Finanzmarktintegritätsstärkungsgesetz (FISG) – „Lex Wirecard“ – Erhebliche Rechtsunsicherheiten zu erwarten
Im Juni 2020 musste der Zahlungsverkehrsspezialist Wirecard AG Insolvenz anmelden. Angebliche Bankguthaben von € 1,9 Mrd. auf philippinischen Treuhandkonten waren unauffindbar. Der Finanzskandal des Dax-Konzerns ist unzweifelhaft der größte derartige Fall in der deutschen Nachkriegsgeschichte. Mittlerweile wurde ein parlamentarischer Untersuchungsausschuss eingesetzt. Gegen Vorstand und weiteres Führungspersonal der Wirecard AG stehen Betrugsvorwürfe im Raum. Auch die Jahresabschlussprüfer von Ernst & Young, die Deutsche Prüfstelle für Rechnungslegung e.V. (DPR), die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und andere sind kritischen Fragen ausgesetzt.
Dass durch ein solches Ereignis das Vertrauen in den deutschen Finanzmarkt erschüttert wurde, lässt sich nicht zuletzt aus zahlreichen Reaktionen aus dem Ausland ablesen. Dort wird Deutschland bspw. „a weird tolerance for corporate crime“[1] vorgeworfen oder das Wallstreet Journal kritisiert, die BaFin habe sich – ungeachtet von jahrelangen Hinweisen von US-Behörden, Journalisten und Insidern – auf die Seite der Wirecard AG geschlagen[2]. Hinzu kommen Vorwürfe gegen die innerorganisatorische Compliance bei der BaFin, etwa im Zusammenhang mit Aktienkäufen durch Mitarbeiter.
Die Bundesregierung musste also dringend handeln: Das Bundesjustiz- und das Finanzministerium veröffentlichten bereits im Oktober 2020 – also nur 4 Monate nach Insolvenzanmeldung der Wirecard AG – den Referentenentwurf eines Gesetzes zur Stärkung der Finanzmarktintegrität (FISG). Inzwischen liegt der Regierungsentwurf in der Fassung vom 24.02.2021 vor (BT-Drucksache 19/26966). Ziel des Gesetzes ist, das Vertrauen in den deutschen Finanzmarkt zu stärken, so heißt es in der Regierungsbegründung:
„Manipulationen der Bilanzen von Kapitalmarktunternehmen erschüttern das Vertrauen in den deutschen Finanzmarkt und fügen ihm schweren Schaden zu. Jüngste Vorkommnisse haben gezeigt, dass insbesondere die Bilanzkontrolle gestärkt und die Abschlussprüfung weiter reguliert werden müssen, um die Richtigkeit der Rechnungslegungsunterlagen von Unternehmen sicherzustellen.“
Das dafür herangezogene Repertoire ist recht breit. Es hat den Anschein, der Gesetzgeber dreht hektisch an vielen Stellschrauben, mit dem Ziel, Vertrauen in den deutschen Finanzmarkt zurückzugewinnen. Vorgesehen sind u.a. folgende Maßnahmen:
- Ein stärker staatlich-hoheitlich geprägtes Bilanzkontrollverfahren, wobei die BaFin bei Verdacht von Bilanzverstößen direkt und unmittelbar mit hoheitlichen Befugnissen gegenüber Kapitalmarktunternehmen auftreten kann.
- Eine verpflichtende Rotation externer Prüfer nach zehn Jahren sowie eine wesentliche Ausweitung der Pflicht zur Trennung von Prüfung und Beratung bei Unternehmen von öffentlichem Interesse.
- Die Verschärfung der zivilrechtlichen Haftung des Abschlussprüfers gegenüber dem geprüften Unternehmen für Pflichtverletzungen. Insbesondere soll sich der Abschlussprüfer künftig nur noch bei einfacher, nicht mehr bei grober Fahrlässigkeit auf die normierten Haftungshöchstgrenzen berufen können (§ 323 Abs. 2 Satz 2 HGB n. F.).
- Durch Verschärfungen im Bilanzstrafrecht ist eine stärker abschreckende Ahndung geplant – und zwar gegenüber (i) Unternehmensverantwortlichen bei Abgabe eines unrichtigen „Bilanzeids“ sowie (ii) Abschlussprüfern bei Erteilung inhaltlich unrichtiger Bestätigungsvermerke zu Abschlüssen von Unternehmen von öffentlichem Interesse.
- Es werden gesetzliche Pflichten für den Vorstand börsennotierter Aktiengesellschaften zur Einrichtung eines angemessenen und wirksamen internen Kontrollsystems (IKS) sowie eines Risikomanagementsystems (§ 91 Abs. 3 AktGE) eingeführt. Darüber hinaus ist die Einrichtung eines Prüfungsausschusses in Aufsichtsräten von Unternehmen von öffentlichem Interesse verpflichtend (§ 107 Abs. 4 AktGE). Diese Änderungen zielen auf eine Stärkung unternehmensinterner Kontrollsysteme und eine Verbesserung der Verantwortungsstrukturen ab.
- Um Zweifel an der Integrität der BaFin von vorneherein auszuschließen und Interessenkonflikte zu vermeiden, wird Beschäftigten der BaFin der Handel mit bestimmten Finanzinstrumenten untersagt. Starke, vertrauenswürdige Finanzmärkte brauchen – so die Regierungsbegründung – eine glaubhafte und zuverlässige Aufsicht.
Einer der zentralen Punkte des FISG ist die gesetzliche Pflicht des Vorstands börsennotierter Aktiengesellschaften ein angemessenes und wirksames internes Kontrollsystem (IKS) und Risikomanagementsystem (RMS) einzurichten. Dies umfasst zwingend auch ein Compliance-Management-System (CMS). Umso erstaunlicher ist, dass sich nirgendwo im Gesetzesentwurf die ausdrückliche Verpflichtung findet, ein wirksames Compliance-Management-System einzuführen, zu überwachen und vorzuhalten.
Aus der Regierungsbegründung ergibt sich allerdings, dass das interne Kontrollsystem auch die Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften umfasse (BT-Drucksache 19/26966 S. 113, 3. Absatz). Der Entwurf des FISG fordert, dass das IKS und RMS im Hinblick auf den Umfang der Geschäftstätigkeit und die Risikolage des Unternehmens angemessen und wirksam sein müsse. Selbstverständlich hat der Vorstand bei der konkreten Ausgestaltung des CMS (also der Frage des „Wie“) einen breiten Ermessensspielraum (Stichwort: business judgement rule). Aber die Frage, „Ob“ es zwingend eines CMS bedarf, dürfte sich nach Wirecard – und anderen großen Compliance-Fällen, die ihren Ursprung in Deutschland haben – eigentlich nicht mehr stellen. Auch im KWG wird die „Compliance Funktion“ als Bestandteil des IKS genannt (§ 25 a Abs. 1 Nr. 3 lit. c KWG). Ob dann zusätzlich, wie von einigen Experten bei der jüngsten Anhörung zum FISG im Finanzausschuss des Bundestags am 15.03.2021 gefordert, die notwendigen Komponenten eines CMS gesetzlich festgeschrieben werden müssen, darüber lässt sich streiten. Es steht jedoch fest, dass in der Praxis vieler Unternehmen eine Whistleblowing-Funktion, ein angemessener „Tone from the top“, ein Drittparteien-Management mit einer Drittparteien-Due-Diligence (TPDD-System) sowie eine Funktion zur Durchführung interner Untersuchungen längst zum Standardrepertoire eines wirksamen CMS gehören. Gerade das Drittparteien-Geschäft über Treuhandkonstruktionen war bei Wirecard einer der Auslöser des Falls! Zur Klarstellung der gesetzgeberischen Anforderungen sollten diese praxisrelevanten Komponenten eines CMS, basierend auf den international anerkannten Standards „Prevent, Detect, Response“ ins Aktiengesetz aufgenommen werden. Hierdurch ließe sich auch größere Klarheit hinsichtlich des aktuell im Gesetzgebungsverfahren befindlichen Verbandssanktionengesetzes herbeiführen. Denn der Gesetzentwurf des VerSanG knüpft eine Reihe von Privilegierungen an die Einführung und Aufrechterhaltung eines CMS und versucht so Investitionsanreize zu setzen (zum VerSanG siehe unseren COMINDIS-Beitrag vom 26.01.2021 Wann kommt das Verbandssanktionengesetz? – Comindis Website).
Überdies sollte im FISG klargestellt werden, dass die Überwachung des CMS verpflichtend ist und zu den Aufgaben des Prüfungsausschusses gehört. Das neu vorgesehene Auskunftsrecht des Vorsitzenden des Prüfungsausschusses gegenüber den Leitern der Zentralbereiche ist zu begrüßen, es muss aber selbstverständlich auch den Chief Compliance Officer einschließen.
Die vorgesehenen Maßnahmen im FISG zur Corporate Governance bleiben daher deutlich hinter dem internationalen Standard zurück. Es bleibt abzuwarten, inwieweit die weitere politische Diskussion zu Änderungen des Entwurfes führt. Jedenfalls verbleiben auf der Grundlage des aktuellen Entwurfes zahlreiche Rechtsunsicherheiten.
Download Memo als PDF: https://comindis.com/wp-content/uploads/2021/03/20210324_FISG_Lex-Wirecard.pdf
************
Dr. Eric Decker Dr. Ingo Kühl
COMINDIS Partnerschaft von Rechtsanwälten mbB
Steinstraße 27
40210 Düsseldorf
Germany
T +49 211 542249 20
F +49 211 542249 29
eric.decker@comindis.com
ingo.kuehl@comindis.com
www.comindis.com
[1] https://fcpablog.com/2020/07/30/at-large-in-germany-a-weird-tolerance-for-corporate-crime/
[2] https://www.wsj.com/articles/how-germanys-sec-dismissed-a-decade-of-warnings-about-wirecard-11594907212
************
Dr. Eric Decker Dr. Ingo Kühl
COMINDIS Partnerschaft von Rechtsanwälten mbB
Steinstraße 27
40210 Düsseldorf
Germany
T +49 211 542249 20
F +49 211 542249 29
eric.decker@comindis.com
ingo.kuehl@comindis.com
www.comindis.com