The UK is tightening its corporate criminal law

How the UK declares a fight against corporate crime: An overview of the UK Economic Crime and Corporate Transparency Act 2023 and its impact on fraud prevention measures for German companies

On 26 October 2023, the Economic Crime and Corporate Transparency Act 2023 (ECCTA) received the necessary Royal Assent from King Charles and was adopted as law. ECCTA introduced a comprehensive package of measures to combat corporate crime and increase corporate transparency. The more stringent corporate criminal law associated with ECCTA will also be relevant for many German companies. The most significant changes in this context are:

1. The extension of the identification principle to make it easier to hold companies accountable for the criminal behaviour of individuals acting on its behalf.
2. The introduction of a new strict liability offence, which makes it a criminal offence for 'large companies' not to have prevented fraud ('Failure to Prevent Fraud'). This offence comes with an extraterritorial scope of application.

The extension of the identification principle

In the United Kingdom, most criminal offences require a subjective element in addition to the objective elements of the offence, i.e. the offender must have intended or had knowledge of the offence. In English criminal law, the extent to which the offence can be attributed to a person or company is generally determined by the common law identification principle. Under this principle, a person's criminal behaviour can only be attributed to a company if the person had the necessary authority to constitute the organisation's 'directing mind and will'. The application of the identification principle proved to be extremely difficult in practice, which often made it challenging for the authorities in the UK to prosecute companies successfully in the past. This was particularly true for large companies with complex decision-making processes, where it was difficult to determine whether a person had the 'directing mind and will'. For this reason, Section 196 of ECCTA includes an extension of the identification principle and introduces the 'senior manager test'. Accordingly, a company may be guilty of the offences listed in Schedule 12, such as fraud, bribery, tax, money laundering, fraud, and false accounting offences, if the offence is committed by a senior manager acting within the scope of his actual or apparent authority. Under Section 196 of the ECCTA, a senior manager is a person that is:

• Making decisions regarding how the whole or a substantial part of the corporate’s activities are to be managed or organised.
• Actively managing or organising the whole or a substantial part of the corporation's activities.

Based on this definition, who can be considered a 'senior manager' will not always be clear. However, it will certainly not depend solely on the title of the person in question. As the definition of senior manager is taken from section 1(4) of the Explanatory Note to the Corporate Manslaughter and Corporate Homicide Act 2007, it can be assumed that not only members of the management body or immediately subsequent management level are meant, but also employees at middle management levels with strategic or regulatory responsibility, e.g. regional and site managers or managers from the areas of HR, legal and compliance. With the introduction of the ECCTA, it will now be possible to attribute the actions of a larger group of persons to a company to establish its criminal liability.

The introduction of the new Failure to Prevent Fraud Offence

The UK Government's Fraud Strategy for 2023 states that fraud offences pose a significant threat to the prosperity and security of the UK and account for more than 40% of all offences committed in England and Wales in 2022. To combat the enormous number of fraud offences, the UK government introduced the new strict liability offence of 'Failure to Prevent Fraud' under Section 199 of ECCTA, which is expected to come into force later this year. This is the third 'Failure to Prevent Offence' with strict liability in the UK, following the offences of 'Failure to Prevent Bribery' under the UK Bribery Act 2010 and 'Failure to Prevent Tax Evasion' under the Criminal Finances Act 2017. The scope of application of the new offence includes 'large corporates', which refers to both corporations and partnerships. For a company or group of companies to fall within the scope of the offence, at least two of the following criteria must be met.

The company must have:

• more than 250 employees,
• a turnover of more than GBP 36 million and/or
• have assets of more than GBP 18 million.

Under the new offence, companies will be held criminally liable if they fail to prevent fraud by a person associated with them ('associated person') and the fraud committed directly or indirectly benefits the company. The term 'associated person' is defined very broadly and includes employees, agents, subsidiaries, or any person who otherwise performs services for or on behalf of the corporation. The relevant fraud offences, one of which must have been committed by the associated person, are listed in Schedule 13 of the ECCTA. As this is a strict liability offence, the knowledge or involvement of the company executive in the criminal act is not required. A company may be subject to an unlimited fine if it is found guilty of the new offence.

Why German companies may also be subject to the new Failure to Prevent Fraud Offence

Although the law itself says nothing about the extraterritorial scope of the new offence, the UK government's Failure to Prevent Fraud factsheet states: '"If an employee commits fraud under UK law, or targeting UK victims, their employer could be prosecuted, even if the organisation (and the employee) are based overseas."

This means that companies based in Germany can also be prosecuted by UK law enforcement authorities for fraudulent behaviour under the given circumstances, provided there is a particular UK nexus. However, a company can avoid all criminal liability under section 199(4) if it can prove that it had reasonable procedures in place to prevent fraud at the time the offence occurred. Per Sections 204, 219(8) of ECCTA, the UK Government must publish guidance with further information on what constitutes reasonable procedures to prevent fraud before the new offence can come into force. A similar approach was taken with the UK Bribery Act 2010, in which the government published guidance on the then-introduced offence of 'Failure of commercial organisations to prevent bribery'.

Which fraud prevention measures companies should now take

Whilst the importance of effective fraud prevention measures will not come as a surprise to large businesses in either the UK or Germany, now would be a good time for businesses to review their existing fraud prevention measures and adapt them where necessary. German companies should familiarise themselves with the new regulations, particularly if they have subsidiaries or branches in the UK. Until the UK government publishes the guidance, organisations should check whether an existing risk analysis sufficiently covers risks of fraud committed from within the company for its benefit. Experience has shown that fraud risk assessments tend to focus on fraudulent acts to the organisation's detriment. Furthermore, which employees fall under the definition of senior manager under the ECCTA and potentially have direct contact with customers, authorities, or business partners in the United Kingdom should be analysed. Overall, companies are well advised to maintain an appropriate compliance management system (CMS) that promotes an anti-fraud culture and has appropriate controls, policies, training, and whistleblowing systems.

Conclusion

With the UK Economic Crime and Transparency Act 2023, the British government has significantly tightened its corporate criminal law. Due to the expansion of the criminal attribution rules, the number of corporate criminal proceedings is expected to increase. With the new criminal offence of 'Failure to Prevent Fraud', which is expected to come into force over the year, companies are required to implement and continuously develop an adequate fraud prevention system. In particular, for German companies with UK business relationships, this increases the need to review and, if necessary, adapt their compliance systems.

When did your company last review the practicality and effectiveness of its fraud prevention measures and internal controls? In addition to compliance risk analyses and the development of customised internal control systems, our consulting services also include conducting internal investigations to determine whether any suspicions of fraud are substantiated. Furthermore, Pohlmann & Company advises and represents companies in complex white-collar proceedings.

Please feel free to contact us at any time!

***

Das Vereinigte K?nigreich versch?rft das Unternehmensstrafrecht

Wie das Vereinigte K?nigreich der Unternehmenskriminalit?t den Kampf ansagt: Ein überblick zum "UK Economic Crime and Corporate Transparency Act 2023" und seine Auswirkungen auf die Betrugspr?ventionsma?nahmen deutscher Unternehmen

Am 26.?Oktober?2023 erhielt der Economic Crime and Corporate Transparency Act 2023 (ECCTA) die erforderliche Zustimmung von K?nig Charles (sog. "Royal Assent") und wurde somit als Gesetz verabschiedet. Mit dem ECCTA wurde ein umfangreiches Ma?nahmenpaket zur Bek?mpfung der Unternehmenskriminalit?t und Steigerung der Unternehmenstransparenz auf den Weg gebracht. Die mit dem ECCTA einhergehende Versch?rfung des Unternehmensstrafrechts wird auch für eine Vielzahl deutscher Unternehmen von Relevanz sein. Die in diesem Zusammenhang wohl bedeutendsten ?nderungen sind:

1. Die Erweiterung des Identifizierungsprinzips ("identification principle"), mit dem Ziel, Unternehmen zukünftig einfacher für strafrechtliches Mitarbeiterverhalten zur Verantwortung ziehen zu k?nnen.
2. Die Einführung eines neuen verschuldensunabh?ngigen Straftatbestands, welcher für "gro?e Unternehmen" unter Strafe stellt Betrugstaten nicht verhindert zu haben ("Failure to Prevent Fraud"). Dieser Straftatbestand weist einen extraterritorialen Anwendungsbereich auf.

Die Reform der strafrechtlichen Zurechnung durch Erweiterung des Identifizierungsprinzips

Im Vereinigten K?nigreich ist für die meisten Straftaten neben den objektiven Tatbestandsmerkmalen auch ein subjektives Element erforderlich, d.h. der T?ter muss die Straftat beabsichtigt oder Kenntnis von ihr gehabt haben. Inwiefern die Straftat einer Person, einem Unternehmen zugerechnet werden kann, richtet sich im englischen Strafrecht grunds?tzlich nach den von der Rechtsprechung entwickelten Grunds?tzen (Common Law) des Identifizierungsprinzips. Demnach kann das strafrechtliche Verhalten einer Person einem Unternehmen nur dann zugerechnet werden, wenn der T?ter das Unternehmen nach seinem Willen geleitet bzw. kontrolliert hat ("the directing mind and will of the corporation"). Die Anwendung des Identifizierungsprinzips erwies sich in der Praxis als ?u?erst schwierig, was es den Beh?rden im Vereinigten K?nigreich in der Vergangenheit oft erschwert hat, Unternehmen erfolgreich strafrechtlich zu verfolgen. Dies galt insbesondere für gro?e Unternehmen mit komplexen Entscheidungsprozessen, bei denen es schwierig war, festzustellen, ob eine Person die tats?chliche Entscheidungsgewalt bzw. "the directing mind and will" hatte. Aus diesem Grund wurde in Section 196 des ECCTA eine Erweiterung des Identifizierungsprinzips vorgenommen und der "Senior Manager-Test" eingeführt. Demnach kann sich ein Unternehmen den in Anhang 12 ("Schedule 12") aufgeführten Straftaten, wie z.?B. des Betrugs, der Bestechung, der Bilanzf?lschung, der Geldw?sche oder der Steuerhinterziehung schuldig machen, sofern die Straftat von einem "leitenden Angestellten" bzw. einem "Senior Manager" begangen wird, der im Rahmen seiner tats?chlichen oder scheinbaren Befugnisse handelt. Nach Ma?gabe von Section 196 des ECCTA ist ein Senior Manager eine Person, die:

• eine wesentliche Rolle bei der unternehmerischen Entscheidungsfindung des gesamten Unternehmens oder eines bedeutenden Unternehmensteils spielt, oder
• eine wesentliche Rolle im Management oder der Verwaltung des gesamten Unternehmens oder eines bedeutenden Unternehmensteils spielt.

Aufgrund dieser Begriffsbestimmung wird nicht immer klar sein, wer als "Senior Manager" angesehen werden kann. Hierbei wird es jedoch sicherlich nicht allein vom Titel der jeweiligen Person abh?ngen. Da die Begriffsbestimmung des Senior Managers aus Section 1(4) der erg?nzenden Erkl?rungen zum Corporate Manslaughter and Corporate Homicide Act 2007 übernommen wurde, ist davon auszugehen, dass nicht nur Mitglieder des Leitungsorgans oder direkt nachfolgenden Führungsebene gemeint sind, sondern auch Mitarbeiter auf mittleren Führungsebenen mit strategischer oder regulatorischer Verantwortung, z.B. Regionalleiter- und Standortleiter oder Führungskr?fte aus den Bereichen HR, Recht und Compliance. Durch die Einführung des ECCTA wird nun m?glich sein, die Handlungen eines gr??eren Personenkreises einem Unternehmen zuzurechnen, um die strafrechtliche Verantwortlichkeit des Unternehmens zu begründen.

Die Einführung des neuen Straftatbestands "Failure to Prevent Fraud"

Nach Angaben der britischen Regierung in ihrer Betrugspr?ventionsstrategie für das Jahr 2023 stellen Betrugsdelikte eine erhebliche Bedrohung für den Wohlstand und die Sicherheit des Vereinigten K?nigreichs dar und machten 2022 mehr als 40 % aller begangenen Straftaten in England und Wales aus. Dabei wird der Begriff ?Betrug“ in dem weiten englischen Verst?ndnis des Begriffs ?Fraud“ gebraucht und umfasst bspw. auch Untreue- und Unterschlagungsdelikte. Um der enormen Anzahl von Betrugsdelikten entgegenzuwirken, führte die britische Regierung mit Section 199 des ECCTA den neuen verschuldensunabh?ngigen Straftatbestand "Failure to Prevent Fraud" ein, welcher noch im Laufe des Jahres in Kraft treten soll. Damit handelt es sich um den dritten Unternehmensstraftatbestand mit verschuldensunabh?ngiger Haftung (?strict liabilty“) im Vereinigten K?nigreich, nach den Straftatbest?nden "Failure to Prevent Bribery" aus dem UK Bribery Act 2010 folgend und der "Failure to Prevent Tax Evasion" gem. dem Criminal Finances Act 2017.

In den Anwendungsbereich des neuen Straftatbestands fallen gro?e Unternehmen ("large corporates"), wobei hiermit sowohl K?rperschaften ("body corporates") als auch Personengesellschaften ("partnerships") gemeint sind. Damit ein Unternehmen oder eine Unternehmensgruppe in den Anwendungsbereich des Straftatbestands f?llt, müssen mindestens zwei der folgenden Kriterien erfüllt sein. Das Unternehmen muss:

• mehr als 250 Mitarbeitende besch?ftigen,
• mehr als GBP 36 Mio. Umsatz machen und/oder
• Verm?genswerte von mehr als GBP 18 Mio. besitzen.

Unternehmen werden nach dem neuen Gesetz strafrechtlich zur Verantwortung gezogen, wenn sie es unterlassen, einen Betrug durch eine mit ihnen verbundene Person ("associated Person") zu verhindern und der begangene Betrug dem Unternehmen direkt oder indirekt zugutekommt. Hierbei wird der Begriff der verbundenen Person sehr weit gefasst und umfasst:

• Mitarbeiter, Vertreter ("Agents") oder Tochtergesellschaften des betroffenen Unternehmens,
• Mitarbeiter einer Tochtergesellschaft oder
• alle anderen Personen, die Dienstleistungen für oder im Namen des Unternehmens erbringen.

Die ma?geblichen Betrugsdelikte, von denen eines von der verbundenen Person begangen worden sein muss, sind in Anhang 13 des ECCTA aufgeführt. Da es sich um eine verschuldensunabh?ngige Haftung handelt, ist die Kenntnis oder Beteiligung der Unternehmensleitung an der Tat nicht erforderlich. Wird ein Unternehmen der neuen Straftat schuldig gesprochen, so drohen Geldstrafen in unbegrenzter H?he.

Warum auch deutsche Unternehmen vom neuen Straftatbestand erfasst werden k?nnen

Obwohl das Gesetz selbst nichts über die extraterritoriale Reichweite des neuen Straftatbestands aussagt, hei?t es im Factsheet zur "Failure to Prevent Fraud Offence" der britischen Regierung:"If an employee commits fraud under UK law, or targeting UK victims, their employer could be prosecuted, even if the organisation (and the employee) are based overseas."

Dem folgt, dass auch in Deutschland ans?ssige Unternehmen für betrügerische Handlungen unter gegebenen Voraussetzungen von britischen Strafverfolgungsbeh?rden zur Verantwortung gezogen werden k?nnen, sofern ein gewisser UK-nexus vorhanden ist. Ein Unternehmen kann sich nach Ma?gabe von Section 199(4) jedoch vollumf?nglich der strafrechtlichen Haftung entziehen, wenn es nachweisen kann, zum Tatzeitpunkt über geeignete Ma?nahmen ("reasonable procedures") zur Betrugspr?vention verfügt zu haben. Gem?? Sections 204, 219(8) des ECCTA ist die britische Regierung dazu verpflichtet, Leitlinien ("Guidance") mit weiteren Informationen darüber zu ver?ffentlichen, was unter geeigneten Ma?nahmen zur Betrugspr?vention zu verstehen ist, bevor der neue Straftatbestand Inkrafttreten kann. Ein Entwurf der Guidance befindet sich derzeit in der Konsultationsphase und wird voraussichtlich im Laufe des Jahres ver?ffentlicht. Ein vergleichbares Vorgehen wurde auch beim UK Bribery Act 2010 gew?hlt, in dem die Regierung eine Guidance zum damals eingeführten Straftatbestand "Failure of commercial organisations to prevent bribery" ver?ffentlichte.

Welche Ma?nahmen Unternehmen im Rahmen der Betrugspr?vention nun treffen sollten

Auch wenn die Bedeutung wirksamer Betrugspr?ventionsma?nahmen weder für gro?e Unternehmen im Vereinigten K?nigreich noch in Deutschland eine Neuigkeit ist, w?re jetzt der richtige Zeitpunkt für Unternehmen, ihre bestehenden Betrugspr?ventionsma?nahmen zu überprüfen und gegebenenfalls anzupassen. Deutsche Unternehmen sollten sich insbesondere dann mit den neuen Regelungen vertraut machen, wenn sie Tochtergesellschaften oder Zweigniederlassungen im Vereinten K?nigreich unterhalten. Bis zur Ver?ffentlichung des Leitfadens durch die britische Regierung sollten Organisationen prüfen, ob eine bestehende Risikoanalyse Risiken für aus dem Unternehmen heraus begangene Betrugshandlungen zu Gunsten des Unternehmens ausreichend abdeckt. Erfahrungsgem?? liegt der Fokus bei der Risikobewertung von Betrugsszenarien eher auf dolosen Handlungen zum Nachteil des Unternehmens. Des Weiteren sollte überprüft werden, welche Mitarbeiter unter die Definition des Senior Managers nach dem ECCTA fallen und potenziell direkten Kontakt zu Kunden, Beh?rden oder Gesch?ftspartnern im Vereinten K?nigreich haben. Insgesamt tun Unternehmen gut daran, ein angemessenes Compliance-Management-System (CMS) vorzuhalten, welches eine Anti-Betrugskultur f?rdert und über angemessene Kontrollen, Richtlinien und Trainings sowie Hinweisgebersysteme verfügt.

Fazit

Mit dem UK Economic Crime und Transparency Act 2023 hat die britische Regierung eine erhebliche Sch?rfung des Unternehmensstrafrechts vorgenommen. Aufgrund der Erweiterung der strafrechtlichen Zurechnungsregelungen ist mit einer steigenden Anzahl von Unternehmensstrafverfahren zu rechnen. Mit dem neuen Straftatbestand "Failure to Prevent Fraud", welcher voraussichtlich im Laufe des Jahres Inkrafttreten wird, sind Unternehmen angehalten, ein geeignetes System zur Betrugspr?vention zu implementieren und stetig weiterzuentwickeln. Besonders für deutsche Unternehmen mit Gesch?ftsbeziehungen zum Vereinigten K?nigreich erh?ht sich dadurch die Notwendigkeit, ihre Compliance-Systeme zu überprüfen und gegebenenfalls anzupassen.

Wann hat Ihr Unternehmen zuletzt die Praxistauglichkeit und Effektivit?t der eigenen Betrugspr?ventionsma?nahmen und internen Kontrollen überprüft? Unsere Beratungsleistungen umfassen neben Compliance-Risiko-Analysen und dem Aufbau ma?geschneiderter interner Kontrollsysteme auch die Durchführung von internen Sonderuntersuchungen, um festzustellen, ob etwaige Betrugsverdachtsmomente substantiiert sind. Des Weiteren vertritt Pohlmann & Company Unternehmen gegenüber Ermittlungsbeh?rden in Straf- und Ordnungswidrigkeitenverfahren.

Melden Sie sich gerne jederzeit bei uns!

Pohlmann & Company | Jasin S. | Martin Schorn | Jonas Hamperl