Kennen Sie Ihre Geschäftspartner?

Transkript

1 Newsletter FORENSIC Mai 2011 Kennen Sie Ihre Geschäftspartner? Risikoreduzierung durch Integrity Due Diligences Sehr geehrte Damen und Herren, im Zusammenhang mit der Implementierung und Erbringung von Compliance- Maßnahmen wird häufig die Durchführung von sogenannten IDDs (Integrity Due Dilligences) empfohlen. Darunter versteht man die Sammlung und Analyse von Hintergrundinformationen zur Beurteilung der Integrität einer Person oder eines Unternehmens, beispielsweise zu Werdegang und Reputation. Eine IDD kann im Hinblick auf bestehende oder zukünftige Geschäftsbeziehungen durchgeführt werden, aber auch bei der Korruptionsprävention spielen IDDs eine nicht zu unterschätzende Rolle. Regelungen und Empfehlungen zu IDDs finden sich in internationalen Vereinbarungen und zunehmend auch in nationalen Gesetzen und Richtlinien. Trau, schau, wem! Schwarze Schafe nicht zu identifizieren, kann erhebliche finanzielle und rechtliche Folgen sowie Reputationsrisiken nach sich ziehen. Daher möchten wir Sie über die IDD näher informieren. Inhalt Was versteht man unter IDDs? Seite 2 Wann werden IDDs durchgeführt? Seite 2 Wie werden IDDs durchgeführt? Seite 2 Gibt es Regelungen oder Empfehlungen zu IDDs Seite 3 KPMG kann Sie bei der Durchführung von IDDs sowie deren Implementierung in Ihr Compliance-Management-System unterstützen und Ihnen dabei helfen, unternehmensspezifische Risiken abzumildern. Sprechen Sie uns hierzu gern an. Mit den besten Grüßen Rüdiger Birkental Barbara Scheben

2 Was versteht man unter IDDs? Bei Integrity Due Dilligences handelt es sich um die Sammlung und Analyse von Hintergrundinformationen zur Beurteilung der Integrität einer Person oder eines Unternehmens, zu beruflichem Werdegang und Reputation. Sie können helfen, Risiken zu identifizieren, die im Rahmen anderer Due Diligences (Financial, Commercial oder Tax Due Diligences) regelmäßig nicht zutage treten. Allerdings ist hierbei auch das allgemeine Persönlichkeitsrecht der Person zu berücksichtigen. Wann werden IDDs durchgeführt? IDDs werden insbesondere im Hinblick auf bestehende oder zukünftige Geschäftsbeziehungen (Client Acceptance) oder im Zusammenhang mit Korruptionsprävention durchgeführt. Sie können unterschiedlichen Zwecken dienen, zum Beispiel um Hintergrundinformationen über Kunden (Know-Your- Customer) zu erhalten. Auch vor der Einstellung von Mitarbeitern (Pre- Employment Screening), Führungspersonen (Enhanced Executive Screening) oder Beratern kann es hilfreich sein, nähere Informationen einzuholen. Weitere Anwendungsfälle sind IDDs zu Geschäftspartnern (Business Partner Due Diligence), die Überprüfung von Angeboten von Lieferanten und Zwischenhändlern (Supplier/Vendor vetting), die Redlichkeitsüberprüfung im Hinblick auf die Einhaltung von speziellen Regularien einer Branche oder einer Aufsichtsbehörde (Probity Review). Wie werden IDDs durchgeführt? Vor der Unterzeichnung, der Änderung oder der Erneuerung eines Vertrags mit einem Geschäftspartner sollten folgende Maßnahmen durchgeführt worden sein: Klassifizierung des compliancebezogenen Risikos in Bezug auf den Geschäftspartner (Risikoklassifizierung); Prüfung der Integrität und Qualifikation des Geschäftspartners (Due-Diligence- Prüfung). KPMG hat hierfür ein modulares Lösungskonzept für entwickelt. Dies basiert auf einer Selbstauskunft des zukünftigen Geschäftspartners sowie einer Länderrisikoklassifizierung abhängig vom Sitz des Geschäftspartners. Davon ausgehend wird der Geschäftspartner einer bestimmten Risikokategorie zugeordnet. Hiernach richtet sich wiederum die Intensität der Recherche. Die Zuordnung der Risikokategorien zu Recherchestufen kann der Matrix entnommen werden.

3 Je nach Risikokategorie sind drei Stufen der Recherche möglich. Sie unterscheiden sich in der Recherchetiefe und den Quellen. Recherche Stufe 1 (Kurzrecherche): Recherche der Basisinformationen, sofern nicht vorhanden (zum Beispiel wesentliche Veränderungen in Key Management oder Eigentümerstruktur, Rechtsform, Solvenz) Erste Recherche zu Key Playern zum Beispiel in Medien, Presse, Internet, Registern und EU- und US-Blacklists Basis-Recherche und -Analyse zu länderspezifischen Risiken Recherche Stufe 2 (Extensive Recherche): Intensive Recherche in Internet, Medien und Presse. Recherche in allen rechtlich zulässig verfügbaren Registern, zum Beispiel nach Gerichtsverfahren Visualisierung der Netzwerke von Firmen und Personen Analyse und Benennung potentieller Risiken im Hinblick auf strategische Ziele Recherche Stufe 3 (Tiefenrecherche): Identifizierung des Netzwerks des potenziellen Targets Extrahierung wesentlicher Informationen im Netzwerk über das Unternehmen, Management oder andere Key Player Analyse der Implikationen/Risiken auf die strategischen Ziele mittels einer Risk Matrix Identifizierung möglicher taktischer Schritte zur Erreichung der Ziele des Mandanten. Die Auswahl von Informationsquellen ist der wichtigste Teil einer Recherche. Es geht um die Frage, welche Informationen verfügbar sind, welche Art von Informationen die Quellen liefern und wie diese zu interpretieren sind. Alle Angaben sind grundsätzlich einer Quellenkritik zu unterziehen. Bei der Nutzung von Presseartikeln sollte beispielsweise der Grad der Pressefreiheit im jeweiligen Land bekannt sein. Für eine zielführende Recherche ist es notwendig, den Namen der Gesellschaft oder der Person in der Schreibweise der Ursprungssprache zu kennen. Nur so können Unklarheiten, die aus der Anwendung unterschiedlicher Transliterationsvorschriften entstehen, minimiert werden.

4 Gibt es Regelungen oder Empfehlungen zu IDDs Regelungen zu IDDs finden sich in internationalen Vereinbarungen und zunehmend auch in nationalen Gesetzen und Richtlinien. International Good Practice IDDs spielen gerade bei der Korruptionsprävention eine nicht zu unterschätzende Rolle. So hat sich Deutschland auf internationaler Ebene bereit erklärt, seine Unternehmen zur Entwicklung und Einhaltung von Compliance-Programmen nach Maßgabe der Leitlinien der OECD zu ermutigen. Diese Leitlinien beziehen sich unter Nr. 6 der Good Practice Guidance on Internal Controls, Ethics, and Compliance auf den Anhang II der Empfehlung des OECD-Rats zur weiteren Bekämpfung der Bestechung ausländischer Amtsträger im internationalen Geschäftsverkehr vom 18. Februar Danach sollen Unternehmen soweit dies angemessen ist und vorbehaltlich vertraglicher Regelungen risikoadäquate Due-Diligence-Prüfungen ihrer Geschäftspartner durchführen und dies ordnungsgemäß dokumentieren. Unter Geschäftspartner werden dabei Dritte wie Handelsvertreter, Makler und andere Mittelsleute, Berater, Repräsentanten, Vertriebshändler, Auftragnehmer und Lieferanten, Konsortialpartner und Joint Venture Partner verstanden. Dies gilt ab Gewinnung der Geschäftspartner für die gesamte Dauer der Geschäftsbeziehung. Die Durchführung von IDDs wird auch von der Anti-Korruptionsorganisation Transparency International (TI) UK als good practice bezeichnet und empfohlen. Hier finden Sie nähere Informationen. Deutschland Trotz der Freiwilligkeit dieser Empfehlungen kann es für ein Unternehmen, das beispielsweise Geschäfte in Hochrisikoländern für Korruption tätigt, im Hinblick auf die Unternehmens-Compliance geboten sein, die Integrität seiner Geschäftspartner zu überprüfen. Dies gilt insbesondere für den Fall der Geschäftsanbahnung. Das Unterlassen präventiver Maßnahmen kann Straf-, Ordnungswidrigkeiten und zivilrechtliche Folgen (etwa Freiheitsstrafen, Geldbußen, Gewinnabschöpfung oder Schadensersatz) sowie Reputationsrisiken nach sich ziehen, wenn hierdurch Korruption, konkret Bestechungstaten, ermöglicht oder gefördert werden. Ein Unternehmen sollte sich daher gerade bei der Einbindung vertriebsorientierter Berater möglichst genau über diesen informieren, um Bestechungsrisiken soweit als möglich zu minimieren oder auszuschließen. Die Verpflichtung, für Compliance im Unternehmen zu sorgen, obliegt der Geschäftsleitung, namentlich dem Vorstand, der Geschäftsführung, aber auch deren Aufsichtsorganen. Die Geschäftsleitung hat dabei besondere Sorgfaltspflichten zu beachten. Als Maßstab für die gebotene Sorgfalt können Vorgaben herangezogen werden, die als International Good Practice anerkannt sind, wie etwa die oben genannte Leitlinie der OECD. Die Durchführung von IDDs kann auch im Rahmen von Spezialvorschriften (bspw. dem Kreditwesengesetz oder dem Wertpapierhandelsgesetz) bedeutsam werden. Großbritannien In Großbritannien tritt zum 1. Juli 2011 mit dem UK Bribery Act in Kraft. Damit wird der Strafrahmen für Bestechung und Bestechlichkeit im privaten und öffentlichen Sektor deutlich verschärft. Von besonderem Interesse auch für deutsche Unternehmen ist Section 7 ( Failure of commercial organisa-tions to prevent bribery ). Diese Regelung nimmt Unternehmen jeglicher Rechtsform in die Pflicht, bei der Bestechungsprävention mitzuwirken und hierfür angemessene Maßnahmen zu implementieren. Die Durchführung von Due Diligences wird in den Auslegungsbestimmungen als eine angemessene Maßnahme bezeichnet (Principle 4 der Guidance of commercial organisations to prevent bribery ). Einzelheiten hierzu können Sie unseren Forensic Newslettern von August 2010 sowie von Februar und April 2011 entnehmen.

5 USA Regelungen zur Durchführung von IDDs in den Vereinigten Staaten von Amerika (USA) finden sich in verschiedenen Gesetzen, beispielsweise im Bank Secrecy Act ( Know Your Customer Prinzip). Auch der Foreign Corrupt Practices Act (FCPA) stellt Due Diligence-Anforderungen auf. Bei Akquisitionen in fremden Ländern beispielsweise umfasst FCPA-Compliance auch die Untersuchung von Beratern (vgl. Poston, Saltzman, Bates: FCPA Due Diligence in Acquisitions vom 20. Januar 2010). Eine Sondervorschrift findet sich in Section 1502 des Dodd- Frank Wall Street and Consumer Protection Act für bestimmte Rohstoffimporte aus dem Kongo. Datenschutz Die datenschutzrechtliche Zulässigkeit einer IDD ist, sofern keine Einwilligung der betroffenen Person vorliegt, regelmäßig an 28 BDSG zu messen. Nach 28 Abs. 1 S. 1 BDSG müsste die Datenerhebung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen oder zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich sein oder die verwendeten Daten müssten allgemein zugänglich sein. Im Falle der Durchführung einer IDD etwa eines potenziellen Geschäftspartners kommen in der Regel alle drei Varianten des 28 Abs. 1 S. 1 BDSG in Betracht. Zum einen kann die Erhebung der Daten für die Begründung und Durchführung des beabsichtigten Vertragsverhältnisses erforderlich sein. Zum anderen ist ein berechtigtes Interesse der verantwortlichen Stelle an der Information über die Integrität des beabsichtigten Vertragspartners zu bejahen. Hinzu kommt, dass die für eine IDD herangezogenen Informationen regelmäßig aus allgemein zugänglichen Quellen stammen. Zu beachten ist allerdings, dass für die IDD nur solche personenbezogenen Daten herangezogen werden, die zur Erfüllung des beabsichtigten Zwecks erforderlich sind. An dieser Frage ist jede einzelne Datenerhebung zu messen. Ist diese nicht erforderlich, ist sie auch nicht zulässig im Sinne des BDSG und kann Ordnungswidrigkeiten wie auch strafrechtliche Folgen nach sich ziehen. Hinzu kommt, dass schutzwürdige Interessen des Betroffenen an dem Ausschluss der Datenerhebung-, -verarbeitung oder -nutzung nicht überwiegen dürfen. Dies wird in der Regel der Fall sein, wenn etwa aus öffentlich zugänglichen Quellen Daten gewonnen werden, diese aber offensichtlich einen privaten Kontext haben und nicht für die Verwendung in geschäftlichem Kontext bestimmt sind. Dies kann zum Beispiel bei privaten Urlaubsfotos und Informationen, die aus einem sozialen, nicht der geschäftlichen Darstellung dienenden, Netzwerk gewonnen werden, der Fall sein.

6 Erforderliche Maßnahmen Unternehmen sind gefordert, ihre Compliance-Programme und Due-Diligence- Prozesse im Hinblick auf die gestiegenen Anforderungen an die Kenntnis ihrer Geschäftspartner konzernweit zu überprüfen und gegebenenfalls anzupassen. Die IDD ist gerade im Bereich der Korruptionsprävention ein geeignetes Instrument, um Risiken für das Unternehmen zu minimieren. Allerdings ist bei der Durchführung Fingerspitzengefühl gefragt, um den Preis der erfolgreichen Korruptionsprävention nicht mit Sanktionen wegen Datenschutzverstößen zu bezahlen. KPMG kann Ihnen bei dieser Beurteilung helfen und Sie dabei unterstützen, risikoadäquate Maßnahmen zu implementieren, um die unternehmensspezifischen Risiken abzumildern. Sprechen Sie uns hierzu an Impressum / Kontakt KPMG AG Wirtschaftsprüfungsgesellschaft The Squaire, Am Flughafen Frankfurt/Main Barbara Scheben Senior Manager, Forensic T bscheben@kpmg.com Rüdiger Birkental Partner, Forensic T rbirkental@kpmg.com Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation KPMG AG Wirtschaftsprüfungsgesellschaft, eine Konzerngesellschaft der KPMG Europe LLP und Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Der Name KPMG, das Logo und cutting through complexity sind eingetragene Markenzeichen von KPMG International.