Compliance in M&A-Deals – Überflüssige Formalität oder echte Chance für Unternehmen?

RISIKOANALYSE IM TRANSAKTIONSPROZESS _ Jedes größere Unternehmen in Deutschland dürfte sich der Tatsache bewusst geworden sein, dass Compliance keine Modeerscheinung ist und auch in den nächsten Jahren die Unternehmenswirklichkeit sowie den Geschäftsalltag in Deutschland als maßgebliches Thema mit prägen wird. Trotz dieser Erkenntnis und den damit einhergehenden, stark gestiegenen Investitionen in „state-of-the-art“-Compliance, ist Compliance im Rahmen von M&A stets ein Randthema geblieben. Außerhalb bestimmter Hochrisikoindustrien bzw. sofern nicht bestimmte Hochrisikoländer betroffen sind, ist Compliance nach wie vor selten ein Kernthema in einem M&A-Prozess. Dies gilt umso mehr für die sog. Criminal Compliance, d.h. die Untersuchung möglicher strafrechtlich relevanter Risiken in der Zielgesellschaft, die von Unternehmen hierzulande oftmals vollkommen vernachlässigt wird.

Selbstverständlich gibt es Ausnahmen, gerade im Bereich Private Equity, wo bspw. die Durchführung einer Compliance-Due-Diligence immer häufiger Voraussetzung für die notwendige interne Freigabe durch das Investment Committee ist. Insgesamt lässt sich jedoch beobachten, dass das Thema Compliance in einer Vielzahl von Transaktionen gar nicht gesondert untersucht oder als reine „tick-the-box“-Übung abgehandelt wird. Nur selten findet auf Käuferseite eine echte Risikoanalyse statt, auf deren Basis Compliance ein Werttreiber für die konkrete Akquisition, jedenfalls aber eine wesentliche Grundvoraussetzung für das Gelingen der späteren Post-Merger-Integration sein kann.

Mangels empirischer Analysen dieses Phänomens im deutschsprachigen Raum lässt sich nur spekulieren, warum dem Thema, anders als bspw. im angelsächsischen Rechtskreis, im M&A-Kontext so wenig Bedeutung beigemessen wird. Ein Grund mögen die zusätzlichen Kosten entsprechender Untersuchungsmaßnahmen sein, wobei diese im Vergleich zu anderen Due-Diligence-Workstreams sowie angesichts der Bedeutung der möglicherweise bestehenden (straf- und haftungsrechtlichen) Risiken im Normalfall vernachlässigbar sein dürften. Ein anderer Grund liegt evtl. in der Tatsache begründet, dass es im M&A-Kontext häufig nach wie vor an Möglichkeiten zu einer belastbaren Herleitung der für die im Rahmen einer Transaktion relevanten und daher zu prüfenden Compliance-Risiken fehlt.

Umso wichtiger ist es aufzuzeigen, warum Compliance im Rahmen von Transaktionen eine echte Bedeutung zukommt und welches Verständnis von Compliance im Rahmen einer Transaktion sinnvollerweise zugrunde gelegt werden kann.

Vorteile einer stärkeren Berücksichtigung von Compliance in Transaktionen

Es gibt zahlreiche Gründe dafür, Compliance im Transaktionsprozess einen dem Thema angemessenen Stellenwert zuzumessen. Zwar sind die Themenfelder von Compliance auch im M&A-Kontext vielseitig und reichen von Datenschutz über das Außenwirtschaftsgesetz, verschiedene branchenspezifische Gesetze sowie neuerdings ESG-Themen bis hin zu klassischen strafrechtlichen Risiken. Trotz dieses breiten Spektrums bedeutet dies jedoch für Käufer nicht, dass stets ein eigener Compliance-Workstream mit umfangreicher Due Diligence und ausgiebigen Interviews etc. aufgesetzt werden muss. Viel wichtiger ist vielmehr, dass die Entscheidungsträger auf Käuferseite ein gutes Verständnis des Compliance-Risikoprofils sowie der einzelnen Risikobereiche in der Zielgesellschaft entwickeln und auf dieser Basis über die notwendigen Maßnahmen im konkreten M&A-Prozess entscheiden können.

Darüber hinaus ist die Identifikation möglicher Compliance-Risiken vor Closing für die Frage der späteren Gewährleistung entscheidend. Zwar hören sich die standardmäßig weiten Compliance-Garantien in Unternehmenskaufverträgen erst einmal beruhigend an. Schaut man sich jedoch die möglichen Schadenssummen bei Compliance-Verstößen (gerade mit strafrechtlichem Bezug) an, wird schnell deutlich, dass diese Garantien vor dem Hintergrund der für operative Garantien geltenden vertraglichen Einschränkungen (insbesondere den derzeit im Markt eher niedrigen Caps) selten eine ausreichende Absicherung im Falle des Eintritts eines relevanten Compliance-Risikos bieten werden. Dies gilt in besonderem Maße in Fällen der Criminal Compliance: Zum einen können hier Gewinne aus Straftaten – wie etwa der Umsatz aus einem durch Korruption erlangten Auftrag – bis zu 30 Jahre rückwirkend nach dem sogenannten Bruttoprinzip eingezogen werden. Zum anderen drohen nicht nur Einziehung oder eine Geldbuße, sondern zusätzlich erhebliche Reputationsschäden für die Zielgesellschaft und sogar den Käufer.

Im Übrigen spricht sowohl in Deutschland als auch international die geltende Rechtslage dafür, (Criminal) Compliance als gesondertes Thema in der Due Diligence zu behandeln. Gerichte in Deutschland betonen in diesem Zusammenhang, dass die Geschäftsleitung des Käuferunternehmens die Pflicht trifft, im Rahmen einer Transaktion eine hinreichend abgesicherte Informations- und Entscheidungsgrundlage herzustellen, um auf dieser Basis vorhandene Risiken einschätzen und eine informierte Entscheidung über die Durchführung der Transaktion treffen zu können. Zu diesen vorhandenen Risiken gehören auch Compliance-Risiken als klassische Haftungsrisiken für die Zielgesellschaft und ihre Geschäftsleiter. Ähnliches wird von internationalen Behörden wie bspw. dem US-amerikanischen Department of Justice sowie dem Serious Fraud Office in Großbritannien betont. Folglich ist es anerkannte Pflicht der Geschäftsleitung des Käuferunternehmens, eine informierte Entscheidung darüber treffen zu können, ob und in welchem Umfang Compliance-Themen im Rahmen des M&A-Prozesses, insbesondere in der Due Diligence, vertieft überprüft werden sollten.

Mit dieser Einschätzungsprärogative wird zugleich ein eigenes Haftungsrisiko für die Geschäftsleitung des Käuferunternehmens begründet. Unterlässt die Geschäftsleitung eine angemessene Due Diligence und wird nach erfolgreichem Kauf beim Zielobjekt etwa ein umfangreicher Korruptionsfall offenbar, kann insbesondere die Geschäftsleitung nicht nur im Fokus der Verfolgungsbehörden stehen, sondern sich auch einer Schadensersatzhaftung ausgesetzt sehen. Aufgrund der geltenden Beweislastumkehr muss diese in einem solchen Fall dann sogar nachweisen, dass sie ihre Pflichten – hier Anweisung zu einer angemessenen Due Diligence – erfüllt hat.

Notwendige Compliance-Maßnahmen im M&A-Kontext

Eine pauschale Antwort auf die Frage, welche Compliance-Maßnahmen in einer konkreten Transaktion angemessen sind, gibt es nicht. Wichtig ist für eine effiziente Behandlung von Compliance im Rahmen eines Transaktionsprozesses aber einen Weg zu finden, mit der Informationsasymmetrie zwischen Verkäufer und Käufer umzugehen. Der Verkäufer kennt das Zielunternehmen nämlich (häufig) sehr gut, jedenfalls deutlich besser als der Käufer, und wird daher ein besseres Verständnis des für dieses Unternehmen relevanten Risikoprofils haben. Dieses wird er allerdings nur zurückhaltend und jedenfalls nicht am Anfang des Prozesses in vollem Umfang mit dem Käufer teilen wollen (häufig geschieht dies sogar überhaupt nicht bzw. lediglich teilweise). Diese Informationsasymmetrie erschwert damit naturgemäß die akkurate Bewertung möglicher Compliance-Risiken.

Darüber hinaus ist es aus Sicht des Käufers entscheidend, sich ein eigenes Bild des Risikoprofils der Zielgesellschaft vor dem konkreten Hintergrund der Transaktion sowie angesichts der geplanten Eingliederung des Targets in den Konzern des Käufers zu bilden. Diese spezifische Risikoanalyse, die im Zusammenhang mit der geplanten Akquisition erfolgen sollte, definiert aus Käufersicht die konkret zu treffenden (Due Diligence) Maßnahmen im Rahmen des Transaktionsprozesses. Zu häufig scheint jedoch gerade diese Risikoanalyse als wichtigste Compliance-bezogene Maßnahme entweder überhaupt nicht stattzufinden oder zumindest nicht (in ausreichendem Maße) auf Käuferseite dokumentiert zu werden. Diese Beobachtung gilt erneut insbesondere für die Criminal-Compliance, die Käufer auch im Rahmen größerer Transaktionen eher stichprobenartig adressieren bzw. untersuchen.

Auf Basis einer eigenen Risikoanalyse und angesichts der vorhandenen Möglichkeiten an Informationen zu Compliance-Risiken und existenten Maßnahmen beim Zielunternehmen zu kommen, sollten dann die konkreten Risikobereiche sowie Maßnahmen definiert werden, um identifizierte Risiken bzw. Compliance-Themen im Rahmen des Transaktionsprozesses angemessen abzudecken.

Due Diligence im Rahmen des M&A-Prozesses

Der aus Compliance-Sicht ebenso bedeutsame Workstream im Rahmen des M&A-Prozesses ist die Due Diligence. Hier ist aus Käufersicht die grundsätzliche Entscheidung zu treffen, ob das (aus Käufersicht bestimmte) Risikoprofil der Zielgesellschaft einen eigenen Compliance-Due-Diligence-Workstream rechtfertigt. In diesem Zusammenhang ist zu konstatieren, dass in herkömmlichen Due-Diligence-Prozessen häufig verschiedene Bereiche, die aus Compliance-Sicht relevant sind, zumindest teilweise abgedeckt sind. Dies betrifft bspw. die Frage nach notwendigen Genehmigungen und Erlaubnissen für die konkrete Geschäftstätigkeit, Fragen zum Datenschutz sowie standardisierte Fragen in Bezug auf mögliche Korruptions- sowie Sanktionsprobleme innerhalb der Zielgesellschaft.

Häufig erscheinen diese Fragen jedoch eher „repetitiv“ abgespult zu werden und basieren nicht auf einer einzelfallbezogenen Analyse des Zielunternehmens. Dies ist aus Sicht von Verfolgungsbehörden das wesentliche Manko in Bezug auf (Criminal) Compliance im Rahmen von M&A-Transaktionen. Denn auch hier gibt es – genau wie im Rahmen der klassischen Compliance-Bemühungen – kein „one size fits all“-Konzept. Es ist vielmehr entscheidend, sich dezidiert mit den möglichen Risikobereichen bei der Zielgesellschaft zu beschäftigen, diesen Prozess zu dokumentieren und auf dieser Basis eine risikoangemessene, informierte und explizite Entscheidung bzgl. der im konkreten Fall relevanten (Due Diligence) Maßnahmen zu treffen. Wird dieser Prozess unterlassen, verbleiben Haftungsrisiken bei der Geschäftsleitung des Käufers, da die notwendige Risikoanalyse bei der Zielgesellschaft unterblieben ist.

Compliance im Rahmen von Transaktionen derzeit noch vernachlässigt

Compliance kann im Rahmen von M&A-Transaktionen also durchaus eine wichtige Rolle spielen. Ratsam aus Sicht von Geschäftsleitern bzw. M&A-Verantwortlichen ist es daher, Compliance vor dem Hintergrund des aus Käufersicht erarbeiteten Risikoprofils der Zielgesellschaft und der im konkreten Prozess diesbezüglich zu erlangenden Informationen zu betrachten sowie durch einen dem konkreten Fall angemessenen, abgestuften und risikobasierten Ansatz zu adressieren. Ein solcher Ansatz, der intern hinreichend dokumentiert werden sollte, hilft Käuferunternehmen dabei, unvorteilhafte unternehmerische Entscheidungen zu vermeiden. So kann Compliance einen echten Mehrwert im M&A-Kontext schaffen, die Zahlung eines überhöhten Kaufpreises verhindern und gleichzeitig Haftungsrisiken für die Geschäftsleitung erheblich minimieren.

Über die Autoren

Christian Schoop ist Partner der deutschen Praxisgruppe Litigation & Regulatory von DLA Piper am Standort Frankfurt. Er berät nationale und internationale Unternehmen in allen Fragen des Wirtschaftsstrafrechts und bei der Begleitung von strafrechtlichen Ermittlungsverfahren. Ein weiterer Schwerpunkt seiner Tätigkeit liegt in der Beratung von Unternehmen bei internen Ermittlungen und bei der Einführung von Compliance-Systemen. Ferner begleitet Christian Schoop die Durchführung von Compliance Due Diligence, insbesondere auch im Rahmen von M&A-Transaktionen.

Moritz von Hesberg berät als Counsel schwerpunktmäßig deutsche und internationale Mandanten zu sämtlichen Corporate und M&A sowie in Bezug auf Corporate-Governance-Themen. Ein besonderer Fokus seiner Tätigkeit liegt auf der Beratung von komplexen, cross-border-Transaktionen für Private Equity und Venture Capital Fonds sowie international tätigen Industrieunternehmen. Außerdem ist er Experte für Corporate Compliance sowie die gesellschaftsrechtliche Begleitung interner Untersuchungen. Moritz von Hesberg ist Teil der Corporate Praxisgruppe von DLA Piper in Hamburg.