DOJ betont KI-Risiko und Whistleblower-Schutz in überarbeiteten Compliance-Richtlinien für Unternehmen

Am Montag, dem 23. September, gab die Strafrechtsabteilung des US-Justizministeriums (DOJ) Aktualisierungen ihrer Leitlinien zur Bewertung von Compliance-Programmen für Unternehmen (ECCP) bekannt. Die stellvertretende Generalstaatsanwältin Nicole Argentieri äußerte sich ebenfalls zu den Änderungen in einer Rede vor der Society of Corporate Compliance and Ethics. Die Überarbeitungen der ECCP betonen, dass ein wirksames Compliance-Programm folgende Anforderungen erfüllen muss:

• Führen Sie nach einer Fusion oder Übernahme angemessene Risikobewertungen durch und implementieren Sie Compliance-Programme.
• Berücksichtigen Sie die Risiken, die mit neuen Technologien wie künstlicher Intelligenz (KI) verbunden sind, sowohl im kommerziellen Betrieb als auch im Compliance-Programm selbst.
• Robuste Schutzmaßnahmen für Whistleblower einführen; und
• Seien Sie zugänglich und verfügen Sie über ausreichende finanzielle und datentechnische Ressourcen.

Wir haben hier eine Redline bereitgestellt, die die vorherige Version des ECCP (aktualisiert im März 2023) mit der neuen Version vergleicht, um alle Änderungen widerzuspiegeln. Im Folgenden geben wir Hintergrundinformationen zum ECCP, fassen die Änderungen zusammen und erläutern deren Auswirkungen.

Das ECCP leitet die Anklage- und Entscheidungsfindung des DOJ und schafft Anreize für robuste Compliance-Programme.

Das DOJ nutzt das ECCP zunehmend als wichtiges Instrument, um Anreize für Änderungen in den Compliance-Programmen von Unternehmen zu schaffen. Das ECCP gibt Staatsanwälten Anweisungen, wie sie Compliance-Programme von Unternehmen bewerten sollen, wenn sie über die Erhebung einer Anklage gegen ein Unternehmen entscheiden, und wie sie Fälle lösen sollen, einschließlich der Möglichkeit einer Strafmilderung oder sogar einer Einstellung des Verfahrens. Folglich hilft das ECCP Unternehmen dabei, die Erwartungen des DOJ hinsichtlich eines „wirksamen” Compliance-Programms zu verstehen.

Das aktualisierte ECCP des DOJ sollte vor dem Hintergrund betrachtet werden, dass das DOJ verstärkt gegen „Wirtschaftskriminalität” vorgehen will. Das DOJ hat Unternehmen wiederholt darauf hingewiesen, dass es „alle ihm zur Verfügung stehenden Mittel” einsetzen wird, um Unternehmensdelikte zu verfolgen, sowohl durch erweiterte Anreize als auch durch höhere Erwartungen an Unternehmen. Im März 2024 diskutierten wir die möglichen Auswirkungen auf Unternehmen nach den Äußerungen der stellvertretenden Generalstaatsanwältin Lisa Monaco zur Integration disruptiver Technologien wie KI und kurzlebiger Nachrichten in die Bewertung der Compliance-Bemühungen von Unternehmen durch das DOJ. Diese Schwerpunktsetzung spiegelt sich auch in den Änderungen wider, die das DOJ 2023 an seiner „Criminal Division Corporate Enforcement and Voluntary Self-Disclosure Policy“ vorgenommen hat, in der es um die Verantwortung von Unternehmen für die Aufbewahrung von Materialien auf Kollaborationstools und kurzlebigen Messaging-Plattformen geht. Und letzten Monat haben wir die Auswirkungen des Pilotprogramms des DOJ zur Belohnung von Whistleblowern auf interne Untersuchungen von Unternehmen und Überlegungen zur Selbstanzeige diskutiert. Gleichzeitig hat das DOJ ein Pilotprogramm zur Selbstanzeige von Einzelpersonen gestartet.

Änderungen am ECCP betonen vorausschauendes Denken und proaktive Compliance

Die dieswöchigen Aktualisierungen des ECCP zeigen den Wunsch des DOJ, fortschrittliche, dynamische Compliance-Programme zu fördern, die unethisches Verhalten verhindern. Argentieri betonte in seiner Rede, dass Unternehmen mit gut ausgestatteten Compliance-Abteilungen „besser in der Lage sind, Fehlverhalten zu verhindern, aufzudecken und ihm zuvorzukommen, wenn es auftritt”.[1] Wir stellen hier die wichtigsten Änderungen am ECCP vor.

1. Risikobewertungen und Integration der Compliance nach Fusionen und Übernahmen

Das überarbeitete ECCP betont, wie wichtig es ist, ein Compliance-Programm effektiv zu integrieren, wenn Unternehmen Fusionen, Übernahmen oder andere Transaktionen durchführen. Obwohl das vorherige ECCP dieses Thema nur kurz angesprochen hat, fordert das DOJ in seinen neuesten Überarbeitungen eine genauere Prüfung der Compliance-Maßnahmen nach Abschluss einer Transaktion. Unternehmen sollten erwägen, Risikobewertungen für neu erworbene Geschäftsbereiche durchzuführen und ihre Richtlinien und Verfahren an neue Risiken anzupassen.

2. Die Auswirkungen neuer Technologien auf den Geschäftsbetrieb und die Compliance

Eine wesentliche Änderung des überarbeiteten ECCP besteht darin, dass Unternehmen nun prüfen müssen, ob sie Risiken im Zusammenhang mit neuen Technologien, einschließlich KI, berücksichtigen. Diese Prüfung hat zwei Aspekte: Unternehmen müssen Risiken, die sich aus dem Einsatz neuer Technologien ergeben, sowohl in ihren Geschäftsabläufen als auch im Compliance-Programm selbst angemessen berücksichtigen. Beispielsweise sollten Unternehmen Kontrollen einführen, um den Missbrauch kommerzieller Technologien durch Insider zu verhindern, sowie Kontrollen, die die Zuverlässigkeit und Vertrauenswürdigkeit der zur Überwachung der Compliance eingesetzten Technologien gewährleisten. Unternehmen sollten Risikobewertungen hinsichtlich des Einsatzes neuer Technologien in ihrem täglichen Betrieb und bei der Überwachung der Compliance durchführen. Eine angemessene Schulung im Umgang mit künstlicher Intelligenz und anderen neuen Technologien ist das absolute Minimum für ein wirksames Compliance-Programm.

In diesem Zusammenhang sollten Unternehmen über Prozesse verfügen, um ihre Technologie-Richtlinien und -Verfahren anzupassen, wenn neue Technologien aufkommen und sich verändern. Daher sollten Compliance-Programme so in das Unternehmen integriert werden, dass sie sich nahtlos an neue Technologien oder Geschäftsabläufe anpassen lassen. Eine solche Integration erfordert regelmäßige Risikobewertungen und Überwachungen, um sicherzustellen, dass das, was auf dem Papier gut klingt, auch in der Praxis funktioniert.

3. Richtlinien für Hinweisgeber 

Das überarbeitete ECCP verstärkt die Leitlinien zum Schutz von Whistleblowern und zu Maßnahmen und Praktiken gegen Vergeltungsmaßnahmen. Unternehmen sollten mindestens über eine Richtlinie gegen Vergeltungsmaßnahmen verfügen und ihre Mitarbeiter in Bezug auf interne und externe Meldemechanismen und Gesetze zum Schutz von Whistleblowern schulen. Whistleblower müssen geschützt werden, und die Reaktionen der Unternehmen auf Meldungen über Fehlverhalten sollten zeigen, „dass Vergeltungsmaßnahmen nicht toleriert werden”.[2]

Unternehmen müssen außerdem Meldungen von Whistleblowern zeitnah untersuchen und darauf reagieren. Die Meldewege sollten so strukturiert sein, dass alle potenziellen Compliance-Beschwerden zur angemessenen Untersuchung an die Compliance-Abteilung weitergeleitet werden. In diesem Zusammenhang sollten Unternehmen das Pilotprogramm des DOJ zur Belohnung von Whistleblowern und die damit verbundenen Anreize für Mitarbeiter und Unternehmen zur Selbstanzeige von Fehlverhalten in Betracht ziehen.

4. Compliance-Ressourcen

Schließlich legte das überarbeitete ECCP mehr Gewicht auf die Zuweisung von Ressourcen für Compliance-Programme. Staatsanwälte werden angewiesen, die für Compliance-Programme zugewiesenen Budgets zu berücksichtigen, und Unternehmen sollten erwägen, ihren Compliance-Investitionen einen kommerziellen Wert zuzuweisen. Die für die Akquise von Geschäften zugewiesenen Ressourcen sollten nicht unverhältnismäßig größer sein als die für Compliance zugewiesenen Ressourcen. Compliance-Programme sollten angemessen finanziert und mit Personal ausgestattet sein, und Compliance-Mitarbeiter sollten Zugang zu den Daten und Tools haben, die für eine aussagekräftige Bewertung der Compliance des Unternehmens erforderlich sind. Außerdem sollten Datenanalyse-Tools genutzt werden, um die Wirksamkeit des Compliance-Programms des Unternehmens zu bewerten.

Im Grunde genommen unterstreichen die Aktualisierungen des ECCP durch das DOJ, was seit vielen Jahren die Botschaft des DOJ ist: Wenn es um Compliance geht, sollten Unternehmen ihren Worten Taten folgen lassen. Lippenbekenntnisse allein werden nicht als „wirksames” Compliance-Programm eines Unternehmens angesehen.

Wenn Sie Fragen zu Compliance-Programmen für Unternehmen haben, wenden Sie sich bitte an die Autoren dieses Artikels oder Ihren Anwalt bei Foley & Lardner.

[1] Nicole Argentieri, Rede vor der Society of Corporate Compliance and Ethics auf dem 23. jährlichen Compliance & Ethics Institute (23. September 2024).

[2] Ebenda.