- -
- 100%
- +
978-3-85402-413-2
Auch als Buch verfügbar
978-3-85402-412-5
2., überarbeitete Auflage 2021
Das Werk ist urheberrechtlich geschützt.
Alle Rechte vorbehalten.
Nachdruck oder Vervielfältigung, Aufnahme
auf oder in sonstige Medien oder Datenträger,
auch bei nur auszugsweiser Verwertung,
sind nur mit ausdrücklicher Zustimmung der
Austrian Standards plus GmbH gestattet.
Alle Angaben in diesem Fachbuch erfolgen
trotz sorgfältiger Bearbeitung ohne Gewähr
und eine Haftung der Autorin oder des Verlages
ist ausgeschlossen.
Aus Gründen der besseren Lesbarkeit wird im vorliegenden Werk die Sprachform des generischen Maskulinums angewendet.
Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.
© Austrian Standards plus GmbH, Wien 2021
Die Austrian Standards plus GmbH ist ein
Unternehmen von Austrian Standards International.
Austrian Standards plus GmbH
1020 Wien, Heinestraße 38
T +43 1 213 00-300
F +43 1 213 00-355
E service@austrian-standards.at
www.austrian-standards.at/fachliteratur
ProjektManagement
Gertraud Reznicek
Cover – Fotocredit
© iStockphoto.com/Bedrin-Alexander
Satz/gestaltung
Alexander Mang
Inhalt
Abkürzungsverzeichnis
Vorwort
1 Grundlagen und Rahmenbedingungen
1.1 Begriffsbestimmung Compliance
1.2 Rechtliche Rahmenbedingungen für Compliance in Organisationen
1.2.1 Verantwortung von Organisationen im internationalen Rahmen
1.2.2 Verantwortung von Organisationen im nationalen Rahmen
1.2.3 Verantwortung für Compliance in Österreich
1.3 Compliance als Werkzeug des strategischen Managements
1.3.1 Begriffsbestimmung Management-Systeme
1.3.2 Compliance-Management-Systeme
1.4 Abgrenzung Governance – IKS – RMS – CMS
1.4.1 Corporate Governance
1.4.2 Internes Kontrollsystem (IKS)
1.4.3 Risikomanagement-System (RMS)
1.4.4 Compliance-Management (CMS)
1.5 ISO 37301 als Best-Practice-Ansatz für regelkonformes Verhalten
2 Umsetzung der ISO 37301 im Kontext
2.1 Standardisierung von Management-Systemen nach ISO
2.1.1 Management-System-Standards nach ISO High-Level Structure
2.1.2 Integriertes Management-System
2.1.3 ISO 37001 Anti-bribery management systems
2.2 Das Prinzip der fortlaufenden Verbesserung – PDCA-Zyklus
2.2.1 Prinzip der fortlaufenden Verbesserung von ISO Management- System-Standards (MSS)
2.2.2 ISO 37301 im PDCA-Zyklus
2.3 Change-Management als Führungsinstrument zur Umsetzung der ISO 37301
2.3.1 Definition Change-Management
2.3.2 Einflussfaktoren von Change-Management
2.3.3 Leading Change – Das 8-Stufen-Modell nach John P. Kotter
3 Anforderungen der ISO 37301 – Compliance-Management-Systeme
3.1 Einleitung
3.2 Anwendungsbereich der ISO 37301
3.3 Begriffe nach ISO 37301
3.4 Die Organisation und ihr Kontext
3.4.1 Verstehen der Organisation und ihres Kontextes
3.4.2 Erfordernisse und Erwartungen von interessierten Parteien
3.4.3 Bestimmung des Anwendungsbereichs des Compliance-Management-Systems
3.4.4 Compliance-Management-System
3.4.5 Compliance-Verpflichtungen
3.4.6 Compliance-Risikobewertung
3.5 Führung
3.5.1 Führung und Engagement
3.5.2 Compliance-Politik
3.5.3 Rollen, Verantwortlichkeiten und Zuständigkeiten
3.6 Planung
3.6.1 Maßnahmen zur Behandlung von Compliance-Risiken
3.6.2 Compliance-Ziele und Planung zu deren Erreichung
3.6.3 Planung von Änderungen
3.7 Unterstützung
3.7.1 Ressourcen
3.7.2 Kompetenz
3.7.3 Bewusstsein
3.7.4 Kommunikation
3.7.5 Dokumentierte Information
3.8 Betrieb
3.8.1 Operative Planung und Steuerung
3.8.2 Errichtung von Maßnahmen und Kontrollen
3.8.3 Compliance-Bedenken
3.8.4 Untersuchungsprozesse
3.9 Bewertung der Leistung
3.9.1 Überwachung, Messung, Analyse und Bewertung
3.9.2 Internes Audit
3.9.3 Management-Bewertung
3.10 Verbesserung
3.10.1 Kontinuierliche Verbesserung
3.10.2 Nichtkonformität und Korrekturmaßnahmen
4 Leitfaden für kleinere und mittlere Unternehmen (KMU)
4.1 Compliance-relevante Merkmale des Mittelstandes
4.2 Umsetzen und Ausgestalten von Compliance-Management im Mittelstand
4.3 Fazit
5 Externe Überprüfung und Zertifizierung
5.1 Externe Audits von Compliance-Management-Systemen
5.1.1 Grundlagen
5.1.2 Auditprozess
5.2 Zertifizierung eines CMS
5.3 Zertifizierungsprozess im Rahmen von ISO
6 Weiterführende Konzepte
6.1 Organisationskultur als Führungsinstrument
6.1.1 Einflüsse auf Organisationskulturen
6.1.2 Merkmale von Organisationskulturen
6.1.3 Das Kulturmodell nach Schein
6.1.4 Wirkung und Funktion von Organisationskulturen
6.1.5 Messung von Organisationskulturen – das Modell von Denison
6.1.6 Organisationskultur und ein CMS nach ISO 37301
6.2 Risikomanagement
6.2.1 Ein Risikomanagement-System im Überblick
6.2.2 ERM – organisationsweites, ganzheitliches Risikomanagement
6.2.3 ISO 31000 Risk Management
6.2.4 Risikomanagement und ein CMS nach ISO 37301
7 Resümee und Ausblick
Literaturverzeichnis
Die Autorin
Abbildungsverzeichnis
Abbildung 1: COSO Internal Control – Integrated Framework
Abbildung 2: ISO 37301 im Deming-Zyklus der ständigen Verbesserung
Abbildung 3: Phasenschema von Veränderungen nach Lewin
Abbildung 4: Promotoren und Destruktoren nach Ladwig/Domsch
Abbildung 5: Allgemeine Symptome des Widerstandes nach Doppler/Lauterburg
Abbildung 6: Ausgewählte Handlungsfelder von Widerständen nach Reiß
Abbildung 7: 8-Stufen-Modell für Veränderungen nach Kotter
Abbildung 8: PESTLE-Analyse des äußeren Umfeldes
Abbildung 9: Interessierte Parteien/Stakeholder
Abbildung 10: Stakeholder Einfluss-Interessen-Matrix
Abbildung 11: Risikomatrix
Abbildung 12: Ebenen und Eigenschaften eines Verhaltenskodex
Abbildung 13: Wertorientierung des CMS nach Grüninger
Abbildung 14: Compliance als Unterstützung der Organisationsziele
Abbildung 15: Mittel zur Umsetzung der Compliance-Politik
Abbildung 16: Komponenten der Handlungsfähigkeit
Abbildung 17: Fraud Triangle und Ansätze zur Prävention nach Grüninger
Abbildung 18: DMAIC-Zyklus der laufenden Verbesserung
Abbildung 19: Überblick Kommunikationsmittel nach Mast/Maletzke
Abbildung 20: Ablauf eines Monitoring-Verfahrens
Abbildung 21: Ansätze zum Compliance-Management nach Saitz/Tempel/Brühl
Abbildung 22: Zertifizierungsprozess nach ISO/IEC 17021
Abbildung 23: Kulturelles Schachtelmodell nach Thomas
Abbildung 24: Kulturebenen nach Schein
Abbildung 25: Parameter für Organisationskulturen nach Dension
Abbildung 26: Unternehmenskultur und Effektivität
Abbildung 27: Bausteine eines Risikomanagement-Systems
Abbildung 28: COSO ERM Framework
Abbildung 29: Risikomatrix
Abbildung 30: Risikomanagementprozess nach ISO 31000:2018
Tabellenverzeichnis
Tabelle 1: Anforderungen an ein effektives CMS vs. ISO 37301
Tabelle 2: Richtlinie US-DOJ zur Beurteilung eines effektiven Corporate-Compliance-Programmes vs. ISO 37301
Tabelle 3: Weltbankgruppe Integritäts-Compliance Richtlinien vs. ISO 37001
Tabelle 4: Vergleich HLS-Struktur in verschiedenen ISO MSS – Übersicht
Tabelle 5: Vergleich HLS-Struktur in ISO MSS – Kapitel 8 „Betrieb“
Tabelle 6: Richtlinie zum UK Bribery Act 2010 vs. ISO 37001
Tabelle 7: ICC Anti-Korruptionsrichtlinien vs. ISO 37001
Tabelle 8: Anforderungen an ein effektives Managementsystem zur Korruptionsbekämpfung vs. ISO 37001
Tabelle 9: Vergleich ISO 37301 vs. ISO 37001 auf Basis der HLS-Struktur von ISO MSS
Tabelle 10: Vergleich ISO 37301 vs. ISO 37001 – Kapitel 8 „Betrieb“
Tabelle 11: Interne Bestimmungsfaktoren einer Organisation
Tabelle 12: Skala Eintrittswahrscheinlichkeit
Tabelle 13: Beispiel Risikolandkarte
Tabelle 14: Indikatoren für CMS Ziele nach Johnson/Soreide
Tabelle 15: Informations- und Kommunikationsbedarf (Beispiele) nach Bruhn
Tabelle 16: Klassifikation von Kommunikationsmedien nach Vahs/Wieand
Tabelle 17: EU-Definition KMU
Tabelle 18: Arten von Systemaudits
Tabelle 19: Beispiele Key-Risk-Indikatoren (KRIs)
Vorwort
Compliance-Management beinhaltet die standardisierte Identifikation von Verpflichtungen und deren systematische Übersetzung in den Organisationsalltag. Die Entwicklung von Strukturen und Maßnahmen und dessen Integration in bestehende Verfahren und Prozesse verringert das Risiko von nicht-regelkonformem Verhalten bei der Ausübung der Geschäftstätigkeit. Ein Compliance-Management-System (CMS) muss jedoch mehr bieten. Um akzeptiert zu werden, müssen Compliance-Maßnahmen eng mit Effektivität und Effizienz verbunden sein und dürfen nicht als bürokratische Hindernisse empfunden werden. Compliance ist demnach keine reine Pflichtübung, um negative Folgen von einer Organisation abzuwenden, sondern trägt zur Verbesserung des operativen Betriebes bei. Dieses Buch leistet dazu einen Beitrag und unterstützt Organisationen aller Art dabei, Compliance-Maßnahmen zur Steigerung von Effektivität und Effizienz der gesamten Organisationssteuerung zu nutzen.
Die ISO 37301:2021 „Compliance-Management-Systems – Requirements with guidance for use“ wurde von Anwendern für Anwender entwickelt. Sie erhebt den Anspruch, ein Best-Practice-Ansatz für weltweit vereinheitlichte Anforderungen zur Entwicklung, Umsetzung, Aufrechterhaltung und kontinuierlichen Verbesserung eines CMS zu sein. Der Umfang, in dem die einzelnen Elemente umgesetzt werden, ist dem Prinzip der Angemessenheit folgend auf die individuellen Besonderheiten der Organisation abzustimmen. Der Standard ist somit auf alle Arten von Organisationen – unabhängig von Größe, Branche, Geschäftstätigkeit oder Rechtsform – anwendbar.
Dieser Kommentar erläutert alle Elemente der ISO 37301 und führt mit zahlreichen Praxistipps an eine schrittweise Umsetzung heran. Durch den ganzheitlichen Ansatz ist ein CMS nach ISO 37301 ein Führungsinstrument des strategischen Managements. Dieses Buch erhebt den Anspruch, die praktische Umsetzung wissenschaftlich zu fundieren, gepaart mit jahrzehntelanger Erfahrung im Aufbau und in der Leitung von komplexen Systemen. Zum Zeitpunkt der Drucklegung dieses Kommentars (Stand Juni 2021) stand eine deutschsprachige Fassung der ISO 37301 noch nicht zur Verfügung. Die Begrifflichkeiten richten sich nach der am 13. April 2021 publizierten englischen Fassung. Die Übersetzungen erfolgten durch die Autorin.
Wie schon der Vorgängerstandard ISO 19600 beruht die ISO 37301 auf einer einheitlichen Vorlage von ISO-Management-System-Standards (ebenso wie z.B. ISO 37001 Managementsysteme zur Korruptionsbekämpfung – Anforderungen mit Leitlinien zur Anwendung) und kann daher in einer integrierten Weise implementiert werden. In diesem Sinne ist der ISO 37301 zu wünschen, dass sie sich – nicht zuletzt wegen der globalen Bekanntheit und Akzeptanz von ISO-Standards – als internationale Benchmark für die angemessene Umsetzung und Verankerung von Compliance in Organisationen aller Arten bewährt.
Ich wünsche allen Leserinnen und Lesern viele hilfreiche Impulse und für Ihre Praxis relevanten Nutzen. Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freue ich mich unter office@neiger.eu!
Wien, im Juli 2021 Barbara Neiger
1 Grundlagen und Rahmenbedingungen
In fünf Kapiteln werden Grundlagen und Rahmenbedingungen für ein Compliance Management System (CMS) nach ISO 37301 dargelegt. Als Erstes muss die Bedeutung des Begriffes „Compliance“ im Zusammenhang mit diesem Praxiskommentar geklärt werden: die Einhaltung von Verpflichtungen, die für eine Organisation aufgrund obligatorischer Bestimmungen und freiwillig eingegangener Selbstverpflichtungen bindend sind. In Kapitel 1.2 werden die rechtlichen Rahmenbedingungen für Compliance in Organisationen anhand von nationalen und internationalen Vorschriften über die (strafrechtliche) Verantwortung von Organisationen für regelwidrige Handlungen ihrer Mitarbeiter erläutert. Die Verpflichtung der Geschäftsleitung zur Errichtung eines der individuellen Situation der Organisation angemessenen CMS basiert auf deren allgemeiner Sorgfaltspflicht als ordentlicher Kaufmann. Wie in Kapitel 1.3 dargelegt, soll ein CMS als Werkzeug des strategischen Managements durch ein planvolles Vorgehen sicherstellen, dass bei der Abwicklung der Geschäftstätigkeit die für die Organisation relevanten Verpflichtungen eingehalten werden. Durch die Vermeidung von Compliance-Verstößen bzw. durch die Verringerung von deren negativen Auswirkungen wird das Erreichen der Ziele einer Organisation unterstützt. Die Abgrenzung des CMS zu Corporate Governance und zu weiteren Führungsinstrumenten, wie einem internen Kontrollsystem (IKS) und einem Risikomanagement-System (RMS), werden anschließend in Kapitel 1.4 besprochen. Kapitel 1.5 gibt einen Überblick über die Positionierung der ISO 37301 als unparteiisches Best-Practice-Instrument zur Sicherstellung von einem wirksamen Compliance-Management in Organisationen.
1.1 Begriffsbestimmung Compliance
Der Begriff „Compliance“ leitet sich vom Englischen „to comply with something“ (etwas erfüllen oder einhalten)[1] ab und bedeutet im Zusammenhang des vorliegenden Handbuches die Befolgung von Regeln durch eine Organisation. Und zwar jener Regeln, die für die Organisation aufgrund rechtlicher oder regulatorischer Bestimmungen bindend sind, also auch jener, deren Einhaltung sich die Organisation freiwillig unterworfen hat.
Damit bedeutet Compliance zunächst einmal nur, dass Verbindlichkeiten eingehalten werden. Das ist nicht neu und ein in Rechtsstaaten immer schon selbstverständliches Prinzip.[2] Compliance umfasst aber auch die Thematik, wie Organisationen die Einhaltung von Regeln durch ihre Organe und Mitarbeiter sicherstellen. Den verantwortlichen Führungskräften obliegt es dabei im Rahmen ihrer Aufsichts- und Sorgfaltspflicht dafür zu sorgen, dass sich die für die Organisation tätigen Personen im täglichen Geschäftsverkehr an relevante Verbindlichkeiten, wie z.B. gesetzliche, behördliche oder aufsichtsrechtliche Vorschriften, Branchenvorgaben und unternehmensinterne Richtlinien oder Verträge und verbindliche zwei- oder mehrseitige Vereinbarungen halten.
Die Verpflichtung zur Einhaltung von relevanten gesetzlichen, behördlichen oder aufsichtsrechtlichen Vorschriften gilt für alle Organisationen. Auch die Beachtung von Branchenvorgaben und organisationsinternen Richtlinien dient nicht einem Selbstzweck, sondern liegt im Interesse der Organisation. Allen Organisationen, unabhängig von ihrer rechtlichen Form, ihrer Größe oder ihrem Tätigkeitsbereich, stehen beschränkte Ressourcen zur Verfügung, die möglichst effizient und effektiv eingesetzt werden müssen. Es ist unrichtig, zu argumentieren, dass das Erfordernis eines solch wirtschaftlichen Handelns nur für auf Gewinn (Profit) gerichtete Organisationen gilt. Auch Not-for-profit-Organisationen haben begrenzte Ressourcen zur Verfügung, mit deren Einsatz das bestmögliche Ergebnis zu erzielen ist. Negative finanzielle Folgen von Non-Compliance in Form von Straf- und Bußgeld-Zahlungen fallen sicher nicht unter die Definition des „bestmöglichen Ergebnisses“.
1.2 Rechtliche Rahmenbedingungen für Compliance in Organisationen
Das angelsächsische Recht (common law wie z.B. in UK, den USA und in anderen Ländern) machte seit jeher keinen grundsätzlichen Unterschied zwischen natürlichen und juristischen Personen. Die Verantwortlichkeit von juristischen Personen für (bestimmte) Straftaten war deshalb in diesem Rechtssystem immer gegeben. In kodifizierten Rechtssystemen (wie z.B. in kontinentaleuropäischen Staaten) gilt ein anderer Grundsatz, nämlich: Societas delinquere non potest – „eine Gesellschaft kann sich nicht vergehen“.[3] Erst die Entwicklungen in den letzten 20 Jahren haben dazu geführt, dass eine Verantwortlichkeit für juristische Personen in diesem Rechtssystem eigens begründet wurde.[4] Zahlreiche zwischenstaatliche Rechtsakte innerhalb und außerhalb der EU verpflichten Mitglieds- und Vertragsstaaten, eine Verantwortlichkeit von juristischen Personen für bestimmte Straftaten vorzusehen.
Der erste Rechtsakt, der eine solche Verpflichtung vorsieht, ist das Zweite Protokoll zum Übereinkommen über den Schutz der finanziellen Interessen der Europäischen Gemeinschaft.[5] Die strafrechtliche Verantwortung von Organisationen wird gefordert, wenn Betrug, Bestechung oder Geldwäsche zu ihren Gunsten von Personen, allein oder als Teil der Organisation der juristischen Person, begangen wurde. Organisationen müssen insbesondere dafür verantwortlich gemacht werden, wenn mangelnde Aufsicht oder Kontrolle die Tat ermöglicht hat. Neben dem Zweiten Protokoll gibt es zahlreiche weitere Rechtsakte, die für ca. 100 Straftatbestände eine Verantwortung von juristischen Personen vorsehen (z.B. Vermögensdelikte wie Betrug, Untreue; Subventionsmissbrauch oder Absprachen bei Vergabeverfahren; Korruptions- und Umweltdelikten; Tatbestände im Urheberrecht, Börsengesetz, Finanzstrafgesetz oder Gesetz gegen den unlauteren Wettbewerb).[6]
Von Rechtsakten außerhalb der EU ist das im Rahmen der OECD geschlossene Übereinkommen für die Bekämpfung der Bestechung ausländischer Amtsträger im internationalen Geschäftsverkehr aus 1997 zu erwähnen. Die Verantwortung von juristischen Personen sehen des Weiteren drei im Rahmen des Europarates abgeschlossene Vereinbarungen vor (Schutz der Umwelt 1998; Cyber-Crime 2001; Terrorismusbekämpfung 2005). Zur Bekämpfung von Geldwäsche werden wirksame, angemessene und abschreckende Sanktionen gegenüber juristischen Personen in den Empfehlungen der FAFTA verlangt.[7] Schließlich enthalten die UN-Übereinkommen zur Bekämpfung der Finanzierung von Terrorismus (2000)[8] und von Korruption (2005)[9] weitere Vorschriften für die straf- oder verwaltungsrechtliche Verantwortung von juristischen Personen.
1.2.1 Verantwortung von Organisationen im internationalen Rahmen[10]
Die meisten europäischen Staaten und zahleiche Staaten außerhalb der EU haben die Verantwortlichkeit für juristische Personen in ihren Rechtsystemen umgesetzt. In Kontinentaleuropa werden rein strafrechtliche, rein verwaltungsrechtliche oder gemischte Modelle unterschieden. Angelsächsische Staaten wie UK, Irland oder Zypern kennen kein Verwaltungsstrafrecht. Der Staat und seine Gebietskörperschaften sind in einigen Ländern von der Verantwortlichkeit zur Gänze ausgenommen (z.B. Frankreich, Italien, Schweiz, Ungarn, Polen). In manchen Ländern (Frankreich, Niederlande, Kroatien, UK) gibt es eine derartige Beschränkung nur für hoheitliche Tätigkeiten. Die Verantwortung von Unternehmen, die im öffentlichen Eigentum stehen, ist grundsätzlich nicht beschränkt. In den meisten Ländern umfasst die Verantwortlichkeit von juristischen Personen alle Delikte, in manchen Ländern nur wenige, auf internationale Vereinbarungen beschränkte Delikte (z.B. in Spanien, Italien, Malta, Brasilien, Canada, China und Indien). In einigen Ländern ist für die Zurechenbarkeit der Verantwortlichkeit erforderlich, dass die Tat zu Gunsten, im Auftrag, im Namen oder im Interesse der juristischen Person erfolgte (z.B. Deutschland, Frankreich, Italien, Polen, Slowenien). In manchen Staaten ist für die Begründung der Unternehmenshaftung ein bloßer Zusammenhang mit der Geschäftstätigkeit der juristischen Person ausreichend (z.B. Schweiz, UK). In den meisten Staaten werden Delikte von einem untergeordneten Mitarbeiter nur im Zusammenhang mit mangelnder Kontrolle oder Überwachung durch eine Person in Führungsposition der Verantwortung der juristischen Person zugerechnet (z.B. Deutschland, Frankreich, Niederlande, Italien, Polen, Ungarn). In einigen Ländern reicht die Tat einer beliebigen, für die juristische Person tätigen, Person zur Auslösung der Verantwortlichkeit aus (Belgien, Schweiz, Rumänien). In fast allen Rechtsordnungen ist vorgesehen, dass die Bestrafung der juristischen Person neben der Bestrafung der natürlichen Person erfolgen kann. In Belgien sind, soweit eine natürliche Person nicht wissentlich oder nicht willentlich gehandelt hat, nicht beide zu bestrafen, sondern jene (natürliche oder juristische) Person, der größere Schuld anzulasten ist.
1.2.2 Verantwortung von Organisationen im nationalen Rahmen
Die strafrechtliche Verantwortlichkeit für juristische Personen wird in Österreich in dem am 1. Januar 2006 in Kraft getretenen Verbandsverantwortlichkeitsgesetz (VbVG)[11] begründet und findet für alle absichtlichen und unabsichtlichen Straftaten Anwendung, die strafrechtlich verfolgt werden können. Ausgenommen von der Strafbarkeit sind nur anerkannte Religionsgesellschaften in Ausübung von seelsorgerischen Tätigkeiten[12] und staatliche Einrichtungen.[13] Die Straftat muss von einem „Entscheider“ begangen worden sein oder durch einen Mitarbeiter, entweder zugunsten der juristischen Person oder in Verletzung einer für die juristische Person geltenden Pflicht. Für Straftaten begangen von Mitarbeitern ist die juristische Person grundsätzlich nur verantwortlich, wenn der Mitarbeiter vorsätzlich oder grob fahrlässig gehandelt hat und wenn ein Entscheidungsträger unter Außerachtlassen der gebotenen und zumutbaren Sorgfalt die Begehung der Tat dadurch ermöglicht oder wesentlich erleichtert hat, indem wesentliche technische, organisatorische oder personelle Maßnahmen zur Verhinderung solcher Taten unterlassen wurden. Die Strafverfolgung der natürlichen Person, die die Straftat begangen hat, ist nicht Voraussetzung für die Haftung der juristischen Person. Geldstrafen sind mit einer Höchststrafe von insg. 1,8 Mio. EUR begrenzt und bemessen sich nach Tagsätzen, deren Höhe von der Ertragslage der juristischen Person abhängt. Zusätzlich kann als Sanktion eine Schadensgutmachung angeordnet werden.