Seit der durch das Organgesetz 5/2010 vorgenommenen Reform des spanischen Strafgesetzbuches kann ein spanisches Unternehmen strafrechtlich verurteilt werden: Es kann millionenschwere Geldstrafen erhalten, aufgelöst werden, von der Vergabe öffentlicher Aufträge ausgeschlossen werden oder seine Tätigkeit durch richterliche Entscheidung eingestellt sehen. Die juristische Person ist kein Schutzschild vor strafrechtlicher Verantwortung — sie ist seit fünfzehn Jahren ein aktives Subjekt des Strafrechts. Das Strafrecht-Compliance, und insbesondere das Organisations- und Managementmodell nach Artikel 31 bis des Strafgesetzbuches, ist der einzige gesetzlich anerkannte Mechanismus zur Befreiung oder Milderung dieser Haftung.
Was ist Strafrecht-Compliance und warum unterscheidet es sich von allgemeinem Compliance?
Der Begriff Compliance — Regelkonformität — umfasst im weitesten Sinne alle Richtlinien, Verfahren und Kontrollen, die eine Organisation zur Sicherstellung eines gesetzeskonformen Betriebs einführt. Strafrecht-Compliance ist eine spezifische Kategorie: Sie befasst sich ausschließlich mit der Verhinderung von Verhaltensweisen, die als der juristischen Person zurechenbare Straftaten gelten können.
Die Unterscheidung ist relevant, weil Strafrecht-Compliance direkte rechtliche Auswirkungen im Prozessrecht hat. Ein Organisations- und Managementmodell, das die Anforderungen des Artikels 31 bis.2 und .5 des Strafgesetzbuches erfüllt, kann dazu führen, dass das Unternehmen vollständig von der Verurteilung freigesprochen wird, auch wenn einer seiner Direktoren eine Straftat in seinem Namen begangen hat.
Der Rechtsrahmen: Artikel 31 bis CP und die Reform von 2015
Das doppelte Zurechnungsmodell
Artikel 31 bis des Strafgesetzbuches sieht zwei Fälle der strafrechtlichen Haftung der juristischen Person vor:
Erster Weg (Art. 31 bis.1.a): Das Unternehmen haftet, wenn die Straftat von seinen gesetzlichen Vertretern oder von Personen begangen wird, die — einzeln oder als Mitglieder eines Organs handelnd — befugt sind, Entscheidungen im Namen der juristischen Person zu treffen, oder Organisations- und Kontrollbefugnisse innerhalb derselben haben.
Zweiter Weg (Art. 31 bis.1.b): Das Unternehmen haftet auch, wenn die Straftat von Mitarbeitern begangen wird, die der Aufsicht der Erstgenannten unterliegen, sofern die Tat durch eine schwerwiegende Verletzung der Aufsichts-, Überwachungs- und Kontrollpflichten über diese Mitarbeiter möglich geworden ist.
Die auf juristische Personen anwendbaren Strafen
Das Strafgesetzbuch sieht für juristische Personen einen spezifischen Strafenkatalog vor:
- Geldstrafe auf Quote oder proportional, die das Fünffache des mit der Straftat erzielten oder erwarteten Gewinns erreichen kann.
- Auflösung der juristischen Person mit Erlöschen der Rechtspersönlichkeit.
- Aussetzung der Tätigkeiten für bis zu fünf Jahre.
- Schließung von Räumlichkeiten und Einrichtungen für bis zu fünf Jahre.
- Verbot der Ausübung von Tätigkeiten für bis zu fünfzehn Jahre oder auf Dauer.
- Unfähigkeit, Subventionen und öffentliche Beihilfen zu erhalten und mit dem öffentlichen Sektor zu kontrahieren, für bis zu fünfzehn Jahre.
- Gerichtliche Intervention für bis zu fünf Jahre.
Die sechs Anforderungen des Befreiungsmodells (Art. 31 bis.5 CP)
Die Befreiung von der strafrechtlichen Haftung der juristischen Person erfordert, dass das Organisations- und Managementmodell vor der Begehung der Straftat die sechs Anforderungen erfüllt, die Artikel 31 bis.5 des Strafgesetzbuches ausdrücklich aufführt:
1. Identifizierung risikogenerierender Tätigkeiten
Das Modell muss die Tätigkeiten identifizieren, in deren Rahmen die zu verhütenden Straftaten begangen werden könnten. Dies ist die strafrechtliche Risikokarte.
2. Protokolle zur Willensbildung und Entscheidungsfindung
Das Modell muss Protokolle oder Verfahren festlegen, die den Prozess der Willensbildung der juristischen Person, die Entscheidungsfindung und deren Umsetzung konkretisieren.
3. Modelle zur Verwaltung finanzieller Ressourcen
Das Modell muss Modelle zur Verwaltung der finanziellen Ressourcen umfassen, die geeignet sind, die Begehung der zu verhütenden Straftaten zu verhindern: Aufgabentrennung bei Zahlungen, doppelte Genehmigungen für Überweisungen ab bestimmten Beträgen.
4. Meldepflicht für Risiken und Verstöße
Das Modell muss die Pflicht zur Meldung möglicher Risiken und Verstöße an das Aufsichtsorgan vorschreiben — dies erfordert ein Hinweisgebersystem.
5. Disziplinarsystem zur Ahndung von Verstößen
Das Modell muss ein Disziplinarsystem einrichten, das Verstöße gegen die Überwachungs- und Kontrollmaßnahmen angemessen ahndet.
6. Regelmäßige Überprüfung und Anpassung
Das Modell muss regelmäßig überprüft und gegebenenfalls angepasst werden, wenn relevante Verstöße bekannt werden oder Änderungen in der Organisation eintreten.
Das Hinweisgebersystem: Gesetz 2/2023 und seine Auswirkungen auf das Strafrecht-Compliance
Das Gesetz 2/2023 vom 20. Februar (Umsetzung der EU-Richtlinie 2019/1937, bekannt als Whistleblowing-Richtlinie) hat das Regime des Hinweisgebersystems in Spanien grundlegend verändert.
Verpflichtete Unternehmen
Das Gesetz 2/2023 verpflichtet zur Einführung eines Hinweisgebersystems:
- Private Unternehmen mit 50 oder mehr Mitarbeitern.
- Private Unternehmen mit weniger als 50 Mitarbeitern, die in den Bereichen Finanzdienstleistungen, Geldwäscheprävention oder Transportsicherheit tätig sind.
- Alle Einrichtungen des öffentlichen Sektors ohne Ausnahme.
Anforderungen an das Hinweisgebersystem nach Gesetz 2/2023
- Vertraulichkeit garantiert: Die Identität des Hinweisgebers muss vertraulich bleiben.
- Möglichkeit anonymer Meldungen: Der Kanal muss anonyme Meldungen zulassen.
- Unabhängiger Verwalter: Die Verwaltung muss unabhängig sein.
- Empfangsbestätigung innerhalb von 7 Tagen.
- Rückmeldung innerhalb von 3 Monaten.
- Verbot von Repressalien: Umgekehrte Beweislast.
Die Behörde zur unabhängigen Schutzinformation (A-I-P-I) überwacht die Einhaltung. Bußgelder reichen von 1.001 Euro bis zu 1.000.000 Euro.
Die Risikokarte: Methodik und Inhalt
Die strafrechtliche Risikokarte ist das zentrale Dokument des Strafrecht-Compliance. Sie folgt einer Risikoanalysemethodik, die Strafrechts- mit Unternehmensrisikomanagementtechniken verbindet:
Phase 1 — Prozessinventur: Alle Geschäftsprozesse werden identifiziert.
Phase 2 — Zuordnung anwendbarer Straftaten: Für jeden Prozess wird analysiert, welche Straftaten aus dem Katalog begangen werden könnten.
Phase 3 — Bewertung des inhärenten Risikos: Wahrscheinlichkeit und Auswirkung jeder Straftat werden bewertet.
Phase 4 — Bewertung bestehender Kontrollen: Bestehende Kontrollen werden auf ihre Wirksamkeit hin bewertet.
Phase 5 — Berechnung des Restrisikos.
Phase 6 — Aktionsplan: Für jede identifizierte Lücke werden zusätzliche Kontrollmaßnahmen festgelegt.
Die UNE 19601-Zertifizierung: Was sie bringt und was nicht
Die Norm UNE 19601, veröffentlicht von AENOR im Jahr 2017 (aktualisiert 2023), legt die Anforderungen für Managementsysteme für strafrechtliches Compliance fest. Sie ist der nationale Referenzstandard für Modelle nach Art. 31 bis CP.
Die Zertifizierung bescheinigt, dass das Modell von einer unabhängigen dritten Partei auditiert wurde. Ihre praktischen Auswirkungen:
- Beweisrechtliche Wirkung im Strafverfahren: Die Zertifizierung befreit nicht automatisch, liefert aber einen relevanten Beweis für die Echtheit des Modells.
- Vorteil bei öffentlichen Ausschreibungen: Zunehmend mehr Ausschreibungsunterlagen fordern die UNE 19601-Zertifizierung.
- Verbesserung der Finanzierungsbedingungen: Einige Finanzinstitute und Versicherungen bewerten die Zertifizierung positiv.
Die Zertifizierung ist jedoch keine automatische Garantie für eine Befreiung. Was befreit, ist das echte und wirksame Modell, nicht das Zertifikat.
Bárbara Botía Espín ist Rechtsanwältin, Mitglied Nr. 11.233 des ICAM Málaga, Spezialistin für strafrechtliches Compliance und strafrechtliche Haftung juristischer Personen bei BM Consulting.
