1997, 163, 165 f; Hüffer, AktG, 7. Aufl., 2006, § 91 Rz. 5;Lutter, Stellungnahme zur Aktienrechtsreform 1997, AG 1997, Sonderheft,S. 52, 54; Mertens, Aufsichtsrat und Organhaftung, AG 1997, Sonderheft,S. 70 f.11) Hierzu und zum Folgenden RegE KonTraG, BT-Drucks. 13/9712, S.15.12) Corporate Governance Kodex in der aktuellen am 14. 6. 2007 beschlosse-nen Fassung abrufbar unter: http://corporate-governance-codex.de. Zu dessenEntstehungsgeschichte Hornberg, Die Regelungen zur Beaufsichtigung der Ge-schäftsführung im deutschen und britischen Corporate Governance Kodex,2006, S. 63 ff.13) Eingefügt durch Art. 1 Nr. 16 des Gesetzes zur weiteren Reform des Ak-tien- und Bilanzrechts, zu Transparenz und Publizität (Transparenz- und Pu-blizitätsgesetz … TransPuG) v. 19. 7. 2002, BGBl I, 2681.14) Vgl. etwa die Untersuchung von Prigge/Offen, Über den Nutzen von Cor-porate-Governance-Ratings für Aktionäre, ZBB 2007, 89; Kritik auch beiHüffer (Fußn. 10), § 161 Rz. 2, 4 m. w. N.15) Weiterführend dazu Preußner, Deutscher Corporate Governance Kodexund Risikomanagement, NZG 2004, 303.16) Lutter, in: Ringleb/Kremer/Lutter/v. Werder (Hrsg.), Deutscher CorporateGovernance Kodex, 3. Aufl., 2008, Rz. 381, Peltzer, Deutsche Corporate Go-vernance, 2. Aufl., 2004, Rz. 53, MünchKomm-Semler, AktG, 2. Aufl., 2003,§ 161 Rz. 326, gehen davon aus, dass dieser Bestimmung nur klarstellenderCharakter zukommt. Es entspreche der Sorgfaltspflicht von Vorstand undAufsichtsrat, die Berichterstattung dahin auszuweiten.17) So Peltzer (Fußn. 16), Rz. 63; MünchKomm-Semler (Fußn.16), § 161Rz. 364.18) Ringleb, in: Ringleb/Kremer/Lutter/v. Werder (Fußn.16), Rz. 646.19) Ausführlich Hornberg (Fußn.12), S. 197; Kremer, in: Ringleb/Kremer/Lutter/v. Werder (Fußn. 16), Rz. 970 ff; Peltzer (Fußn.16), Rz. 266 ff.20) Dazu und zur Kritik der Praxis an dieser Vorgabe Hornberg (Fußn.12),S. 228 ff; Peltzer (Fußn.16), Rz. 226 ff.

  • 424 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

    hinaus gehendes Ziel ist die Herstellung von Transparenz ge-genüber den Anlegern und dem Kapitalmarkt.

    2. Staatliche Beaufsichtigung

    Eine wesentliche Sicherungsmaßnahme und damit einenwichtigen Baustein im Gesamtkomplex des Risikomanage-ments stellt die staatliche Beaufsichtigung dar. Um eine Bankoder ein Finanzdienstleistungsinstitut zu gründen, benötigendie Eigner eine staatliche Genehmigung der Bundesanstalt fürFinanzdienstleistungsaufsicht (BaFin). Der Gesetzgeber be-dient sich damit der Rechtsfigur eines Verbots mit Erlaubnis-vorbehalt (§ 32 i. V. m. § 1 Abs.1, 1a KWG).21) Institute dür-fen nur gegründet werden, wenn sie die in § 33 KWG nieder-gelegten Voraussetzungen erfüllen. Sie müssen insbesondereüber ein ausreichendes Eigenkapital verfügen (vgl. § 33 Abs.1Satz 1 Nr.1 KWG).22) Personen, die an einem Institut eine we-sentliche Beteiligung halten oder die ein Institut leiten wollen,müssen persönlich zuverlässig sein (§ 33 Abs.1 Satz 1 Nr. 2, 3KWG). Die Geschäftsleiter müssen zudem fachlich geeignetsein (§ 33 Abs.1 Satz 1 Nr. 4 KWG), also die notwendigentheoretischen und praktischen Kenntnisse mitbringen undüber Leitungserfahrung verfügen.23)

    Bereits zugelassene Institute unterliegen einer laufenden Über-wachung durch die BaFin. Um dieser eine Überprüfung zu er-möglichen, verpflichtet das Aufsichtsrecht die Institute zurEinhaltung zahlreicher Anzeige-, Aufzeichnungs- und Auf-bewahrungspflichten (z. B. §§ 24 ff KWG, § 34 WpHG). Zu-dem werden sie einmal jährlich von einem Wirtschaftsprüfergeprüft, der die Einhaltung der Pflichten nach dem Kreditwe-sengesetz und dem Wertpapierhandelsgesetz überprüft (ins-besondere §§ 26 ff KWG, § 36 WpHG).

    3. Besondere Organisationspflichten für Kredit- undFinanzdienstleistungsinstitute

    Zudem muss ein Institut die erforderlichen organisatorischenVorkehrungen erfüllen, die für einen ordnungsgemäßen Ge-schäftsbetrieb in dem beantragten Umfang bestehen (§ 33Abs.1 Satz 1 Nr. 7 KWG). Die Pflichten sind in § 25a Abs.1KWG niedergelegt, dessen jüngste ˜nderung durch das Fi-nanzmarktrichtlinie-Umsetzungsgesetz der Umsetzung vonArt.13 Abs. 2 und 5 Unterabs. 2 und Abs. 6 MiFID undArt. 5…12 DRL diente.24)

    Das Institut muss die Einhaltung der gesetzlichen Bestimmun-gen und der betriebswirtschaftlichen Notwendigkeiten gewähr-leisten. Verantwortlich hierfür sind die Geschäftsleiter. Esmuss die Erfüllung der organisatorischen Pflichten gegenüberder BaFin nachweisen und dazu einen Geschäftsplan vorlegen(§ 32 Abs.1 Satz 2 Nr. 5 KWG, § 14 Abs. 7 AnzV). Dazu imEinzelnen:

    3.1 Inhalt des Geschäftsplans

    Der Umfang der erforderlichen Maßnahmen richtet sich nachder Größe des Instituts und dem Umfang der Geschäfte. DerPlan muss deshalb die Art der ins Auge gefassten Geschäfteunter Angabe der voraussehbaren künftigen Entwicklung an-

    hand von Planbilanzen sowie Plangewinn- und -verlustrechnun-gen für die ersten drei Geschäftsjahre beinhalten.25) Weiterhinist ein Organigramm mit Angabe der Zuständigkeiten der Ge-schäftsleiter und der geplanten Personalausstattung vorzulegen.Aus dem Geschäftsplan muss damit klar ersichtlich sein, welcheorganisatorischen Vorkehrungen hinsichtlich der Steuerung,Überwachung und Kontrolle von Risiken, der internen Kon-trollverfahren, der ausreichenden Datensicherheit sowie der aus-reichenden Buchführung und Dokumentation bestehen.26)

    3.2 Risikomanagement- und Risikocontrollingsystem

    Gemäß § 25a Abs.1 Satz 3 Nr.1 KWG müssen die Instituteüber geeignete und wirksame27) Regelungen zur Steuerung,Überwachung und Kontrolle ihrer Risiken verfügen. Hiermitwird Art. 7 DRL umgesetzt. Unter Risiko ist die Gefahr einesVerlusts oder Schadens für das Institut sowie die negative Ab-weichung oder das Nichteintreten von erwarteten Entwicklun-gen zu verstehen.28) Das Risikomanagement- und Risikocon-trollingsystem dient dem Ziel, Vermögensverluste durch eineSchieflage oder eine Insolvenz des Instituts zu vermeiden.Denn notwendige Gegenmaßnahmen lassen sich nur ergrei-fen, wenn Risiken rechtzeitig erkannt, bewertet, überwachtund gegebenenfalls ausgeschaltet bzw. kompensiert werden.Hierzu macht das Rundschreiben der BaFin zu den Mindest-anforderungen an das Risikomanagement (MaRisk)29) detail-lierte Vorgaben (AT 1). Das Risikomanagement umfasst unterBerücksichtigung der Risikotragfähigkeit insbesondere dieFestlegung angemessener Strategien:

    3.2.1 Festlegung angemessener Strategien

    Das Institut muss auf der Grundlage von Verfahren seine Risi-kotragfähigkeit ermitteln und gegebenenfalls Risikotoleranz-schwellen definieren. Es hat sicherzustellen, dass seine wesent-lichen Risiken durch das Risikodeckungspotential laufend ab-gedeckt sind. Nach AT 4.1 der MaRisk müssen alle unterneh-merischen Risiken in die Betrachtung einbezogen werden (Ge-samtrisikosystem).30) Hierzu werden in der Bankbetriebslehre31)

    herkömmlich die geschäftspolitischen Risiken (strategische Ri-siken) gezählt, die sich aus der Rechtsform, dem Standort, derOrganisationsstruktur und den Geschäftsfeldern ergeben. Wei-

    21) Einzelheiten bei Sethe (Fußn. 5), S. 596 ff.22) Sethe (Fußn. 5), S. 605 ff.23) Sethe (Fußn. 5), S. 617 ff.24) Zur Entstehungsgeschichte der Regelung vgl. das Working documentESC/17/2005 … rev 3, Organisational Requirements and identification ma-nagement and disclosure of conflicts of interest by investment firms,http://ec.europa.eu/internal_market/securities/isd/mifid2_de.htm (abgerufenam 15.11. 2007).25) Einzelheiten bei Zerwas/Hanten, Zulassung zum Geschäftsbetrieb für Kre-dit- und Finanzdienstleistungsinstitute, BB 1998, 2481, 2484.26) Fischer, in: Boos/Fischer/Schulte-Mattler (Hrsg.), KWG, 2. Aufl., 2004,§ 33 Rz. 23.27) Dies betont der RegE FRUG, BR-Drucks. 16/4028, S. 95.28) Braun, in: Boos/Fischer/Schulte-Mattler (Fußn. 26), § 25a Rz. 39.29) Rundschreiben 5/2007 der BaFin vom 30.10. 2007, abrufbar unter:www.bafin.de/rundschreiben/87_2007/071030.htm. Zur Version von 2005 s.Fischer, in: Schimansky/Bunte/Lwowski (Fußn. 4), § 128 Rz. 52 ff; Niedostadek,Risikomanagement nach MiFID, Der Risikomanager 5/2007, 10 ff.30) Braun (Fußn. 28), § 25a Rz. 38; Fischer (Fußn. 29), § 128 Rz. 53.31) Büschgen, Bankbetriebslehre, 5. Aufl., 1998, S. 864 ff; siehe auch Braun(Fußn. 28), § 25a Rz. 40.

  • ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 425

    terhin sind finanzielle Risiken im Allgemeinen und Liquiditäts-risiken im Besonderen gemeint. Schließlich sind die Risikendes internen Leistungsbereichs einzubeziehen, die sich ausdem personellen Bereich, der Datenverarbeitung, den sons-tigen Betriebsmitteln, der Ablaufstruktur und den Rechtsrisi-ken ergeben. AT 2.2 der MaRisk geht nicht auf all diese Risikenim Detail ein, sondern greift einzelne besondere wichtige Risi-ken heraus, für die im besonderen Teil der MaRisk Vorgabengemacht werden.32)

    AT 4.2 der MaRisk verpflichtet die Geschäftsleitung des Insti-tuts, eine Geschäftsstrategie und eine dazu konsistente stimmi-ge Risikostrategie festzulegen. Bei der Ausarbeitung der Risi-kostrategie sind die in der Geschäftsstrategie niederzulegendenZiele und Planungen der wesentlichen Geschäftsaktivitäten so-wie die Risiken wesentlicher Auslagerungen zu berücksichti-gen. Der Inhalt und die Tiefe der festzulegenden Strategiensind abhängig von Umfang und Komplexität sowie dem Risi-kogehalt der geplanten Geschäftsaktivitäten. Die Verantwor-tung für die Festlegung der Geschäfts- und der Risikostrategiedarf nicht delegiert werden.33) Die Geschäftsleitung ist verant-wortlich dafür, dass die Strategien umgesetzt werden.

    3.2.2 Interne Kontrollverfahren

    Institute müssen weiterhin interne Kontrollverfahren (InternalControl Systems) vorsehen, d. h. die Institute müssen organisa-torische Sicherungsmaßnahmen ergreifen, regelmäßige Kon-trollen durchführen und eine interne Revision einrichten.34) Dieinternen Kontrollverfahren bestehen aus dem internen Kon-trollsystem und der internen Revision (AT 1 Tz. 1 der MaRisk).

    Das interne Kontrollsystem umfasst Regelungen zur Aufbau-und Ablauforganisation und Prozesse zur Identifizierung, Be-urteilung, Steuerung, Überwachung sowie Kommunikationder Risiken (Risikosteuerungs- und -controllingprozesse).Dazu im Einzelnen: Es sind aufbau- und ablauforganisatori-sche Regelungen mit klarer Abgrenzung der Verantwortungs-bereiche zu treffen (§ 25a Abs.1 Satz 3 Nr.1 Buchst. a KWG).Das Ausmaß und die Ausgestaltung der Verantwortungsberei-che hängen von der Größe des Unternehmens ab. Ein wesent-licher Bestandteil ist das Vier-Augen-Prinzip, mit dem gewähr-leistet wird, dass nicht eine Person allein alle Phasen eines Ge-schäfts abwickelt. Zur Funktionstrennung gehört nicht nureine Zuständigkeitsregelung für einzelne Geschäftsabschlüsse,sondern eine grundsätzliche Trennung unvereinbarer Tätigkei-ten (BTO 2.1 der MaRisk). Die funktionale und organisatori-sche Trennung ist auch für andere Bereiche außerhalb desHandels (z. B. Kreditgeschäft) ein wirksames Mittel, um ord-nungsgemäße Geschäftsabläufe sicherzustellen und Risikendurch Einschaltung mehrerer Mitarbeiter in den Entschei-dungsprozess zu minimieren (BTO 1.1 der MaRisk).35) Gleich-zeitig können sie einem zweiten Ziel dienen, nämlich der Ver-meidung von Interessenkonflikten bei Universalkreditinstitu-ten und Wertpapierhäusern.

    Weiterhin sind Prozesse zur Identifizierung, Beurteilung,Steuerung sowie Überwachung und Kommunikation der Risi-ken vorzusehen. Diese sind in Anhang V der Bankenricht-linie36) im Detail niedergelegt, auf den § 25a Abs.1 Satz 3

    Nr.1 Buchst. b KWG Bezug nimmt. Danach muss die Ge-schäftsleitung Regelungen für die Aufgabentrennung inner-halb der Organisation und die Vermeidung von Interessen-konflikten treffen. Die Geschäftsleitung genehmigt und über-prüft in regelmäßigen Abständen die Strategien und Vorschrif-ten für die Übernahme, Steuerung, Überwachung und Min-derung der Risiken, denen das Kreditinstitut ausgesetzt istoder ausgesetzt sein könnte, einschließlich der Risiken, die ausdem makroökonomischen Umfeld erwachsen, in dem es inRelation zum Stand des Konjunkturzyklus tätig ist. Weiterhinist vorgeschrieben, dass die Kreditvergabe nach soliden, klardefinierten Kriterien erfolgt. Die Verfahren für die Genehmi-gung, ˜nderung, Verlängerung und Refinanzierung von Kre-diten sind klar geregelt. Die laufende Verwaltung und Über-wachung der verschiedenen kreditrisikobehafteten Portfoliosund Forderungen, auch zwecks Erkennung und Verwaltungvon Problemkrediten sowie Vornahme adäquater Wertberich-tigungen und Rückstellungen, erfolgt über wirksame Systeme.Zudem muss die Diversifizierung der Kreditportfolios denZielmärkten und der allgemeinen Kreditstrategie des Kredit-instituts angemessen sein. Das Risiko, dass die vom Kredit-institut eingesetzten und von der BaFin anerkannten Kreditri-sikominderungstechniken weniger wirksam sind als erwartet,wird mittels schriftlich niedergelegter Vorschriften und Verfah-rensweisen gesteuert. Das Konzentrationsrisiko (Klumpenrisi-ko), das aus Krediten an dieselbe Gegenpartei, an Gruppen ver-bundener Gegenparteien und an Gegenparteien aus derselbenBranche oder Region bzw. Gegenparteien mit denselben Leis-tungen oder Waren, aus dem Gebrauch von Kreditrisikomin-derungstechniken und insbesondere aus indirekten Großkredi-ten (z. B. an einen einzigen Emittenten) erwächst, wird mittelsschriftlicher Vorschriften und Verfahrensweisen geregelt.

    Im Anhang V angesprochen sind weiterhin Verbriefungs-,Markt-, Zinsänderungs- und Liquiditätsrisiken. Um das opera-tionelle Risiko zu minimieren, muss das Institut Vorschriftenund Verfahren zur Bewertung und Steuerung dieses Risikos,einschließlich selten auftretender Risiken mit gravierendenAuswirkungen, einführen. Es werden Ausweich- und Notfall-pläne aufgestellt, die sicherstellen, dass das Kreditinstitut seineTätigkeit fortlaufend aufrechterhalten kann und sich die beischwerwiegenden Betriebsstörungen auftretenden Verluste inGrenzen halten. Hier liegt eine Pflichtendoppelung mit § 25Abs.1 Satz 3 Nr. 3 KWG vor.

    Den Schlussstein der internen Kontrolle bildet die interne Re-vision (Art. 8 DRL). Ihre Einrichtung obliegt der Geschäftslei-tung (vgl. hierzu und zum Folgenden BT 2 der MaRisk). Sieist dieser direkt zu unterstellen und ihre Unabhängigkeit ist si-cherzustellen. Um ihre Funktionsfähigkeit zu gewährleisten,

    32) BTR 1 (Adressenausfallrisiken), BTR 2 (Marktpreisrisiken), BTR 3 (Liqui-ditätsrisiken) und BTR 4 (Operationelle Risiken) der MaRisk (Fußn. 29).33) Anders wohl Spindler/Kasten, AG 2006, 785, 786.34) Ausführlich dazu die aus dem Jahr 1998 stammenden Grundsätze des Ba-sel Committee on Banking Supervision, Framework for Internal Control Systemsin Banking Organisations.35) Braun (Fußn. 28), § 25a Rz.121.36) Richtlinie 2006/48/EG des Europäischen Parlaments und des Rates vom14. 6. 2006 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute(Bankenrichtlinie … Neufassung), ABl L 177/1.

  • 426 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

    muss die interne Revision über eine angemessene Personalaus-stattung verfügen, und es muss sichergestellt sein, dass ihreMitarbeiter nicht mit weiteren Aufgaben betraut sind, die sichnicht mit ihrer Kontrolltätigkeit vereinbaren lassen (strikte per-sonelle, funktionale und organisatorische Aufgabentrennung).

    Die interne Revision muss sich auf alle Betriebsabläufe bezie-hen und erfolgt nach einem Prüfungsplan. Um die Funktions-fähigkeit der Revision zu gewährleisten, ist diese von allen An-weisungen der Geschäftsleitung, Organisationsänderungenund Veränderungen der wesentlichen geschäftlichen Grund-lagen laufend und umgehend zu informieren. Die Prüfungs-tätigkeit der internen Revision, die sich auf wechselndeSchwerpunkte konzentrieren kann, hat Aufschluss darüber zugeben, ob die Betriebsabläufe ordnungsgemäß sind, Mängelauftreten oder Gefahren für das Unternehmen bestehen.37)

    Die Ergebnisse der Prüfungen sind im Wege regelmäßigerschriftlicher Berichte zeitnah an die gesamte Geschäftsleitungzu übermitteln. Bei drohenden Gefahren ist die Geschäftslei-tung außerhalb des Turnus schriftlicher Berichte unverzüglichzu informieren. Werden schwerwiegende Beanstandungen beieinem Geschäftsleiter festgestellt, ist das gesamte Leitungsorganumgehend schriftlich zu unterrichten. Das Leitungsorgan wie-derum hat den Aufsichtsrat, die BaFin und die Bundesbank vondem Bericht in Kenntnis zu setzen (BT 2.4 Tz. 4 der MaRisk).

    3.3 Personelle und technische Ausstattung

    Gemäß § 25a Abs.1 Satz 3 Nr. 2 KWG muss das Institut aus-reichend qualifiziertes und regelmäßig fortgebildetes Personaleinsetzen und dieses angemessen überwachen. Auch wenndies der Wortlaut der Vorschrift nicht erwähnt, gehört zu ei-ner angemessenen Ausstattung nicht nur eine den Aufgaben ent-sprechende Anzahl von Mitarbeitern, sondern auch deren an-gemessene Bezahlung, um keine Anreize für Veruntreuungenzu schaffen. Konflikte zwischen den Interessen der Mitarbei-ter, des Instituts und der Kunden sind nach Möglichkeit zuvermeiden und … falls dies nicht möglich ist … nach vorherfestgelegten Regeln zu lösen. Um eine Gefährdung der Kun-deninteressen auszuschließen, haben die Mitarbeiter bestimm-te Vorgaben zu beachten. Die dazu bislang als bloßes Rund-schreiben der Aufsichtsbehörde verfassten Mitarbeiterleitsät-ze38) werden durch das Finanzmarktrichtlinie-Umsetzungs-gesetz … mit inhaltlichen ˜nderungen … in § 33b WpHG über-führt. Zudem muss eine ausreichende technisch-organisatori-sche Ausstattung vorhanden sein.

    3.4 Notfallkonzept

    Die Tätigkeit der Institute ist heute ohne den Einsatz elektro-nischer Datenverarbeitung (wirtschaftlich) nicht mehr abzuwi-ckeln. Aufgrund ihrer zentralen Stellung kommt der Sicher-heit der EDV daher eine enorme Bedeutung zu, da ihr Ausfallden Zusammenbruch des Instituts zur Folge haben kann. Ge-mäß § 25a Abs.1 Satz 3 Nr. 3 KWG wird daher ein Notfall-plan und ein umfassender Schutz dieser Systeme verlangt.39)

    Dabei gilt es sicherzustellen, dass die erfassten Daten oder er-rechneten Ergebnisse materiell richtig sind (materielles Fehler-risiko). Weiterhin darf es nicht zu formalen Fehlern kommen

    (formales Fehlerrisiko), etwa indem Datenschutz und Auf-bewahrungsfristen nicht beachtet werden. Das Institut ist ge-gen technische Ausfallrisiken zu sichern. Schließlich muss ver-hindert werden, dass sich Dritte unbefugt Zugang zur EDVdes Instituts verschaffen (Fremdnutzungsrisiko). Das Instituthat daher entsprechende organisatorische, physisch-technischeund systemtechnische Vorkehrungen zu treffen.

    3.5 Ausgestaltung und Überprüfung desRisikomanagements

    Die Ausgestaltung des Risikomanagements hängt von Art,Umfang, Komplexität und Risikogehalt der Geschäftstätigkeitab (§ 25a Abs.1 Satz 4 KWG). Organisatorische Sicherungs-maßnahmen sind selbstverständlich nur dann wirksam, wennihre Einhaltung gewährleistet ist. Die Angemessenheit undWirksamkeit der Sicherungsmaßnahmen sind vom Institut re-gelmäßig zu überprüfen (§ 25a Abs.1 Satz 5 KWG). Deshalbist ein internes, in die Arbeitsprozesse integriertes Kontrollsys-tem (prozessabhängige Überwachung) notwendig, das die Ar-beitsabläufe überwacht und mögliche Fehler aufdeckt. Dies ge-schieht zum einen durch fest in den Arbeitsprozess eingebauteKontrollen und zum anderen durch Stichproben. Art undUmfang der Kontrollen richten sich nach der Größe des Insti-tuts sowie der Anzahl und den Risiken der Geschäfte.40)

    3.6 Überwachung der finanziellen Lage

    § 25a Abs.1 Satz 6 Nr.1 KWG verpflichtet die Institute zu-dem, über Regelungen zu verfügen, anhand derer sich die fi-nanzielle Lage des Instituts jederzeit mit hinreichender Genau-igkeit bestimmen lässt. Hier liegt … bei Instituten in Form ei-ner Kapitalgesellschaft … eine Pflichtendoppelung vor.

    3.7 Aufnahme aller Geschäftsvorfälle

    Zu den organisatorischen Sicherungsmaßnahmen gehört desWeiteren die sofortige und vollständige Aufnahme aller Ge-schäftsvorfälle41) und der Geschäftstätigkeit an sich (§ 25aAbs.1 Satz 6 Nr. 2 KWG). Denn ein Managementinformati-onssystem zur Planung und Überwachung der Geschäftstätig-keit ist nur auf der Grundlage vollständiger, aktueller und rich-tiger Informationen funktionstüchtig. Zudem wird der BaFinauf diese Weise erst die Aufsicht ermöglicht. Die Aufzeich-nungen sind fünf Jahre lang aufzubewahren. Die damit not-wendige Buchführung und Dokumentation geht über die han-delsrechtlichen Pflichten hinaus, da die Aufzeichnung so zuerfolgen hat, dass der Aufsicht auch im Nachhinein noch eineKontrolle darüber ermöglicht wird, ob die aufsichtsrechtlichenVorgaben eingehalten wurden.

    37) Hierzu und zum Folgenden Braun (Fußn. 28), § 25a Rz.133 ff.38) Bekanntmachung des Bundesaufsichtsamtes für das Kreditwesen und desBundesaufsichtsamtes für den Wertpapierhandel über Anforderungen an Ver-haltensregeln für Mitarbeiter der Kreditinstitute und Finanzdienstleistungs-institute in Bezug auf Mitarbeitergeschäfte v. 7. 6. 2000, BAnz Nr.131 v.15. 7. 2000, S. 13 790. Dazu Eisele (Fußn. 4), § 109 Rz.130 ff; Sethe (Fußn. 5),S. 852 ff.39) Hierzu und zum Folgenden Braun (Fußn. 28), § 25a Rz.142 ff; Fischer(Fußn. 29), § 128 Rz. 54.40) Z. B. BTO 1.2.3. der MaRisk (Fußn. 29) in Bezug auf die Kreditbearbei-tungskontrolle.41) AT 6 der MaRisk (Fußn. 29); Braun (Fußn. 28), § 25a Rz.123 f.

  • ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 427

    3.8 Sicherungssysteme gegen Geldwäsche und Betrug

    § 25a Abs.1 Satz 6 Nr. 3 KWG verpflichtet die Institute, ange-messene geschäfts- und kundenbezogene Sicherungssysteme ge-gen Geldwäsche und betrügerische Handlungen vorzuhalten.42)

    4. Sonderregelungen für Wertpapierdienstleistungs-unternehmen

    4.1 Überblick

    § 33 Abs.1 WpHG sieht zahlreiche Organisationspflichten fürKredit- und Finanzdienstleistungsinstitute vor, soweit sieWertpapierdienstleistungen erbringen. Die Neufassung derVorschrift dient der Umsetzung von Art.13 MiFID und derenDurchführungsrichtlinie.43) Der deutsche Gesetzgeber hat denTeil der Richtlinienvorgaben, der gleichermaßen auf Kredit-institute und Wertpapierdienstleistungsunternehmen Anwen-dung findet, in § 25a Abs.1 KWG umgesetzt. Dies gilt für dieallgemeinen organisatorischen Anforderungen gemäß Art. 5DRL, die Anforderungen an das Risikomanagement und dieinterne Revision gemäß Art. 7 und 8 DRL sowie die Zustän-digkeiten und Berichtspflichten im Zusammenhang mit derGeschäftsorganisation gemäß Art. 9 DRL. § 33 Abs.1 WpHGenthält daher nur die besonderen organisatorischen Erforder-nisse bei der Erbringung von Wertpapierdienstleistungen undWertpapiernebendienstleistungen. Sie werden durch die§§ 11…13 WpDVerOV44) weiter konkretisiert.

    Die meisten Organisationspflichten, die das Finanzmarktricht-linie-Umsetzungsgesetz nun ausdrücklich in § 33 Abs.1 Satz 2WpHG verankert, waren bereits nach geltendem Recht zu be-achten.45) Die BaFin hatte schon 1999 eine Richtlinie zur Kon-kretisierung der Organisationspflichten von Wertpapierdienst-leistungsunternehmen erlassen (im Folgenden Compliance-RL).46) Der bisweilen in der Presse vermittelte Eindruck, dieMiFID führe zu einer deutlichen Verschärfung der Regelun-gen für Wertpapierdienstleistungsunternehmen, trügt daher.47)

    4.2 Compliance-Organisation

    Nach § 33 Abs.1 Satz 2 Nr.1 WpHG muss das Wertpapier-dienstleistungsunternehmen angemessene Grundsätze aufstel-len, Mittel vorhalten und Verfahren einrichten, die darauf aus-gerichtet sind, sicherzustellen, dass das Wertpapierdienstleis-tungsunternehmen selbst und seine Mitarbeiter den Verpflich-tungen des Wertpapierhandelsgesetzes nachkommen. DieVorschrift dient der Umsetzung von Art.13 Abs. 2 MiFIDund Art. 6 Abs.1 DRL.

    Neu ist die Verpflichtung des Unternehmens, angemesseneGrundsätze aufzustellen, mit denen sich Verstöße gegen dasWertpapierhandelsgesetz aufdecken lassen. Demgegenüber be-stand die Pflicht, für eine ordnungsmäßige Durchführung derWertpapierdienstleistung und WertpapiernebendienstleistungMittel vorzuhalten und Verfahren einzurichten, bereits nachfrüherem Recht (§ 33 Abs.1 Nr.1 WpHG a. F., dazu Nr. 2.2Compliance-RL).48) Da sich Verfahren aber nur einrichten las-sen, wenn man zuvor Grundsätze für diese Verfahren festlegt,liegt in der Sache keine Neuerung vor.

    Ziel der Grundsätze und einzurichtenden Verfahren muss essein, Verstöße gegen das Wertpapierhandelsgesetz aufzuspü-

    ren. § 12 Abs.1 WpDVerOV stellt klar, dass auch bereits dieGefahr von Verstößen aufzudecken ist. Zudem müssen dieaus Verstößen drohenden Risiken eingeschätzt werden. Hierinliegt eine Pflichtendoppelung, denn dies ergibt sich bereits ausden geschilderten Vorgaben zum Risikocontrolling und -ma-nagement (oben II 1.2 und II 3.2). § 12 Abs. 2 WpDVerOVverpflichtet das Wertpapierdienstleistungsunternehmen zu-dem, erkannte Gefahren und Risiken soweit wie möglich zubeschränken. Mit dieser Vorschrift haben der Richtlinien- undder Gesetzgeber eine Selbstverständlichkeit normiert, dennwelchem Ziel sollte die Erfassung der Gefahren und Risikennach § 12 Abs.1 WpDVerOV sonst dienen. Die Vorschriftstellt weiterhin klar, dass der BaFin eine effektive Ausübungihrer Aufsicht ermöglicht werden muss.

    Im Rahmen der Verpflichtung nach § 33 Abs.1 Satz 2 Nr.1WpHG muss das Unternehmen Art, Umfang, Komplexitätund Risikogehalt seines Geschäfts sowie Art und Spektrumder von ihm angebotenen Wertpapierdienstleistungen berück-sichtigen (§ 33 Abs.1 Satz 3 WpHG). Auch dieser Gedanke istkeineswegs neu, sondern findet sich bereits in Nr. 2.1 Compli-ance-RL. Kleinere Institute können die Compliance-Funktionauch einem Mitarbeiter oder dem Geschäftsleiter übertragen,selbst wenn diese Person in die Erbringung von Leistungen ge-genüber Kunden eingebunden ist. Voraussetzung ist aller-dings, dass die Aufgabe nicht beeinträchtigt wird, was das In-stitut nachzuweisen hat.49)

    Das Gesetz nennt als Mittel zur Erfüllung der Pflicht die Ein-richtung einer dauerhaften und wirksamen Compliance-Funk-tion, die ihre Aufgaben unabhängig wahrnehmen kann. Des-halb verpflichtet § 12 Abs. 4 WpDVerOV die Institute zur Be-nennung eines Compliance-Beauftragten. Auch diese Pflichtfindet sich bereits in der Compliance-Richtlinie (Nr. 4.2). DerBeauftragte hat die Angemessenheit und Wirksamkeit der so-eben geschilderten Grundsätze und Vorkehrungen zu über-wachen. Weiterhin muss er die zur Behebung von erkanntenDefiziten getroffenen Maßnahmen beaufsichtigen und regel-mäßig bewerten (§ 12 Abs. 3 Nr.1 WpDVerOV). Seine Auf-gabe ist es weiterhin, die Mitarbeiter des Instituts im Hinblickauf die Einhaltung der Grundsätze und Vorkehrungen zu be-raten und zu unterstützen (§ 12 Abs. 3 Nr. 2 WpDVerOV).

    42) Einzelheiten bei Bauer/Bergmann, Zur Reichweite der „betrügerischenHandlungen“ nach § 25a Abs.1 Satz 3 Nr. 6 KWG, ZBB 2007, 113; Fischer(Fußn. 29), § 128 Rz. 62 ff.43) RegE FRUG, BT-Drucks. 16/4028, S. 70.44) Verordnung zur Konkretisierung der Verhaltensregeln und Organisations-anforderungen für Wertpapierdienstleistungsunternehmen (Wertpapierdienst-leistungs-Verhaltens- und Organisationsverordnung … WpDVerOV) vom20. 7. 2007, BGBl I, 1432.45) Ausführlich zu den Organisationspflichten nach bisherigem Recht Koller,in: Assmann/Schneider (Fußn.1), § 33 Rz.1 ff; Möllers, in: Kölner Komm.zum WpHG (Fußn. 1), § 33 Rz. 15 ff; Sethe (Fußn. 5), S. 849 ff.46) Richtlinie der Bundesanstalt zur Konkretisierung der Organisationspflich-ten von Wertpapierdienstleistungsunternehmen gemäß § 33 WpHG (Compli-ance-RL) v. 25. 10.1999, BAnz Nr. 210 v. 6. 11. 1999, S.18 453.47) So im Ergebnis auch Kumpan/Hellgardt, Haftung der Wertpapierdienstleis-tungsunternehmen nach Umsetzung der EU-Richtlinie über Märkte für Fi-nanzinstrumente, DB 2006, 1714, 1720.48) Zu Recht weist Schlicht, Compliance nach der Umsetzung der MiFID-Richtlinie … Wesentliche ˜nderungen oder gesetzliche Verankerung schon ge-lebter Praxis?, BKR 2006, 469, aber darauf hin, dass nach der Compliance-RLnicht alle Institute eine Compliance-Stelle haben mussten.49) Siehe dazu auch § 12 Abs. 5 WpDVerOV (dazu sogleich).

  • 428 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

    Der Compliance-Beauftragte muss über die für eine ordnungs-gemäße und unabhängige Erfüllung seiner Aufgaben erfor-derlichen Fachkenntnisse, Mittel und Kompetenzen verfü-gen. Das Institut muss ihm Zugang zu allen für die Über-wachung relevanten Informationen gewähren (§ 12 Abs. 4Satz 2 WpDVerOV). Dem Compliance-Beauftragten steht da-her ein uneingeschränktes Auskunfts-, Zugangs- und Einsichts-recht hinsichtlich aller einschlägigen Unterlagen, Bücher undAufzeichnungen einschließlich etwaiger vorliegender Ton-bandaufzeichnungen zu. Auch diese Regelung findet sich be-reits in Nr. 4.2 Compliance-RL.

    Um die Unabhängigkeit der Compliance-Stelle zu sichern,darf diese weder an den Wertpapierdienstleistungen beteiligtsein, die sie überwacht, noch darf die Art und Weise ihrer Ver-gütung eine Beeinträchtigung ihrer Unvoreingenommenheitbewirken oder wahrscheinlich erscheinen lassen (§ 12 Abs. 4Satz 3 WpDVerOV). Soweit das Wertpapierdienstleistungs-unternehmen darlegen kann, dass diese Anforderungen auf-grund von Art, Umfang und Komplexität seiner Geschäfts-tätigkeit oder der Art und des Spektrums seiner Wertpapier-dienstleistungen unverhältnismäßig sind und die ordnungs-gemäße Erfüllung der Compliance-Funktion nicht gefährdetist, entfallen diese Anforderungen (§ 12 Abs. 5 WpDVerOV).

    Aus der schweizerischen aufsichtsrechtlichen Praxis wurde aufeiner Fachtagung berichtet, dass die Aufsicht erwarte, vonCompliance-Beauftragten Auskünfte und bei schwerwiegen-den Zwischenfällen Berichte zu erhalten. Der Compliance-Be-auftragte wird gleichsam zum „verlängerten Arm der Aufsicht“im Wertpapierdienstleistungsunternehmen. Fraglich ist, obArt. 6 Abs.1 a. E. DRL Beleg für die Zulassung einer solchenPraxis auch in der EU ist. Dort werden Wertpapierfirmen ver-pflichtet, angemessene Maßnahmen und Verfahren zu ergrei-fen, „um . . . die zuständigen Behörden in die Lage zu verset-zen, ihre Befugnisse im Rahmen dieser Richtlinie wirksam aus-zuüben.“ Man kann diese Passage als Verpflichtung interpre-tieren, die Aufsichtsbehörde zu informieren50) oder aber alsPflicht, den gesetzlich vorgesehenen Aufzeichnungs- und Aus-kunftspflichten nachzukommen, die gerade das Mittel zurÜberwachung der Einhaltung der gesetzlichen Vorgaben sind.Für die letzte Deutung spricht die die MiFID-Durchführungs-richtlinie vorbereitende Stellungnahme von CESR:51) „CESR’sStandards for Investor Protection („CESR Standards“) in-cluded a requirement for investment firms to ensure the com-petent authority is informed without undue delay of seriousbreaches of conduct of business rules. Such a requirement isbeyond the scope of the level 2 implementing measures con-templated in the Directive. However, the imposition of such arequirement by Member States is not excluded by the provi-sions of the Directive on the minimum powers to be given tocompetent authorities.“ Im Übrigen überzeugt eine Berichts-pflicht der Compliance-Stelle an die Aufsichtsbehörde auchaus sachlichen Gründen nicht, weil eine solche Vorgabe Loya-litätskonflikte verursacht und zu Informationsflüssen an derGeschäftsleitung vorbei führt. Solange nicht die Geschäftslei-tung selbst das Problem ist, sollte man diesen Weg also nichtbeschreiten. Aber selbst wenn die Geschäftsleitung im konkre-ten Fall Grund der Beanstandung sein sollte, rechtfertigt dies

    keinen direkten Bericht an die BaFin; es muss das gesell-schaftsrechtlich vorgesehene Aufsichtsorgan des Instituts in-formiert werden, das dann für ein angemessenes Vorgehenverantwortlich ist (Art. 9 Abs. 2 und 3 DRL). Hierzu gehörtdann die Information der Aufsichtsbehörde. Im Übrigen istdarauf hinzuweisen, dass im deutschen Recht bereits die inter-ne Kontrolle die Geschäftsleitung von schweren Verstößen zuunterrichten hat und diese wiederum die BaFin (siehe oben3.2.2). Auch hier gibt es also keine Informationsflüsse an derGeschäftsleitung vorbei.

    4.3 Kontinuität und Regelmäßigkeit der Wertpapier-dienstleistungen

    Das Wertpapierdienstleistungsunternehmen muss nach § 33Abs.1 Satz 2 Nr. 2 WpHG angemessene Vorkehrungen tref-fen, um die Kontinuität und Regelmäßigkeit sowohl der Wert-papierdienstleistungen als auch der Wertpapiernebendienst-leistungen zu gewährleisten. Die Vorschrift dient der Umset-zung von Art.13 Abs. 4 MiFID und Art. 5 Abs. 3 DRL. Not-wendig ist daher eine Notfallplanung, wie sie auch nach § 25aAbs.1 Satz 3 Nr. 3 KWG und nach Anhang V der Banken-richtlinie vorzusehen ist. Auch hier liegt damit eine Pflichten-doppelung vor, die auch deshalb zu beanstanden ist, weil derGesetzgeber damit seine Inkonsequenz belegt. Er wollte dieje-nigen Pflichten, die für alle Institute gelten, in § 25a KWG re-geln52) und hat sich dennoch … ausdrücklich53) … zur Pflichten-dopplung entschieden.

    4.4 Vermeidung von Interessenkonflikten

    Gemäß § 33 Abs.1 Satz 2 Nr. 3 WpHG sind weiterhin wirk-same Vorkehrungen erforderlich, um Interessenkonflikte beider Erbringung von Wertpapierdienstleistungen oder Wert-papiernebendienstleistungen zwischen dem Institut, seinenMitarbeitern und mit ihm direkt oder indirekt durch Kontrol-le i. S. d. § 1 Abs. 8 KWG verbundenen Personen einerseitsund seinen Kunden andererseits zu erkennen und zu vermei-den. Gleiches gilt für Interessenkonflikte zwischen Kunden.Die Vorschrift ist in Zusammenhang mit § 31 Abs.1 Nr. 2WpHG zu sehen. Sie setzt die Anforderungen von Art.13Abs. 3, Art.18 Abs.1 MiFID um.

    Um die Konflikte zu erkennen, ist das Institut verpflichtet, einKonfliktregister zu führen (§ 13 Abs.1 WpDVerOV).54) In die-sem sind Konstellationen zu erfassen, in denen das Wert-papierdienstleistungsunternehmen

    (1) zu Lasten von Kunden einen finanziellen Vorteil erzielenoder Verluste vermeiden kann,

    50) Für eine solche Deutung offenbar Spindler/Kasten, AG 2006, 785, 786Fußn.13.51) CESR’s technical advice to the European Commission on the first set ofmandates under the Directive on Markets in Financial Instruments (MiFID) v.3. 2. 2005, http://www.cesr-eu.org (abgerufen am 15.11. 2007).52) RegE FRUG, BT-Drucks. 16/4028, S. 70.53) RegE FRUG, BT-Drucks. 16/4028, S. 71.54) Assmann, Interessenkonflikte und „Inducements“ im Lichte der Richtlinieüber Märkte für Finanzinstrumente (MiFID) und der MiFID-Durchführungs-richtlinie, ÖBA 2007, 40, 44.

  • ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 429

    (2) am Ergebnis einer für Kunden erbrachten Dienstleistungoder eines für diese getätigten Geschäfts ein Interesse ha-ben kann, das nicht mit dem Kundeninteresse an diesemErgebnis übereinstimmt,

    (3) einen finanziellen oder sonstigen Anreiz haben kann, dieInteressen eines Kunden oder einer Kundengruppe überdie Interessen anderer Kunden zu stellen,

    (4) dem gleichen Geschäft nachgeht wie Kunden und

    (5) im Zusammenhang mit der für einen Kunden erbrachtenDienstleistung über die hierfür übliche Provision oder Ge-bühr hinaus von einem Dritten eine Zuwendung i. S. v.§ 31d Abs. 2 WpHG erhalten hat oder in Zukunft erhaltenkönnte.

    Um die (erkannten) Interessenkonflikte zu vermeiden, müssenWertpapierdienstleistungsunternehmen sodann angemesseneGrundsätze für den Umgang mit Interessenkonflikten auf ei-nem dauerhaften Datenträger festlegen und dauerhaft anwen-den. Die Grundsätze müssen bestimmen, unter welchen Um-ständen bei der Erbringung von Wertpapierdienstleistungenoder Wertpapiernebendienstleistungen Interessenkonflikteauftreten können, die den Kundeninteressen erheblich scha-den könnten. Festgelegt werden muss außerdem, welche Maß-nahmen zu treffen sind, um diese Interessenkonflikte zu be-wältigen (§ 13 Abs. 2 Satz 1 WpDVerOV). In den Grundsät-zen ist auch Interessenkonflikten Rechnung zu tragen, die sichaus der Struktur und Geschäftstätigkeit anderer Unternehmenderselben Unternehmensgruppe ergeben und die das Wert-papierdienstleistungsunternehmen kennt oder kennen müsste(§ 13 Abs. 2 Satz 2 WpDVerOV).

    Bei der Festlegung der Maßnahmen zur Bewältigung der Inter-essenkonflikte ist zu bestimmen, wie Mitarbeiter, bei denenInteressenkonflikte auftreten können, Kundengeschäfte mitder angemessenen Unabhängigkeit ausführen. Dazu sieht § 13Abs. 3 Satz 2 WpDVerOV beispielhaft insgesamt fünf Mög-lichkeiten vor:

    (1) Das Institut kann Vorkehrungen zur wirksamen Verhin-derung oder Kontrolle eines Informationsaustauschs zwi-schen Mitarbeitern, deren Tätigkeiten einen Interessenkon-flikt nach sich ziehen könnten, ergreifen. Diese als Chi-nese Wall bezeichnete Lösung war bereits in Nr. 3.3.1Compliance-RL geregelt.55)

    (2) Weiterhin muss gewährleistet sein, dass die Vergütung derMitarbeiter von der Vergütung anderer Mitarbeiter unab-hängig ist, soweit deren Aufgabenbereiche sowie die vondiesen erwirtschafteten Erlöse oder Prämien einen Interes-senkonflikt auslösen könnten.

    (3) Es muss verhindert werden, dass eine unsachgemäße Ein-flussnahme anderer Personen auf die Tätigkeit von Mit-arbeitern erfolgt, die Wertpapierdienstleistungen oderWertpapiernebendienstleistungen erbringen. Hier ist dasgroße Feld der Bestechung angesprochen.

    (4) Das Institut muss kontrollieren und gegebenenfalls verhin-dern, dass ein Mitarbeiter sich an verschiedenen Wert-papierdienstleistungen oder Wertpapiernebendienstleis-tungen in engem zeitlichen Zusammenhang beteiligt, so-

    fern diese Beteiligung ein ordnungsgemäßes Interessen-konfliktmanagement beeinträchtigen könnte.

    (5) Zudem sind Mitarbeiter gesondert zu überwachen, wennsie im Rahmen ihrer Haupttätigkeit potentiell widerstrei-tende Interessen, insbesondere von Kunden oder desWertpapierdienstleistungsunternehmens, wahrnehmen.

    Reichen diese Maßnahmen nicht aus, ist das Wertpapierdienst-leistungsunternehmen verpflichtet, alternative oder zusätzlicheMaßnahmen zu treffen (§ 13 Abs. 3 Satz 3 WpD VerOV).

    Soweit sich Interessenkonflikte nicht vermeiden lassen, ist derKunde nach § 31 Abs.1 Nr. 2 WpHG darüber zu informieren.Unter Berücksichtigung seiner Einstufung als Privatkunde,professioneller Kunde oder geeignete Gegenpartei soll derKunde auf informierter Grundlage eine eigenverantwortlicheEntscheidung treffen, ob er an dem konkreten Auftrag oderdem Wertpapierdienstleistungsunternehmen festhalten will(§ 13 Abs. 4 WpDVerOV). Die Information hat auf einemdauerhaften Datenträger zu erfolgen.

    4.5 Beschwerdewesen

    Nach bislang herrschender Ansicht zu § 25a KWG ist aus auf-sichtsrechtlicher Sicht keine zentrale Erfassung aller Kunden-beschwerden innerhalb des Instituts geboten.56) Dennoch ver-fügen in der Praxis die meisten Institute über ein Beschwerde-wesen, das sehr oft bei der Innenrevision angesiedelt ist. DennReklamationen können ein wichtiger Hinweis auf Schwächenim Betriebsablauf sein.

    Im Bereich des Wertpapierhandelsgesetzes herrschte dagegendie Auffassung vor, dass ein Beschwerdewesen notwendigsei.57) Mit § 33 Abs.1 Satz 2 Nr. 4 WpHG, der auf Art.10 DRLzurückgeht, wird die bisherige Vorgabe der Compliance-Richt-linie nun in das Gesetz überführt. Beschwerden in Bezug aufWertpapierdienstleistungen sind nun systematisch und zentralzu erfassen, unverzüglich zu bearbeiten und der Ablauf undgegebenenfalls die Abhilfe zu dokumentieren. Warum dieseVorgabe aber nur bei Wertpapierdienstleistungen und nichtauch bei Bankgeschäften und Finanzdienstleistungen geltensoll, ist nicht einsichtig, zumal die dort bestehende Schutz-lücke58) bekannt ist.

    4.6 Berichte der Compliance-Stelle

    Das Wertpapierdienstleistungsunternehmen muss sicherstel-len, dass seine Geschäftsleitung und der Aufsichtsrat in ange-messenen Zeitabständen, zumindest einmal jährlich, Berichteder Compliance-Stelle über die Angemessenheit und Wirk-samkeit der Grundsätze, Mittel und Verfahren erhält. Darinist insbesondere anzugeben, ob zur Behebung von Verstößengegen die Pflichten nach dem Wertpapierhandelsgesetz oderzur Beseitigung von Risiken geeignete Maßnahmen ergriffen

    55) Dazu Eisele (Fußn. 4), § 109 Rz.113 ff; Koller (Fußn. 45), § 33 Rz. 19 ff;Möllers (Fußn. 45), § 33 Rz. 69 ff; Sethe (Fußn. 5), S. 859 f.56) Braun (Fußn. 28), § 25a Rz.141. Keine Erwähnung findet das Beschwerde-wesen auch bei Schwark, Kapitalmarktrechtskommentar, 3. Aufl., 2004, § 33WpHG.57) Nr. 2.2 Compliance-RL sowie Koller (Fußn. 45), § 33 Rz. 13 m. w. N.58) Sethe (Fußn. 5), S. 622 f.

  • 430 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

    wurden (§ 33 Abs.1 Satz 2 Nr. 5 WpHG). Damit setzt der Ge-setzgeber Art. 9 Abs. 2 und 3 DRL um. In der Sache liegt je-doch keine Neuerung vor, denn diese Vorgabe fand sich be-reits in Nr. 4.2 Compliance-RL.

    4.7 Überprüfung der Maßnahmen

    Das Wertpapierdienstleistungsunternehmen muss schließlichüberprüfen, ob die nach den §§ 31 ff WpHG getroffenen orga-nisatorischen Maßnahmen angemessen und wirksam sind. Esmuss sie regelmäßig bewerten und gegebenenfalls Maßnah-men zur Beseitigung von Unzulänglichkeiten ergreifen (§ 33Abs.1 Satz 2 Nr. 6 WpHG). Damit wird Art. 5 Abs. 5 DRLumgesetzt.

    4.8 Outsourcing

    Neu gefasst wurden auch die Regelungen über das Outsour-cing in § 25a Abs. 2 bis 4 KWG und § 33 Abs. 2, 3 WpHG.Die jüngst geänderten MaRisk enthält hierzu detaillierte Aus-führungen,59) die ebenfalls im Zusammenhang mit dem The-ma Risikomanagement stehen. Denn gerade weil durch Out-sourcing die Zahl möglicher Fehlerquellen steigt, ist eine Er-haltung der Leitungs- und Kontrollfunktion für die Geschäfts-führung des auslagernden Instituts unverzichtbar.

    4.9 Weitere Organisationspflichten

    Die Regelungen der MiFID beschränken sich nicht auf das Ri-sikomanagement, sondern statuieren Organisationspflichtennun auch in anderen Bereichen. Genannt sei die in Umset-zung von Art. 21 Abs.1 MiFID ergangene Regelung des § 33aAbs.1 Nr.1 WpHG zur Best Execution. Institute, die Finanz-kommissionsgeschäfte, Eigenhandel und Abschlussvermittlun-gen erbringen, müssen Ausführungsgrundsätze festlegen.60)

    Diese müssen dem Ziel dienen, das bestmögliche Ergebnis fürden Kunden zu erreichen.61) Maßgebend sind gemäß § 33aAbs. 2 WpHG Preise, Kosten, Geschwindigkeit, Wahrschein-lichkeit der Ausführung und Abwicklung des Auftrags. Wei-tere Organisationspflichten im Wertpapierhandelsgesetz die-nen etwa der Prävention des Insiderhandels. Zu nennen istetwa die Pflicht aus § 15b WpHG.

    Neben diesen ausdrücklich angesprochenen Organisations-pflichten, die man auch als primäre bezeichnen kann, findensich sekundäre Organisationspflichten. Bei diesen ergibt sichdie Pflicht, den Geschäftsbetrieb in einer bestimmten Art undWeise zu ordnen, lediglich als mittelbare Folge einer Rege-lung, die primär ein anderes Regelungsziel als die Organisati-on verfolgt. Beispiel hierfür ist das insiderrechtliche Weiterga-beverbot. Um eine leichtfertige unbefugte Weitergabe von In-siderinformationen zu verhindern, muss die Geschäftsleitungdafür Sorge tragen, dass Insiderinformationen nur an einenPersonenkreis gelangen, der diese zur betrieblichen Aufgaben-erfüllung zwingend benötigt.62)

    Daneben folgen Organisationspflichten auch aus anderenstrafrechtlichen Normen. Zu nennen sei nur die Diskussionum die Geschäftsherrenhaftung und die §§ 30, 130 OWiG.Bemerkenswert ist in diesem Zusammenhang die Regelungvon Art.102 des schweizerischen StGB. Wird in einem Unter-

    nehmen in Ausübung geschäftlicher Verrichtung im Rahmendes Unternehmenszwecks ein Verbrechen oder Vergehen be-gangen und kann diese Tat wegen mangelhafter Organisationdes Unternehmens keiner bestimmten natürlichen Person zu-gerechnet werden, so wird das Verbrechen oder Vergehendem Unternehmen zugerechnet, und dieses wird bestraft.63)

    Hierauf und auf die eng damit zusammenhängende Debatteum die Unternehmensstrafbarkeit64) kann jedoch aus Platz-gründen nicht näher eingegangen werden.65)

    5. Corporate Governance für Banken

    Eine nochmalige Ausweitung der Vorgaben für Institute bahntsich mit dem im Januar 2006 vom Baseler Ausschuss für Ban-kenaufsicht vorgelegten Dokument zur „Verbesserung der Un-ternehmensführung von Banken“ an.66) Sein Ziel ist es, Bank-aufsichtsbehörden und beaufsichtigte Banken (banking orga-nisations) darin zu unterstützen, dass Banken eine gute Cor-porate Governance einführen und praktizieren. Zu diesemZweck statuiert es acht Grundsätze solider Unternehmensfüh-rung bei Banken und wendet sich dann der besonderen Rolleder Bankaufsichtsbehörden bei deren Entwicklung und Um-setzung zu. Die Notwendigkeit eines solchen weiteren Rege-lungswerks wird kontrovers beurteilt.67)

    6. Beurteilung der ergriffenen Maßnahmen

    6.1 Zweck und Reichweite der Regulierung

    Der Umfang der Organisationspflichten beeindruckt ebensowie ihre Unübersichtlichkeit. Vor dem Hintergrund einzelneraufsehenerregender Zwischenfälle wurden im GesellschaftsrechtSelbstverständlichkeiten reguliert, die jeder ordentliche Ge-schäftsleiter immer schon beachtet hat (z. B. die Beobachtungbestandsgefährdender Entwicklungen). Es erscheint geradezunaiv zu glauben, durch Verankerung einer solchen Pflicht imGesellschaftsrecht würde die Geschäftsleitung nun zu einem an-deren Verhalten veranlasst. Wenn sie ihre Arbeit gut macht, be-obachtet sie solche gefährlichen Entwicklungen ohnehin. Auch

    59) Zur bisherigen Regelung des Outsourcing Sethe (Fußn. 5), S. 633 ff m. w. N.;Fischer (Fußn. 29), § 128 Rz. 56 ff; zur Neuregelung Ketessidis, Outsourcing: NeueAnforderungen als Chance für Banken und Herausforderung für die Aufsicht,BaFinJournal 10/2007, S.11 ff; Spindler/Kasten, AG 2006, 785, 787 f.60) Bauer, in: Clouth/Lang, MiFID-Praktikerhandbuch, 2007, S. 309 ff; Zingel,Die Verpflichtung zur bestmöglichen Ausführung von Kundenaufträgen nachdem Finanzmarkt-Richtlinie-Umsetzungsgesetz, BKR 2007, 173.61) Dass die Regelung aber nicht nur dem Anlegerschutz dient, belegen Iseli/Wagner/Weber, Legal and economic aspects of best execution in the context ofthe Markets in Financial Instruments Directive (MiFID), Law and FinancialMarkets Review 1 (2007), Nr. 4, 31.62) Einzelheiten bei Sethe, Die Verschärfung des insiderrechtlichen Weiterga-beverbots, ZBB 2006, 243, 253.63) Zu Einzelheiten etwa Bachmann, Compliance … rechtliche Grundlagenund Risiken, Der Schweizer Treuhänder, 2007, 93, 95 ff; Forstmoser, Schweize-risches Gesellschaftsrecht, 10. Aufl., 2007, § 2 Rz. 38 ff.64) Umfassend zum derzeitigen Stand der Diskussion Kindler, Das Unterneh-men als haftender Täter (erscheint Anfang 2008).65) Zu Organisationspflichten, die aus strafrechtlichen Vorgaben folgen, vgl.stattdessen Sethe, ZBB 2006, 243, 253 ff m. w. N.66) Enhancing corporate governance for banking organisations, www.bis.org/publ/bcbs122.pdf (abgerufen am 15.11. 2007).67) Zu Einzelheiten Hafke, Anmerkungen zur Corporate Governance in der Kre-ditwirtschaft, in: Festschrift Hadding, 2004, S. 863; Kirschbaum, Die Entwicklungeines Public Corporate Governance Kodex für öffentliche Banken, BKR 2006,139; Mülbert, Bankenaufsicht und Corporate Governance … Neue Organisations-anforderungen im Finanzdienstleistungsbereich, BKR 2006, 349.

  • ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 431

    die Wiederholung zahlreicher zwingender gesetzlicher Vor-gaben im Corporate-Governance-Kodex erscheint zweifelhaft.Die Herstellung von Transparenz ist ein wichtiges Ziel, dochfehlt bislang ein Beleg für die Wirksamkeit des Kodex.68)

    Die Einführung der aufsichtsrechtlichen Organisationspflichtenverfolgt dagegen ein anderes Ziel, nämlich der BaFin die Kon-trolle der Organisation der Institute zu erlauben. Dieses Vor-gehen ist im Ansatz sinnvoll, setzt aber voraus, dass die Organi-sationspflichten die BaFin nicht zu starrem und schematischemDenken verleiten und einen unnötigen Bürokratieaufwand ver-ursachen. Entscheidend ist daher die tatsächliche Handhabung.Diese soll nach dem Einführungsschreiben zur MaRisk flexibelsein.69) Die Praxis kritisiert die BaFin jedoch gerade in diesemPunkt, weil sie eine buchstabengetreue Erfüllung fordere.70)

    Auch bei den aufsichtsrechtlichen Organisationspflichten isteine starke Ausweitung der gesetzlichen Regelung festzustel-len. Ihre gesetzliche Verankerung beruht auf dem Umstand,dass man vor dem Hintergrund der Heimatlandkontrolle unddes Europäischen Passes einheitliche Pflichtenstandards für In-stitute erlassen wollte. Man konnte daher die Festschreibungder Pflichten gerade nicht der Verwaltungspraxis der einzelnenAufsichtsbehörden überlassen. Zu welch unerfreulichen Er-gebnissen eine Überlassung an die Verwaltungspraxis führenkann, belegen gerade die negativen Erfahrungen mit der feh-lenden Harmonisierung der Wohlverhaltenspflichten unterder Wertpapierdienstleistungsrichtlinie.71) Auch wenn der Be-fund damit günstiger ausfällt als bei der Pflicht zur Beobach-tung bestandsgefährdender Entwicklungen, lassen sich auchhier Wiederholungen im Gesetz bzw. Pflichtendoppelungenausmachen. Zudem ist § 25a KWG wenig übersichtlich. Diestarke Ausweitung des Umfangs der Vorschriften zu Organisa-tionspflichten in der Neufassung von § 25a Abs.1 KWG und§ 33 Abs.1 WpHG bringt keine wesentliche Verschärfung derdeutschen Rechtslage mit sich, da die Vorgaben bereits vonder aufsichtsrechtlichen Praxis vorweggenommen worden wa-ren.72) Dies gilt auch für die allen Wertpapierdienstleistungs-unternehmen nun vorgeschriebene Einrichtung eines zentralenBeschwerdewesens. Hier stellt sich allerdings die Frage, warumder Gesetzgeber diese Vorgabe in § 33 WpHG und nicht in§ 25a KWG verankert hat, denn auch für Banken und Finanz-dienstleistungsinstitute wäre ein Beschwerdewesen sinnvoll.

    Die Bedeutung von § 25a KWG und § 33 WpHG reicht auchin andere Rechtsgebiete hinein. Zwar werden sie zu Rechtnicht als Schutzgesetze begriffen.73) Hieran hat auch ihre Neu-fassung nichts geändert.74) Sie dienen der besseren Beaufsichti-gung und kommen dem einzelnen Anleger daher nur mittel-bar zugute. Aus ihnen können sich allenfalls Verkehrssiche-rungspflichten ergeben. Im Rahmen der Innenhaftung kanndie Einhaltung von Organisationspflichten der Geschäftslei-tung als Beleg für eine sorgfältige Entscheidungsfindung imRahmen der business judgement rule und als Entlastungsbeweisim Haftungsfalle dienen.

    Weitreichender ist jedoch ihre Wirkung im Strafrecht. Wenndas Institut bestimmten Organisationspflichten unterliegt,kann aus diesen eine Garantenstellung abgeleitet werden (so-genannte Geschäftsherrenhaftung).75) Es besteht grundsätzlich

    keine allgemeine Pflicht, Straftaten Dritter zu verhindern.76)

    Wenn jedoch spezifische Organisationspflichten vorhandensind, die gerade auch ein solches Verhalten unterbinden sol-len, kommt eine Strafbarkeit zumindest in Form der Beihilfedurch Unterlassen in Betracht.77)

    Diskutiert wird auch die Frage, ob die speziellen bank- und ka-pitalmarktrechtlichen Organisationspflichten im Wege einerGesamtanalogie herangezogen werden können, um Unterneh-men oder Konzerne, die keine Institute sind, zur Errichtungeiner Compliance-Organisation zu verpflichten.78) Dies ist …wie an anderer Stelle bereits dargelegt wurde79) … abzulehnen.Entscheidend ist die Schutzrichtung der jeweiligen Organisa-tionspflicht. Da diese höchst unterschiedlich sind und siezum Teil nur auf bestimmte Branchen bezogen sind, musseine Gesamtanalogie ausscheiden. Die Pflicht zur Complian-ce-Organisation kann also nur, sofern sie nicht … wie bei Insti-tuten … spezialgesetzlich festgelegt ist, anders begründet wer-den.80) Auch wenn die Gesamtanalogie ausscheidet, ist nichtzu übersehen, dass das Aufsichtsrecht zumindest eine gewisseSchrittmacherfunktion für die Diskussion entsprechenderPflichten in anderen Rechtsgebieten entfaltet. Es ist daherwahrscheinlich, dass die detaillierten Vorgaben in § 25a KWGund § 33 WpHG auf das Gesellschaftsrecht ausstrahlen; mitCompliance81) und Outsourcing82) verfügen wir bereits über die

    68) Siehe Prigge/Offen, ZBB 2007, 89; Hüffer (Fußn. 10), § 161 Rz. 2, 4 m. w. N.69) Schreiben der BaFin v. 30. 10. 2007 … BA 17-K 3106…2007/0010: „Prinzi-pienorientierte Regulierung schafft Spielräume für alternative Umsetzungs-lösungen“, abrufbar unter: www.bafin.de/rundschreiben/87-2007/071030_ansch.htm (abgerufen am 15.11. 2007).70) Fischer (Fußn. 29), § 128 Rz. 52 a. E.71) Sethe (Fußn. 5), S. 474 ff.72) So auch Niedostadek, Risikomanagement nach MiFID, Der Risikomanager5/2007, 10, 13, 15; Spindler/Kasten, AG 2006, 785, 791.73) Sethe (Fußn. 5), S. 758 ff. Zur neueren Diskussion um die Schutzgesetzei-genschaft Schäfer, Sind die §§ 31 ff WpHG n. F. Schutzgesetze i. S. v. § 823Abs. 2 BGB?, WM 2007, 1872 m. w. N., der im Anschluss an BGH, Urt. v.19. 12. 2006 … XI ZR 56/05, ZIP 2007, 518, dazu EWiR 2007, 217 (Hanten/Hartig), eine restriktive Haltung bei der Zuerkennung dieser Eigenschaft ver-tritt.74) Kumpan/Hellgardt, DB 2006, 1714, 1716. Zweifelnd aber Spindler/Kasten,AG 2006, 785, 791.75) Vgl. dazu ausführlich Schröder, Kapitalmarktstrafrecht, 2006, Rz. 353 ff;Sethe, ZBB 2006, 243, 253 ff.76) Stree, in: Schönke/Schröder, StGB, 27. Aufl., 2006, § 13 Rz. 52; ebenso fürden Bereich der Geldwäsche Schröder/Textor, in: Fülbier/Aepfelbach/Langweg,GwG, 5. Aufl., 2006, § 261 StGB Rz. 57 ff.77) So im Ergebnis Vogel, in: Assmann/Schneider (Fußn. 1), § 38 Rz. 46. Imstrafrechtlichen Schrifttum ist umstritten, wie eine Teilnahme durch Unterlas-sen einzuordnen ist; zum Streitstand Cramer/Heine, in: Schönke/Schröder(Fußn. 76), Vorbem. § 25 Rz.101 ff.78) So vor allem Uwe H. Schneider, Compliance als Aufgabe der Unterneh-mensleitung, ZIP 2003, 645, 648 f; Sven H. Schneider, Informationspflichtenund Informationssystemeinrichtungspflichten im Aktienkonzern, 2006,S. 225 ff, 306.79) Sethe, ZBB 2006, 243, 254 f.80) Enger jetzt auch Uwe H. Schneider/Sven H. Schneider, Konzern-Complianceals Aufgabe der Konzernleitung, ZIP 2007, 2061, 2062, die die Pflicht aus§§ 76, 93 AktG ableiten. Die Gesamtanalogie findet keine Erwähnung mehr.In diese Richtung deutet auch die Kommentierung von Schwark (Fußn. 56),§ 33 WpHG Rz.13 a. E.81) Vgl. Uwe H. Schneider, ZIP 2003, 645, 648 f; Sven H. Schneider (Fußn. 78),S. 225 ff, 306; Sethe, ZBB 2006, 243, 254 f; Uwe H. Schneider/Sven H. Schneider,ZIP 2007, 2061, 2062; Schwark (Fußn. 56), § 33 WpHG Rz.13 a. E.82) Zur deshalb geführten Diskussion Fleischer, Zur Leitungsaufgabe des Vor-stands im Aktienrecht, ZIP 2003, 1; Preußner, Risikomanagement im Schnitt-punkt von Bankaufsichtsrecht und Gesellschaftsrecht … Zur Schrittmacherrolledes Aufsichtsrechts am Beispiel der Organisation des Risikomanagements inKreditinstituten, NZG 2004, 57.

  • 432 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

    ersten beiden Beispiele hierfür. Angesichts der Gefahr einer zu-nehmenden Bürokratisierung sei vor einer kritiklosen Übernah-me der aufsichtsrechtlichen Standards allerdings gewarnt.

    6.2 Wirksamkeit der Organisationspflichten

    Trotz der weitreichenden europäischen und nationalen Rege-lungen über organisatorische Vorkehrungen zum Schutze vorRisiken kommt es immer wieder zu gravierenden Schadensfäl-len, von denen im Folgenden vier näher betrachtet werden.Bezeichnend ist dabei, dass jeweils menschliches Fehlverhal-ten oder Versagen eine zentrale Rolle gespielt hat.

    Dr. Jürgen Schneider sanierte Gebäude in Top-Lagen deutscherGroßstädte.83) Seine riesigen Investitionen konnte er nurdurch Kreditaufnahmen finanzieren. Die Mieteinnahmenblieben deutlich hinter den Prognosen zurück. Dies lag an ei-ner zu optimistischen Markteinschätzung und an bewusstüberhöhten Flächenangaben. So „wuchs“ etwa bei dem Kreditfür den Neubau der Zeilgalerie in Frankfurt/M. die tatsäch-liche Nutzfläche von 9 000 Quadratmetern in den Unterlagenauf 22 000. Den Mitarbeitern der Deutschen Bank war dies imRahmen der Kreditprüfung nicht aufgefallen. Bei dem Bern-heimer Palais hatte Schneider zwei Stockwerke und damit eini-ge Tausend Quadratmeter mehr angegeben als vorhanden.Auch dies blieb unentdeckt. Schneiders Projekte erwiesen sichfast ausnahmslos als unrentabel. Nachdem sich der nach derdeutschen Wiedervereinigung überhitzte Immobilienmarktabkühlte, benötigte Schneider immer größere Kredite, um dieVerluste abzudecken. Die Großbanken handelten bei der Kre-ditvergabe grob fahrlässig. Schneider als Großkunde war überjeden Zweifel erhaben. Zudem befürchtete man sein Abwan-dern zur Konkurrenz. 1994 brach das Schneider-Imperium zu-sammen. Der Gesamtschaden betrug rund 2 Mrd. Euro. DerSchaden trat ein, obwohl es eine staatliche Beaufsichtigungdes Kreditgewerbes und insbesondere die Vorgabe des § 18KWG sowie die Verpflichtung zur Risikokontrolle gab.

    1995 brach die älteste britische Privatbank Barings zusam-men.84) Verursacht wurde der Zusammenbruch durch den De-visenhändler Nick Leeson. Dieser war 1992 zum General Mana-ger der Barings Securities Niederlassung in Singapur befördertworden. Er war sowohl für die Einstellung von Händlern alsauch für die Abwicklung und die Kontrolle der Handels-geschäfte verantwortlich. Die Barings Zentrale erlaubte dieseunübliche Konstruktion, weil sich das Geschäft der BaringsSecurities in Singapur ausschließlich auf die Abwicklung vonKundenaufträgen und das risikoarme Arbitragegeschäft be-schränkte. Ein zusätzlicher Kontrolleur wurde daher für unnö-tig und zu teuer gehalten. Nick Leeson begann 1993 unauto-risiert zu spekulieren. Seine Verluste verbuchte er auf einemgeheimen Konto, die (fiktiven) Gewinne erhielt die Bank. Diesermöglichte ihm, hohe Gewinne auszuweisen. So stieg er baldzum Startrader der Bank auf. Seine Position innerhalb von Ba-rings wurde unangreifbar, Kontrollen der Zentrale begegneteer mit Fälschungen und Ausreden. Die Verluste auf dem ver-borgenen Konto schwollen von 2 Mio. Pfund Ende 1993 auf23 Mio. Pfund Ende 1994 an. Leeson versuchte, die aufgelaufe-nen Verluste durch waghalsige Spekulationen auszugleichen.

    Nach dem Erdbeben von Kobe im Jahr 1995 erhöhte sich derFehlbetrag auf etwa 400 Mio. britische Pfund. Allein an die-sem Tag verlor er mehr als 55 Mio. Pfund. Leeson setzteschließlich alles auf eine Karte. Die Verluste stiegen innerhalbweniger Wochen dramatisch an und erreichten schließlich825 Mio. Pfund Sterling. Im Februar 1995 brach die BaringsBank zusammen. Faktisch wurde das grundlegende Bankprin-zip, das sogenannte „Vier-Augen-Prinzip“, ausgeschaltet. AlleEntscheidungen in einer Bank müssen gegengezeichnet wer-den, so dass eine wechselseitige Kontrolle vorhanden ist. DieAutobiographie von Nick Leeson85) offenbart, wie stark hiermenschliche Eitelkeiten eine Rolle spielten. Seine Vorgesetz-ten wollten nicht wahr haben, dass in ihrer Firma etwas schieflief, weil das ja auch die eigene Karriere negativ beeinflussenkonnte.

    ˜hnliche menschliche Schwächen lagen dem Zusammen-bruch der Sparkasse Mannheim im Jahre 1999 zugrunde.86)

    Hier entstand ein Schaden von einer halben Mrd. Euro. Endeder 80er Jahre entschied sich die Sparkasse, ermuntert vomVerwaltungsratsvorsitzenden, dem Mannheimer Oberbürger-meister, das Kreditgeschäft auszuweiten. Es sollten nicht mehrnur Kredite innerhalb des Gebietes des Gewährträgers („Regio-nalprinzip“) vergeben werden. Die Sparkasse geriet in der Fol-ge in erhebliche wirtschaftliche Schwierigkeiten, so dass sieden bis 1999 aufgelaufenen Verlust von 900 Mio. DM nichtmehr bewältigen konnte. Drei Vorstandsmitgliedern wurdevorgeworfen, in den Jahren 1993 bis 1995 in acht Fällenpflichtwidrig Kredite in Höhe von über 80 Mio. DM vergebenzu haben. Die tatsächlichen Vermögensverhältnisse des Kre-ditnehmers wurden nicht im Detail überprüft. Nachdem dieGremien der Sparkasse Ende 1995 beschlossen hatten, das auf82 Mio. DM angewachsene Kreditengagement nicht weiter zuerhöhen, kam es 1996 noch zu weiteren Kreditausreichungendurch ein Vorstandsmitglied, die zur Verschleierung über di-verse Konten abgewickelt wurden. Dabei fungierten anderePersonen zum Schein als Kreditnehmer („Satellitenfinanzie-rung“). In einem zweiten Tatkomplex wurde den Vorstands-mitgliedern vorgeworfen, in den Jahren 1994 und 1995 insechs Fällen pflichtwidrig Kredite in Höhe von ca. 40 Mio.DM ausgereicht zu haben. Es lag damit ein typisches „Hierar-chieproblem“ vor. Die Kreditabteilung wird sich auf die An-weisungen des Vorstands verlassen haben, denn wenn derChef etwas sagt, wird es schon richtig sein. In solchen Situatio-nen wirft man häufig alle Organisations- und Kontrollpflich-ten über Bord.

    Der vierte Bankenskandal betrifft die Bankgesellschaft Berlin,bei der ein Schaden von einer Milliarde Euro entstanden ist.Der Vorstand einer Tochtergesellschaft (Berliner Hypotheken-und Pfandbriefbank) hatte unter Außerachtlassung jeglicher

    83) Einzelheiten bei Frey, Die Akte Schneider, 1996; Frank/Thorn, Paläste,Pleiten, Peanuts … Der Banken-Skandal Schneider, 1996; Jürgen Schneider, Be-kenntnisse eines Baulöwen, 1999.84) Zhang, Barings Bankruptcy and Financial Derivatives, 1995.85) Nick Leeson, Das Milliarden-Spiel … Wie ich die Barings-Bank ruinierte,1995.86) Vgl. zum Folgenden die Sachverhaltsdarstellung bei BGH, Urt. v.15. 11. 2001 … 1 StR 185/01, BGHSt 47, 148 = ZIP 2002, 346, dazu EWiR2002, 307 (Marxen/Müller).

  • ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 433

    Sorgfalt Kredite vergeben. Auch dieser Bankenkrise lag einHierarchieproblem zugrunde.87)

    Die organisatorischen Regelungen verhindern also keineswegsmenschliches Fehlverhalten oder Versagen. Hieran wird auchder jüngst erfolgte weitere Ausbau der bank- und kapitalmarkt-rechtlichen Organisationspflichten nichts Grundlegendes än-dern. Im Folgenden soll daher der Frage nachgegangen wer-den, ob sich Anleihen bei der Luftfahrt und in der Medizinmachen lassen, die sich ebenfalls um eine Verbesserung der Si-cherheitsstandards bemühen und die sich seit langem auchder Vermeidung von menschlichem Fehlverhalten durch an-dere Maßnahmen als Organisationspflichten widmen.

    III. Reporting-Systeme1. Lehren aus der Luftfahrt1.1 FehlerquellenDie Luftfahrt bemüht sich seit Jahrzehnten um eine Verbes-serung der Sicherheitsstandards. Die Schulungen wurden in-tensiviert. Technische Verbesserungen haben das Fliegen inden letzten Jahrzehnten ständig sicherer gemacht. Flight- undVoice-Recorder helfen bei der Suche nach Ursachen von Flug-katastrophen. Dennoch kommt es immer wieder zu Unfällenoder Beinahekatastrophen. Eine Vielzahl von Schadensfällenberuht auf menschlichem Versagen. Die große Hoffnung derLuftfahrtindustrie bestand in der Einführung des Computers,der … gleichsam unfehlbar … den menschlichen Faktor ausschal-ten sollte. Die Hoffnung hat sich nicht erfüllt. Immer noch be-ruhen 75 % aller Schadensfälle auf menschlichem Versagen88)

    bzw. auf einer Kombination von technischem Versagen gefolgtvon menschlichem Fehlverhalten (z. B. Arbeitsbelastung, Kom-munikationsfehler, Ausbildungs- und Überwachungsprobleme,ungenügende Ressourcen, Teamarbeit).89) Zwar findet sich eineVielzahl von Sicherheitsbarrieren (in der nachfolgenden Grafikals Käsescheiben dargestellt). Diese von Menschen entworfenenVorkehrungen sind ihrerseits nie perfekt, so dass die Barrierenkleine (oft unerkannte) Sicherheitslöcher aufweisen. Zudemmüssen Menschen die Sicherheitstechnik auch anwenden. Inunglücklichen Konstellationen kann es nun zu einer Kumulati-on von Fehlern und damit dem Versagen der Sicherheitsbarrie-ren kommen. Um im Bild zu bleiben: Wenn sich mehrere Käse-scheiben so übereinander schieben, dass die Sicherheitslöcherin einer Reihe stehen, kann sich ein Risiko zu einem uner-wünschten Zwischenfall (critical incident) verwirklichen. Gehtdieser mit einem Schaden einher und liegt Verschulden vor,handelt es sich gar um einen Haftungsfall.

    Man kann auf jeden Fall feststellen, dass sich die Anstrengun-gen in der Luftfahrt lohnen, denn die Zahl der Unfälle ist imVergleich zur gestiegenen Kilometerleistung und Passagierzahlgesunken und im Ergebnis sehr gering. Höher fällt schon dieZahl der Beinahekatastrophen aus. Was wir nicht wissen, ist,wie hoch die Zahl von Zwischenfällen ist, die verheimlichtwerden.

    1.2 Verheimlichen von Fehlern

    Der Grund, warum unerwünschte Zwischenfälle verheimlichtwerden, liegt in der menschlichen Natur. Wer Fehler begeht,wendet sich nicht freudestrahlend an seinen Chef, gibt denFehler zu und macht einen Verbesserungsvorschlag. Denn dieReaktion des Chefs auf ein solches Vorgehen fällt in der Praxisregelmäßig nicht positiv aus. Er lobt nicht den Verbesserungs-vorschlag, sondern rügt das Fehlverhalten („Wie konnte esüberhaupt zu dem Fehler kommen?“). Dies beruht nicht zu-letzt auf dem Umstand, dass es nur menschlich ist, wenn einVorgesetzter „Dampf ablässt“, den „schuldigen“ Mitarbeiterausschimpft und den Fehler nicht einer abstrakten Institutionzuschreibt.90) Die Angst vor Zurechtweisung verhindert dieAuswertung des Zwischenfalls. Noch deutlicher wird dies,wenn sich ein Fehler wiederholt. Obwohl die Wiederholungein Alarmzeichen dafür sein müsste, dass die internen Abläufegrundlegend verbessert werden müssen, wird erst recht keinMitarbeiter zu seinem Vorgesetzten gehen und die Wieder-holung des Fehlers melden.

    Es fehlt uns daher vielfach an einem angemessenen Umgangmit Fehlern, an einer „Fehlerkultur“ oder einem „Fehlermana-gement“.91) Wenn der Vorgesetzte von Zwischenfällen nichtserfährt, kann er diese auch nicht auswerten, um Verbesserun-gen vorzunehmen. Man kann aus den gemachten Fehlernnichts lernen. Der alte Satz „Aus Schaden wird man klug“ giltvor allem für das Individuum, das aus seinen Erfahrungenlernt. Arbeitsteilige Organisationen können aus Fehlern nurlernen, wenn sie nicht auf individueller Ebene verbleiben, son-dern gleichsam in das Bewusstsein der Organisation gehobenwerden. Während Katastrophen und Beinahekatastrophenaufgrund des Grades der Aufmerksamkeit, den sie erhalten, re-gelmäßig von der ganzen Organisation zur Kenntnis genom-men werden, gilt dies naturgemäß nicht für verheimlichte Zwi-schenfälle.

    Bildlich gesprochen haben wir es hier mit einem Eisberg zutun. Oberhalb der Wasseroberfläche findet sich das eine Sieb-tel, in dem Schadensfälle und Beinahekatastrophen erkanntund gemeldet werden. Unter der Wasseroberfläche schlum-mern sechs Siebtel an Zwischenfällen, die wir nicht auswertenkönnen, an denen wir aber dringend interessiert sind, um ef-

    Grafik nach Reason, Human error: models and management, British MedicalJournal (BMJ) 320 (2000), 768, 769.

    87) Einzelheiten bei Rose, Eine ehrenwerte Gesellschaft … Die BankgesellschaftBerlin, 2003.88) Müller, Safety lessons taken from the airlines, British Journal of Surgery 91(2004), 393.89) Kaufmann/Staender/v. Below/Brunner/Portenier/Schneidegger, Computerba-siertes anonymes Critical Incident Reporting: ein Beitrag zur Patientensicher-heit, Schweizerische ˜rztezeitung 2002, 2554 m. w. N.90) Reason, British Medical Journal (BMJ) 320 (2000), 768.91) Grundlegend dazu Reason, British Medical Journal (BMJ) 320 (2000), 768.

  • 434 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

    fektive Maßnahmen zur Vermeidung von Zwischenfällen er-greifen zu können.

    1.3 Reaktion der Flugindustrie

    In der Flugindustrie hat man sich schon frühzeitig auf Fehler-analysen und Reporting-Systeme konzentriert. Eine erste sys-tematische Fehleranalyse findet sich bereits 1947.92) 1954 folgteeine Analyse von critical incidents durch Flanagan,93) in der erpsychologische Studien der amerikanischen Luftwaffe ausdem Zweiten Weltkrieg auswertete. Später wurde diese Metho-de auch in der zivilen Luftfahrt angewandt, um Sicherheits-probleme aufzudecken, und mündete schließlich in das 1975errichtete Aviation Safety Reporting System (ASRS). Es handeltsich um ein anonymes, sanktionsfreies Reporting-System, indas unerwünschte Zwischenfälle eingegeben werden können.Die Daten werden systematisch ausgewertet und tragen erheb-lich zur Verbesserung der Flugsicherheit bei. An das System(http://asrs.arc.nasa.gov/main.htm) sind bis heute mehr als400 000 Zwischenfälle gemeldet worden.94) Großbritannienfolgte diesem Modell mit dem Confidential Human FactorsIncident Reporting Programme … CHIRP (www.chirp.co.uk).

    Welch positive Erfahrungen mit einem solchen Reporting-Sys-tem gemacht werden können, wurde von einem mit Luft-sicherheit befassten Redner auf einer Tagung anhand des fol-genden, recht skurrilen Beispiels aufgezeigt:95) Ein Kampfjetpi-lot flog mit einer Beobachtungsmission bei Nacht über dieNordsee. Da die Mission langweilig und der Pilot neugierigwar, vertrieb er sich die Zeit damit herauszufinden, wie einesseiner Instrumente funktioniert. Zu diesem Zwecke hat er dasCockpit aufgeschraubt, um dieses Instrument auszubauen.Dies verursachte in der Bordelektronik einen Kurzschluss.Sein gesamtes Instrumentenbrett wurde schlagartig dunkelund der Pilot war bei Überschallgeschwindigkeit ohne Orien-tierung. Seine einzige Rettung bestand im Einschalten derNotstromversorgung durch Druck auf den entsprechendenSchalter, der links vom Pilotensitz angebracht war. Fatalerwei-se befand sich auch der Auslöser für den Schleudersitz links amSitz. Die Chancen des Piloten, den richtigen Schalter zu drü-cken, lagen also bei 50:50. Zum Glück hat er den richtigenKnopf getroffen und konnte mittels Notstromsystems sicher zu-rückkehren. Dieser Zwischenfall war so karriereschädlich, dasser um jeden Preis verheimlicht werden musste. Dass wir heutevon ihm wissen, verdanken wir einem Reporting-System, in dasder Pilot anonym den Vorfall eingeben konnte. Seitdem sinddie Schalter für Notstrom und Schleudersitz auf verschiedenenSeiten des Sitzes angebracht. Ohne ein solches System hätte eserst eines Unfalls bedurft, um diesen Fehler aufzudecken.

    2. Lehren aus der Medizin

    2.1 Die Diskussion um die Notwendigkeit einesUmdenkens

    Bei der Fehlerprävention in der Medizin lässt sich sicherlicheine Vielzahl von Wegen erfolgreich beschreiten.96) Vielfachanalysiert man bereits eingetretene Schadensfälle, indem manUrteile auswertet97) oder die bei Gutachter- und Schlichtungs-stellen eingehenden Fälle untersucht.98) Mit diesem Vorgehen

    erfasst man jedoch nur die Bereiche oberhalb der Wasserlinie.Will man auch die verborgenen Bereiche für die Prävention nut-zen, muss man Mitarbeitern die Möglichkeit geben, ohne Na-mensnennung und ohne die Furcht vor Sanktionen über einenZwischenfall berichten zu können. Mit einem solchen Berichts-system (auch als Reporting system On Latent Faults … ROLF … oderals Critical Incident Reporting System … CIRS … bezeichnet), ließensich auch Informationen über die Bereiche des Eisbergs erlan-gen, die unter der Wasseroberfläche verborgen sind.

    Das Recht konzentriert sich in Haftungsfällen bisher auf denAusgleich schon eingetretener Schäden, auf Strafverfolgungund Entlassung der Schadensverursacher. Gerade durch diedrohenden Sanktionen wird der Anreiz gesetzt, Schadensfällezu verheimlichen. Dies wiederum trägt dazu bei, dass sich kri-tische Zwischenfälle wiederholen können. Diesen Kreislaufgilt es zu durchbrechen. Erforderlich ist daher auch ein Um-denken für Juris