Blog

Compliance-Anforderungen an die Logistikbranche haben sich in den letzten Jahren nicht unerheblich erhöht. International tätige Auftraggeber unterliegen meist selbst strengen Compliance-Regelungen und sind zu ihrem eigenen Schutz darauf bedacht, und zum Teil auch dazu verpflichtet, diese Regelungen auf ihre Auftragnehmer, sprich Logistikdienstleister, zu überbinden. Logistikdienstleister sehen sich daher im Rahmen von Logistikverträgen regelmäßig dazu verpflichtet, die Einhaltung der – zum Teil weit über das nationale Recht hinausgehenden Anforderungen – zu gewährleisten und gleichzeitig sicherzustellen, dass ihre Subunternehmer diesen erhöhten Anforderungen entsprechen. Dies eröffnet neben der Ausübung des Kerngeschäfts Logistik einen nicht unerheblichen Dokumentations- und Überwachungsaufwand. Da im Rahmen von Logistikverträgen ein Verstoß gegen Compliance-Anforderungen zum Teil mit erheblichen Vertragsstrafen geahndet wird, bzw. im schlimmsten Fall zur Aufkündigung des Logistikvertrags führen kann, ist es ratsam, sich mit den internationalen Compliance-Anforderungen vertraut zu machen. Soweit dies möglich ist, sollte sowohl vertraglich als auch strukturell entsprechend Vorsorge getroffen werden. Dieser Beitrag soll einen kurzen Überblick über die prominentesten internationalen Regelwerke geben und im zweiten Teil mögliche praktische Überwachungstools zeigen.

US Foreign Corrupt Practices Act / UK Bribery Act

Zu den prominentesten internationalen Regelungswerken gehören der UK Bribery Act (UKBA) und der US Foreign Corrupt Practices Act (FCPA). Der Schutzzweck der Bestimmungen umfasst die Unterbindung von Korruption und Wirtschaftskriminalität, die Gewährleistung von fairen Arbeits- und Sozialbedingungen sowie die Sicherung von Umweltstandards. Unter den Anwendungsbereich des FCPA fallen neben US-Staatsbürgern auch Ausländer mit Wohnsitz in den USA, Unternehmen mit einer Rechtsform nach dem Recht eines US-Staates sowie ausländische Unternehmen mit Hauptsitz in den USA. Des Weiteren sind alle ausländischen natürlichen und juristischen Personen erfasst, die auf dem Territorium der USA Handlungen zur Korruptionsförderung begehen. Dabei sind ein Telefonat oder eine E-Mail, die als Beitrag zur Korruptionsförderung zu qualifizieren sind, ausreichend. Nach dem FCPA kann ein Unternehmen für das strafbare Verhalten seiner Mitarbeiter, aber auch seiner Tochterunternehmen, Joint-Venture Partner und Vertragspartner im In- und Ausland verantwortlich gemacht werden. Dies allerdings nur dann, wenn es diese strafbaren Handlungen angeordnet, kontrolliert oder zumindest davon gewusst hat. Durch den weitreichenden Anwendungsbereich wird dem FCPA eine besondere Vorbildfunktion in der Bekämpfung gegen Korruption zugeschrieben.

Der Strafbarkeit nach UKBA unterliegt ein Unternehmen dann, wenn eine mit ihm verbundene Person (Unternehmen oder natürliche Person wie z.B. die MitarbeiterInnen) einen Bestechungstatbestand erfüllt.

Der UKBA sieht neben unbeschränkten Geldstrafen für das Unternehmen eine Maximalstrafe von zehn Jahren Haft für die Entscheidungsträger (Geschäfstführung, Vorstand) vor.

Frankreich – Lex Sapin II

Die vom französischen Parlament verabschiedete Lex Sapin II, welche in Frankreich ansässige Unternehmen zur Führung eines Code of Conducts (COC) verpflichtet, unterstreicht die rasche Entwicklung auf dem Gebiet der Compliance. Der auch als „soft law“ bezeichnete CoC dient allen Stakeholdern des Unternehmens. In erster Linie ist die Geschäftsführung betroffen, deren persönliches Risiko deutlich reduziert ist, wenn sie wirksame personelle, funktionelle und organisatorische Maßnahmen getroffen hat, um für Compliance im Unternehmen zu sorgen. Zugleich werden alle Mitarbeiter vor straf- und zivilrechtlichen Ansprüchen geschützt.

Vertragspraxis

Wie eingangs bereits erwähnt, zeigt die gängige Vertragspraxis, dass internationale Unternehmen die sie treffenden Compliance-Verpflichtungen auf ihre Subunternehmer wie z.B. Logistikdienstleister überbinden, um das Risiko von möglichen Compliance-Verstößen möglichst auf die Subunternehmer zu übertragen. Verletzt das beauftragte Unternehmen die zum Beispiel im CoC vereinbarten Pflichten, kann, neben monetären Sanktionen, die außerordentliche Kündigung des Vertrages aus wichtigem Grund drohen. Wie bereits erwähnt, führt diese Praxis dazu, dass auch ausschließlich in Österreich tätige Logistikdienstleister neben dem sie ohnehin treffenden nationalen Recht auch ausländische Rechtsvorschriften einhalten müssen.

Compliance Management System

Vor dem Hintergrund der genannten Beispiele internationaler Gesetzgebung sowie der gängigen Vertragspraxis ist die Implementierung eines effektiven Compliance-Managements-Systems (CMS) unerlässlich. Ein erfolgreiches CMS setzt sich aus drei Elementen zusammen:

• Prävention: die präventive Maßnahmenergreifung, um Rechtsverstöße zu verhindern
• Aufdeckung: z.B. regelmäßige Monitoring-Maßnahmen, ob das CMS eingehalten wird, ggf. Einrichtung von Hinweisgebersystemen
• Reaktion: Eingegangene Hinweise müssen überprüft werden und festgestellte Lücken des CMS müssen geschlossen werden

Insbesondere die angeführten Auditierungsmaßnahmen sind für ein funktionsfähiges CMS unabdingbar. Diese müssen einerseits unternehmensintern sowie andererseits in den Unternehmen der Subunternehmer erfolgen. Konsequenterweise finden sich in den Verträgen zwischen den Auftraggebern und Logistikdienstleistern geschäftspartnerbezogene Sorgfaltspflichten in Bezug auf weiter eingeschaltete Dienstleister und die Verpflichtung, solche weiteren Dienstleister dem ursprünglichen Auftraggeber offenzulegen. Besonderes Augenmerk sollte in der Logistikbranche auf die Bereiche der Korruption und Wirtschaftskriminalität, die Einhaltung von Arbeits- und Sozialbedingungen sowie Umweltbedingungen gelegt werden. So verpflichtet das kürzlich vom deutschen Gesetzgeber beschlossene Lieferkettensorgfaltspflichtengesetzt („LkSG“) deutsche Unternehmen, ab dem Jahr 2023 die Einhaltung von Mindeststandards zum Schutz der Umwelt in ihren Geschäftsbereichen zu kontrollieren. Kern der Sorgfaltspflichten von Unternehmen, die in den Anwendungsbereich des LkSG fallen, ist wiederum die Einrichtung eines angemessenen und effektiven Risikomanagementsystems, um die bestehenden vertraglichen Beziehungen anzupassen und für neu einzugehende Verträge das Risiko von Umweltrechtsverletzungen zu minimieren. Des Weiteren müssen sich Unternehmen die Einhaltung von umweltbezogenen Obliegenheiten durch ihre Subunternehmer vertraglich zusichern lassen.

Der Gesetzgeber etabliert somit einen Mechanismus, der in der Vertragsgestaltung zwischen internationalen Konzernen, wie beispielsweise Ikea und Danone, und ihren Logistikdienstleistern regelmäßig vereinbart wird, um die Sorgfaltspflicht in der Lieferkette von unterschiedlichen Vor- und Zulieferern bis zum Endprodukt zu garantieren. Bereits mehr als 100 Investoren, darunter auch die oben genannten, fordern die EU-Kommission dazu auf, ein wirksames EU-Lieferkettengesetz vorzulegen. Dadurch sollen, auch ohne individuelle Vereinbarung, alle Unternehmen in Europa erfasst werden. Das europäische Gesetz solle außerdem auch eine zivilrechtliche Haftung ermöglichen, was nach dem deutschen Lieferkettengesetz nicht möglich ist. Auf EU-Ebene gibt es bereits einen Entwurf der Kommission zu einem Lieferkettengesetz.

Mag. Daniela Steiner, Rechtsanwältin Schindler Attorneys
Valentin Ölz, Paralegal Schindler Attorneys

Praktische Entwicklung und Durchführung eines CMS

Geopolitische Spannungen, systematische Probleme in den Supply Chains und durch beide Faktoren weiter zunehmende gefährliche Compliance-Verstöße machen gerade auch die praktische CMS-Entwicklung und – Durchführung essentiell.

Um nur ein aktuell besonders brennendes Compliance-Feld zu nennen:

Die administrativen Führungen des mit Abstand strengsten und effektivsten Sanktions-Regimes der Welt, jenes der USA, sprechen Warnungen gerade an Service-Unternehmen wie Logistikunternehmen aus, die sie auch mit oft extraterritorialer Wirkung verfolgen und durchsetzen: “Treasury can and will target those who evade, attempt to evade, or aid the evasion of U.S. sanctions against Russia […]”. (Under Secretary for Terrorism and Financial Intelligence Brian E. Nelson am 20. April 2022; zuständig für OFAC-Sanktionen, die alle Branchen betreffen.) Hier ist also ein ernsthafter und umfassender Ansatz bei der praktischen Realisierung (Vermeidung von kritischen Compliance-Verstößen) wichtiger denn je.

Dafür fällt aber auch der Return on Investment guter CMS (professionell und betriebsfreundlich, nicht schablonenartig entwickelt) erheblich aus:

Reduktion des wachsenden Risikos schwerer Schäden für Unternehmen, EigentümerInnen, Management und MitarbeiterInnen sind das eine. Eine überlegen machende Sicherheit im angespannten Marktumfeld, die zum Wettbewerbsvorteil wird, das andere.

Risiko- und Unternehmens-angepasster Umfang des CMS

Maßstab bei der CMS-Entwicklung sollte zumindest sein, dass das eigene System von Behörden und Gerichten als (1.) passend entworfen (“designed”), (2.) ernsthaft implementiert und (3.) praktisch wirksam (dokumentiert) nachvollzogen werden kann. Alles bezogen auf (a) die glaubwürdig erhobenen Risiken, die den Betrieb konkret besonders betreffen (risk based approach – siehe unten) und (b) proportional zur Unternehmensstruktur und – größe.

Insbesondere bei Geltung von “strict liability” (so bei Verfolgung von US-Sanktionen durch das OFAC) können selbst nicht erkennbare Verstöße zu monetär erheblicher Haftbarkeit führen. Die Festlegung des tatsächlichen Umfangs bemisst sich dann jedoch v.a. nach (a) dem CMS und (b) dem Verhalten des Unternehmens (vor und nach dem Vorfall). Also nach der Frage, wie vorwerfbar Verstöße sind.

Aus der Logistik-Branche kann dazu im Bereich Compliance (FCPA) zur Anschauung auf den internationalen Fall “USA v. Transport Logistics International, Inc.” (2018) und seine umfangreichen Justiz-Veröffentlichungen verwiesen werden. Hier wurden im internationalen Geschäftsbetrieb ein US-Unternehmen sowie mehrere, auch nicht amerikanische, Individuen verfolgt. Dies führte letztendlich zu einem Settlement (in der Form eines “deferred prosecution agreements”) und einer Reduktion der Strafe von USD 21 Millionen auf USD 2 Millionen. Diese erhebliche Entlastung erfolgte aufgrund von (a) umfassender Kooperation mit der Justiz, (b) internen Konsequenzen und Überarbeitung des CMS, sowie (c) Berücksichtigung der wirtschaftlichen Lage des US- Unternehmens. Ein effektives CMS und daraus resultierendes Verhalten zahlen sich also aus.

Mit diesem Maßstab vor Augen betrachten wir jetzt die Komponenten eines solchen CMS:

Komponenten eines adäquaten CMS für internationale Logistikunternehmen und praktisch häufige Schwachstellen

Als Vorfragen sollte Strukturelles, wie die funktionale Zuständigkeit, geklärt werden (ein Compliance Officer?; zusätzlich ein Komitee?), sowie Überschneidungen und Synergien dabei.

Die Zusammenlegung aller Compliance-Bereiche, dies mitunter auch mit dem Security Bereich, ist in vielen Fällen sinnvoll.

Ebenso hilft es strukturell, sich die Verantwortung von Unternehmensführung, Management und Mitarbeitern in Lines of Defense vorzustellen. Ganz oben ist demnach die Führung, die drei Lines of Defense (LoD) zur Einhaltung der Compliance einrichten sollte:

Die erste LoD sind die MitarbeiterInnen, die den Kunden- und Partnerkontakt pflegen. Hinter und über diesen stehen die Compliance- und Security-Funktionen als zweite LoD. Und beide LoD werden nochmals – in der Tiefe

– von zuständiger Audit und Revision als der dritten LoD kontrolliert und auf Verbesserungen reflektiert. Dringen Korruption und/oder Inkompetenz durch alle drei LoD durch, ist die Wirkung meist erst nach Jahren zu spüren – dann aber mitunter sehr folgenreich für Unternehmen und Individuen.

Sind solche Grundstrukturen vergegenwärtigt, ist der Ausgangspunkt jedes guten CMS ein Risiko-basiertes Commitment der Führung; was uns zu den obersten beiden Komponenten des CMS bringt: Das sind einerseits Compliance Governance und Commitment der Unternehmensführung; was sich in Kommunikation und Mitteleinsatz widerspiegeln muss. Und andererseits ein laufendes Risk Assessment, welches der zugeschnittenen Gesamtausrichtung dient (“Risk Based Approach”).

In der Praxis scheitern CMS oft an nicht vorhandener oder unqualifiziert durchgeführter Risk Intelligence sowie nicht durchgeführten Risk Assessments. Ohne regelmäßige (zugeschnittene!) Risiko-Bilder können CMS weder effektiv noch effizient und proportional sein.

Darauf zugeschnitten sollten dann Risiko-Entscheidungen getroffen (welche Risiken werden bis zu welchem Punkt gänzlich umgangen, reduziert oder toleriert) sowie entsprechend betriebsganzheitlich Steuerungs- und Kontroll-Prozesse (“Internal Controls”) entwickelt werden.

Praktisch besonders effektiv ist es dabei, diese Internal Controls in zwei Bereiche differenzierend zu entwickeln und anzuwenden: Vorgaben für den Normalbetrieb werden in “Blue Books” verfolgt und von Vorgaben für definierte kritische Sonderlagen in “Red Books” unterschieden. Dies erfolgt anhand von Kriterien, die den Übergang von Blue Books zu Red Books darlegen (Decision Points mit Eskalations-Regeln nach oben). Dies sollte schon beim Policy Drafting beachtet werden. Wobei der Red Books-Bereich mit der Entwicklung des Incident Managements zusammenhängtsiehe hierzu unten).

Konkret unter Internal Controls fallen bei Logistik-CMS beispielsweise: “Sanctions Screening Tools”; Monitoring kritischer Bereiche wie Eigentümerverhältnisse von Partnern; KYC-Maßnahmen; oder Enhanced Due Diligence bei definierten Transaktionen (mit Kunden, Partnern und Übernahmezielen).

In  der  Umsetzung  dieser  Internal  Controls  sind  dann  als  nächste  Komponenten  des  CMS Training/Kommunikation und Dienstaufsicht/Line Management entscheidend.

Hier sind mit wenig Aufwand unmittelbare “quick wins” möglich, die aber zu oft übersehen werden. Dies ist dann der Fall, wenn effektive(!) Awareness Trainings und Abschreckungs-Kommunikationen fehlen (die größte Schwachstelle ist immer noch der Mensch, nicht die IT).

Effektiv sind Maßnahmen zugunsten Awareness und Abschreckung in der Praxis oft deswegen nicht, weil sie nur mittels “Durchklicken am Schirm” oder monoton-abstrakten Vorträgen abgehalten werden. Sehr wirksam ist hingegen das Durchgehen emotional ergreifender Fälle, welche betrieblich-persönliche Relevanz aufzeigen – glaubwürdig zugeschnitten und vermittelt. Das kann mit einem extern zugekauften Workshop für ausgewählte Unternehmens-Funktionen beginnen, die dann die Produkte dieser Experten-Zusammenarbeit intern weiter verbreiten und zu einem Teil der Unternehmenskultur und des internen Know-Hows machen (“train the trainers”).

Ein entscheidendes weiteres Element eines CMS sind Meldesysteme – oder zumindest Verfahren dazu, die jede MitarbeiterIn und kritische Stakeholder kennt und denen sie vertrauen kann. Da dies ein eigenes und rechtlich sehr dynamisches Thema darstellt (vergleiche Whistleblower-Gesetzeslage EU/Österreich), kann an dieser Stelle nicht näher darauf eingegangen werden.

Des Weiteren ist dringend anzuraten, auch im CMS ein “Incident, Investigation und Crisis Management” zu reflektieren und zu definieren – ausgerichtet an CMS-Szenarien und integriert in den Bereich der Red Books des CMS (siehe oben Internal Controls) sowie abgestimmt mit dem generellen Krisenmanagement.

Schwere Schäden treten oft ein, weil solche kritischen Szenarien nicht vorher in Grundzügen durchgespielt wurden. Dann kann es beispielsweise passieren, dass Zuständige unter dem psychischen Druck des Gefährlich- Unbekannten überfordert “Schnellschüsse” abgeben, die nicht mehr rückgängig gemacht werden können. Oder etwa das Unternehmen erst im Alarmfall realisiert, dass es Leaks oder Angriffe in der digitalen Sphäre nicht schnell genug bekämpfen kann. Das kommt u.a. vor, weil Anbieter aus vertraglichen oder faktischen Gründen einen Fake Account nicht so bald einstellen können oder wollen. Derartige Fälle bösen Erwachens sind verheerend, aber bei proaktiven CMS oft vermeidbar: um bei unserem Beispiel zu bleiben, kann mittels rechtzeitiger Verifizierung bei Anbietern eine Verkürzung der Reaktionszeit durch Notfall-Verfahren erreicht werden.

Als nächste Komponente sollte die bewusst-selektive Zusammenarbeit und das Compliance Information Sharing mit Partnern, Industrieverbänden, Rechtsanwälten, externen Dienstleistern und Behörden (“Liaison”) prozessual integrierend und synchronisierend definiert werden: Wer spricht wann mit wem; was wird dabei wie mitgeteilt oder erbeten. Wird das nicht reflektiert, wird es in der Praxis immer wieder rechtlich und/oder geschäftlich unangenehm.

Und schließlich sind die Aufsichts-getriebenen Funktionen Audit, Revision und Weiterentwicklung (v.a. Umsetzung von Lessons Learned) entscheidend. Dies sollte praktisch u.a. mittels Erhebungen erfolgen (“Wie oft lehnen Sie KundInnen ab?”; “Woran erkennen Sie Verdachtsfälle auf Export End User Verschleierung?”), sowie mittels Testing (z.B. Probeanfragen) und Sampling (tatsächlich abgewickelte Dokumente/Fälle und ihre BearbeiterInnen werden herausgezogen und in den Revisions-Fokus genommen).

Zu guter Letzt müssen alle angeführten Aspekte rechtlich (vertraglich, arbeitsrechtlich, datenschutzrechtlich etc.) evaluiert und proaktiv abgebildet werden. Etwa durch Klauseln oder Vertragsänderungen, damit MitarbeiterInnen soweit machbar und erwünscht Tests, Meldesystemen und Überwachungen zustimmen. Oder durch Anpassungen der Unternehmensverfassung hinsichtlich Verantwortungsfragen.

Abschließend bleibt festzuhalten, dass es immer schon zu den Stärken der mitteleuropäischen Logistiker gehörte, sich an eine dynamische Welt anzupassen. In diesem Sinne werden Logistikunternehmen auch heute die Compliance Hürden meistern und diese wohl auch als strategischen Wettbewerbsvorteil nützen können.

Mag. Olivier Scherlofsky, RSB International