Verstöße vermeiden

Der Begriff Compliance bedeutet zunächst einmal die Einhaltung von Regeln. Im rechtlichen Bereich bezieht sich das zum einen auf die Einhaltung von Recht und Gesetz. Zum anderen fällt darunter aber auch die Einhaltung der Regeln beziehungsweise Werte, die sich ein Unternehmen selbst gegeben hat. Aufgabe und Gegenstand von Compliance ist es daher, dies ­sicherzustellen. Hierzu bedarf es ­eines systematischen Ansatzes. Die Einrichtung eines Compliance Management Systems – kurz CMS – dient dazu, die Gefahr von Ver­stößen zu minimieren. Es geht also ­primär um Prävention. Zu diesem Zweck werden beispielsweise innerhalb eines Unternehmens Richtlinien und Prozessbeschreibungen aufgestellt und die Mitarbeiter in allen relevanten Themen geschult. Bestandteil eines CMS ist aber auch eine wie auch immer ausgestaltete Möglichkeit zur Meldung von Compliance-Verstößen. Das kann durch eine spezielle E-Mail-Adresse, eine Telefonnummer oder die Benennung einer externen Vertrauensperson, etwa eines Rechtsanwalts, erfolgen. Dadurch erhöht sich die Chance, dass das Unternehmen selbst als Erstes von einem Compliance-Verstoß Kenntnis erlangt und damit die Möglichkeit bekommt, ihn aufzuarbeiunten und abzustellen, bevor der Verstoß Dritten gemeldet wird oder eine externe Untersuchung, etwa durch den Zoll oder die Staatsanwaltschaft, erfolgt. Auf diese Weise kann das Unternehmen das Zepter des Handelns selbst in der Hand behalten.

Risiken bewerten

Der erste Schritt zur Aufstellung eines CMS sollte immer eine Risikobewertung sein. Was sind die bedeutsamsten Risiken, denen das Unternehmen, etwa aufgrund der Branche, der Absatzmärkte oder der Kundenstruktur, ausgesetzt ist? Bei der Identifizierung dieser Risiken sollte man auf externe Unterstützung durch Rechtsanwälte und Wirtschaftsprüfer zurückgreifen. Gleichzeitig ist aber auch die Einbindung der Mitarbeiter sehr wichtig, denn sie kennen das Unternehmen am besten.

Compliance betrifft nicht nur große Unternehmen

Gesetzesverstöße können in allen Unternehmen pas­sieren. Größeren Unternehmen fällt es unter Umständen leichter, die bei einem Compliance-Verstoß eintretenden Reputationsverluste, Gewinnabschöpfungen oder Bußgelder auszugleichen, so dass die finanziellen Folgen kleinere Unternehmen gegebenenfalls schmerzhafter treffen. Zudem werden die Compliance-Vorgaben großer Unternehmen, unabhängig von der Branche, in der gesamten Lieferkette durchgereicht. Das kann beispielsweise dazu führen, dass ein Automobilzulieferer das Vorhandensein eines CMS nachweisen oder bestätigen muss, um weiterhin bei den Original Equipment Manufacturer (OEM) gelistet zu bleiben. Folglich müssen sich auch kleinere Unternehmen Gedanken über Compliance machen, obwohl deren CMS sicher anders ausgestaltet ist. Hier gilt gerade nicht one Size fits all, vielmehr braucht es ein maßgeschneidertes und maßvolles CMS, das passgenau die relevanten Compliance-Risiken abdeckt.

Welche Mitarbeiter sind betroffen?

Zunächst sind im Unternehmen Vorstand ­beziehungsweise Geschäftsleitung für die Einhaltung von Recht und Gesetz verantwortlich. Insofern steht an vorderster Front tatsächlich die oberste Führungsebene. Sie hat dafür zu sorgen, dass sich die Mitarbeiter ordnungsgemäß verhalten. Gleichzeitig muss jede handelnde Person, und zwar unabhängig von ihrer Hierarchieebene, im Falle eines Gesetzesverstoßes mit Sanktionen rechnen, die bis zur strafrechtlichen Verantwortlichkeit gehen können. Deshalb betrifft Compliance jeden Mitarbeiter eines Unternehmens. Aber auch Personen, die selbst gar nicht gehandelt haben, können im Falle eines Compliance-Verstoßes zur Rechenschaft gezogen werden, wenn ihnen nämlich ein Organisationsverschulden zur Last gelegt werden kann. Als Organisationsverschulden kann es heute bereits schon gelten, wenn ein Unternehmen über kein CMS verfügt. Für die AG und deren Vorstand ergibt sich die Pflicht dazu direkt aus dem Gesetz, für die GmbH-Geschäftsführer wird das aus allgemeinen Grundsätzen abgeleitet.

HR-Compliance

Besonders komplex ist der Bereich der Human Resources ­Compliance (HR Compliance), da man hier mit einer Fülle von Gesetzen konfrontiert ist, etwa dem Mindestlohngesetz, dem ­Allgemeinen Gleichbehandlungsgesetz oder den Mitwirkungsrechten des Betriebsrats. Ohne entsprechende Schulungen der Mitarbeiter kann es hier schnell zu Verstößen kommen. Ausgehend von einem risikoorientierten Ansatz sind zwei Bereiche im Hinblick auf Compliance besonders relevant: die Einhaltung des Arbeitszeitgesetzes sowie die ordnungsgemäße Abführung von Sozialversicherungsbeiträgen im Spannungsfeld zwischen Scheinselbstständigkeit und Arbeitnehmerüberlassung. In diesen Bereichen können Verstöße nicht nur schwerwiegende finanzielle, gegebenenfalls sogar existenzbedrohende Folgen für das Unternehmen haben, sondern auch erhebliche persönliche Konsequenzen für die betreffenden Personen nach sich ziehen – bis hin zu strafrechtlichen Sanktionen. Bis vor einigen Jahren wurden Haftungsprozesse gegen Unternehmensorgane nur ­selten geführt, nämlich nur bei Fällen besonders schwerwiegender Verstöße. Das hat sich mittlerweile geändert: Die Inanspruchnahme von Geschäftsführern beziehungsweise Vorstand ist heute keine Seltenheit mehr.

Umsetzung des CMS

Bezogen auf das Thema Scheinselbstständigkeit bedeutet die Umsetzung eines CMS konkret, dass das Unternehmen in einem ersten Schritt klären muss, in welchen Bereichen Selbstständige beauftragt oder Werkverträge abgeschlossen werden. Im nächsten Schritt sind danach die laufen­den Verträge auf ihre ordnungsgemäße Abwicklung hin zu prüfen. Enthalten die ­geschlossenen Verträge die notwendigen Regelungen? Entspricht die tatsächliche ­Vertragsabwicklung der vertraglichen Situation? Dazu gehört auch die Prüfung des Vertragspartners im Vorfeld. Kann er überhaupt als Selbstständiger beauftragt werden? ­Sobald das geklärt ist, muss ein interner ­Prozess aufgesetzt werden, damit jeder, der involviert ist, weiß, was zu tun ist. Die Mitarbeiter müssen auch auf die richtigen Vertragsmuster zurückgreifen und es muss die korrekte Abwicklung der Zusammenarbeit sichergestellt werden. Dabei ist es unerlässlich, die Belegschaft zu schulen, damit ihr die Problematik bekannt ist. Ansonsten kann es vorkommen, dass Verstöße passieren, ohne dass die Mitarbeiter dies wissen.

Fazit

Compliance hat ganz viel mit Unternehmenskultur zu tun. Deshalb wird auch von der Compliance-Kultur eines Unternehmens gesprochen. Damit eine solche Kultur entstehen kann oder bestehen bleibt, ist zunächst der Tone of the Top, also die Einstellung und das Verhalten des obersten Managements, entscheidend. Die Mitarbeiter müssen das Gefühl bekommen, dass das oberste Management selbst Compliance wirklich lebt, und das heißt primär, integer ist. Compliance darf deshalb auch nicht nur als Feigenblatt dienen, sondern muss Eingang in den Unternehmensalltag finden.