Mehr als nur ein Trend: Die Compliance-Due-Diligence

In der Praxis hat sich der dreistufige risikobasierte Ansatz bewährt

Ein Gastbeitrag von Prof. Dr. Jochem Reichert, Dr. Matthias Heusel und Dr. Maximilian Goette

Beitrag als PDF (Download)

Vor dem Erwerb eines Unternehmens oder dem Aufbau einer maßgeblichen Beteiligung (sei es durch Anteilskauf oder Beteiligung an einer Kapitalerhöhung) wird in aller Regel eine Due-Diligence-Prüfung durchgeführt. Diese Prüfung besteht typischerweise aus mehreren Arbeitsschritten, durch die unter Hinzuziehung externer Experten die rechtlichen, steuerlichen und finanziellen Risiken der Zielgesellschaft (Target) sowie einzelfallabhängig auch weitere Bereiche (etwa Umweltrisiken) analysiert werden. Nicht nur beim Erwerb von großen, börsennotierten Unternehmen, sondern auch im Mid- und Small-Cap-Bereich ist zu beobachten, dass Käufer zunehmend daran interessiert sind, die Due-Diligence-Prüfung auch auf Compliancefragen auszudehnen. Dieser Trend ist verständlich, denn Complianceverstöße können im Einzelfall so schwerwiegend sein, dass sie die gesamte Transaktion gefährden. Hinzu kommt, dass ein Geschäftsleiter die Entscheidung über die Transaktion unter Anwendung der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters zu treffen hat. Dazu gehört, dass er bei unternehmerischen Entscheidungen – wie dem Kauf eines Unternehmens – auf der Grundlage angemessener Informationen zum Wohl der Gesellschaft handelt. Geschäftsleiter sind deshalb regelmäßig gut beraten, wenn sie den Bereich Compliance in die Legal Due Diligence miteinbeziehen. Das ist Grund genug, einen genaueren Blick auf dieses Themenfeld zu werfen.

Der risikobasierte Ansatz

Potentielle Compliancerisiken können aus den verschiedensten Bereichen resultieren, wie etwa den Antikorruptionsregularien, dem Datenschutz, dem Außenwirtschaftsrecht oder dem Arbeitsrecht. Von nicht zu unterschätzender Bedeutung sind angesichts der gerade in jüngerer Zeit von den Kartellbehörden verhängten hohen Bußgelder und der Gefahr langwieriger und kostspieliger Schadensersatzprozesse mit Kartellgeschädigten insbesondere auch Fragen des Kartell- und Wettbewerbsrechts. Beispielhaft sei nur auf den Fall des sogenannten Zementkartells verwiesen, in dem sechs deutsche Zementhersteller mit Kartellbußgeldern in Höhe von insgesamt knapp 660 Millionen Euro belegt wurden, wovon allein 252 Millionen Euro auf ein einziges Unternehmen entfielen. Dies zeigt deutlich, welche ökonomischen Risiken ein Complianceverstoß beinhalten kann.

Freilich spielen nicht in jeder Transaktion alle (beispielhaft) erwähnten Themenfelder eine gleich bedeutende Rolle. Es gibt deshalb keine feste „Checkliste“ mit Punkten, die auf jedes Unternehmen im gleichen Maß zutreffen. Vielmehr bedarf es einer individuellen Betrachtung im Hinblick auf potentielle Compliancerisiken des Targets. Erst aus dieser individuellen Analyse der Compliancerisiken des konkreten Targets, die durchaus ein anspruchsvoller Prozess sein kann, lässt sich eine aussagekräftige und fundierte Risikobeurteilung gewinnen. Vermutlich hat sich deswegen in Deutschland bisher keine allgemeine Marktpraxis in Form einer Compliance-Due-Diligence etabliert. Gleichwohl ist ein risikobasierter Ansatz in der Phase vor Unterzeichnung des Kaufvertrags das zweckmäßige und in der Praxis häufig praktizierte Vorgehen. Hierdurch findet eine Fokussierung auf diejenigen potentiellen Risikobereiche statt, für die das Target besonders anfällig zu sein scheint. Wenn eine weitere Klärung von möglichen Compliancerisiken, die in der Phase vor Unterzeichnung des Kaufvertrags nicht geleistet werden konnte, erforderlich erscheint, kann der Käufer eine weiter vertiefende Compliancerisikobewertung nach dem Signing oder (gegebenenfalls zusätzlich) nach dem Closing durchführen.

Die Struktur einer Compliance-Due-Diligence

Bei einem risikobasierten Ansatz läuft die Compliance-Due-Diligence zumeist in drei Schritten ab:

Desktop-Review

In einem ersten Schritt sollten auf Grundlage öffentlich zugänglicher Informationen etwaige Compliancerisiken des Targets identifiziert werden (sogenannte Desktop-Review). Hierzu werden Print- oder Onlinemedien ausgewertet, und auch die schlichte „Google-Suche“ kann hilfreich sein. Gleichzeitig sollten spezifische Unternehmensaktivitäten, die Struktur relevanter Märkte, in denen das Unternehmen tätig ist, sowie die Standorte des Unternehmens in den Blick genommen werden. Darüber hinaus sollten im Rahmen der Request-List, die üblicherweise zur Vorbereitung des Datenraums für die Due-Diligence-Prüfung an den Verkäufer oder dessen Transaktionsberater versandt wird, Unterlagen zur unternehmensinternen Compliance angefragt werden. Auch wenn das Target kein Risikoprofil für Noncompliance aufzuweisen scheint, sollte aus Vorsichtsgründen eine Aufstellung etwaiger Compliancevorfälle des Targets und der internen Compliancerichtlinien (etwa des Codes of Conduct) angefordert werden. Spezifischere Anfragen erscheinen bereits im ersten Schritt ratsam, wenn das Target in Geschäftsfeldern tätig ist, die für Complianceverstöße anfällig sind. Hierzu zählen beispielsweise die Baubranche, das Gesundheitswesen, die Verteidigungsindustrie sowie solche Bereiche, die einen starken Bezug zu öffentlichen Aufträgen aufweisen. Auch sind international tätige Vertriebsgesellschaften meist höheren Compliancerisiken ausgesetzt als nationale Produzenten. Abhängig von den betreffenden Geschäftsbereichen können auch Handelsbeziehungen des Zielunternehmens zu Ländern, denen wirtschaftliche Sanktionen auferlegt sind, Risiken begründen.

Risikoanalyse

Der zweite Schritt dient der Risikoanalyse. Basierend auf den gewonnenen Erkenntnissen, muss der Käufer mögliche Compliancerisiken bewerten und entscheiden, in welchen Bereichen eine vertiefte Compliance-Due-Diligence durchgeführt werden soll. Hierfür kann eine Risikomatrix oder „Ampeldarstellung“ hilfreich sein, die die potentiellen Risiken farblich veranschaulicht (etwa rot für potentielle Korruptions- oder Kartellrechtsverstöße, gelb für mittlere Risiken und grün für niedrige Risiken). Auf dieser Basis kann der konkrete Umfang der weiteren Untersuchung festgelegt werden, bei der dann gegebenenfalls weitere Dokumente und Informationen auszuwerten sind. Ferner werden die erkannten potentiellen Complianceverstöße im Rahmen der Managementgespräche oder Besprechungen mit den Transaktionsberatern des Targets, die üblicherweise im Rahmen der Due-Diligence-Prüfung stattfinden, thematisiert. Dabei sollte der Käufer darauf achten, dass auch der im Zielunternehmen tätige Compliancebeauftragte sowie Angestellte, die für die relevanten Bereiche (etwa Vertrieb/Sales) verantwortlich sind, an diesen Besprechungen teilnehmen. Hierdurch können erkannte Risiken weiter aufgeklärt oder etwaige Verdachtsmomente ausgeräumt werden. Ferner kann überprüft werden, inwieweit das Target bereits ein Compliancemanagementsystem implementiert hat und welche Strukturen, Zuständigkeiten und Funktionsabläufe bestehen. In diesem Zusammenhang sollte daher auch die diesbezügliche unternehmensinterne Dokumentation (etwa unternehmensinterne Richtlinien, Berichtswege und Whisteblowingmechanismen) eingehend betrachtet werden. Gleichzeitig kann ermittelt werden, ob das Compliancemanagementsystem des Targets an das eigene System anzupassen oder gar ein neues System aufzusetzen ist.

Entscheidungsphase

In einem dritten Schritt ist zu überlegen, wie mit den Ergebnissen der Compliance-Due-Diligence umzugehen ist. Die Spanne der denkbaren Entscheidungen ist weit. Sie kann von einer Abstandnahme von der Transaktion – wenn die erkannten Risiken so schwer wiegen, dass sie als Dealbreaker eingestuft werden – über eine Neuverhandlung des Kaufpreises bis dahin reichen, dass die Risiken als so gering eingestuft werden, dass keine Maßnahmen zu veranlassen sind. Die für die Compliance-Due-Diligence hinzugezogenen Berater haben daher potentielle Complianceverstöße des Zielobjekts, seines Managements oder seiner Mitarbeiter im Rahmen ihres Due-Diligence-Reports deutlich aufzuzeigen, damit Risiken realistisch eingeschätzt werden können. Das gilt vor allem im Hinblick auf illegale Wettbewerbsabsprachen, da derartige Vorkommnisse von den Kartellämtern streng verfolgt und strikt bebußt werden. Nach Abschluss der Transaktion trägt nämlich der Käufer nicht nur die ökonomischen Risiken einer möglichen Bußgeldstrafe und etwaiger gerichtlicher Auseinandersetzungen mit Kartellgeschädigten, sondern sieht sich auch mit dem Reputationsschaden des Targets konfrontiert.

Weiterer Umgang mit Compliancerisiken

Wurden Compliancerisiken entdeckt, müssen diese vertraglich abgebildet werden, sofern die Risiken nicht so erheblich sind, dass sie die Transaktion insgesamt in Frage stellen. Die Einzelheiten sind Gegenstand der Kaufvertragsverhandlungen. Namentlich kommt eine Justierung des Kaufpreises in Betracht. Zudem ist es grundsätzlich ratsam, Haftungsfreistellungen in Bezug auf erkannte Risiken und Garantien für im Einzelnen nicht genauer bekannte oder absehbare Risiken in den Kaufvertrag aufzunehmen. Auch wenn das Target eine „Negativbestätigung“ abgegeben hat, wonach es keine (bekannten) Complianceverstöße geben würde, empfiehlt sich die Aufnahme einer entsprechenden Garantie.

Fazit

In Anbetracht der weitreichenden Risiken von Complianceverstößen empfiehlt es sich bei M&A-Transaktionen, mit Hilfe eines qualifizierten Teams aus Wirtschaftsanwälten und gegebenenfalls weiteren Complianceexperten eine Compliance-Due-Diligence durchzuführen. In der Praxis erfreut sich der dreistufige risikobasierte Ansatz großer Beliebtheit, da er zunächst eine Identifizierung des Risikopotentials des Targets ermöglicht, um auf dieser Grundlage eine Entscheidung über das „Ob“ und „Wie“ und den Themenzuschnitt einer vertieften Compliance-Due-Diligence treffen zu können. Auf der Basis einer Risikoanalyse kann dann die Entscheidung über den weiteren Verlauf der Transaktion getroffen werden. Diese Vorgehensweise ermöglicht dem Käufer frühzeitig, Dealbreaker zu erkennen und gegebenenfalls Argumente für die Vertragsverhandlungen zu haben. In jedem Fall sollten Compliancerisiken im Kaufvertrag Berücksichtigung finden.

Jochem.reichert@sza.de

Matthias.Heusel@sza.de

Maximilian.goette@sza.de