Das US Department of Justice – Criminal Division hat seine “Evaluation of Corporate Compliance Programs” (ECCP) aktualisiert.
Das seit 2017 existierende und immer wieder aktualisierte ECCP ist ein Leitfaden für Strafverfolgungsbehörden in den USA, mithilfe dessen Hilfe Interne Kontrollprogramme von Unternehmen insbesondere in Bezug auf ihre Wirksamkeit im Falle einer Ermittlung bewertet werden, und in welchem Maße das bestehende Compliance-Programm des Unternehmens als mildernder oder verschärfender Faktor in Betracht gezogen werden kann.
Zusätzlich richtet sich der Text auch an Unternehmensjuristen, Compliance-Verantwortliche und Führungskräfte, die für die Implementierung und Verwaltung von Compliance-Programmen zuständig sind. Der Leitfaden bietet ihnen detaillierte Informationen darüber, welche Anforderungen und Erwartungen seitens der Justiz an wirksame Compliance-Programme gestellt werden.
Ein Compliance-Programm (nicht beschränkt auf die Exportkontrolle) sollte gemäß ECCP nach drei grundlegenden Fragen bewertet werden:
- Ist das Compliance-Programm des Unternehmens gut gestaltet („well designed“)?
Diese Frage zielt darauf ab, festzustellen, ob das Programm darauf ausgelegt ist, Fehlverhalten zu verhindern und aufzudecken. Dies umfasst eine individuelle, aktuell gehalten, proaktive Risikobewertung, klare Richtlinien und Prozesse sowie Schulungen. - Wird das Programm ernsthaft und in gutem Glauben angewendet („earnestly and in good faith“)?
Hierbei wird geprüft, ob das Compliance-Programm angemessen finanziert und personell ausgestattet ist und über die nötigen Ressourcen verfügt, um effektiv zu arbeiten. - Funktioniert das Compliance-Programm in der Praxis?
Diese Frage untersucht, ob das Programm tatsächlich funktioniert, indem es Fehlverhalten verhindert oder entdeckt und wie es in der Praxis bei konkreten Vorfällen agiert.
Auf einer Rede anlässlich einer Tagung der „Society of Corporate Compliance and Ethics“ im September 2024 wies die stellvertretende Generalstaatsanwältin Nicole M. Argentieri auf die wichtigsten Punkte der letzten Änderung des ECCP hin:
- Zukunftstechnologien und KI: Unternehmen müssen die spezifischen Risiken identifizieren, die sich durch den Einsatz von Technologien wie KI ergeben. Dies schließt potenzielle rechtliche, ethische und betriebliche Risiken ein, einschließlich der Risiken durch Missbrauch oder Fehlverhalten durch KI-Systeme.
- Whistleblower: Unternehmen sollten Mitarbeiter dazu anhalten, mögliche Compliance-Verstöße zu melden. Insbesondere der Schutz der Mitarbeiter vor Nachteilen und „Vergeltung“ (retaliation) muss gewährleistet werden.
- Zugang zu Daten und Analysetools: Mitarbeiter der Compliance-Abteilung sollen angemessenen Zugang zu den relevanten Geschäftsdaten haben. Entsprechende Ressourcen und Technologien müssen zur Verfügung stehen.
Ist das ECCP für deutsche und europäische Unternehmen relevant?
Viele Anforderungen des ECCP an Compliance Programme, wie Risikobewertung, Aufbau- und Ablauforganisation, Schulungen und Prüfungen, sind auch für Unternehmen in Deutschland und der EU relevant. Sie spiegeln Anforderungen wider, die in Richtlinien z. B. des BAFA oder der EU für Interne Kontrollprogramme in der Exportkontrolle gestellt werden.
Insbesondere der Fokus auf ein aktuell gehaltenes Risikomanagement und die Anpassung des Compliance-Programms an spezifische Geschäftsrisiken ist ein international anerkanntes Prinzip.
In den USA haben Unternehmen im Rahmen des Strafrechts unter dem ECCP die Möglichkeit, durch effektive Compliance-Programme Strafmilderungen zu erhalten. In Deutschland hingegen gibt es kein Unternehmensstrafrecht in diesem Sinne. Die Einführung eines „Verbandssanktionsgesetzes“ hätte in diese Richtung gehen können, ist aber nach mehreren Anläufen schon unter der großen Koalition auch von der jetzigen Bundesregierung nicht in Sicht.
Unser Fazit:
Das ECCP kann für deutsche und europäische Unternehmen eine wertvolle Orientierungshilfe sein, um internationale Best Practices in ihre Compliance-Programme zu integrieren. Allerdings müssen Unternehmen sicherstellen, dass sie diese Ansätze an die spezifischen Anforderungen des europäischen und deutschen Rechts anpassen, insbesondere im Bereich Datenschutz und Unternehmensstrafrecht.
Weiterführende Informationen
Wenn Sie Unterstützung bei der Umsetzung dieser Anforderungen benötigen oder nach effizienten Lösungen für Ihr Export-Compliance-Management suchen, besuchen Sie sanktionslisten.de. Wir bieten spezialisierte Beratung, um Ihr Unternehmen sicher durch die komplexen Anforderungen der Exportkontrolle und Compliance zu navigieren.