Transcript
Page 1: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

University of ZurichZurich Open Repository and Archive

Winterthurerstr. 190

CH-8057 Zurich

http://www.zora.uzh.ch

Year: 2007

Erweiterung der bank- und kapitalmarktrechtlichenOrganisationspflichten um Reporting-Systeme

Sethe, R

Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme.Zeitschrift für Bankrecht und Bankwirtschaft, 19(6):421-437.Postprint available at:http://www.zora.uzh.ch

Posted at the Zurich Open Repository and Archive, University of Zurich.http://www.zora.uzh.ch

Originally published at:Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437.

Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme.Zeitschrift für Bankrecht und Bankwirtschaft, 19(6):421-437.Postprint available at:http://www.zora.uzh.ch

Posted at the Zurich Open Repository and Archive, University of Zurich.http://www.zora.uzh.ch

Originally published at:Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437.

Page 2: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

19. Jahrgang Heft 6 15. Dezember 2007, S. 421…516

Aufsätze

Rolf Sethe*)

Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten umReporting-Systeme**)

Der Beitrag untersucht, wie schadensanfällige Prozesse beherrsch-barer gemacht werden können. Die Rechtsordnung reagiert zuneh-mend mit dem Erlass und weiteren Ausbau von Organisations-pflichten. Diese werden am Beispiel der Kredit- und Finanzdienst-leistungsinstitute dargestellt. Anschließend geht der Verfasser derFrage nach, ob die aus dem Bereich der Flugindustrie und Medizinbekannten Reporting-Systeme, die ein anonymes Whistleblowing er-lauben, eine sinnvolle Ergänzung zur Schadensverhütung auch imBank- und Kapitalmarktrecht sein können.

Inhaltsübersicht

I. Einleitung

II. Rechtliche Vorgaben für komplexe und schadens-anfällige Prozesse im Bank- und Kapitalmarktrecht1. Gesellschaftsrechtliche Organisationspflichten

1.1 Pflicht zur sorgfältigen Geschäftsführung1.2 Pflicht zur Beobachtung bestandsgefährdender

Entwicklungen1.3 Pflichten aus dem Corporate Governance Kodex

2. Staatliche Beaufsichtigung3. Besondere Organisationspflichten für Kredit- und

Finanzdienstleistungsinstitute3.1 Inhalt des Geschäftsplans3.2 Risikomanagement- und Risikocontrollingsystem

3.2.1 Festlegung angemessener Strategien3.2.2 Interne Kontrollverfahren

3.3 Personelle und technische Ausstattung3.4 Notfallkonzept3.5 Ausgestaltung und Überprüfung des Risiko-

managements3.6 Überwachung der finanziellen Lage3.7 Aufnahme aller Geschäftsvorfälle3.8 Sicherungssysteme gegen Geldwäsche und

Betrug4. Sonderregelungen für Wertpapierdienstleistungs-

unternehmen4.1 Überblick4.2 Compliance-Organisation4.3 Kontinuität und Regelmäßigkeit der Wertpapier-

dienstleistungen4.4 Vermeidung von Interessenkonflikten4.5 Beschwerdewesen4.6 Berichte der Compliance-Stelle4.7 Überprüfung der Maßnahmen4.8 Outsourcing4.9 Weitere Organisationspflichten

5. Corporate Governance für Banken6. Beurteilung der ergriffenen Maßnahmen

6.1 Zweck und Reichweite der Regulierung6.2 Wirksamkeit der Organisationspflichten

III. Reporting-Systeme1. Lehren aus der Luftfahrt

1.1 Fehlerquellen1.2 Verheimlichen von Fehlern1.3 Reaktion der Flugindustrie

2. Lehren aus der Medizin2.1 Die Diskussion um die Notwendigkeit eines

Umdenkens2.2 Die Entwicklung von Reporting-Systemen im

Bereich der Medizin3. Die Vor- und Nachteile von Reporting-Systemen

*) Dr. jur., LL.M. (London), Universitätsprofessor an der Univer-sität Halle-Wittenberg.**) Gekürzte und um Fußnoten ergänzte Fassung der am10. 6. 2004 gehaltenen Antrittsvorlesung an der Martin-Luther-Universität Halle-Wittenberg. Da die MiFID die Organisations-pflichten stark ausgeweitet hat, wurde ihre Umsetzung in das deut-sche Recht abgewartet. Der Beitrag befindet sich auf dem Stand15. 11. 2007.

Page 3: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

422 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

4. Juristische Aspekte von Reporting-Systemen4.1 Unabhängigkeit der Systembetreuer4.2 Gewährleistung technischer Anonymität4.3 Prozessuale Verwertung

IV. Ergebnisse

I. Einleitung

Das Bank- und Kapitalmarktrecht gehört heute zu den sicham raschesten wandelnden Rechtsgebieten. Eine sehr aktiveund Rechtsfortbildungen nicht abgeneigte Rechtsprechungbaut den Anlegerschutz stetig aus.1) Die hohe Taktfrequenzdes europäischen Gesetzgebers zwingt die nationalen Gesetz-geber zu fortdauernden Reformen des Aufsichtsrechts. Dabeiist zu beobachten, dass die EU und der deutsche Gesetzgeberals Reaktion auf komplexe und schadensanfällige Prozesse ver-mehrt Organisationspflichten2) vorschreiben. Es wird dahervon einer zunehmenden „Verrechtlichung von Organisations-anforderungen“ gesprochen.3) Das Stichwort „Compliance“ istin aller Munde.4) Das Haftungsrecht, dessen präventive Funk-tion außer Zweifel steht, entfaltet hier zwar eine wichtigeSteuerungsfunktion. Sie wird vom Gesetzgeber aber zu Rechtnicht als einziges Mittel der Prävention angesehen, denn dieex post eintretende Haftung wirkt regelmäßig nur mittelbar.

Besonders augenfällig wird der Ausbau der Organisations-pflichten, wenn man sich die MiFID5) und die zu ihr ergange-ne Durchführungsrichtlinie (im Folgenden DRL)6) anschaut.Sie weiten die organisatorischen Vorgaben im Bereich derWertpapierdienstleistungen nochmals stark aus. Beide Richt-linien sind soeben durch das Finanzrichtlinie-Umsetzungs-gesetz (FRUG)7) in deutsches Recht überführt worden.

Allerdings belegen die Erfahrungen, dass rechtliche Vorgabenallein nicht ausreichen, um Schädigungen von Kunden undZusammenbrüche von Instituten völlig auszuschließen.8)

Wenn größere Schadensfälle auftreten, ist immer wieder der„menschliche Faktor“ eine, wenn nicht gar die Hauptursache.Eine ähnlich risikoreiche Ausgangslage findet sich in der Flug-industrie und in der Medizin, in denen eine sehr gefahren-trächtige Leistung angeboten wird. Man verfügt deshalb beider Vorsorge gegen Schadensfälle über eine lange Erfahrung.Dabei bedient man sich sogenannter anonymer Reporting-Systeme. Der Beitrag untersucht die Frage, ob und unter wel-chen Bedingungen sich diese Vorsorgetechnik auf das Bank-und Kapitalmarktrecht übertragen lässt.

Mit diesem Untersuchungsziel ist auch schon das weitere Vor-gehen vorgezeichnet. In einem ersten Schritt wird der Statusquo der bank- und kapitalmarktrechtlichen Organisations-pflichten beschrieben. Faktisch muss man dabei auch das Ka-pitalgesellschaftsrecht einbeziehen, denn die meisten Institutesind als Kapitalgesellschaften organisiert. Dabei kann es nichtdarum gehen, jedes Detail zu erörtern. Im Mittelpunkt sollendaher Pflichten stehen, die sich auf das Risikomanagement be-ziehen (II). Anschließend werden die Reporting-Systeme dar-gestellt, und es wird untersucht, welche gesetzgeberischenMaßnahmen notwendig sind, um ihnen zu einem noch brei-teren Einsatzgebiet zu verhelfen (III).

II. Rechtliche Vorgaben für komplexe und schadens-anfällige Prozesse im Bank- und Kapitalmarktrecht

1. Allgemeine gesellschaftsrechtliche Organisations-pflichten

1.1 Pflicht zur sorgfältigen Geschäftsführung

Regelmäßig werden Gesellschaften vor komplexe Entschei-dungen und Überwachungsvorgänge gestellt. Es ist dahernicht verwunderlich, dass wir gerade im Gesellschaftsrecht Or-ganisationspflichten finden, die … je nach Rechtsform, Größeund Struktur des Unternehmens … unterschiedlich intensivausgestaltet sind. So hat die Rechtsprechung festgestellt, dasses zur Sorgfaltspflicht der Geschäftsführung von Unterneh-men gehört, die wirtschaftliche Entwicklung der Gesellschaftlaufend zu beobachten und den Betrieb entsprechend zu orga-nisieren.9) Damit trifft die Geschäftsführung eine Organisa-tionspflicht in Gestalt einer Beobachtungspflicht.

1) Beispielhaft erwähnt sei nur die jüngste Rechtsprechung zu fehlerhaftenAd-hoc-Mitteilungen, vgl. BGH, Urt. v. 19. 7. 2004 … II ZR 402/02, ZIP 2004,1593 = WM 2004, 1721, dazu EWiR 2004, 961 (Lenenbach); BGH, Urt. v.19. 7. 2004 … II ZR 217/03, WM 2004, 1726; BGH, Urt. v. 19. 7. 2004 … II ZR218/03, ZIP 2004, 1599 = WM 2004, 1731; BGH, Urt. v. 4. 6. 2007 … II ZR147/05, ZIP 2007, 1560 = WM 2007, 1557; BGH, Urt. v. 4. 6. 2007 … II ZR173/05, ZIP 2007, 1564 = WM 2007, 1560; dazu statt vieler Möllers/Leisch, in:Kölner Komm. zum WpHG, 2007, §§ 37b, c Rz. 398 ff; Sethe, in: Assmann/Schneider, WpHG, 4. Aufl., 2006, §§ 37b, 37c Rz.102 ff.2) Aus verschiedenen Blickwinkeln ist dieses Thema in den letzten Jahren mo-nographisch untersucht worden, vgl. Bosch, Organisationsverschulden in Un-ternehmen, 2002; Fischbach, Organisationspflichten von Wertpapierdienstleis-tungsunternehmen nach § 33 Abs. 1 Nr. 1 WpHG, 2000; Matusche-Beckmann,Das Organisationsverschulden, 2001; Spindler, Unternehmensorganisations-pflichten, 2001.3) Spindler (Fußn. 2), S. 186 ff; Spindler/Kasten, Organisationspflichten nachder MiFID und ihre Umsetzung, AG 2006, 785.4) Vgl. aus der jüngeren Diskussion etwa nur die sehr anschaulichen Vorträgevon Bachmann und Hauschka auf der Tagung der Gesellschaftsrechtlichen Ver-einigung am 9.11. 2007 (Tagungsband im Erscheinen) sowie Eisele, in:Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 3. Aufl., 2007, § 109Rz.1 ff.5) Richtlinie 2004/39/EG des Europäischen Parlaments und des Rates vom21. 4. 2004 über Märkte für Finanzinstrumente, zur ˜nderung der Richtlinien85/611/EWG und 93/6/EWG des Rates und der Richtlinie 2000/12/EG desEuropäischen Parlaments und des Rates und zur Aufhebung der Richtlinie93/22/EWG des Rates (Markets in Financial Instruments Directive … MiFID),ABl L 145/1, ber. ABl 2005 L 45/18, geändert durch die Richtlinie2006/31/EG des Europäischen Parlaments und des Rates vom 5. 4. 2006 zur˜nderung der Richtlinie 2004/39/EG über Märkte für Finanzinstrumente inBezug auf bestimmte Fristen, ABl L 114/60. Vgl. hierzu eingehend Balzer, DerVorschlag der EG-Kommission für eine neue Wertpapierdienstleistungsricht-linie, ZBB 2003, 177; Fleischer, Die Richtlinie über Märkte für Finanzinstru-mente und das Finanzmarkt-Richtlinie-Umsetzungsgesetz … Entstehung,Grundkonzeption, Regelungsschwerpunkte …, BKR 2006, 389; Sethe, Anleger-schutz im Recht der Vermögensverwaltung, 2005, S. 477 ff.6) Richtlinie 2006/73/EG der Kommission vom 10. 8. 2006 zur Durchfüh-rung der Richtlinie 2004/39/EG des Europäischen Parlaments und des Ratesin Bezug auf die organisatorischen Anforderungen an Wertpapierfirmen unddie Bedingungen für die Ausübung ihrer Tätigkeit sowie in Bezug auf die De-finition bestimmter Begriffe für die Zwecke der genannten Richtlinie (MiFID-Durchführungsrichtlinie … DRL), ABl L 241/26.7) Gesetz zur Umsetzung der Richtlinie über Märkte für Finanzinstrumenteund der Durchführungsrichtlinie der Kommission (Finanzmarktrichtlinie-Um-setzungsgesetz … FRUG) vom 16. 7. 2007, BGBl I, 1330. Dazu Spindler/Kasten,Der neue Rechtsrahmen für den Finanzdienstleistungssektor … die MiFID undihre Umsetzung, WM 2006, 1749 (Teil I), 1797 (Teil II); dies., ˜nderungen desWpHG durch das Finanzmarktrichtlinie-Umsetzungsgesetz (FRUG), WM2007, 1245.8) Sethe, in: Assmann/Schütze, Handbuch des Kapitalanlagerechts, 3. Aufl.,2007, § 25 Rz. 2 m. w. N.9) BGH, Urt. v. 20. 2. 1995 … II ZR 9/94, ZIP 1995, 560, dazu EWiR 1995, 785(Wittkowski) … zur GmbH.

Page 4: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 423

1.2 Pflicht zur Beobachtung bestandsgefährdenderEntwicklungen

Im Bereich des Aktienrechts hat man diese Pflicht 1998 sogarausdrücklich gesetzlich verankert.10) § 91 Abs. 2 AktG ver-pflichtet den Vorstand, geeignete Maßnahmen zu treffen, ins-besondere ein Überwachungssystem einzurichten, damit denFortbestand der Gesellschaft gefährdende Entwicklungen früherkannt werden. Nach Ansicht des Gesetzgebers soll damitverdeutlicht werden, dass der Vorstand im Rahmen der all-gemeinen Leitungsaufgabe für ein angemessenes Risikomana-gement und für eine angemessene interne Revision zu sorgenhat. Die konkrete Ausformung der Pflicht ist von der Größe,Branche, Struktur, dem Kapitalmarktzugang usw. des jeweili-gen Unternehmens abhängig.11) Zu den den Fortbestand derGesellschaft gefährdenden Entwicklungen gehören insbeson-dere risikobehaftete Geschäfte, Unrichtigkeiten der Rech-nungslegung und Verstöße gegen gesetzliche Vorschriften, diesich auf die Vermögens-, Finanz- und Ertragslage der Gesell-schaft oder des Konzerns wesentlich auswirken. Durch eine in-terne Überwachung sollen solche Entwicklungen frühzeitig er-kannt werden, damit noch rechtzeitig geeignete Maßnahmenzur Sicherung des Fortbestandes der Gesellschaft ergriffen wer-den können. Die Einhaltung der Pflicht ist bei börsennotier-ten Aktiengesellschaften durch den Abschlussprüfer zu über-wachen (§ 317 Abs. 4 HGB). Auf eine parallele Regelung imGmbH-Gesetz verzichtete der Gesetzgeber. Er ging davon aus,dass für diese je nach ihrer Größe und Komplexität ihrerStruktur nichts anderes gelte und die Neuregelung im Aktien-gesetz auch Ausstrahlungswirkung auf den Pflichtenrahmender Geschäftsführer der GmbH habe. Da die meisten großenBanken als Kapitalgesellschaften organisiert sind, werden sievon dieser Pflicht erfasst. Sie müssen folglich über ein Con-trollingsystem und eine Innenrevision verfügen.

1.3 Pflichten aus dem Corporate Governance Kodex

Die von der Bundesministerin für Justiz im September 2001hierfür eingesetzte Regierungskommission hat am 26. Februar2002 den deutschen Corporate Governance Kodex für börsen-notierte Gesellschaften verabschiedet.12) Börsennotierte Gesell-schaften müssen nach § 161 AktG13) eine sogenannte Entspre-chenserklärung abgeben, also transparent machen, ob und in-wieweit sie den Vorgaben des Kodex folgen. Mit dem Kodexsollen die in Deutschland geltenden Regeln für Unterneh-mensleitung und -überwachung für nationale wie internationa-le Investoren transparent gemacht werden. Dies dient dazu,das Vertrauen in die Unternehmensführung deutscher Gesell-schaften zu stärken. Ob mit dem Kodex dieses Ziel erreichtwird bzw. überhaupt erreicht werden kann, ist fraglich,14) mussan dieser Stelle aber offen bleiben. Die hier interessierendenOrganisationspflichten zum Risikomanagement15) sind an vierStellen im Kodex angesprochen:

l Nach 3.4 muss der Vorstand den Aufsichtsrat regelmäßig,zeitnah und umfassend über alle für das Unternehmen re-levanten Fragen der Planung, der Geschäftsentwicklung,der Risikolage und des Risikomanagements informieren.Er muss auf Abweichungen des Geschäftsverlaufs von den

aufgestellten Plänen und Zielen unter Angabe von Grün-den eingehen.16)

l Nach 4.1.4 sorgt der Vorstand für ein angemessenes Risiko-management und Risikocontrolling im Unternehmen. Da-mit wiederholt der Kodex die Vorgabe in § 91 Abs. 2AktG,17) geht aber insofern über diesen hinaus, als auchandere, nicht bestandsgefährdende Entwicklungen zu be-obachten sind.18)

l Nach 5.2 soll der Aufsichtsratsvorsitzende mit dem Vor-stand, insbesondere mit dem Vorsitzenden bzw. Sprecherdes Vorstands, regelmäßig Kontakt halten und mit ihmdie Strategie, die Geschäftsentwicklung und das Risikoma-nagement des Unternehmens beraten. Der Aufsichtsrats-vorsitzende wird über wichtige Ereignisse, die für die Beur-teilung der Lage und Entwicklung sowie für die Leitungdes Unternehmens von wesentlicher Bedeutung sind, un-verzüglich durch den Vorsitzenden bzw. Sprecher des Vor-stands informiert. Der Aufsichtsratsvorsitzende soll so-dann den Aufsichtsrat unterrichten und erforderlichenfallseine außerordentliche Aufsichtsratssitzung einberufen.19)

l Nach 5.3.2 soll der Aufsichtsrat einen Prüfungsausschuss(audit committee) einrichten, der sich insbesondere mit Fra-gen der Rechnungslegung und des Risikomanagements,der erforderlichen Unabhängigkeit des Abschlussprüfers,der Erteilung des Prüfungsauftrags an den Abschlussprüfer,der Bestimmung von Prüfungsschwerpunkten und der Ho-norarvereinbarung befasst.20)

Der Kodex wiederholt und präzisiert damit die gesetzlichenPflichten, denen die Verwaltung einer börsennotierten Gesell-schaft bereits nach dem Aktiengesetz unterliegt. Sein darüber

10) Eingeführt durch Art. 1 Nr. 9 des Gesetzes zur Kontrolle und Transparenzim Unternehmensbereich (KonTraG) v. 27. 4. 1998, BGBl I, 786. Zur Kritik ander Einführung dieser als überflüssig empfundenen Bestimmung vgl. etwaDAV Handelsrechtsausschuss, Referentenentwurf zur ˜nderung des Aktiengeset-zes („KonTraG“), ZIP 1997, 163, 165 f; Hüffer, AktG, 7. Aufl., 2006, § 91 Rz. 5;Lutter, Stellungnahme zur Aktienrechtsreform 1997, AG 1997, Sonderheft,S. 52, 54; Mertens, Aufsichtsrat und Organhaftung, AG 1997, Sonderheft,S. 70 f.11) Hierzu und zum Folgenden RegE KonTraG, BT-Drucks. 13/9712, S.15.12) Corporate Governance Kodex in der aktuellen am 14. 6. 2007 beschlosse-nen Fassung abrufbar unter: http://corporate-governance-codex.de. Zu dessenEntstehungsgeschichte Hornberg, Die Regelungen zur Beaufsichtigung der Ge-schäftsführung im deutschen und britischen Corporate Governance Kodex,2006, S. 63 ff.13) Eingefügt durch Art. 1 Nr. 16 des Gesetzes zur weiteren Reform des Ak-tien- und Bilanzrechts, zu Transparenz und Publizität (Transparenz- und Pu-blizitätsgesetz … TransPuG) v. 19. 7. 2002, BGBl I, 2681.14) Vgl. etwa die Untersuchung von Prigge/Offen, Über den Nutzen von Cor-porate-Governance-Ratings für Aktionäre, ZBB 2007, 89; Kritik auch beiHüffer (Fußn. 10), § 161 Rz. 2, 4 m. w. N.15) Weiterführend dazu Preußner, Deutscher Corporate Governance Kodexund Risikomanagement, NZG 2004, 303.16) Lutter, in: Ringleb/Kremer/Lutter/v. Werder (Hrsg.), Deutscher CorporateGovernance Kodex, 3. Aufl., 2008, Rz. 381, Peltzer, Deutsche Corporate Go-vernance, 2. Aufl., 2004, Rz. 53, MünchKomm-Semler, AktG, 2. Aufl., 2003,§ 161 Rz. 326, gehen davon aus, dass dieser Bestimmung nur klarstellenderCharakter zukommt. Es entspreche der Sorgfaltspflicht von Vorstand undAufsichtsrat, die Berichterstattung dahin auszuweiten.17) So Peltzer (Fußn. 16), Rz. 63; MünchKomm-Semler (Fußn.16), § 161Rz. 364.18) Ringleb, in: Ringleb/Kremer/Lutter/v. Werder (Fußn.16), Rz. 646.19) Ausführlich Hornberg (Fußn.12), S. 197; Kremer, in: Ringleb/Kremer/Lutter/v. Werder (Fußn. 16), Rz. 970 ff; Peltzer (Fußn.16), Rz. 266 ff.20) Dazu und zur Kritik der Praxis an dieser Vorgabe Hornberg (Fußn.12),S. 228 ff; Peltzer (Fußn.16), Rz. 226 ff.

Page 5: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

424 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

hinaus gehendes Ziel ist die Herstellung von Transparenz ge-genüber den Anlegern und dem Kapitalmarkt.

2. Staatliche Beaufsichtigung

Eine wesentliche Sicherungsmaßnahme und damit einenwichtigen Baustein im Gesamtkomplex des Risikomanage-ments stellt die staatliche Beaufsichtigung dar. Um eine Bankoder ein Finanzdienstleistungsinstitut zu gründen, benötigendie Eigner eine staatliche Genehmigung der Bundesanstalt fürFinanzdienstleistungsaufsicht (BaFin). Der Gesetzgeber be-dient sich damit der Rechtsfigur eines Verbots mit Erlaubnis-vorbehalt (§ 32 i. V. m. § 1 Abs.1, 1a KWG).21) Institute dür-fen nur gegründet werden, wenn sie die in § 33 KWG nieder-gelegten Voraussetzungen erfüllen. Sie müssen insbesondereüber ein ausreichendes Eigenkapital verfügen (vgl. § 33 Abs.1Satz 1 Nr.1 KWG).22) Personen, die an einem Institut eine we-sentliche Beteiligung halten oder die ein Institut leiten wollen,müssen persönlich zuverlässig sein (§ 33 Abs.1 Satz 1 Nr. 2, 3KWG). Die Geschäftsleiter müssen zudem fachlich geeignetsein (§ 33 Abs.1 Satz 1 Nr. 4 KWG), also die notwendigentheoretischen und praktischen Kenntnisse mitbringen undüber Leitungserfahrung verfügen.23)

Bereits zugelassene Institute unterliegen einer laufenden Über-wachung durch die BaFin. Um dieser eine Überprüfung zu er-möglichen, verpflichtet das Aufsichtsrecht die Institute zurEinhaltung zahlreicher Anzeige-, Aufzeichnungs- und Auf-bewahrungspflichten (z. B. §§ 24 ff KWG, § 34 WpHG). Zu-dem werden sie einmal jährlich von einem Wirtschaftsprüfergeprüft, der die Einhaltung der Pflichten nach dem Kreditwe-sengesetz und dem Wertpapierhandelsgesetz überprüft (ins-besondere §§ 26 ff KWG, § 36 WpHG).

3. Besondere Organisationspflichten für Kredit- undFinanzdienstleistungsinstitute

Zudem muss ein Institut die erforderlichen organisatorischenVorkehrungen erfüllen, die für einen ordnungsgemäßen Ge-schäftsbetrieb in dem beantragten Umfang bestehen (§ 33Abs.1 Satz 1 Nr. 7 KWG). Die Pflichten sind in § 25a Abs.1KWG niedergelegt, dessen jüngste ˜nderung durch das Fi-nanzmarktrichtlinie-Umsetzungsgesetz der Umsetzung vonArt.13 Abs. 2 und 5 Unterabs. 2 und Abs. 6 MiFID undArt. 5…12 DRL diente.24)

Das Institut muss die Einhaltung der gesetzlichen Bestimmun-gen und der betriebswirtschaftlichen Notwendigkeiten gewähr-leisten. Verantwortlich hierfür sind die Geschäftsleiter. Esmuss die Erfüllung der organisatorischen Pflichten gegenüberder BaFin nachweisen und dazu einen Geschäftsplan vorlegen(§ 32 Abs.1 Satz 2 Nr. 5 KWG, § 14 Abs. 7 AnzV). Dazu imEinzelnen:

3.1 Inhalt des Geschäftsplans

Der Umfang der erforderlichen Maßnahmen richtet sich nachder Größe des Instituts und dem Umfang der Geschäfte. DerPlan muss deshalb die Art der ins Auge gefassten Geschäfteunter Angabe der voraussehbaren künftigen Entwicklung an-

hand von Planbilanzen sowie Plangewinn- und -verlustrechnun-gen für die ersten drei Geschäftsjahre beinhalten.25) Weiterhinist ein Organigramm mit Angabe der Zuständigkeiten der Ge-schäftsleiter und der geplanten Personalausstattung vorzulegen.Aus dem Geschäftsplan muss damit klar ersichtlich sein, welcheorganisatorischen Vorkehrungen hinsichtlich der Steuerung,Überwachung und Kontrolle von Risiken, der internen Kon-trollverfahren, der ausreichenden Datensicherheit sowie der aus-reichenden Buchführung und Dokumentation bestehen.26)

3.2 Risikomanagement- und Risikocontrollingsystem

Gemäß § 25a Abs.1 Satz 3 Nr.1 KWG müssen die Instituteüber geeignete und wirksame27) Regelungen zur Steuerung,Überwachung und Kontrolle ihrer Risiken verfügen. Hiermitwird Art. 7 DRL umgesetzt. Unter Risiko ist die Gefahr einesVerlusts oder Schadens für das Institut sowie die negative Ab-weichung oder das Nichteintreten von erwarteten Entwicklun-gen zu verstehen.28) Das Risikomanagement- und Risikocon-trollingsystem dient dem Ziel, Vermögensverluste durch eineSchieflage oder eine Insolvenz des Instituts zu vermeiden.Denn notwendige Gegenmaßnahmen lassen sich nur ergrei-fen, wenn Risiken rechtzeitig erkannt, bewertet, überwachtund gegebenenfalls ausgeschaltet bzw. kompensiert werden.Hierzu macht das Rundschreiben der BaFin zu den Mindest-anforderungen an das Risikomanagement (MaRisk)29) detail-lierte Vorgaben (AT 1). Das Risikomanagement umfasst unterBerücksichtigung der Risikotragfähigkeit insbesondere dieFestlegung angemessener Strategien:

3.2.1 Festlegung angemessener Strategien

Das Institut muss auf der Grundlage von Verfahren seine Risi-kotragfähigkeit ermitteln und gegebenenfalls Risikotoleranz-schwellen definieren. Es hat sicherzustellen, dass seine wesent-lichen Risiken durch das Risikodeckungspotential laufend ab-gedeckt sind. Nach AT 4.1 der MaRisk müssen alle unterneh-merischen Risiken in die Betrachtung einbezogen werden (Ge-samtrisikosystem).30) Hierzu werden in der Bankbetriebslehre31)

herkömmlich die geschäftspolitischen Risiken (strategische Ri-siken) gezählt, die sich aus der Rechtsform, dem Standort, derOrganisationsstruktur und den Geschäftsfeldern ergeben. Wei-

21) Einzelheiten bei Sethe (Fußn. 5), S. 596 ff.22) Sethe (Fußn. 5), S. 605 ff.23) Sethe (Fußn. 5), S. 617 ff.24) Zur Entstehungsgeschichte der Regelung vgl. das Working documentESC/17/2005 … rev 3, Organisational Requirements and identification ma-nagement and disclosure of conflicts of interest by investment firms,http://ec.europa.eu/internal_market/securities/isd/mifid2_de.htm (abgerufenam 15.11. 2007).25) Einzelheiten bei Zerwas/Hanten, Zulassung zum Geschäftsbetrieb für Kre-dit- und Finanzdienstleistungsinstitute, BB 1998, 2481, 2484.26) Fischer, in: Boos/Fischer/Schulte-Mattler (Hrsg.), KWG, 2. Aufl., 2004,§ 33 Rz. 23.27) Dies betont der RegE FRUG, BR-Drucks. 16/4028, S. 95.28) Braun, in: Boos/Fischer/Schulte-Mattler (Fußn. 26), § 25a Rz. 39.29) Rundschreiben 5/2007 der BaFin vom 30.10. 2007, abrufbar unter:www.bafin.de/rundschreiben/87_2007/071030.htm. Zur Version von 2005 s.Fischer, in: Schimansky/Bunte/Lwowski (Fußn. 4), § 128 Rz. 52 ff; Niedostadek,Risikomanagement nach MiFID, Der Risikomanager 5/2007, 10 ff.30) Braun (Fußn. 28), § 25a Rz. 38; Fischer (Fußn. 29), § 128 Rz. 53.31) Büschgen, Bankbetriebslehre, 5. Aufl., 1998, S. 864 ff; siehe auch Braun(Fußn. 28), § 25a Rz. 40.

Page 6: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 425

terhin sind finanzielle Risiken im Allgemeinen und Liquiditäts-risiken im Besonderen gemeint. Schließlich sind die Risikendes internen Leistungsbereichs einzubeziehen, die sich ausdem personellen Bereich, der Datenverarbeitung, den sons-tigen Betriebsmitteln, der Ablaufstruktur und den Rechtsrisi-ken ergeben. AT 2.2 der MaRisk geht nicht auf all diese Risikenim Detail ein, sondern greift einzelne besondere wichtige Risi-ken heraus, für die im besonderen Teil der MaRisk Vorgabengemacht werden.32)

AT 4.2 der MaRisk verpflichtet die Geschäftsleitung des Insti-tuts, eine Geschäftsstrategie und eine dazu konsistente stimmi-ge Risikostrategie festzulegen. Bei der Ausarbeitung der Risi-kostrategie sind die in der Geschäftsstrategie niederzulegendenZiele und Planungen der wesentlichen Geschäftsaktivitäten so-wie die Risiken wesentlicher Auslagerungen zu berücksichti-gen. Der Inhalt und die Tiefe der festzulegenden Strategiensind abhängig von Umfang und Komplexität sowie dem Risi-kogehalt der geplanten Geschäftsaktivitäten. Die Verantwor-tung für die Festlegung der Geschäfts- und der Risikostrategiedarf nicht delegiert werden.33) Die Geschäftsleitung ist verant-wortlich dafür, dass die Strategien umgesetzt werden.

3.2.2 Interne Kontrollverfahren

Institute müssen weiterhin interne Kontrollverfahren (InternalControl Systems) vorsehen, d. h. die Institute müssen organisa-torische Sicherungsmaßnahmen ergreifen, regelmäßige Kon-trollen durchführen und eine interne Revision einrichten.34) Dieinternen Kontrollverfahren bestehen aus dem internen Kon-trollsystem und der internen Revision (AT 1 Tz. 1 der MaRisk).

Das interne Kontrollsystem umfasst Regelungen zur Aufbau-und Ablauforganisation und Prozesse zur Identifizierung, Be-urteilung, Steuerung, Überwachung sowie Kommunikationder Risiken (Risikosteuerungs- und -controllingprozesse).Dazu im Einzelnen: Es sind aufbau- und ablauforganisatori-sche Regelungen mit klarer Abgrenzung der Verantwortungs-bereiche zu treffen (§ 25a Abs.1 Satz 3 Nr.1 Buchst. a KWG).Das Ausmaß und die Ausgestaltung der Verantwortungsberei-che hängen von der Größe des Unternehmens ab. Ein wesent-licher Bestandteil ist das Vier-Augen-Prinzip, mit dem gewähr-leistet wird, dass nicht eine Person allein alle Phasen eines Ge-schäfts abwickelt. Zur Funktionstrennung gehört nicht nureine Zuständigkeitsregelung für einzelne Geschäftsabschlüsse,sondern eine grundsätzliche Trennung unvereinbarer Tätigkei-ten (BTO 2.1 der MaRisk). Die funktionale und organisatori-sche Trennung ist auch für andere Bereiche außerhalb desHandels (z. B. Kreditgeschäft) ein wirksames Mittel, um ord-nungsgemäße Geschäftsabläufe sicherzustellen und Risikendurch Einschaltung mehrerer Mitarbeiter in den Entschei-dungsprozess zu minimieren (BTO 1.1 der MaRisk).35) Gleich-zeitig können sie einem zweiten Ziel dienen, nämlich der Ver-meidung von Interessenkonflikten bei Universalkreditinstitu-ten und Wertpapierhäusern.

Weiterhin sind Prozesse zur Identifizierung, Beurteilung,Steuerung sowie Überwachung und Kommunikation der Risi-ken vorzusehen. Diese sind in Anhang V der Bankenricht-linie36) im Detail niedergelegt, auf den § 25a Abs.1 Satz 3

Nr.1 Buchst. b KWG Bezug nimmt. Danach muss die Ge-schäftsleitung Regelungen für die Aufgabentrennung inner-halb der Organisation und die Vermeidung von Interessen-konflikten treffen. Die Geschäftsleitung genehmigt und über-prüft in regelmäßigen Abständen die Strategien und Vorschrif-ten für die Übernahme, Steuerung, Überwachung und Min-derung der Risiken, denen das Kreditinstitut ausgesetzt istoder ausgesetzt sein könnte, einschließlich der Risiken, die ausdem makroökonomischen Umfeld erwachsen, in dem es inRelation zum Stand des Konjunkturzyklus tätig ist. Weiterhinist vorgeschrieben, dass die Kreditvergabe nach soliden, klardefinierten Kriterien erfolgt. Die Verfahren für die Genehmi-gung, ˜nderung, Verlängerung und Refinanzierung von Kre-diten sind klar geregelt. Die laufende Verwaltung und Über-wachung der verschiedenen kreditrisikobehafteten Portfoliosund Forderungen, auch zwecks Erkennung und Verwaltungvon Problemkrediten sowie Vornahme adäquater Wertberich-tigungen und Rückstellungen, erfolgt über wirksame Systeme.Zudem muss die Diversifizierung der Kreditportfolios denZielmärkten und der allgemeinen Kreditstrategie des Kredit-instituts angemessen sein. Das Risiko, dass die vom Kredit-institut eingesetzten und von der BaFin anerkannten Kreditri-sikominderungstechniken weniger wirksam sind als erwartet,wird mittels schriftlich niedergelegter Vorschriften und Verfah-rensweisen gesteuert. Das Konzentrationsrisiko (Klumpenrisi-ko), das aus Krediten an dieselbe Gegenpartei, an Gruppen ver-bundener Gegenparteien und an Gegenparteien aus derselbenBranche oder Region bzw. Gegenparteien mit denselben Leis-tungen oder Waren, aus dem Gebrauch von Kreditrisikomin-derungstechniken und insbesondere aus indirekten Großkredi-ten (z. B. an einen einzigen Emittenten) erwächst, wird mittelsschriftlicher Vorschriften und Verfahrensweisen geregelt.

Im Anhang V angesprochen sind weiterhin Verbriefungs-,Markt-, Zinsänderungs- und Liquiditätsrisiken. Um das opera-tionelle Risiko zu minimieren, muss das Institut Vorschriftenund Verfahren zur Bewertung und Steuerung dieses Risikos,einschließlich selten auftretender Risiken mit gravierendenAuswirkungen, einführen. Es werden Ausweich- und Notfall-pläne aufgestellt, die sicherstellen, dass das Kreditinstitut seineTätigkeit fortlaufend aufrechterhalten kann und sich die beischwerwiegenden Betriebsstörungen auftretenden Verluste inGrenzen halten. Hier liegt eine Pflichtendoppelung mit § 25Abs.1 Satz 3 Nr. 3 KWG vor.

Den Schlussstein der internen Kontrolle bildet die interne Re-vision (Art. 8 DRL). Ihre Einrichtung obliegt der Geschäftslei-tung (vgl. hierzu und zum Folgenden BT 2 der MaRisk). Sieist dieser direkt zu unterstellen und ihre Unabhängigkeit ist si-cherzustellen. Um ihre Funktionsfähigkeit zu gewährleisten,

32) BTR 1 (Adressenausfallrisiken), BTR 2 (Marktpreisrisiken), BTR 3 (Liqui-ditätsrisiken) und BTR 4 (Operationelle Risiken) der MaRisk (Fußn. 29).33) Anders wohl Spindler/Kasten, AG 2006, 785, 786.34) Ausführlich dazu die aus dem Jahr 1998 stammenden Grundsätze des Ba-sel Committee on Banking Supervision, Framework for Internal Control Systemsin Banking Organisations.35) Braun (Fußn. 28), § 25a Rz.121.36) Richtlinie 2006/48/EG des Europäischen Parlaments und des Rates vom14. 6. 2006 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute(Bankenrichtlinie … Neufassung), ABl L 177/1.

Page 7: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

426 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

muss die interne Revision über eine angemessene Personalaus-stattung verfügen, und es muss sichergestellt sein, dass ihreMitarbeiter nicht mit weiteren Aufgaben betraut sind, die sichnicht mit ihrer Kontrolltätigkeit vereinbaren lassen (strikte per-sonelle, funktionale und organisatorische Aufgabentrennung).

Die interne Revision muss sich auf alle Betriebsabläufe bezie-hen und erfolgt nach einem Prüfungsplan. Um die Funktions-fähigkeit der Revision zu gewährleisten, ist diese von allen An-weisungen der Geschäftsleitung, Organisationsänderungenund Veränderungen der wesentlichen geschäftlichen Grund-lagen laufend und umgehend zu informieren. Die Prüfungs-tätigkeit der internen Revision, die sich auf wechselndeSchwerpunkte konzentrieren kann, hat Aufschluss darüber zugeben, ob die Betriebsabläufe ordnungsgemäß sind, Mängelauftreten oder Gefahren für das Unternehmen bestehen.37)

Die Ergebnisse der Prüfungen sind im Wege regelmäßigerschriftlicher Berichte zeitnah an die gesamte Geschäftsleitungzu übermitteln. Bei drohenden Gefahren ist die Geschäftslei-tung außerhalb des Turnus schriftlicher Berichte unverzüglichzu informieren. Werden schwerwiegende Beanstandungen beieinem Geschäftsleiter festgestellt, ist das gesamte Leitungsorganumgehend schriftlich zu unterrichten. Das Leitungsorgan wie-derum hat den Aufsichtsrat, die BaFin und die Bundesbank vondem Bericht in Kenntnis zu setzen (BT 2.4 Tz. 4 der MaRisk).

3.3 Personelle und technische Ausstattung

Gemäß § 25a Abs.1 Satz 3 Nr. 2 KWG muss das Institut aus-reichend qualifiziertes und regelmäßig fortgebildetes Personaleinsetzen und dieses angemessen überwachen. Auch wenndies der Wortlaut der Vorschrift nicht erwähnt, gehört zu ei-ner angemessenen Ausstattung nicht nur eine den Aufgaben ent-sprechende Anzahl von Mitarbeitern, sondern auch deren an-gemessene Bezahlung, um keine Anreize für Veruntreuungenzu schaffen. Konflikte zwischen den Interessen der Mitarbei-ter, des Instituts und der Kunden sind nach Möglichkeit zuvermeiden und … falls dies nicht möglich ist … nach vorherfestgelegten Regeln zu lösen. Um eine Gefährdung der Kun-deninteressen auszuschließen, haben die Mitarbeiter bestimm-te Vorgaben zu beachten. Die dazu bislang als bloßes Rund-schreiben der Aufsichtsbehörde verfassten Mitarbeiterleitsät-ze38) werden durch das Finanzmarktrichtlinie-Umsetzungs-gesetz … mit inhaltlichen ˜nderungen … in § 33b WpHG über-führt. Zudem muss eine ausreichende technisch-organisatori-sche Ausstattung vorhanden sein.

3.4 Notfallkonzept

Die Tätigkeit der Institute ist heute ohne den Einsatz elektro-nischer Datenverarbeitung (wirtschaftlich) nicht mehr abzuwi-ckeln. Aufgrund ihrer zentralen Stellung kommt der Sicher-heit der EDV daher eine enorme Bedeutung zu, da ihr Ausfallden Zusammenbruch des Instituts zur Folge haben kann. Ge-mäß § 25a Abs.1 Satz 3 Nr. 3 KWG wird daher ein Notfall-plan und ein umfassender Schutz dieser Systeme verlangt.39)

Dabei gilt es sicherzustellen, dass die erfassten Daten oder er-rechneten Ergebnisse materiell richtig sind (materielles Fehler-risiko). Weiterhin darf es nicht zu formalen Fehlern kommen

(formales Fehlerrisiko), etwa indem Datenschutz und Auf-bewahrungsfristen nicht beachtet werden. Das Institut ist ge-gen technische Ausfallrisiken zu sichern. Schließlich muss ver-hindert werden, dass sich Dritte unbefugt Zugang zur EDVdes Instituts verschaffen (Fremdnutzungsrisiko). Das Instituthat daher entsprechende organisatorische, physisch-technischeund systemtechnische Vorkehrungen zu treffen.

3.5 Ausgestaltung und Überprüfung desRisikomanagements

Die Ausgestaltung des Risikomanagements hängt von Art,Umfang, Komplexität und Risikogehalt der Geschäftstätigkeitab (§ 25a Abs.1 Satz 4 KWG). Organisatorische Sicherungs-maßnahmen sind selbstverständlich nur dann wirksam, wennihre Einhaltung gewährleistet ist. Die Angemessenheit undWirksamkeit der Sicherungsmaßnahmen sind vom Institut re-gelmäßig zu überprüfen (§ 25a Abs.1 Satz 5 KWG). Deshalbist ein internes, in die Arbeitsprozesse integriertes Kontrollsys-tem (prozessabhängige Überwachung) notwendig, das die Ar-beitsabläufe überwacht und mögliche Fehler aufdeckt. Dies ge-schieht zum einen durch fest in den Arbeitsprozess eingebauteKontrollen und zum anderen durch Stichproben. Art undUmfang der Kontrollen richten sich nach der Größe des Insti-tuts sowie der Anzahl und den Risiken der Geschäfte.40)

3.6 Überwachung der finanziellen Lage

§ 25a Abs.1 Satz 6 Nr.1 KWG verpflichtet die Institute zu-dem, über Regelungen zu verfügen, anhand derer sich die fi-nanzielle Lage des Instituts jederzeit mit hinreichender Genau-igkeit bestimmen lässt. Hier liegt … bei Instituten in Form ei-ner Kapitalgesellschaft … eine Pflichtendoppelung vor.

3.7 Aufnahme aller Geschäftsvorfälle

Zu den organisatorischen Sicherungsmaßnahmen gehört desWeiteren die sofortige und vollständige Aufnahme aller Ge-schäftsvorfälle41) und der Geschäftstätigkeit an sich (§ 25aAbs.1 Satz 6 Nr. 2 KWG). Denn ein Managementinformati-onssystem zur Planung und Überwachung der Geschäftstätig-keit ist nur auf der Grundlage vollständiger, aktueller und rich-tiger Informationen funktionstüchtig. Zudem wird der BaFinauf diese Weise erst die Aufsicht ermöglicht. Die Aufzeich-nungen sind fünf Jahre lang aufzubewahren. Die damit not-wendige Buchführung und Dokumentation geht über die han-delsrechtlichen Pflichten hinaus, da die Aufzeichnung so zuerfolgen hat, dass der Aufsicht auch im Nachhinein noch eineKontrolle darüber ermöglicht wird, ob die aufsichtsrechtlichenVorgaben eingehalten wurden.

37) Hierzu und zum Folgenden Braun (Fußn. 28), § 25a Rz.133 ff.38) Bekanntmachung des Bundesaufsichtsamtes für das Kreditwesen und desBundesaufsichtsamtes für den Wertpapierhandel über Anforderungen an Ver-haltensregeln für Mitarbeiter der Kreditinstitute und Finanzdienstleistungs-institute in Bezug auf Mitarbeitergeschäfte v. 7. 6. 2000, BAnz Nr.131 v.15. 7. 2000, S. 13 790. Dazu Eisele (Fußn. 4), § 109 Rz.130 ff; Sethe (Fußn. 5),S. 852 ff.39) Hierzu und zum Folgenden Braun (Fußn. 28), § 25a Rz.142 ff; Fischer(Fußn. 29), § 128 Rz. 54.40) Z. B. BTO 1.2.3. der MaRisk (Fußn. 29) in Bezug auf die Kreditbearbei-tungskontrolle.41) AT 6 der MaRisk (Fußn. 29); Braun (Fußn. 28), § 25a Rz.123 f.

Page 8: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 427

3.8 Sicherungssysteme gegen Geldwäsche und Betrug

§ 25a Abs.1 Satz 6 Nr. 3 KWG verpflichtet die Institute, ange-messene geschäfts- und kundenbezogene Sicherungssysteme ge-gen Geldwäsche und betrügerische Handlungen vorzuhalten.42)

4. Sonderregelungen für Wertpapierdienstleistungs-unternehmen

4.1 Überblick

§ 33 Abs.1 WpHG sieht zahlreiche Organisationspflichten fürKredit- und Finanzdienstleistungsinstitute vor, soweit sieWertpapierdienstleistungen erbringen. Die Neufassung derVorschrift dient der Umsetzung von Art.13 MiFID und derenDurchführungsrichtlinie.43) Der deutsche Gesetzgeber hat denTeil der Richtlinienvorgaben, der gleichermaßen auf Kredit-institute und Wertpapierdienstleistungsunternehmen Anwen-dung findet, in § 25a Abs.1 KWG umgesetzt. Dies gilt für dieallgemeinen organisatorischen Anforderungen gemäß Art. 5DRL, die Anforderungen an das Risikomanagement und dieinterne Revision gemäß Art. 7 und 8 DRL sowie die Zustän-digkeiten und Berichtspflichten im Zusammenhang mit derGeschäftsorganisation gemäß Art. 9 DRL. § 33 Abs.1 WpHGenthält daher nur die besonderen organisatorischen Erforder-nisse bei der Erbringung von Wertpapierdienstleistungen undWertpapiernebendienstleistungen. Sie werden durch die§§ 11…13 WpDVerOV44) weiter konkretisiert.

Die meisten Organisationspflichten, die das Finanzmarktricht-linie-Umsetzungsgesetz nun ausdrücklich in § 33 Abs.1 Satz 2WpHG verankert, waren bereits nach geltendem Recht zu be-achten.45) Die BaFin hatte schon 1999 eine Richtlinie zur Kon-kretisierung der Organisationspflichten von Wertpapierdienst-leistungsunternehmen erlassen (im Folgenden Compliance-RL).46) Der bisweilen in der Presse vermittelte Eindruck, dieMiFID führe zu einer deutlichen Verschärfung der Regelun-gen für Wertpapierdienstleistungsunternehmen, trügt daher.47)

4.2 Compliance-Organisation

Nach § 33 Abs.1 Satz 2 Nr.1 WpHG muss das Wertpapier-dienstleistungsunternehmen angemessene Grundsätze aufstel-len, Mittel vorhalten und Verfahren einrichten, die darauf aus-gerichtet sind, sicherzustellen, dass das Wertpapierdienstleis-tungsunternehmen selbst und seine Mitarbeiter den Verpflich-tungen des Wertpapierhandelsgesetzes nachkommen. DieVorschrift dient der Umsetzung von Art.13 Abs. 2 MiFIDund Art. 6 Abs.1 DRL.

Neu ist die Verpflichtung des Unternehmens, angemesseneGrundsätze aufzustellen, mit denen sich Verstöße gegen dasWertpapierhandelsgesetz aufdecken lassen. Demgegenüber be-stand die Pflicht, für eine ordnungsmäßige Durchführung derWertpapierdienstleistung und WertpapiernebendienstleistungMittel vorzuhalten und Verfahren einzurichten, bereits nachfrüherem Recht (§ 33 Abs.1 Nr.1 WpHG a. F., dazu Nr. 2.2Compliance-RL).48) Da sich Verfahren aber nur einrichten las-sen, wenn man zuvor Grundsätze für diese Verfahren festlegt,liegt in der Sache keine Neuerung vor.

Ziel der Grundsätze und einzurichtenden Verfahren muss essein, Verstöße gegen das Wertpapierhandelsgesetz aufzuspü-

ren. § 12 Abs.1 WpDVerOV stellt klar, dass auch bereits dieGefahr von Verstößen aufzudecken ist. Zudem müssen dieaus Verstößen drohenden Risiken eingeschätzt werden. Hierinliegt eine Pflichtendoppelung, denn dies ergibt sich bereits ausden geschilderten Vorgaben zum Risikocontrolling und -ma-nagement (oben II 1.2 und II 3.2). § 12 Abs. 2 WpDVerOVverpflichtet das Wertpapierdienstleistungsunternehmen zu-dem, erkannte Gefahren und Risiken soweit wie möglich zubeschränken. Mit dieser Vorschrift haben der Richtlinien- undder Gesetzgeber eine Selbstverständlichkeit normiert, dennwelchem Ziel sollte die Erfassung der Gefahren und Risikennach § 12 Abs.1 WpDVerOV sonst dienen. Die Vorschriftstellt weiterhin klar, dass der BaFin eine effektive Ausübungihrer Aufsicht ermöglicht werden muss.

Im Rahmen der Verpflichtung nach § 33 Abs.1 Satz 2 Nr.1WpHG muss das Unternehmen Art, Umfang, Komplexitätund Risikogehalt seines Geschäfts sowie Art und Spektrumder von ihm angebotenen Wertpapierdienstleistungen berück-sichtigen (§ 33 Abs.1 Satz 3 WpHG). Auch dieser Gedanke istkeineswegs neu, sondern findet sich bereits in Nr. 2.1 Compli-ance-RL. Kleinere Institute können die Compliance-Funktionauch einem Mitarbeiter oder dem Geschäftsleiter übertragen,selbst wenn diese Person in die Erbringung von Leistungen ge-genüber Kunden eingebunden ist. Voraussetzung ist aller-dings, dass die Aufgabe nicht beeinträchtigt wird, was das In-stitut nachzuweisen hat.49)

Das Gesetz nennt als Mittel zur Erfüllung der Pflicht die Ein-richtung einer dauerhaften und wirksamen Compliance-Funk-tion, die ihre Aufgaben unabhängig wahrnehmen kann. Des-halb verpflichtet § 12 Abs. 4 WpDVerOV die Institute zur Be-nennung eines Compliance-Beauftragten. Auch diese Pflichtfindet sich bereits in der Compliance-Richtlinie (Nr. 4.2). DerBeauftragte hat die Angemessenheit und Wirksamkeit der so-eben geschilderten Grundsätze und Vorkehrungen zu über-wachen. Weiterhin muss er die zur Behebung von erkanntenDefiziten getroffenen Maßnahmen beaufsichtigen und regel-mäßig bewerten (§ 12 Abs. 3 Nr.1 WpDVerOV). Seine Auf-gabe ist es weiterhin, die Mitarbeiter des Instituts im Hinblickauf die Einhaltung der Grundsätze und Vorkehrungen zu be-raten und zu unterstützen (§ 12 Abs. 3 Nr. 2 WpDVerOV).

42) Einzelheiten bei Bauer/Bergmann, Zur Reichweite der „betrügerischenHandlungen“ nach § 25a Abs.1 Satz 3 Nr. 6 KWG, ZBB 2007, 113; Fischer(Fußn. 29), § 128 Rz. 62 ff.43) RegE FRUG, BT-Drucks. 16/4028, S. 70.44) Verordnung zur Konkretisierung der Verhaltensregeln und Organisations-anforderungen für Wertpapierdienstleistungsunternehmen (Wertpapierdienst-leistungs-Verhaltens- und Organisationsverordnung … WpDVerOV) vom20. 7. 2007, BGBl I, 1432.45) Ausführlich zu den Organisationspflichten nach bisherigem Recht Koller,in: Assmann/Schneider (Fußn.1), § 33 Rz.1 ff; Möllers, in: Kölner Komm.zum WpHG (Fußn. 1), § 33 Rz. 15 ff; Sethe (Fußn. 5), S. 849 ff.46) Richtlinie der Bundesanstalt zur Konkretisierung der Organisationspflich-ten von Wertpapierdienstleistungsunternehmen gemäß § 33 WpHG (Compli-ance-RL) v. 25. 10.1999, BAnz Nr. 210 v. 6. 11. 1999, S.18 453.47) So im Ergebnis auch Kumpan/Hellgardt, Haftung der Wertpapierdienstleis-tungsunternehmen nach Umsetzung der EU-Richtlinie über Märkte für Fi-nanzinstrumente, DB 2006, 1714, 1720.48) Zu Recht weist Schlicht, Compliance nach der Umsetzung der MiFID-Richtlinie … Wesentliche ˜nderungen oder gesetzliche Verankerung schon ge-lebter Praxis?, BKR 2006, 469, aber darauf hin, dass nach der Compliance-RLnicht alle Institute eine Compliance-Stelle haben mussten.49) Siehe dazu auch § 12 Abs. 5 WpDVerOV (dazu sogleich).

Page 9: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

428 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

Der Compliance-Beauftragte muss über die für eine ordnungs-gemäße und unabhängige Erfüllung seiner Aufgaben erfor-derlichen Fachkenntnisse, Mittel und Kompetenzen verfü-gen. Das Institut muss ihm Zugang zu allen für die Über-wachung relevanten Informationen gewähren (§ 12 Abs. 4Satz 2 WpDVerOV). Dem Compliance-Beauftragten steht da-her ein uneingeschränktes Auskunfts-, Zugangs- und Einsichts-recht hinsichtlich aller einschlägigen Unterlagen, Bücher undAufzeichnungen einschließlich etwaiger vorliegender Ton-bandaufzeichnungen zu. Auch diese Regelung findet sich be-reits in Nr. 4.2 Compliance-RL.

Um die Unabhängigkeit der Compliance-Stelle zu sichern,darf diese weder an den Wertpapierdienstleistungen beteiligtsein, die sie überwacht, noch darf die Art und Weise ihrer Ver-gütung eine Beeinträchtigung ihrer Unvoreingenommenheitbewirken oder wahrscheinlich erscheinen lassen (§ 12 Abs. 4Satz 3 WpDVerOV). Soweit das Wertpapierdienstleistungs-unternehmen darlegen kann, dass diese Anforderungen auf-grund von Art, Umfang und Komplexität seiner Geschäfts-tätigkeit oder der Art und des Spektrums seiner Wertpapier-dienstleistungen unverhältnismäßig sind und die ordnungs-gemäße Erfüllung der Compliance-Funktion nicht gefährdetist, entfallen diese Anforderungen (§ 12 Abs. 5 WpDVerOV).

Aus der schweizerischen aufsichtsrechtlichen Praxis wurde aufeiner Fachtagung berichtet, dass die Aufsicht erwarte, vonCompliance-Beauftragten Auskünfte und bei schwerwiegen-den Zwischenfällen Berichte zu erhalten. Der Compliance-Be-auftragte wird gleichsam zum „verlängerten Arm der Aufsicht“im Wertpapierdienstleistungsunternehmen. Fraglich ist, obArt. 6 Abs.1 a. E. DRL Beleg für die Zulassung einer solchenPraxis auch in der EU ist. Dort werden Wertpapierfirmen ver-pflichtet, angemessene Maßnahmen und Verfahren zu ergrei-fen, „um . . . die zuständigen Behörden in die Lage zu verset-zen, ihre Befugnisse im Rahmen dieser Richtlinie wirksam aus-zuüben.“ Man kann diese Passage als Verpflichtung interpre-tieren, die Aufsichtsbehörde zu informieren50) oder aber alsPflicht, den gesetzlich vorgesehenen Aufzeichnungs- und Aus-kunftspflichten nachzukommen, die gerade das Mittel zurÜberwachung der Einhaltung der gesetzlichen Vorgaben sind.Für die letzte Deutung spricht die die MiFID-Durchführungs-richtlinie vorbereitende Stellungnahme von CESR:51) „CESR’sStandards for Investor Protection („CESR Standards“) in-cluded a requirement for investment firms to ensure the com-petent authority is informed without undue delay of seriousbreaches of conduct of business rules. Such a requirement isbeyond the scope of the level 2 implementing measures con-templated in the Directive. However, the imposition of such arequirement by Member States is not excluded by the provi-sions of the Directive on the minimum powers to be given tocompetent authorities.“ Im Übrigen überzeugt eine Berichts-pflicht der Compliance-Stelle an die Aufsichtsbehörde auchaus sachlichen Gründen nicht, weil eine solche Vorgabe Loya-litätskonflikte verursacht und zu Informationsflüssen an derGeschäftsleitung vorbei führt. Solange nicht die Geschäftslei-tung selbst das Problem ist, sollte man diesen Weg also nichtbeschreiten. Aber selbst wenn die Geschäftsleitung im konkre-ten Fall Grund der Beanstandung sein sollte, rechtfertigt dies

keinen direkten Bericht an die BaFin; es muss das gesell-schaftsrechtlich vorgesehene Aufsichtsorgan des Instituts in-formiert werden, das dann für ein angemessenes Vorgehenverantwortlich ist (Art. 9 Abs. 2 und 3 DRL). Hierzu gehörtdann die Information der Aufsichtsbehörde. Im Übrigen istdarauf hinzuweisen, dass im deutschen Recht bereits die inter-ne Kontrolle die Geschäftsleitung von schweren Verstößen zuunterrichten hat und diese wiederum die BaFin (siehe oben3.2.2). Auch hier gibt es also keine Informationsflüsse an derGeschäftsleitung vorbei.

4.3 Kontinuität und Regelmäßigkeit der Wertpapier-dienstleistungen

Das Wertpapierdienstleistungsunternehmen muss nach § 33Abs.1 Satz 2 Nr. 2 WpHG angemessene Vorkehrungen tref-fen, um die Kontinuität und Regelmäßigkeit sowohl der Wert-papierdienstleistungen als auch der Wertpapiernebendienst-leistungen zu gewährleisten. Die Vorschrift dient der Umset-zung von Art.13 Abs. 4 MiFID und Art. 5 Abs. 3 DRL. Not-wendig ist daher eine Notfallplanung, wie sie auch nach § 25aAbs.1 Satz 3 Nr. 3 KWG und nach Anhang V der Banken-richtlinie vorzusehen ist. Auch hier liegt damit eine Pflichten-doppelung vor, die auch deshalb zu beanstanden ist, weil derGesetzgeber damit seine Inkonsequenz belegt. Er wollte dieje-nigen Pflichten, die für alle Institute gelten, in § 25a KWG re-geln52) und hat sich dennoch … ausdrücklich53) … zur Pflichten-dopplung entschieden.

4.4 Vermeidung von Interessenkonflikten

Gemäß § 33 Abs.1 Satz 2 Nr. 3 WpHG sind weiterhin wirk-same Vorkehrungen erforderlich, um Interessenkonflikte beider Erbringung von Wertpapierdienstleistungen oder Wert-papiernebendienstleistungen zwischen dem Institut, seinenMitarbeitern und mit ihm direkt oder indirekt durch Kontrol-le i. S. d. § 1 Abs. 8 KWG verbundenen Personen einerseitsund seinen Kunden andererseits zu erkennen und zu vermei-den. Gleiches gilt für Interessenkonflikte zwischen Kunden.Die Vorschrift ist in Zusammenhang mit § 31 Abs.1 Nr. 2WpHG zu sehen. Sie setzt die Anforderungen von Art.13Abs. 3, Art.18 Abs.1 MiFID um.

Um die Konflikte zu erkennen, ist das Institut verpflichtet, einKonfliktregister zu führen (§ 13 Abs.1 WpDVerOV).54) In die-sem sind Konstellationen zu erfassen, in denen das Wert-papierdienstleistungsunternehmen

(1) zu Lasten von Kunden einen finanziellen Vorteil erzielenoder Verluste vermeiden kann,

50) Für eine solche Deutung offenbar Spindler/Kasten, AG 2006, 785, 786Fußn.13.51) CESR’s technical advice to the European Commission on the first set ofmandates under the Directive on Markets in Financial Instruments (MiFID) v.3. 2. 2005, http://www.cesr-eu.org (abgerufen am 15.11. 2007).52) RegE FRUG, BT-Drucks. 16/4028, S. 70.53) RegE FRUG, BT-Drucks. 16/4028, S. 71.54) Assmann, Interessenkonflikte und „Inducements“ im Lichte der Richtlinieüber Märkte für Finanzinstrumente (MiFID) und der MiFID-Durchführungs-richtlinie, ÖBA 2007, 40, 44.

Page 10: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 429

(2) am Ergebnis einer für Kunden erbrachten Dienstleistungoder eines für diese getätigten Geschäfts ein Interesse ha-ben kann, das nicht mit dem Kundeninteresse an diesemErgebnis übereinstimmt,

(3) einen finanziellen oder sonstigen Anreiz haben kann, dieInteressen eines Kunden oder einer Kundengruppe überdie Interessen anderer Kunden zu stellen,

(4) dem gleichen Geschäft nachgeht wie Kunden und

(5) im Zusammenhang mit der für einen Kunden erbrachtenDienstleistung über die hierfür übliche Provision oder Ge-bühr hinaus von einem Dritten eine Zuwendung i. S. v.§ 31d Abs. 2 WpHG erhalten hat oder in Zukunft erhaltenkönnte.

Um die (erkannten) Interessenkonflikte zu vermeiden, müssenWertpapierdienstleistungsunternehmen sodann angemesseneGrundsätze für den Umgang mit Interessenkonflikten auf ei-nem dauerhaften Datenträger festlegen und dauerhaft anwen-den. Die Grundsätze müssen bestimmen, unter welchen Um-ständen bei der Erbringung von Wertpapierdienstleistungenoder Wertpapiernebendienstleistungen Interessenkonflikteauftreten können, die den Kundeninteressen erheblich scha-den könnten. Festgelegt werden muss außerdem, welche Maß-nahmen zu treffen sind, um diese Interessenkonflikte zu be-wältigen (§ 13 Abs. 2 Satz 1 WpDVerOV). In den Grundsät-zen ist auch Interessenkonflikten Rechnung zu tragen, die sichaus der Struktur und Geschäftstätigkeit anderer Unternehmenderselben Unternehmensgruppe ergeben und die das Wert-papierdienstleistungsunternehmen kennt oder kennen müsste(§ 13 Abs. 2 Satz 2 WpDVerOV).

Bei der Festlegung der Maßnahmen zur Bewältigung der Inter-essenkonflikte ist zu bestimmen, wie Mitarbeiter, bei denenInteressenkonflikte auftreten können, Kundengeschäfte mitder angemessenen Unabhängigkeit ausführen. Dazu sieht § 13Abs. 3 Satz 2 WpDVerOV beispielhaft insgesamt fünf Mög-lichkeiten vor:

(1) Das Institut kann Vorkehrungen zur wirksamen Verhin-derung oder Kontrolle eines Informationsaustauschs zwi-schen Mitarbeitern, deren Tätigkeiten einen Interessenkon-flikt nach sich ziehen könnten, ergreifen. Diese als Chi-nese Wall bezeichnete Lösung war bereits in Nr. 3.3.1Compliance-RL geregelt.55)

(2) Weiterhin muss gewährleistet sein, dass die Vergütung derMitarbeiter von der Vergütung anderer Mitarbeiter unab-hängig ist, soweit deren Aufgabenbereiche sowie die vondiesen erwirtschafteten Erlöse oder Prämien einen Interes-senkonflikt auslösen könnten.

(3) Es muss verhindert werden, dass eine unsachgemäße Ein-flussnahme anderer Personen auf die Tätigkeit von Mit-arbeitern erfolgt, die Wertpapierdienstleistungen oderWertpapiernebendienstleistungen erbringen. Hier ist dasgroße Feld der Bestechung angesprochen.

(4) Das Institut muss kontrollieren und gegebenenfalls verhin-dern, dass ein Mitarbeiter sich an verschiedenen Wert-papierdienstleistungen oder Wertpapiernebendienstleis-tungen in engem zeitlichen Zusammenhang beteiligt, so-

fern diese Beteiligung ein ordnungsgemäßes Interessen-konfliktmanagement beeinträchtigen könnte.

(5) Zudem sind Mitarbeiter gesondert zu überwachen, wennsie im Rahmen ihrer Haupttätigkeit potentiell widerstrei-tende Interessen, insbesondere von Kunden oder desWertpapierdienstleistungsunternehmens, wahrnehmen.

Reichen diese Maßnahmen nicht aus, ist das Wertpapierdienst-leistungsunternehmen verpflichtet, alternative oder zusätzlicheMaßnahmen zu treffen (§ 13 Abs. 3 Satz 3 WpD VerOV).

Soweit sich Interessenkonflikte nicht vermeiden lassen, ist derKunde nach § 31 Abs.1 Nr. 2 WpHG darüber zu informieren.Unter Berücksichtigung seiner Einstufung als Privatkunde,professioneller Kunde oder geeignete Gegenpartei soll derKunde auf informierter Grundlage eine eigenverantwortlicheEntscheidung treffen, ob er an dem konkreten Auftrag oderdem Wertpapierdienstleistungsunternehmen festhalten will(§ 13 Abs. 4 WpDVerOV). Die Information hat auf einemdauerhaften Datenträger zu erfolgen.

4.5 Beschwerdewesen

Nach bislang herrschender Ansicht zu § 25a KWG ist aus auf-sichtsrechtlicher Sicht keine zentrale Erfassung aller Kunden-beschwerden innerhalb des Instituts geboten.56) Dennoch ver-fügen in der Praxis die meisten Institute über ein Beschwerde-wesen, das sehr oft bei der Innenrevision angesiedelt ist. DennReklamationen können ein wichtiger Hinweis auf Schwächenim Betriebsablauf sein.

Im Bereich des Wertpapierhandelsgesetzes herrschte dagegendie Auffassung vor, dass ein Beschwerdewesen notwendigsei.57) Mit § 33 Abs.1 Satz 2 Nr. 4 WpHG, der auf Art.10 DRLzurückgeht, wird die bisherige Vorgabe der Compliance-Richt-linie nun in das Gesetz überführt. Beschwerden in Bezug aufWertpapierdienstleistungen sind nun systematisch und zentralzu erfassen, unverzüglich zu bearbeiten und der Ablauf undgegebenenfalls die Abhilfe zu dokumentieren. Warum dieseVorgabe aber nur bei Wertpapierdienstleistungen und nichtauch bei Bankgeschäften und Finanzdienstleistungen geltensoll, ist nicht einsichtig, zumal die dort bestehende Schutz-lücke58) bekannt ist.

4.6 Berichte der Compliance-Stelle

Das Wertpapierdienstleistungsunternehmen muss sicherstel-len, dass seine Geschäftsleitung und der Aufsichtsrat in ange-messenen Zeitabständen, zumindest einmal jährlich, Berichteder Compliance-Stelle über die Angemessenheit und Wirk-samkeit der Grundsätze, Mittel und Verfahren erhält. Darinist insbesondere anzugeben, ob zur Behebung von Verstößengegen die Pflichten nach dem Wertpapierhandelsgesetz oderzur Beseitigung von Risiken geeignete Maßnahmen ergriffen

55) Dazu Eisele (Fußn. 4), § 109 Rz.113 ff; Koller (Fußn. 45), § 33 Rz. 19 ff;Möllers (Fußn. 45), § 33 Rz. 69 ff; Sethe (Fußn. 5), S. 859 f.56) Braun (Fußn. 28), § 25a Rz.141. Keine Erwähnung findet das Beschwerde-wesen auch bei Schwark, Kapitalmarktrechtskommentar, 3. Aufl., 2004, § 33WpHG.57) Nr. 2.2 Compliance-RL sowie Koller (Fußn. 45), § 33 Rz. 13 m. w. N.58) Sethe (Fußn. 5), S. 622 f.

Page 11: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

430 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

wurden (§ 33 Abs.1 Satz 2 Nr. 5 WpHG). Damit setzt der Ge-setzgeber Art. 9 Abs. 2 und 3 DRL um. In der Sache liegt je-doch keine Neuerung vor, denn diese Vorgabe fand sich be-reits in Nr. 4.2 Compliance-RL.

4.7 Überprüfung der Maßnahmen

Das Wertpapierdienstleistungsunternehmen muss schließlichüberprüfen, ob die nach den §§ 31 ff WpHG getroffenen orga-nisatorischen Maßnahmen angemessen und wirksam sind. Esmuss sie regelmäßig bewerten und gegebenenfalls Maßnah-men zur Beseitigung von Unzulänglichkeiten ergreifen (§ 33Abs.1 Satz 2 Nr. 6 WpHG). Damit wird Art. 5 Abs. 5 DRLumgesetzt.

4.8 Outsourcing

Neu gefasst wurden auch die Regelungen über das Outsour-cing in § 25a Abs. 2 bis 4 KWG und § 33 Abs. 2, 3 WpHG.Die jüngst geänderten MaRisk enthält hierzu detaillierte Aus-führungen,59) die ebenfalls im Zusammenhang mit dem The-ma Risikomanagement stehen. Denn gerade weil durch Out-sourcing die Zahl möglicher Fehlerquellen steigt, ist eine Er-haltung der Leitungs- und Kontrollfunktion für die Geschäfts-führung des auslagernden Instituts unverzichtbar.

4.9 Weitere Organisationspflichten

Die Regelungen der MiFID beschränken sich nicht auf das Ri-sikomanagement, sondern statuieren Organisationspflichtennun auch in anderen Bereichen. Genannt sei die in Umset-zung von Art. 21 Abs.1 MiFID ergangene Regelung des § 33aAbs.1 Nr.1 WpHG zur Best Execution. Institute, die Finanz-kommissionsgeschäfte, Eigenhandel und Abschlussvermittlun-gen erbringen, müssen Ausführungsgrundsätze festlegen.60)

Diese müssen dem Ziel dienen, das bestmögliche Ergebnis fürden Kunden zu erreichen.61) Maßgebend sind gemäß § 33aAbs. 2 WpHG Preise, Kosten, Geschwindigkeit, Wahrschein-lichkeit der Ausführung und Abwicklung des Auftrags. Wei-tere Organisationspflichten im Wertpapierhandelsgesetz die-nen etwa der Prävention des Insiderhandels. Zu nennen istetwa die Pflicht aus § 15b WpHG.

Neben diesen ausdrücklich angesprochenen Organisations-pflichten, die man auch als primäre bezeichnen kann, findensich sekundäre Organisationspflichten. Bei diesen ergibt sichdie Pflicht, den Geschäftsbetrieb in einer bestimmten Art undWeise zu ordnen, lediglich als mittelbare Folge einer Rege-lung, die primär ein anderes Regelungsziel als die Organisati-on verfolgt. Beispiel hierfür ist das insiderrechtliche Weiterga-beverbot. Um eine leichtfertige unbefugte Weitergabe von In-siderinformationen zu verhindern, muss die Geschäftsleitungdafür Sorge tragen, dass Insiderinformationen nur an einenPersonenkreis gelangen, der diese zur betrieblichen Aufgaben-erfüllung zwingend benötigt.62)

Daneben folgen Organisationspflichten auch aus anderenstrafrechtlichen Normen. Zu nennen sei nur die Diskussionum die Geschäftsherrenhaftung und die §§ 30, 130 OWiG.Bemerkenswert ist in diesem Zusammenhang die Regelungvon Art.102 des schweizerischen StGB. Wird in einem Unter-

nehmen in Ausübung geschäftlicher Verrichtung im Rahmendes Unternehmenszwecks ein Verbrechen oder Vergehen be-gangen und kann diese Tat wegen mangelhafter Organisationdes Unternehmens keiner bestimmten natürlichen Person zu-gerechnet werden, so wird das Verbrechen oder Vergehendem Unternehmen zugerechnet, und dieses wird bestraft.63)

Hierauf und auf die eng damit zusammenhängende Debatteum die Unternehmensstrafbarkeit64) kann jedoch aus Platz-gründen nicht näher eingegangen werden.65)

5. Corporate Governance für Banken

Eine nochmalige Ausweitung der Vorgaben für Institute bahntsich mit dem im Januar 2006 vom Baseler Ausschuss für Ban-kenaufsicht vorgelegten Dokument zur „Verbesserung der Un-ternehmensführung von Banken“ an.66) Sein Ziel ist es, Bank-aufsichtsbehörden und beaufsichtigte Banken (banking orga-nisations) darin zu unterstützen, dass Banken eine gute Cor-porate Governance einführen und praktizieren. Zu diesemZweck statuiert es acht Grundsätze solider Unternehmensfüh-rung bei Banken und wendet sich dann der besonderen Rolleder Bankaufsichtsbehörden bei deren Entwicklung und Um-setzung zu. Die Notwendigkeit eines solchen weiteren Rege-lungswerks wird kontrovers beurteilt.67)

6. Beurteilung der ergriffenen Maßnahmen

6.1 Zweck und Reichweite der Regulierung

Der Umfang der Organisationspflichten beeindruckt ebensowie ihre Unübersichtlichkeit. Vor dem Hintergrund einzelneraufsehenerregender Zwischenfälle wurden im GesellschaftsrechtSelbstverständlichkeiten reguliert, die jeder ordentliche Ge-schäftsleiter immer schon beachtet hat (z. B. die Beobachtungbestandsgefährdender Entwicklungen). Es erscheint geradezunaiv zu glauben, durch Verankerung einer solchen Pflicht imGesellschaftsrecht würde die Geschäftsleitung nun zu einem an-deren Verhalten veranlasst. Wenn sie ihre Arbeit gut macht, be-obachtet sie solche gefährlichen Entwicklungen ohnehin. Auch

59) Zur bisherigen Regelung des Outsourcing Sethe (Fußn. 5), S. 633 ff m. w. N.;Fischer (Fußn. 29), § 128 Rz. 56 ff; zur Neuregelung Ketessidis, Outsourcing: NeueAnforderungen als Chance für Banken und Herausforderung für die Aufsicht,BaFinJournal 10/2007, S.11 ff; Spindler/Kasten, AG 2006, 785, 787 f.60) Bauer, in: Clouth/Lang, MiFID-Praktikerhandbuch, 2007, S. 309 ff; Zingel,Die Verpflichtung zur bestmöglichen Ausführung von Kundenaufträgen nachdem Finanzmarkt-Richtlinie-Umsetzungsgesetz, BKR 2007, 173.61) Dass die Regelung aber nicht nur dem Anlegerschutz dient, belegen Iseli/Wagner/Weber, Legal and economic aspects of best execution in the context ofthe Markets in Financial Instruments Directive (MiFID), Law and FinancialMarkets Review 1 (2007), Nr. 4, 31.62) Einzelheiten bei Sethe, Die Verschärfung des insiderrechtlichen Weiterga-beverbots, ZBB 2006, 243, 253.63) Zu Einzelheiten etwa Bachmann, Compliance … rechtliche Grundlagenund Risiken, Der Schweizer Treuhänder, 2007, 93, 95 ff; Forstmoser, Schweize-risches Gesellschaftsrecht, 10. Aufl., 2007, § 2 Rz. 38 ff.64) Umfassend zum derzeitigen Stand der Diskussion Kindler, Das Unterneh-men als haftender Täter (erscheint Anfang 2008).65) Zu Organisationspflichten, die aus strafrechtlichen Vorgaben folgen, vgl.stattdessen Sethe, ZBB 2006, 243, 253 ff m. w. N.66) Enhancing corporate governance for banking organisations, www.bis.org/publ/bcbs122.pdf (abgerufen am 15.11. 2007).67) Zu Einzelheiten Hafke, Anmerkungen zur Corporate Governance in der Kre-ditwirtschaft, in: Festschrift Hadding, 2004, S. 863; Kirschbaum, Die Entwicklungeines Public Corporate Governance Kodex für öffentliche Banken, BKR 2006,139; Mülbert, Bankenaufsicht und Corporate Governance … Neue Organisations-anforderungen im Finanzdienstleistungsbereich, BKR 2006, 349.

Page 12: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 431

die Wiederholung zahlreicher zwingender gesetzlicher Vor-gaben im Corporate-Governance-Kodex erscheint zweifelhaft.Die Herstellung von Transparenz ist ein wichtiges Ziel, dochfehlt bislang ein Beleg für die Wirksamkeit des Kodex.68)

Die Einführung der aufsichtsrechtlichen Organisationspflichtenverfolgt dagegen ein anderes Ziel, nämlich der BaFin die Kon-trolle der Organisation der Institute zu erlauben. Dieses Vor-gehen ist im Ansatz sinnvoll, setzt aber voraus, dass die Organi-sationspflichten die BaFin nicht zu starrem und schematischemDenken verleiten und einen unnötigen Bürokratieaufwand ver-ursachen. Entscheidend ist daher die tatsächliche Handhabung.Diese soll nach dem Einführungsschreiben zur MaRisk flexibelsein.69) Die Praxis kritisiert die BaFin jedoch gerade in diesemPunkt, weil sie eine buchstabengetreue Erfüllung fordere.70)

Auch bei den aufsichtsrechtlichen Organisationspflichten isteine starke Ausweitung der gesetzlichen Regelung festzustel-len. Ihre gesetzliche Verankerung beruht auf dem Umstand,dass man vor dem Hintergrund der Heimatlandkontrolle unddes Europäischen Passes einheitliche Pflichtenstandards für In-stitute erlassen wollte. Man konnte daher die Festschreibungder Pflichten gerade nicht der Verwaltungspraxis der einzelnenAufsichtsbehörden überlassen. Zu welch unerfreulichen Er-gebnissen eine Überlassung an die Verwaltungspraxis führenkann, belegen gerade die negativen Erfahrungen mit der feh-lenden Harmonisierung der Wohlverhaltenspflichten unterder Wertpapierdienstleistungsrichtlinie.71) Auch wenn der Be-fund damit günstiger ausfällt als bei der Pflicht zur Beobach-tung bestandsgefährdender Entwicklungen, lassen sich auchhier Wiederholungen im Gesetz bzw. Pflichtendoppelungenausmachen. Zudem ist § 25a KWG wenig übersichtlich. Diestarke Ausweitung des Umfangs der Vorschriften zu Organisa-tionspflichten in der Neufassung von § 25a Abs.1 KWG und§ 33 Abs.1 WpHG bringt keine wesentliche Verschärfung derdeutschen Rechtslage mit sich, da die Vorgaben bereits vonder aufsichtsrechtlichen Praxis vorweggenommen worden wa-ren.72) Dies gilt auch für die allen Wertpapierdienstleistungs-unternehmen nun vorgeschriebene Einrichtung eines zentralenBeschwerdewesens. Hier stellt sich allerdings die Frage, warumder Gesetzgeber diese Vorgabe in § 33 WpHG und nicht in§ 25a KWG verankert hat, denn auch für Banken und Finanz-dienstleistungsinstitute wäre ein Beschwerdewesen sinnvoll.

Die Bedeutung von § 25a KWG und § 33 WpHG reicht auchin andere Rechtsgebiete hinein. Zwar werden sie zu Rechtnicht als Schutzgesetze begriffen.73) Hieran hat auch ihre Neu-fassung nichts geändert.74) Sie dienen der besseren Beaufsichti-gung und kommen dem einzelnen Anleger daher nur mittel-bar zugute. Aus ihnen können sich allenfalls Verkehrssiche-rungspflichten ergeben. Im Rahmen der Innenhaftung kanndie Einhaltung von Organisationspflichten der Geschäftslei-tung als Beleg für eine sorgfältige Entscheidungsfindung imRahmen der business judgement rule und als Entlastungsbeweisim Haftungsfalle dienen.

Weitreichender ist jedoch ihre Wirkung im Strafrecht. Wenndas Institut bestimmten Organisationspflichten unterliegt,kann aus diesen eine Garantenstellung abgeleitet werden (so-genannte Geschäftsherrenhaftung).75) Es besteht grundsätzlich

keine allgemeine Pflicht, Straftaten Dritter zu verhindern.76)

Wenn jedoch spezifische Organisationspflichten vorhandensind, die gerade auch ein solches Verhalten unterbinden sol-len, kommt eine Strafbarkeit zumindest in Form der Beihilfedurch Unterlassen in Betracht.77)

Diskutiert wird auch die Frage, ob die speziellen bank- und ka-pitalmarktrechtlichen Organisationspflichten im Wege einerGesamtanalogie herangezogen werden können, um Unterneh-men oder Konzerne, die keine Institute sind, zur Errichtungeiner Compliance-Organisation zu verpflichten.78) Dies ist …wie an anderer Stelle bereits dargelegt wurde79) … abzulehnen.Entscheidend ist die Schutzrichtung der jeweiligen Organisa-tionspflicht. Da diese höchst unterschiedlich sind und siezum Teil nur auf bestimmte Branchen bezogen sind, musseine Gesamtanalogie ausscheiden. Die Pflicht zur Complian-ce-Organisation kann also nur, sofern sie nicht … wie bei Insti-tuten … spezialgesetzlich festgelegt ist, anders begründet wer-den.80) Auch wenn die Gesamtanalogie ausscheidet, ist nichtzu übersehen, dass das Aufsichtsrecht zumindest eine gewisseSchrittmacherfunktion für die Diskussion entsprechenderPflichten in anderen Rechtsgebieten entfaltet. Es ist daherwahrscheinlich, dass die detaillierten Vorgaben in § 25a KWGund § 33 WpHG auf das Gesellschaftsrecht ausstrahlen; mitCompliance81) und Outsourcing82) verfügen wir bereits über die

68) Siehe Prigge/Offen, ZBB 2007, 89; Hüffer (Fußn. 10), § 161 Rz. 2, 4 m. w. N.69) Schreiben der BaFin v. 30. 10. 2007 … BA 17-K 3106…2007/0010: „Prinzi-pienorientierte Regulierung schafft Spielräume für alternative Umsetzungs-lösungen“, abrufbar unter: www.bafin.de/rundschreiben/87-2007/071030_ansch.htm (abgerufen am 15.11. 2007).70) Fischer (Fußn. 29), § 128 Rz. 52 a. E.71) Sethe (Fußn. 5), S. 474 ff.72) So auch Niedostadek, Risikomanagement nach MiFID, Der Risikomanager5/2007, 10, 13, 15; Spindler/Kasten, AG 2006, 785, 791.73) Sethe (Fußn. 5), S. 758 ff. Zur neueren Diskussion um die Schutzgesetzei-genschaft Schäfer, Sind die §§ 31 ff WpHG n. F. Schutzgesetze i. S. v. § 823Abs. 2 BGB?, WM 2007, 1872 m. w. N., der im Anschluss an BGH, Urt. v.19. 12. 2006 … XI ZR 56/05, ZIP 2007, 518, dazu EWiR 2007, 217 (Hanten/Hartig), eine restriktive Haltung bei der Zuerkennung dieser Eigenschaft ver-tritt.74) Kumpan/Hellgardt, DB 2006, 1714, 1716. Zweifelnd aber Spindler/Kasten,AG 2006, 785, 791.75) Vgl. dazu ausführlich Schröder, Kapitalmarktstrafrecht, 2006, Rz. 353 ff;Sethe, ZBB 2006, 243, 253 ff.76) Stree, in: Schönke/Schröder, StGB, 27. Aufl., 2006, § 13 Rz. 52; ebenso fürden Bereich der Geldwäsche Schröder/Textor, in: Fülbier/Aepfelbach/Langweg,GwG, 5. Aufl., 2006, § 261 StGB Rz. 57 ff.77) So im Ergebnis Vogel, in: Assmann/Schneider (Fußn. 1), § 38 Rz. 46. Imstrafrechtlichen Schrifttum ist umstritten, wie eine Teilnahme durch Unterlas-sen einzuordnen ist; zum Streitstand Cramer/Heine, in: Schönke/Schröder(Fußn. 76), Vorbem. § 25 Rz.101 ff.78) So vor allem Uwe H. Schneider, Compliance als Aufgabe der Unterneh-mensleitung, ZIP 2003, 645, 648 f; Sven H. Schneider, Informationspflichtenund Informationssystemeinrichtungspflichten im Aktienkonzern, 2006,S. 225 ff, 306.79) Sethe, ZBB 2006, 243, 254 f.80) Enger jetzt auch Uwe H. Schneider/Sven H. Schneider, Konzern-Complianceals Aufgabe der Konzernleitung, ZIP 2007, 2061, 2062, die die Pflicht aus§§ 76, 93 AktG ableiten. Die Gesamtanalogie findet keine Erwähnung mehr.In diese Richtung deutet auch die Kommentierung von Schwark (Fußn. 56),§ 33 WpHG Rz.13 a. E.81) Vgl. Uwe H. Schneider, ZIP 2003, 645, 648 f; Sven H. Schneider (Fußn. 78),S. 225 ff, 306; Sethe, ZBB 2006, 243, 254 f; Uwe H. Schneider/Sven H. Schneider,ZIP 2007, 2061, 2062; Schwark (Fußn. 56), § 33 WpHG Rz.13 a. E.82) Zur deshalb geführten Diskussion Fleischer, Zur Leitungsaufgabe des Vor-stands im Aktienrecht, ZIP 2003, 1; Preußner, Risikomanagement im Schnitt-punkt von Bankaufsichtsrecht und Gesellschaftsrecht … Zur Schrittmacherrolledes Aufsichtsrechts am Beispiel der Organisation des Risikomanagements inKreditinstituten, NZG 2004, 57.

Page 13: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

432 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

ersten beiden Beispiele hierfür. Angesichts der Gefahr einer zu-nehmenden Bürokratisierung sei vor einer kritiklosen Übernah-me der aufsichtsrechtlichen Standards allerdings gewarnt.

6.2 Wirksamkeit der Organisationspflichten

Trotz der weitreichenden europäischen und nationalen Rege-lungen über organisatorische Vorkehrungen zum Schutze vorRisiken kommt es immer wieder zu gravierenden Schadensfäl-len, von denen im Folgenden vier näher betrachtet werden.Bezeichnend ist dabei, dass jeweils menschliches Fehlverhal-ten oder Versagen eine zentrale Rolle gespielt hat.

Dr. Jürgen Schneider sanierte Gebäude in Top-Lagen deutscherGroßstädte.83) Seine riesigen Investitionen konnte er nurdurch Kreditaufnahmen finanzieren. Die Mieteinnahmenblieben deutlich hinter den Prognosen zurück. Dies lag an ei-ner zu optimistischen Markteinschätzung und an bewusstüberhöhten Flächenangaben. So „wuchs“ etwa bei dem Kreditfür den Neubau der Zeilgalerie in Frankfurt/M. die tatsäch-liche Nutzfläche von 9 000 Quadratmetern in den Unterlagenauf 22 000. Den Mitarbeitern der Deutschen Bank war dies imRahmen der Kreditprüfung nicht aufgefallen. Bei dem Bern-heimer Palais hatte Schneider zwei Stockwerke und damit eini-ge Tausend Quadratmeter mehr angegeben als vorhanden.Auch dies blieb unentdeckt. Schneiders Projekte erwiesen sichfast ausnahmslos als unrentabel. Nachdem sich der nach derdeutschen Wiedervereinigung überhitzte Immobilienmarktabkühlte, benötigte Schneider immer größere Kredite, um dieVerluste abzudecken. Die Großbanken handelten bei der Kre-ditvergabe grob fahrlässig. Schneider als Großkunde war überjeden Zweifel erhaben. Zudem befürchtete man sein Abwan-dern zur Konkurrenz. 1994 brach das Schneider-Imperium zu-sammen. Der Gesamtschaden betrug rund 2 Mrd. Euro. DerSchaden trat ein, obwohl es eine staatliche Beaufsichtigungdes Kreditgewerbes und insbesondere die Vorgabe des § 18KWG sowie die Verpflichtung zur Risikokontrolle gab.

1995 brach die älteste britische Privatbank Barings zusam-men.84) Verursacht wurde der Zusammenbruch durch den De-visenhändler Nick Leeson. Dieser war 1992 zum General Mana-ger der Barings Securities Niederlassung in Singapur befördertworden. Er war sowohl für die Einstellung von Händlern alsauch für die Abwicklung und die Kontrolle der Handels-geschäfte verantwortlich. Die Barings Zentrale erlaubte dieseunübliche Konstruktion, weil sich das Geschäft der BaringsSecurities in Singapur ausschließlich auf die Abwicklung vonKundenaufträgen und das risikoarme Arbitragegeschäft be-schränkte. Ein zusätzlicher Kontrolleur wurde daher für unnö-tig und zu teuer gehalten. Nick Leeson begann 1993 unauto-risiert zu spekulieren. Seine Verluste verbuchte er auf einemgeheimen Konto, die (fiktiven) Gewinne erhielt die Bank. Diesermöglichte ihm, hohe Gewinne auszuweisen. So stieg er baldzum Startrader der Bank auf. Seine Position innerhalb von Ba-rings wurde unangreifbar, Kontrollen der Zentrale begegneteer mit Fälschungen und Ausreden. Die Verluste auf dem ver-borgenen Konto schwollen von 2 Mio. Pfund Ende 1993 auf23 Mio. Pfund Ende 1994 an. Leeson versuchte, die aufgelaufe-nen Verluste durch waghalsige Spekulationen auszugleichen.

Nach dem Erdbeben von Kobe im Jahr 1995 erhöhte sich derFehlbetrag auf etwa 400 Mio. britische Pfund. Allein an die-sem Tag verlor er mehr als 55 Mio. Pfund. Leeson setzteschließlich alles auf eine Karte. Die Verluste stiegen innerhalbweniger Wochen dramatisch an und erreichten schließlich825 Mio. Pfund Sterling. Im Februar 1995 brach die BaringsBank zusammen. Faktisch wurde das grundlegende Bankprin-zip, das sogenannte „Vier-Augen-Prinzip“, ausgeschaltet. AlleEntscheidungen in einer Bank müssen gegengezeichnet wer-den, so dass eine wechselseitige Kontrolle vorhanden ist. DieAutobiographie von Nick Leeson85) offenbart, wie stark hiermenschliche Eitelkeiten eine Rolle spielten. Seine Vorgesetz-ten wollten nicht wahr haben, dass in ihrer Firma etwas schieflief, weil das ja auch die eigene Karriere negativ beeinflussenkonnte.

˜hnliche menschliche Schwächen lagen dem Zusammen-bruch der Sparkasse Mannheim im Jahre 1999 zugrunde.86)

Hier entstand ein Schaden von einer halben Mrd. Euro. Endeder 80er Jahre entschied sich die Sparkasse, ermuntert vomVerwaltungsratsvorsitzenden, dem Mannheimer Oberbürger-meister, das Kreditgeschäft auszuweiten. Es sollten nicht mehrnur Kredite innerhalb des Gebietes des Gewährträgers („Regio-nalprinzip“) vergeben werden. Die Sparkasse geriet in der Fol-ge in erhebliche wirtschaftliche Schwierigkeiten, so dass sieden bis 1999 aufgelaufenen Verlust von 900 Mio. DM nichtmehr bewältigen konnte. Drei Vorstandsmitgliedern wurdevorgeworfen, in den Jahren 1993 bis 1995 in acht Fällenpflichtwidrig Kredite in Höhe von über 80 Mio. DM vergebenzu haben. Die tatsächlichen Vermögensverhältnisse des Kre-ditnehmers wurden nicht im Detail überprüft. Nachdem dieGremien der Sparkasse Ende 1995 beschlossen hatten, das auf82 Mio. DM angewachsene Kreditengagement nicht weiter zuerhöhen, kam es 1996 noch zu weiteren Kreditausreichungendurch ein Vorstandsmitglied, die zur Verschleierung über di-verse Konten abgewickelt wurden. Dabei fungierten anderePersonen zum Schein als Kreditnehmer („Satellitenfinanzie-rung“). In einem zweiten Tatkomplex wurde den Vorstands-mitgliedern vorgeworfen, in den Jahren 1994 und 1995 insechs Fällen pflichtwidrig Kredite in Höhe von ca. 40 Mio.DM ausgereicht zu haben. Es lag damit ein typisches „Hierar-chieproblem“ vor. Die Kreditabteilung wird sich auf die An-weisungen des Vorstands verlassen haben, denn wenn derChef etwas sagt, wird es schon richtig sein. In solchen Situatio-nen wirft man häufig alle Organisations- und Kontrollpflich-ten über Bord.

Der vierte Bankenskandal betrifft die Bankgesellschaft Berlin,bei der ein Schaden von einer Milliarde Euro entstanden ist.Der Vorstand einer Tochtergesellschaft (Berliner Hypotheken-und Pfandbriefbank) hatte unter Außerachtlassung jeglicher

83) Einzelheiten bei Frey, Die Akte Schneider, 1996; Frank/Thorn, Paläste,Pleiten, Peanuts … Der Banken-Skandal Schneider, 1996; Jürgen Schneider, Be-kenntnisse eines Baulöwen, 1999.84) Zhang, Barings Bankruptcy and Financial Derivatives, 1995.85) Nick Leeson, Das Milliarden-Spiel … Wie ich die Barings-Bank ruinierte,1995.86) Vgl. zum Folgenden die Sachverhaltsdarstellung bei BGH, Urt. v.15. 11. 2001 … 1 StR 185/01, BGHSt 47, 148 = ZIP 2002, 346, dazu EWiR2002, 307 (Marxen/Müller).

Page 14: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 433

Sorgfalt Kredite vergeben. Auch dieser Bankenkrise lag einHierarchieproblem zugrunde.87)

Die organisatorischen Regelungen verhindern also keineswegsmenschliches Fehlverhalten oder Versagen. Hieran wird auchder jüngst erfolgte weitere Ausbau der bank- und kapitalmarkt-rechtlichen Organisationspflichten nichts Grundlegendes än-dern. Im Folgenden soll daher der Frage nachgegangen wer-den, ob sich Anleihen bei der Luftfahrt und in der Medizinmachen lassen, die sich ebenfalls um eine Verbesserung der Si-cherheitsstandards bemühen und die sich seit langem auchder Vermeidung von menschlichem Fehlverhalten durch an-dere Maßnahmen als Organisationspflichten widmen.

III. Reporting-Systeme1. Lehren aus der Luftfahrt1.1 FehlerquellenDie Luftfahrt bemüht sich seit Jahrzehnten um eine Verbes-serung der Sicherheitsstandards. Die Schulungen wurden in-tensiviert. Technische Verbesserungen haben das Fliegen inden letzten Jahrzehnten ständig sicherer gemacht. Flight- undVoice-Recorder helfen bei der Suche nach Ursachen von Flug-katastrophen. Dennoch kommt es immer wieder zu Unfällenoder Beinahekatastrophen. Eine Vielzahl von Schadensfällenberuht auf menschlichem Versagen. Die große Hoffnung derLuftfahrtindustrie bestand in der Einführung des Computers,der … gleichsam unfehlbar … den menschlichen Faktor ausschal-ten sollte. Die Hoffnung hat sich nicht erfüllt. Immer noch be-ruhen 75 % aller Schadensfälle auf menschlichem Versagen88)

bzw. auf einer Kombination von technischem Versagen gefolgtvon menschlichem Fehlverhalten (z. B. Arbeitsbelastung, Kom-munikationsfehler, Ausbildungs- und Überwachungsprobleme,ungenügende Ressourcen, Teamarbeit).89) Zwar findet sich eineVielzahl von Sicherheitsbarrieren (in der nachfolgenden Grafikals Käsescheiben dargestellt). Diese von Menschen entworfenenVorkehrungen sind ihrerseits nie perfekt, so dass die Barrierenkleine (oft unerkannte) Sicherheitslöcher aufweisen. Zudemmüssen Menschen die Sicherheitstechnik auch anwenden. Inunglücklichen Konstellationen kann es nun zu einer Kumulati-on von Fehlern und damit dem Versagen der Sicherheitsbarrie-ren kommen. Um im Bild zu bleiben: Wenn sich mehrere Käse-scheiben so übereinander schieben, dass die Sicherheitslöcherin einer Reihe stehen, kann sich ein Risiko zu einem uner-wünschten Zwischenfall (critical incident) verwirklichen. Gehtdieser mit einem Schaden einher und liegt Verschulden vor,handelt es sich gar um einen Haftungsfall.

Man kann auf jeden Fall feststellen, dass sich die Anstrengun-gen in der Luftfahrt lohnen, denn die Zahl der Unfälle ist imVergleich zur gestiegenen Kilometerleistung und Passagierzahlgesunken und im Ergebnis sehr gering. Höher fällt schon dieZahl der Beinahekatastrophen aus. Was wir nicht wissen, ist,wie hoch die Zahl von Zwischenfällen ist, die verheimlichtwerden.

1.2 Verheimlichen von Fehlern

Der Grund, warum unerwünschte Zwischenfälle verheimlichtwerden, liegt in der menschlichen Natur. Wer Fehler begeht,wendet sich nicht freudestrahlend an seinen Chef, gibt denFehler zu und macht einen Verbesserungsvorschlag. Denn dieReaktion des Chefs auf ein solches Vorgehen fällt in der Praxisregelmäßig nicht positiv aus. Er lobt nicht den Verbesserungs-vorschlag, sondern rügt das Fehlverhalten („Wie konnte esüberhaupt zu dem Fehler kommen?“). Dies beruht nicht zu-letzt auf dem Umstand, dass es nur menschlich ist, wenn einVorgesetzter „Dampf ablässt“, den „schuldigen“ Mitarbeiterausschimpft und den Fehler nicht einer abstrakten Institutionzuschreibt.90) Die Angst vor Zurechtweisung verhindert dieAuswertung des Zwischenfalls. Noch deutlicher wird dies,wenn sich ein Fehler wiederholt. Obwohl die Wiederholungein Alarmzeichen dafür sein müsste, dass die internen Abläufegrundlegend verbessert werden müssen, wird erst recht keinMitarbeiter zu seinem Vorgesetzten gehen und die Wieder-holung des Fehlers melden.

Es fehlt uns daher vielfach an einem angemessenen Umgangmit Fehlern, an einer „Fehlerkultur“ oder einem „Fehlermana-gement“.91) Wenn der Vorgesetzte von Zwischenfällen nichtserfährt, kann er diese auch nicht auswerten, um Verbesserun-gen vorzunehmen. Man kann aus den gemachten Fehlernnichts lernen. Der alte Satz „Aus Schaden wird man klug“ giltvor allem für das Individuum, das aus seinen Erfahrungenlernt. Arbeitsteilige Organisationen können aus Fehlern nurlernen, wenn sie nicht auf individueller Ebene verbleiben, son-dern gleichsam in das Bewusstsein der Organisation gehobenwerden. Während Katastrophen und Beinahekatastrophenaufgrund des Grades der Aufmerksamkeit, den sie erhalten, re-gelmäßig von der ganzen Organisation zur Kenntnis genom-men werden, gilt dies naturgemäß nicht für verheimlichte Zwi-schenfälle.

Bildlich gesprochen haben wir es hier mit einem Eisberg zutun. Oberhalb der Wasseroberfläche findet sich das eine Sieb-tel, in dem Schadensfälle und Beinahekatastrophen erkanntund gemeldet werden. Unter der Wasseroberfläche schlum-mern sechs Siebtel an Zwischenfällen, die wir nicht auswertenkönnen, an denen wir aber dringend interessiert sind, um ef-

Grafik nach Reason, Human error: models and management, British MedicalJournal (BMJ) 320 (2000), 768, 769.

87) Einzelheiten bei Rose, Eine ehrenwerte Gesellschaft … Die BankgesellschaftBerlin, 2003.88) Müller, Safety lessons taken from the airlines, British Journal of Surgery 91(2004), 393.89) Kaufmann/Staender/v. Below/Brunner/Portenier/Schneidegger, Computerba-siertes anonymes Critical Incident Reporting: ein Beitrag zur Patientensicher-heit, Schweizerische ˜rztezeitung 2002, 2554 m. w. N.90) Reason, British Medical Journal (BMJ) 320 (2000), 768.91) Grundlegend dazu Reason, British Medical Journal (BMJ) 320 (2000), 768.

Page 15: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

434 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

fektive Maßnahmen zur Vermeidung von Zwischenfällen er-greifen zu können.

1.3 Reaktion der Flugindustrie

In der Flugindustrie hat man sich schon frühzeitig auf Fehler-analysen und Reporting-Systeme konzentriert. Eine erste sys-tematische Fehleranalyse findet sich bereits 1947.92) 1954 folgteeine Analyse von critical incidents durch Flanagan,93) in der erpsychologische Studien der amerikanischen Luftwaffe ausdem Zweiten Weltkrieg auswertete. Später wurde diese Metho-de auch in der zivilen Luftfahrt angewandt, um Sicherheits-probleme aufzudecken, und mündete schließlich in das 1975errichtete Aviation Safety Reporting System (ASRS). Es handeltsich um ein anonymes, sanktionsfreies Reporting-System, indas unerwünschte Zwischenfälle eingegeben werden können.Die Daten werden systematisch ausgewertet und tragen erheb-lich zur Verbesserung der Flugsicherheit bei. An das System(http://asrs.arc.nasa.gov/main.htm) sind bis heute mehr als400 000 Zwischenfälle gemeldet worden.94) Großbritannienfolgte diesem Modell mit dem Confidential Human FactorsIncident Reporting Programme … CHIRP (www.chirp.co.uk).

Welch positive Erfahrungen mit einem solchen Reporting-Sys-tem gemacht werden können, wurde von einem mit Luft-sicherheit befassten Redner auf einer Tagung anhand des fol-genden, recht skurrilen Beispiels aufgezeigt:95) Ein Kampfjetpi-lot flog mit einer Beobachtungsmission bei Nacht über dieNordsee. Da die Mission langweilig und der Pilot neugierigwar, vertrieb er sich die Zeit damit herauszufinden, wie einesseiner Instrumente funktioniert. Zu diesem Zwecke hat er dasCockpit aufgeschraubt, um dieses Instrument auszubauen.Dies verursachte in der Bordelektronik einen Kurzschluss.Sein gesamtes Instrumentenbrett wurde schlagartig dunkelund der Pilot war bei Überschallgeschwindigkeit ohne Orien-tierung. Seine einzige Rettung bestand im Einschalten derNotstromversorgung durch Druck auf den entsprechendenSchalter, der links vom Pilotensitz angebracht war. Fatalerwei-se befand sich auch der Auslöser für den Schleudersitz links amSitz. Die Chancen des Piloten, den richtigen Schalter zu drü-cken, lagen also bei 50:50. Zum Glück hat er den richtigenKnopf getroffen und konnte mittels Notstromsystems sicher zu-rückkehren. Dieser Zwischenfall war so karriereschädlich, dasser um jeden Preis verheimlicht werden musste. Dass wir heutevon ihm wissen, verdanken wir einem Reporting-System, in dasder Pilot anonym den Vorfall eingeben konnte. Seitdem sinddie Schalter für Notstrom und Schleudersitz auf verschiedenenSeiten des Sitzes angebracht. Ohne ein solches System hätte eserst eines Unfalls bedurft, um diesen Fehler aufzudecken.

2. Lehren aus der Medizin

2.1 Die Diskussion um die Notwendigkeit einesUmdenkens

Bei der Fehlerprävention in der Medizin lässt sich sicherlicheine Vielzahl von Wegen erfolgreich beschreiten.96) Vielfachanalysiert man bereits eingetretene Schadensfälle, indem manUrteile auswertet97) oder die bei Gutachter- und Schlichtungs-stellen eingehenden Fälle untersucht.98) Mit diesem Vorgehen

erfasst man jedoch nur die Bereiche oberhalb der Wasserlinie.Will man auch die verborgenen Bereiche für die Prävention nut-zen, muss man Mitarbeitern die Möglichkeit geben, ohne Na-mensnennung und ohne die Furcht vor Sanktionen über einenZwischenfall berichten zu können. Mit einem solchen Berichts-system (auch als Reporting system On Latent Faults … ROLF … oderals Critical Incident Reporting System … CIRS … bezeichnet), ließensich auch Informationen über die Bereiche des Eisbergs erlan-gen, die unter der Wasseroberfläche verborgen sind.

Das Recht konzentriert sich in Haftungsfällen bisher auf denAusgleich schon eingetretener Schäden, auf Strafverfolgungund Entlassung der Schadensverursacher. Gerade durch diedrohenden Sanktionen wird der Anreiz gesetzt, Schadensfällezu verheimlichen. Dies wiederum trägt dazu bei, dass sich kri-tische Zwischenfälle wiederholen können. Diesen Kreislaufgilt es zu durchbrechen. Erforderlich ist daher auch ein Um-denken für Juristen.

Ein Weg könnte darin bestehen, das System einer verschul-densabhängigen Arzthaftung durch ein nicht an Verschuldenanknüpfendes Mediations- und Versicherungsmodell bei „un-erwünschten Behandlungsergebnissen“ zu ersetzen.99) Diesesgewinnt jedoch leicht den Charakter einer „Mitleidversiche-rung“, die auch dann zahlt, wenn kein Behandlungsfehler vor-liegt und sich nur das normale, mit einem Eingriff verbundeneRisiko verwirklicht hat. Ein solches Vorgehen kann zudem be-wirken, dass die Sorgfalt des behandelnden Personals mangelsSteuerungsfunktion der individuellen Haftung geringer aus-fällt. Möglich und mit dem deutschen Haftungsrecht besservereinbar erscheint es dagegen, anonyme, sanktionsfreie Re-porting-Systeme zu errichten. Dieses Vorgehen hat den Vor-teil, dass man gleichsam auf zwei Wegen eine Verbesserungmedizinischer Behandlungen erreichen kann. Bei der Bewälti-gung eingetretener Schadensfälle muss der Geschädigte seinenAnspruch auf den bekannten Wegen durchsetzen. Die von

92) Fitts/Jones, Analysis of Factors Contributing to 460 „pilot-error“ Expe-riences in Operating Aircraft Controls. Memorandum ReportedTSEAA-694…12, Aero Medical Laboratory, Air Material Command, WPAFB,Dayton OH, July 1947.93) Flanagan, The critical incident technique, Psychol Bull 51 (1954), 327.94) Staender, „Incident Reporting“ als Instrument zur Fehleranalyse in der Me-dizin, www.cirs.ch/zaefqdef.pdf (abgerufen am 1. 8. 2007).95) Müller, Sicherheitskultur im Gesundheitswesen … Können wir von derLuftfahrt lernen?, Vortrag auf dem Fachworkshop „Fehlervermeidung und Si-cherheitskultur im Gesundheitswesen“ der ˜rztekammer Berlin und des AOK-Bundesverbandes, 28. 4. 2004.96) Beispiele bei Kaufmann/Staender/v. Below/Brunner/Portenier/Schneidegger,Schweizerische ˜rztezeitung 2002, S. 2554, 2555.97) Krumpaszky/Sethe/Selbmann, Die Häufigkeit von Behandlungsfehlervor-würfen in der Medizin, VersR 1997, 420; Maier, Behandlungsfehler aus Sichtder beratenden Mediziner eines Arzt-Haftpflichtversicherers, VersMed 2001,129; Phillips/Bartholomew/Dovey/Fryer/Miyoshi/Green, Learning from malprac-tice claims about negligent, adverse events in primary care in the UnitedStates, Quality & Safety in Health (QSHC) 13 (2004), 121; Sethe/Krumpaszky,Arzthaftung und Qualitätsmanagement in der Medizin, VersR 1998, 420 … je-weils m. w. N.98) Vgl. etwa die Publikationen auf der Seite www.schlichtungsstelle.de.99) Zur entsprechenden Diskussion vgl. Katzennmeier, Arzthaftung, 2002,S. 214 ff; Runciman/Merry/Tito, Error, Blame, and the Law in Health Care …An Antipodean Perspective, Annals of Internal Medicine 138 (2003), 974;Kuhn, „Congress should pass legislation to extend protections . . .“ … CriticalIncident Reporting und Recht, Schweizerische ˜rztezeitung 2001, 1394, 1401;siehe auch Studdert/Brennan, No-Fault Compensation for Medical Injuries:The Prospect for Error Prevention, Journal of the America Medical Associa-tion (JAMA) 286 (2001), 217.

Page 16: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 435

Urteilen der Zivil- und Strafgerichte ausgehende general- undspezialpräventive Wirkung bleibt erhalten, und man kann dieUrteile zum Zwecke der Verbesserung der Qualität der Be-handlung auswerten. Parallel dazu wird ein System errichtet, beidem Verschulden und Sanktion keine Rolle spielen und daseine anonyme Eingabe erlaubt.100) Dadurch kann sowohl die be-handelnde Person, die einen Fehler gemacht hat, als auch einZeuge eine Meldung machen, ohne rechtliche oder moralischeSanktionen (z. B. Ausgrenzung) befürchten zu müssen.

Reporting-Systeme können auch dazu beitragen, dass die bis-weilen noch anzutreffende Kultur von Geheimhaltung und Pro-tektionismus im Gesundheitswesen durchbrochen wird.101) Zu-dem gibt es oft Vorfälle, bei denen eine Vielzahl von Ursachenmaßgebend war. Der einzelne Mitarbeiter kennt nur einen Aus-schnitt des Gesamtbildes. Erfolgen nun verschiedene Meldun-gen in einem Reporting-System, kann sich bei der Auswertungeine umfassendere Sichtweise ergeben.102) Um sicherzustellen,dass das Reporting-System tatsächlich auch sanktionsfrei undanonym ist, bedarf es juristischer Vorkehrungen. Bevor hieraufim Detail eingegangen wird (unten III 4), sei zunächst die tat-sächliche Entwicklung solcher Systeme beschrieben.

2.2 Die Entwicklung von Reporting-Systemen im Bereichder Medizin

Am Universitätsspital Basel wird seit langem erfolgreich mit ei-nem Critical Incident Reporting System (CIRS) gearbeitet(www.cirs.ch).103) Das System wurde 1995 auf Anregung vonRobert Helmreich, Department of Psychology der UniversitätTexas in Austin, USA, entwickelt, der seinerzeit als Gastprofes-sor in Basel war. 1996 wurde die erste Version von CIRS imIntranet des Departments freigeschaltet. Im Jahre 1998 wurdeCIRS dann zu einem nationalen Projekt der Schweizer Gesell-schaft für Anästhesiologie und Reanimation (SGAR). Soweitersichtlich, war es damit neben einem australischen System104)

das erste nationale Reporting-System im Bereich der Medizin.Seit 2001 ist CIRS bei der im selben Jahr gegründeten Stiftungfür Patientensicherheit in der Anästhesie angesiedelt. Im April2001 hat eine internationale Expertenkommission auf Ein-ladung des Bundesamtes für Sozialversicherung in Luzerneine Empfehlung zum nationalen Risk-Management in derSchweiz erarbeitet. Diese Arbeitsgruppe empfiehlt ausdrück-lich auch incident reporting als eine notwendige Maßnahme.105)

Um ein einheitliches Reporting von kritischen Ereignissen imgesamten Gesundheitswesen zu erreichen, gründeten die Ver-bindung der Schweizer ˜rztinnen und ˜rzte (FMH), die Ge-sellschaft schweizerischer Amts- und Spitalapotheker und derschweizerische Berufsverband für Krankenpflege im Jahre2002 CIRSmedical, die nun ein fächerübergreifendes Report-ing-System betreibt (www.cirsmedical.org).

Bei CIRS kann jeder Mitarbeiter anonym in einer Internet-maske Zwischenfälle eingeben.106) Der Arzt oder die Pfle-gekraft gibt an, in welcher Funktion er/sie tätig war, ob er dasEreignis verursacht oder nur beobachtet hat, ob der Patient ge-schädigt wurde und wie das Ereignis im Einzelnen ablief. Die-ses Reporting-System wird von Mitarbeitern verwaltet, die wei-sungsunabhängig sind und die dafür Sorge tragen, dass die ge-meldeten Zwischenfälle sich nicht zurückverfolgen lassen

(durch Löschen der IP-Adresse des Rechners, von dem aus ge-meldet wurde etc.). Dabei kommen ganz außergewöhnlicheZwischenfälle ans Tageslicht: Früher war es so, dass Medika-mente desselben Herstellers höchst unterschiedliche Ver-packungen hatten. Diese waren teilweise über Jahrzehnte gleichund damit unverwechselbar. Dann kam die Werbeindustrie aufdie Idee, die sogenannte Corporate Identity durchzusetzen.Dies hatte zur Folge, dass plötzlich Arzneimittelpackungen ei-nes Herstellers gleich aussahen und sich nur noch in der Be-schriftung unterschieden. Die Zahl unterschiedlicher Packungs-arten und -farben ging stark zurück und alle Produkte eines Her-stellers sahen sich sehr ähnlich. Hierdurch wurde eine Vielzahlvon Verwechslungen bei Medikamenten verursacht. Diese Feh-lerquelle wurde durch das Meldesystem aufgedeckt. Heute wirddas Design von Arzneimittelpackungen wieder unterschiedlichgestaltet, um die Warnfunktion zu erhöhen.

Auch in den USA,107) Großbritannien108) und in Deutschlandwird derzeit mit Reporting-Systemen experimentiert. So wurdebeispielsweise in einem Kieler Forschungsprojekt ein Fehler-berichtsystem für den hausärztlichen Bereich geschaffen109)

und an den drei Bremer Kinderkliniken ein anonymes Be-richtssystem eingerichtet,110) mit dem Beinahe-Fehler und un-erwünschte Ereignisse erfasst und ausgewertet werden. Das In-stitut für Allgemeinmedizin der Universität Frankfurt hat eininternetbasiertes Fehlerberichts- und Lernsystem für Hausärzte(www.jeder-fehler-zaehlt.de) entwickelt.111) Die Notärzte Bay-erns verfügen seit Oktober 2005 über eine Eingabemaske imInternet (www.cirs-notfallmedizin.de).

3. Die Vor- und Nachteile von Reporting-Systemen

Der Vorteil solcher Reporting-Systeme besteht darin, dass diePersonen, die an dem Vorfall beteiligt waren, ihn melden kön-

100) Dieses ist von herkömmlichen Qualitätssicherungsprogrammen zu un-terscheiden. Diese haben sich oft als wenig geeignet erwiesen, individuellesFehlverhalten aufzudecken, vgl. Walshe/Shortell, When Things Go Wrong:How Health Care Organizations Deal With Major Failures, Health Affairs, 23(2004), Nr. 3, 103, 105.101) Walshe/Shortell, Health Affairs, 23 (2004), Nr. 3, 103, 107.102) Walshe/Shortell, Health Affairs, 23 (2004), Nr. 3, 103, 107.103) Staender/Davies/Helmreich/Sexton/Kaufmann, The anaesthesia critical in-cident reporting system: an experience based database, International Journalof Medical Informatics 1997, 47, 87 ff, sowie zum Folgenden www.cirs.ch/history.pdf (abgerufen am 1. 8. 2007).104) Webb/Currie/Morgan et al., The Australian Incident Monitoring Study:An Analysis of 2000 Incident Reports. Anaesth.Intensive.Care 21 (1993), 520.105) Brunner/Conen/Günter/v. Gunten et al., Task Force Towards a safe Health-care System, Proposal for a National Programme on Patient Safety Improve-ment for Switzerland, Luzern 4/2001, 16, 17, www.swiss-q.org/pdf/Final_ReportE.pdf (abgerufen am 1. 8. 2007).106) Hierzu und zum Folgenden Kaufmann/Scheidegger, Anonymes CriticalIncident Reporting: Ein Beitrag zur Patientensicherheit (Lernen aus Fehlern),Synapse, März 2004, 1; Merten, Fehlermeldesysteme … Schweiz als Vorreiter,Deutsches ˜rzteblatt 101 (2004), A 162.107) Positiv ist etwa der Bericht über das Medical Error Tracking System (METS),https://www.doctorquality.com/www/news/news_070001.htm (abgerufen am1. 8. 2007). Siehe zur Manufacturer and User Facility Device Experience Database… (MAUDE) www.fda.gov/cdrh/maude.html (abgerufen am 1. 8. 2007).108) Dazu Amoore/Ingram, Learning from adverse incidents involving medicaldevices, British Medical Journal (BMJ) 325 (2002), 272.109) Merten, Deutsches ˜rzteblatt 101 (2004), A 162.110) Presseservice Gesundheit, Ausgabe 1 v. 28. 4. 2005, S.11, 12, www.aok-bv.de/imperia/md/content/aokbundesverband/dokumente/pdf/presse/psg_thema_01_05.pdf (abgerufen am 1. 8. 2007).111) Rohe/Beyer/Gerlach, Warum künftig jeder Fehler zählt, Der Hausarzt18/2004, 62.

Page 17: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

436 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme ZBB 6/07

nen (Authentizität der Meldung). Eine Vielzahl von Meldun-gen erlaubt eine systematische Auswertung. Dabei werdenauch seltene, atypische Ereignisse erfasst. Wenn mehrere Zwi-schenfälle dieser Art auftreten, ist dies ein Anzeichen für einenProzessfehler. Schwachstellen werden sehr viel früher erkannt.Durch die Anonymität wird die Bereitschaft der Beteiligten er-zeugt, sich zu beteiligen. Diese hängt natürlich auch ganzmaßgeblich davon ab, welchen Stellenwert ein ArbeitgeberMeldungen mittels solcher Systeme einräumt. Der Erfolg vonReporting-Systemen ist damit auch eine Frage der Unterneh-menskultur und Unternehmensethik.112)

Zu ihren Nachteilen gehört sicherlich der Umstand, dass essich um ein freiwilliges System handelt.113) Seine Funktions-fähigkeit lebt von der Bereitschaft zur Eingabe. Das System istzudem auf ein wahrheitsgemäßes und detailliertes Reportingangewiesen. Es werden nur Ereignisse eingegeben, die der Be-troffene als berichtswürdig einstuft. Kleinere Zwischenfällewerden daher oft als zu harmlos angesehen und nicht gemel-det.114)

Ein anonymes System birgt die Gefahr, zum Mobbing genutztzu werden. Das System funktioniert daher nur, wenn Meldun-gen auf ihre Wahrhaftigkeit überprüft werden und man demVorfall auch nachgeht. Ein weiterer Nachteil sind die Kosteneines solchen Systems.

4. Juristische Aspekte von Reporting-Systemen

Zu den Nachteilen der Reporting-Systeme gehört sicherlichauch ihr rechtlich ungesicherter Status. Ein solches Systemfunktioniert nur, wenn es anonym und sanktionsfrei betriebenwerden kann. Um dies zu gewährleisten, müssen bestimmterechtliche Rahmenbedingungen geschaffen werden, auf dienachfolgend einzugehen ist.115)

4.1 Unabhängigkeit der SystembetreuerEs muss sichergestellt werden, dass die Personen, die das Sys-tem betreuen, unabhängig von Arbeitgebern, Staatsanwältenund Aufsichtsbehörden arbeiten können. In dem Moment, indem man einem Arbeitgeber die Möglichkeit gibt, in diesesReporting-System hineinzuschauen, um die Namen der Ver-ursacher von Zwischenfällen zu erfahren, wird das Berichtssys-tem wertlos. Kein weiterer Mitarbeiter wird mehr freiwilligeine Meldung verfassen. Man könnte deshalb daran denken,den Systembetreuern das Recht einzuräumen, Eingriffe desArbeitgebers in das System zu verhindern und Auskunft überEinzelheiten zu verweigern.

Sinnvoller und leichter zu verwirklichen ist jedoch eine An-bindung des Reporting-Systems an eine unabhängige undneutrale Instanz, z. B. einen Bankenverband. In diesem Fallhat der Arbeitgeber keinerlei Zugriff auf Daten. Dies schütztallerdings nicht vor dem Zugriff von Staatsanwaltschaften undder BaFin. Zwar kann man dies verhindern, indem man dasSystem von einer Anwaltskanzlei betreiben lässt, doch kanndieser Weg nur eine Hilfskonstruktion sein, denn er verhin-dert ein die ganze Branche umfassendes Reporting-System.Letztlich hilft daher nur eine gesetzliche Privilegierung (dazusogleich unter 4.3).

4.2 Gewährleistung technischer Anonymität

Weiterhin muss man sicherstellen, dass das System nicht vonaußen zugänglich ist (technische Anonymität). Es dürfen alsonur die Administratoren dieses Systems die Möglichkeit ha-ben, die Daten einzusehen und zu verwalten. Dies lässt sicham besten durch technische Vorkehrungen sicherstellen undist daher keine juristische Fragestellung.

4.3 Prozessuale Verwertung

Will man die Anonymität und Sanktionsfreiheit des Systems si-cherstellen, gilt es zu verhindern, dass die eingegebenen Infor-mationen Gegenstand eines Gerichtsverfahrens in Kündigungs-schutzprozessen, Strafverfahren oder Haftungsfällen werden.

Derzeit ist eine Unverwertbarkeit der in der Datenbank enthalte-nen Meldungen weder im Straf- noch im Arbeits- oder Zivilver-fahren sichergestellt. Solange die Meldungen von den System-betreuern rechtzeitig anonymisiert werden, kann der Meldungkeine Einzelperson mehr zugeordnet werden und die Informati-on ist damit prozessual regelmäßig wertlos. Wurde die Informa-tion aber vorher beschlagnahmt, ist sie derzeit verwertbar. Umein Verwertungsverbot zu erreichen, bedarf es einer gesetzlichenRegelung. Zu bedenken ist eine zweite Konstellation. Selbstwenn die Meldung anonymisiert wurde, können die Daten imSystem immer noch dazu genutzt werden, dem Institut ein Or-ganisationsverschulden nachzuweisen. Auch dies gilt es zu ver-hindern, denn ansonsten erweist sich die Einrichtung eines Re-porting-System als Eigentor für das Institut oder die Branche.

Weiterhin müssten Zeugnisverweigerungsrechte für die Be-treuer der Datenbank („Beichtgeheimnis“) eingeführt und § 53Abs.1 StPO sowie § 383 Abs.1 ZPO geändert werden. Nur solässt sich verhindern, dass die Systembetreuer als Zeugen dafürbenannt werden, von welchem PC die Meldung einging undob in der Meldung Anhaltspunkte für eine Identifikation desMeldenden zu finden waren.

Aus den gleichen Gründen müssen schließlich die in das Sys-tem eingebenden Personen Aussage- und Zeugnisverweige-rungsrechte erhalten. Auch dies ist durch eine ˜nderung von§ 53 Abs.1, § 55 Abs.1 StPO und § 383 Abs.1 ZPO zu be-werkstelligen.

112) Inzwischen haben sich erste Firmen etabliert, die solche Whistle-Blo-wing-Systeme vertreiben, vgl. www.business-keeper.com (abgerufen am15.11. 2007). Zu den Unterschieden zwischen der US-amerikanischen und dereuropäischen Unternehmenskultur vgl. Portmann/Wohlmann, Whistleblowing,SJZ 2007, 179.113) Zur Diskussion über die flächendeckende und verpflichtende Einfüh-rung solcher Systeme Leape, Reporting of adverse events, N Engl J Med 347(2002), 1633.114) Wenn man an das Beispiel der Flugzeugkatastrophe vom Bodenseedenkt, erscheint es äußerst fraglich, ob jemand als Meldung eingegeben hätte,die Telefonleitung der Flugsicherung sei besetzt gewesen, weshalb eine War-nung nicht mehr rechtzeitig kam. Dass eine solche Kleinigkeit gefährlich seinkann, bedenkt man im Vorhinein oft nicht.115) Nicht eingegangen werden kann auf arbeits-, mitbestimmungs- und da-tenschutzrechtliche Fragen, dazu LAG Düsseldorf, Beschl. v. 14. 11. 2005 … 10TaBV 46/05, ZIP 2006, 436; Barthel/Huppertz, Arbeitsrecht und Datenschutzbei „Whistleblower-Klauseln“, AuA 2006, 204; Wisskirchen/Körber/Bissels,’Whistleblowing’ und ’Ethikhotlines’, Probleme des deutschen Arbeits- undDatenschutzrechts, BB 2006, 1567; v. Zimmermann, Whistleblowing und Da-tenschutz, RDV 2006, 242; zum Schweizerischen Recht Hunzicker, Whistle-blowing, Festschrift von der Crone, 2007, 163; Portmann/Wohlman, SJZ 2007,179; von Kaenel, Whistleblowing, SJZ 2007, 309, jeweils m. w. N.

Page 18: University of Zurich - UZH · Zeitschrift für Bankrecht und Bankwirtschaft 2007, 19(6):421-437. Sethe, R (2007). Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten

ZBB 6/07 Sethe, Erweiterung der bank- und kapitalmarktrechtlichen Organisationspflichten um Reporting-Systeme 437

Ohne die vorgeschlagenen Gesetzesänderungen besteht dieMöglichkeit der prozessualen Verwertung der eingegebenenInformationen. Aus diesem Grunde warnten und warnen dievorhandenen Reporting-Systeme in den USA116) und in derSchweiz117) die eingebenden Personen, keine bereits eingetrete-nen Schadensfälle zu melden. Dies reduziert natürlich denWert der Reporting-Systeme, da die meldenden Personen inZweifelsfällen Abstand von einer Eingabe in das System neh-men. Dies wurde in zahlreichen Staaten erkannt, wo entspre-chende gesetzliche Privilegierungen gefordert werden.118)

Australien119) und die USA120) haben bereits entsprechendeGesetze für den Bereich des Gesundheitswesens erlassen.

5. Branchenspezifische Lösung

Reporting-Systeme sind Teil des Gesamtkomplexes „Whistle-blowing“, also der Meldung von Zwischenfällen am üblichenDienstweg vorbei. Der Sarbanes-Oxley-Act,121) der bei Verstöß-en gegen Buchführungs- und Bilanzvorschriften Anzeigepflich-ten regelt, hat … da deutsche Unternehmen mit Börsenzulassungin den USA hiervon betroffen sind … auch hierzulande eine regeDiskussion über die Sinnhaftigkeit des Whistleblowing aus-gelöst.122) Sie wird allerdings stark vom Vorverständnis über dieFrage geprägt, ob anonyme Meldungen im Sinne der All-gemeinheit sind oder nicht („Vorbeugen“ versus „Petzen“) undwem gegenüber man meldet. Zur Klarstellung sei deshalb be-tont, dass es sich bei den Reporting-Systemen gerade nicht umSysteme zur direkten Meldung an Behörden oder Melden vonKollegen bei den Vorgesetzten handelt.123) Vielmehr muss es da-rum gehen, den Unternehmen ein Instrument zur Verhütungvon Schadensfällen ohne Sanktionen an die Hand zu geben.Dazu ist ein dezentraler, unternehmens- oder branchenspezi-fischer Ansatz vorzugswürdig.124) Größere Unternehmen sind inder Lage, ein betriebsinternes System zu errichten, während klei-nere Unternehmen sich einer Verbandslösung oder Selbstregu-lierungsorganisation anschließen können.125) Die positiven Er-fahrungen der Flugindustrie und Medizin könnten und solltenfür die Finanzdienstleistungsbranche jedenfalls Anlass sein,über die Errichtung institutsinterner oder institutsübergreifen-der Reporting-Systeme nachzudenken.

IV. Ergebnisse

1. Auf komplexe und schadensanfällige Vorgänge reagiert dieRechtsordnung mit dem Erlass von Organisationspflichten.

2. Es lassen sich primäre und sekundäre Organisationspflich-ten unterscheiden. Bei den primären steht das Regelungs-ziel der Organisation im Vordergrund, bei den sekundärenergibt sich das Gebot zu einer bestimmten Organisationlediglich als mittelbare Folge aus einer anderen Pflicht.

3. Im Bank- und Kapitalmarktrecht lässt sich eine Zweitei-lung feststellen. Zum einen werden solche Pflichten an dieRechtsform gekoppelt, zum anderen werden sie bankauf-sichtsrechtlich verankert.

4. Es sind vielfach eine Pflichtendoppelung und ein hoherGrad an regulatorischer Unübersichtlichkeit festzustellen.Zudem bergen Organisationspflichten die Gefahr einesAufblähens der Bürokratie. Ihr Einsatz will daher wohl-überlegt sein.

5. Die überwiegende Zahl der Schadensfälle beruht aufmenschlichem Versagen oder auf einer Kombination vonmenschlichem und technischem Versagen. Zu dessen Ver-hütung helfen Organisationspflichten nur bedingt weiter.

6. Menschliches Fehlverhalten wird nur selten zugegeben, dasich Ehrlichkeit kaum karrierefördernd auswirkt. Eine Viel-zahl von Zwischenfällen bleibt daher unentdeckt.

7. Das Recht konzentriert sich in Haftungsfällen bisher aufden Ausgleich schon eingetretener Schäden, auf Strafver-folgung und Entlassung der Schadensverursacher. Geradedurch die drohenden Sanktionen wird der Anreiz gesetzt,Schadensfälle zu verheimlichen. Dies wiederum trägt dazubei, dass es zu Wiederholungen von kritischen Zwischen-fällen kommen kann.

8. Die Erfahrungen in der Luftfahrt und in der Medizin bele-gen, dass ein anonymisiertes und sanktionsfreies Report-ing-System dabei hilft, bislang unentdeckte Zwischenfällezu erkennen und auszuwerten.

9. Um die Anonymität und Sanktionsfreiheit des Reporting-Systems zu gewährleisten, müssen folgende Vorkehrungengetroffen werden:

… Die Daten im System müssen anonymisiert werden.

… Die Verwertbarkeit der in das System eingegebenen In-formationen im Zivil-, Straf- und Arbeitsgerichtsprozessmuss ausgeschlossen werden. Standesorganisationenund Aufsichtsbehörden dürfen keinen Zugriff haben.

… Die persönliche Unabhängigkeit des bedienenden Per-sonals von Arbeitgebern muss sichergestellt werden.

… Personen, die in das System eingeben, dieses verwaltenoder Informationen empfangen, müssen ein Aussage-bzw. Zeugnisverweigerungsrecht erhalten.

10. Die positiven Erfahrungen der Flugindustrie und Medizinkönnen für die Finanzdienstleistungsbranche Anlass sein,institutsinterne oder institutsübergreifende Reporting-Sys-teme zu errichten.

116) Rechtsvergleichend dazu Kuhn, Schweizerische ˜rztezeitung 2001, 1394.117) Kuhn/v. Below, „Melden Sie keine Flugzeugunfälle auf diesem Formu-lar!“ … CIRSmedical … Massnahmen für den Vertraulichkeitsschutz, Schweize-rische ˜rztezeitung 2003, 1399.118) Beispielhaft Kuhn/v. Below, Schweizerische ˜rztezeitung 2003, 1399 (fürdie Schweiz) sowie Fußn. 49 (für die Niederlande und Dänemark).119) Runciman, Lessons from the Australien Patient Safety Foundation: Set-ting up a national patient safety surveillance system … is this the right model?,Quality & Safety in Health (QSHC) 11 (2002), 246, 250.120) Mit dem Patient Safety and Quality Improvement Act of 2005 wurdeTitle IX des Public Health Service Act geändert. Die neu eingefügte sec. 922sieht die Vertraulichkeit der eingegebenen Informationen und Verwertungs-verbote vor. Unter besonderen, genau festgelegten Bedingungen kann aller-dings im Strafverfahren auf die Informationen zugegriffen werden, weshalbdie genannte Warnung weiterhin zu beachten ist.121) Dazu statt vieler Weber-Rey, Whistleblowing zwischen Corporate Gov-ernance und Better Regulation, AG 2006, 406, 408.122) Zu weiteren ausländischen Regelungen vgl. Landgerber, Whistleblowingunter dem Aspekt der Korruptionsbekämpfung, 2005, S. 61 ff; von Kaenel, SJZ2007, 309.123) Mit dem False Claim Act verfügen die USA bereits seit dem Bürgerkriegüber eine Regelung dieser Problematik.124) Im Ergebnis auch jetzt auch Weber-Rey, AG 2006, 406, 409, die für eineSelbstregulierung eintritt.125) Berndt/Hoppler, Whistleblowing … ein integraler Bestandteil effektiverCorporate Governance, BB 2005, 2623, 2629.


Recommended