Journal der Wirtschaftsstrafrechtlichen Vereinigung e.V.

Bekämpfung von Korruption und Geldwäsche in der EU – Erfahrungen aus der Praxis

Julia Arbery, LL.M., WiJ 2021, 152

Aufsichtsbehörden, welche grenzübergreifend tätig sind, treiben die Durchsetzung von Korruptions- und Geldwäschebekämpfungsmaßnahmen weiter voran. Dies führt dazu, dass sich multinationale Unternehmen, auch im deutschsprachigen Raum, zunehmend mit hohen Geldstrafen und negativen Schlagzeilen konfrontiert sehen.

Im Jahr 2020 erließ die U.S Securities and Exchange Commission (SEC) eine Reihe von Maßnahmen zum Foreign Corrupt Practices Act (FCPA), die sich insgesamt auf über 6,4 Milliarden US-Dollar beliefen. Zwei davon waren die bisher größten Entscheidungen dieser Behörde, die sich auf mehr als 5 Milliarden Dollar beliefen. Hinzu kommt, dass in diesem Sommer auch die Europäische Kommission neue Gesetzesvorschläge vorlegte, mit dem Ziel, die Aufdeckung sogenannter “verdächtiger Aktivitäten” zu verbessern und vermeintliche Lücken zu schließen, die die Geldwäsche über Finanzinstitute ermöglichen. Und erst kürzlich hat die britische Financial Conduct Authority (FCA) eine große Privat- und Geschäftsbank wegen unzureichender Geldwäschekontrollen erfolgreich strafrechtlich verfolgt. Hauptvorwurf war hierbei, dass unterlassene Kontrollen dazu führten, dass ein Kunde der Bank über mehrere Jahre hinweg fast 500 Millionen Dollar wusch.

Besonders besorgniserregend für multinationale Unternehmen ist hierbei die Tatsache, dass viele der jüngsten größeren Korruption- und Geldwäscheverfehlungen Unternehmen betreffen, welche Compliance-Regelwerke, -Prozesse und -Ressourcen haben. Das zugrundeliegende Problem geht jedoch einen Schritt weiter und liegt in dem Fehlen von internen Kontrollen oder dem Vorliegen von lediglich schwachen internen Kontrollen und/oder schlecht definierter oder schlecht ausgeführter Richtlinien, die dazu beitragen, einzelne Vorfälle nicht einzudämmen und aufzudecken, ehe diese Vorfälle zu größeren Problemen für die Unternehmen werden.

Bei der Bewertung von Compliance-Programmen und der Gestaltung der unterstützenden Richtlinien, Prozesse und internen Kontrollen sollten Unternehmensführung, unternehmensinterne Compliance-Experten und die einbezogenen Anwälte daher stets:

1. Eine umfassende Risikobewertung der Compliance durchführen

Viele der Unternehmen, die in letzter Zeit unter die Lupe genommen wurden, verfügten zwar auf dem Papier über ein Compliance-Programm, in der Praxis fehlten jedoch die geeigneten Kontrollen, um Fehlverhalten aufzudecken oder ganz zu verhindern.

Eine ganzheitliche und fortlaufende Risikobewertung kann hierbei helfen, die bekannten, versteckten oder neu entstehenden sogenannten Compliance-Hotspots zu identifizieren und für das eigne Unternehmen zu bewerten, ob eingeführte Kontrollen angemessen sind und auch effektiv funktionieren. Während dieser Bewertung sollten Rechts- und Compliance-Fachkräfte die aktuellen Richtlinien und Prozesse genau unter die Lupe nehmen. Sind diese effektiv gestaltet? Werden diese im guten Glauben durch Mitarbeiter und Führungskräfte angewandt?

Nach Abschluss der Prüfung sollten auf der Grundlage der ermittelten Schwachstellen die bestehenden Richtlinien und Prozesse aktualisiert, die internen Kontrollen verstärkt und Schulungen für identifizierte Compliance-Lücken durchgeführt werden.

Diese Durchführung laufender Risikobewertungen hilft den Unternehmen auch dabei, sich nicht zu sehr auf bestehende Kontrollen zu verlassen und die Mitarbeiter zu schulen, um ihr Bewusstsein für die Wirksamkeit der Kontrollen zu entwickeln.

2. Einsatz von Datenanalysen einführen

Unternehmen verfügen über mehr Daten als je zuvor, und die Nutzung dieser Daten ist in vielen Branchen und bei den zuständigen Aufsichtsbehörden nicht mehr nur eine Frage der Zeit, sondern eine grundsätzliche Erwartung. Durch die Nutzung verfügbarer Daten­sätze können Institutionen potenzielle Anomalien und „problematische“ Transaktionen besser erkennen, disparate Daten miteinander verbinden und fragwürdige Muster aufdecken. Da aufgrund der andauernden Pandemie die Belegschaften vielerorts zu einem hybriden Modell übergehen und die persönliche Aufsicht durch Führungskräfte begrenzt bleibt, können Datenanalysen potenzielle Probleme oft auf eine Weise aufdecken, die selbst erfahrene Prüfer nicht können. Sobald Schwachstellen aufgedeckt werden, können strengere Kontrollen eingeführt und eine effektivere Reaktion auf potenzielles Fehlverhalten entwickelt werden.

Durch den erfolgreichen Einsatz von Datenanalysen kann das betriebliche Gesamtbild für Unternehmensführung und Compliance-Verantwortliche genauer dargestellt werden, um so ihre Entscheidungsfindung zu verbessern und strategische Initiativen in allen wichtigen Geschäftsbereichen zu unterstützen – ein Mehrwert, der nicht nur eine solide Compliance, sondern auch eine Umsatzsteigerung bewirken kann.

Wenn es unweigerlich in einem Unternehmen zu Fehlverhalten kommt, führt der Einsatz von Datenanalysen oft zu effizienteren Sachverhaltsaufklärung und Ursachenanalysen, zur Rationalisierung von Datenanfragen und -extraktion, zu vorläufigen Bewertungen und zu detaillierten Analysen und sogenannter “Tests”. 

Letztendlich kann der Einsatz von Daten dazu beitragen, die von den Aufsichtsbehörden gewünschten pragmatischen und gezielten Korrekturmaßnahmen durchzuführen.

3. Missstände aufarbeiten und beheben

Wenn es um ausreichende Abhilfemaßnahmen geht, ist Zeit das A und O. Sobald Fehlverhalten aufgedeckt wird, sollten die Compliance-Verantwortlichen und ihre Berater sofort mit der Behebung beginnen, eine Ursachenanalyse durchführen und gegebenenfalls mit den wichtigsten Interessengruppen, einschließlich Aufsichtsbehörden, Vorstandsmitgliedern, relevanten Abteilungen wie das Personalwesen aber auch den Mitarbeitern, in angemessenem Umfang kommunizieren.

Unternehmen, die erfolgreich umfassende Anstrengungen zur Aufarbeitung und Behebung von Fehlverhalten nachweisen können, werden erheblich geringeren Strafen ausgesetzt werden und möglicherweise sogar eine Verurteilung und eine behördlich angeordnete “Überwachung” in Form eines sogenannten “Compliance Monitor” sogar ganz vermeiden können.

Die Behebung von Fehlverhalten ist ein bewegliches Ziel, zumal die Verursacher immer ausgereifter tätig werden und immer größere Anstrengungen unternehmen, um ihre Tat zu verbergen. Daher sind Unternehmensleiter und Compliance-Experten gut beraten, die zuvor genannten kontinuierlichen Risikobewertungen vorzunehmen und auch immer wieder zu hinterfragen, ob die vorgeschriebenen Richtlinien, Prozesse und internen Kontrollen auch tatsächlich die gewünschte Wirkung haben. Die Integration von Daten in diese Bemühungen hilft, potenzielle Probleme effizienter zu erkennen und auf die sich entwickelnde Risikolandschaft zu reagieren. Aber auch hier können sich Unternehmen und interne Revisionsteams nicht einfach auf oberflächliche Daten oder Informationen von Mitarbeitern an der Front verlassen, die selbst die Komplexität der Transaktionen häufig nicht komplett überblicken können oder verstehen. Stattdessen sollte die Datenanalyse genutzt werden, um risikoreiche Transaktionen auf ihre Angemessenheit zu prüfen. Und schließlich: Wenn Fehlverhalten dann doch auftaucht, sollte man nicht zögern, sondern sofort Abhilfe schaffen.

Es ist insbesondere angesichts der Tatsache, dass Aufsichtsbehörden auf der ganzen Welt mehr und mehr sich auf die grenzüberschreitende Durchsetzung von Korruptionsbekämpfungsmaßnahmen konzentrieren, wichtig, die Wahrscheinlichkeit für das eigne Unternehmen zu verringern, ins Visier dieser Aufsichtsbehörden zu geraten.  Ein effektives Anti-Korruptions/Geldwäsche-Präventions-Programm, das globale Aktivitäten berücksichtigt, ist hierbei unumgänglich. Um entsprechend solide Programme zu entwickeln und zu implementieren, sollte die Unternehmungsführung unterstützt durch Compliance- und Rechts-Experten ihre derzeitigen internen Kontrollen bewerten und feststellen, wo sie verstärkt oder neu erstellt werden müssen, um unlautere Aktivitäten zu erfassen, und die derzeit im Unternehmen verfügbaren Datensätze verstehen und wissen, wie sie zur Erkennung potenzieller Anomalien eingesetzt werden können.