Spektakuläre Fälle – auch in deutschen Unternehmen – haben dafür gesorgt, dass ein Thema in den vergangenen Jahren besonders viel mediale Aufmerksamkeit erzeugt hat: Compliance. Aber was genau verbirgt sich hinter diesem Begriff?
Wer sich in den deutschen Gesetzeswerken auf die Suche nach einer Legaldefinition macht, wird zunächst enttäuscht. Die Suche bleibt erfolglos. Allerdings findet der Begriff Compliance mehrfach Verwendung im Deutschen Corporate Governance Kodex. Inhalte dieses Kodex sind wesentliche gesetzliche Regelungen zur Leitung und Überwachung deutscher börsennotierter Gesellschaften (vor allem der Unternehmensführung) sowie international und national anerkannte Standards guter und verantwortungsvoller Unternehmensführung.
So bauen Sie ein vernünftiges Compliance-System auf:
1. Analyse der Risiken,
2. Aufsetzen der Organisation,
3. Integration in die Geschäftsprozesse.
Demnach enthält der Deutsche Corporate Governance Kodex systematisch sowohl gesetzliche Regelungen, an deren Einhaltung Vorstand und Aufsichtsrat einer börsennotierten Aktiengesellschaft sowieso gebunden sind, als auch nicht gesetzlich festgelegte Standards, deren Anwendung empfohlen oder zumindest angeregt wird. Nach dem Verständnis des Kodexes besteht die Aufgabe des Vorstands im Bereich der Compliance darin, sowohl für die Einhaltung der gesetzlichen Bestimmungen als auch der unternehmensinternen Richtlinien im Unternehmen Sorge zu tragen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken. Compliance verlangt daher zunächst, dass sich Unternehmen und deren Organe im Einklang mit dem geltenden Recht, das auch unternehmensinterne Regelungen umfasst, bewegen müssen. Deutsche Unternehmen sind allerdings zur Einhaltung von Recht und Gesetz nicht erst verpflichtet, seitdem der Begriff Compliance auch im deutschen Wirtschaftsrecht vielfach Verwendung findet; denn es handelt sich hierbei um eine selbstverständliche Verpflichtung. Um diese Verpflichtung tatsächlich gewährleisten zu können, muss sich Compliance vielmehr auch damit beschäftigen, wie die Einhaltung der gesetzlichen Vorschriften und unternehmensinternen Richtlinien im Unternehmen sichergestellt werden kann. Außerdem muss eine funktionierende Compliance Maßnahmen zur Risikofrüherkennung und -minimierung umfassen (Christoph E. Hauschka, Corporate Compliance, Handbuch der Haftungsvermeidung im Unternehmen, Verlag C.H. Beck, 2. Auflage, Rz. 2). Vor dem Hintergrund der Vielzahl möglicher Gesetzesverstöße erscheint es allerdings als nahezu unlösbare Aufgabe, Fehlverhalten in Unternehmen auf oder gegen null zu reduzieren. Da sowohl Unternehmen als auch ihre Mitarbeiter Teil der Gesellschaft sind, wird es auch in Unternehmen mit sehr guten Compliance-Programmen zu Normverstößen Einzelner kommen. Gleichwohl ist es originäre Aufgabe der Unternehmensleitung, die unternehmerischen Aktivitäten so zu organisieren und zu überwachen, dass sie mit den jeweils anwendbaren Gesetzen im Einklang stehen. Für den Aufbau eines vernünftig funktionierenden Compliance-Systems erscheinen daher nach Klaus Moosmayer (Compliance, Praxisleitfaden für Unternehmen, Verlag C.H. Beck, 2. Auflage, S. 2f) folgende Prozessschritte unerlässlich:
1. Analyse der Compliance-Risiken,
2. Aufsetzen eines Compliance-Programms und einer Compliance-Organisation,
3. Integration des Compliance-Programms in die Geschäftsprozesse.
Um das Compliance-Risikoportfolio des Unternehmens zu ermitteln, ist zunächst eine umfassende Analyse der unternehmerischen Aktivitäten erforderlich. Die aus dieser Analyse resultierenden Compliance-Risiken können – abhängig insbesondere von der Unternehmensgröße und dem jeweiligen Geschäftsbetrieb – stark variieren, wobei zumindest die Risiken Korruption und Straftaten sowie Verstöße gegen Kartell- und Wettbewerbsrecht adressiert werden müssen. Als weitere, möglicherweise relevante Compliance-Risiken kommen insbesondere der Datenschutz beziehungsweise die Datensicherheit, Arbeitsschutz und Arbeitsrecht, Produktsicherheit und Produkthaftung, Umweltrecht, Außenwirtschaftsrecht sowie Steuerrecht in Betracht. Auch das Compliance-Programm beziehungsweise die Compliance-Organisation wird sich je nach Unternehmensgröße und identifizierten Compliance-Risiken deutlich unterscheiden. Wichtig für ein funktionierendes Compliance-Programm ist jedoch dessen systematischer Aufbau, wobei insbesondere die Grundfunktionen eines Compliance-Programms, nämlich Prävention, Aufdeckung und Reaktion, berücksichtigt werden müssen. Die Effektivität eines Compliance-Programms bemisst sich letztlich an dessen Umsetzung in die Geschäfts prozesse, wobei nach meiner Einschätzung oberstes Gebot eines vernünftigen Compliance-Programms die Verhinderung von systematischem Fehlverhalten im Unternehmen sein sollte.
Quo vadis, Compliance?
Aktueller Trend in der Rechtsentwicklung ist eine Erhöhung von Haftungsrisiken. So hat das Land Nordrhein-Westfalen im September 2013 der Öffentlichkeit den Entwurf eines Gesetzes zur Einführung der strafrechtlichen Verantwortlichkeit von Unternehmen und sonstigen Verbänden vorgestellt, der im November 2013 von der Justizministerkonferenz begrüßt wurde. Der Gesetzentwurf schlägt ein eigenständiges sogenanntes Verbandsstrafgesetzbuch vor, das die strafrechtliche Haftung für Unternehmen sowohl in materiell-rechtlicher als auch in prozessualer Hinsicht auf eine eigenständige gesetzliche Grundlage stellt. Inhaltlich sieht der Entwurf deutlich schärfere Sanktionen gegen Unternehmen vor, bis hin zur Auflösung des Verbands als Ultima Ratio. Auch die sogenannte Neubürger-Entscheidung des Landgerichts München (Az. 5HKO 1387/2010) führt im Ergebnis zu einem erhöhten Haftungsrisiko, begründet durch die mangelhafte Errichtung eines Compliance Management Systems (CMS). Unmittelbar an diese erhöhten Haftungsrisiken schließt sich die Frage an, wie die Akzeptanz von Compliance-Programmen in Unternehmen positiv beeinflusst werden kann. Nach der PwC-Studie „Compliance und Unternehmenskultur 2010“ wirkt sich eine positive Unternehmenskultur positiv auf die Wirksamkeit von Compliance-Programmen aus. Zu den Kriterien, die nach dieser Studie eine positive Unternehmenskultur ausmachen, gehören insbesondere Vielfalt, wechselseitige Loyalität, Beachtung von Mitarbeiterstärken, faire Feedback-Kultur, offene Kommunikation und Transparenz im Hinblick auf Prozesse, Verantwortlichkeiten, die individuelle Anerkennung von Leistungen und gleichzeitige Förderung des Know-Your-Employee-Prinzips.
Ausblick
Die nächste Ausgabe des DATEV magazins wird sich im Titel ausführlich mit dem Thema Compliance beschäftigen. Ich wünsche Ihnen schon an dieser Stelle viel Spaß bei der Lektüre, vor allem aber neue Erkenntnisse. Schließen möchte ich selbst mit dem Mission Statement der DATEV eG zum Thema Compliance: „DATEV bekennt sich ohne jede Einschränkung zu gesetzmäßigem Handeln. Wir erwarten von allen Mitarbeitern ein Verhalten, das jederzeit im Einklang mit den anwendbaren Rechtsvorschriften und den verbindlichen internen Richtlinien sowie den Bestimmungen des Arbeitsvertrages steht.“
