Wenn man von „Compliance“ spricht, findet man ganz unterschiedliche Reaktionen. Meiner Erfahrung nach sind die Reaktionen überwiegend negativ und ablehnend. Compliance sei ein reines „Modewort“, welches für Unternehmen nur mit „Kosten verbunden“ sei, aber „gar nichts bringe“. Von Überregulierungen und „noch mehr Vorschriften“ ist vielfach die Rede und von Erschwernissen oder Behinderungen der unternehmerischen Tätigkeit und Freiheit.
Compliance Officer werden als „Nein-Sager“ wahrgenommen, die alles und jeden überwachen und kontrollieren wollen.
Ich möchte mit diesem Artikel mein Verständnis von Compliance erläutern und verbinde dies mit der Erwartung, dass sich Unternehmen und Unternehmer über die Notwendigkeit und die Wichtigkeit von Compliance ein neues und eigenes Bild machen. Vielleicht verstehen Sie auch, dass Compliance nicht nur für große und internationale Konzerne, sondern auch für kleine und mittelständige Unternehmen (KMU) ausgesprochen wichtig ist.
Was bedeutet eigentlich „Compliance“?
Compliance wörtlich in die deutsche Sprache zu übersetzen, ist nicht so einfach. Für das englische Wort „Compliance“ werden im Wörterbuch Übersetzungen angeboten wie „Beachtung, Nachgiebigkeit, Fügsamkeit, Zustimmung, Einverständnis, Lernfähigkeit“ und sogar „Unterwürfigkeit“.
Der Deutsche Corporate Governance Kodex (DCGK) definiert Compliance als die in der Verantwortung des Vorstandes liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien.
Ein amerikanischer Anwalt hat einmal sehr anschaulich im Juve-Branchenblatt Compliance umschrieben als „Die Kunst der Unternehmensjuristen, dem Vorstand den Knast zu ersparen“.
Ich würde Compliance aber nicht nur als Schutzmaßnahme für den Vorstand vor dem „Knast“ verstehen, sondern alle Mitarbeiter sollen von der Begehung von Straftaten und unlauteren Handlungen abgehalten werden. So können sie vor Kündigungen und manchmal existenzvernichtenden Schadensersatzverpflichtungen geschützt werden.
Zugleich dient Compliance aber auch der wirtschaftlichen Existenzsicherung der Vorstände und Geschäftsführer, die bei Verstößen aus dem Unternehmen heraus mit ihrem Privatvermögen haftbar gemacht werden können.
In der Sache dient Compliance zuvörderst dem Schutz des Unternehmens. Primär haftet nämlich das Unternehmen dafür, wenn unlautere Handlungen begangen werden.
Die Einhaltung von Recht und Gesetz im Unternehmen ist selbstverständlich. Compliance Management ist nichts anderes als ein strukturierter Aufbau von internen Regeln und Richtlinien, an denen die Mitarbeiter ihr betriebliches Verhalten und Handeln ausrichten können.
Dabei geht es nicht darum, ein gigantisches Regelwerk zu erlassen, welches kaum einer liest und vielleicht auch nicht recht versteht. Vielmehr sollte jedes Unternehmen - abgestimmt auf den eigenen Unternehmenszweck und die gefährdeten Bereiche – für jeden verständliche Regeln festlegen, die den davon betroffenen Mitarbeitern beigebracht werden (Schulung).
Entscheidend für das Entstehen einer Compliance-Kultur ist vor allem die oberste Führungsebene. Die Einhaltung der selbst auferlegten Regeln, Abläufe und Verpflichtungen muss von der obersten Führungsebene immer wieder deutlich gemacht und selbst vorgelebt werden. Nur wenn die oberste Führungsebene mit einem guten Beispiel vorangeht, kann Compliance im Unternehmen einwandfrei funktionieren (sog. Tone from the top); in Deutschland ist das Sprichwort bekannt: „Der Fisch stinkt vom Kopf!“
Das Selbstverständnis regeltreuen Verhaltens führt nachweislich zu einer höheren Mitarbeiterzufriedenheit und produktiveren Ergebnissen. Mitarbeiter identifizieren sich mit „ihrem Unternehmen“ und arbeiten und kämpfen dafür, dass die selbstauferlegten und als selbstverständlich empfundenen Verpflichtungen auch von anderen eingehalten werden.
Regelverletzungen anderer werden bei einer guten Compliance-Kultur als störend empfunden und gemeldet. Diese Meldung erfolgt nicht zur Denunzierung, sondern zur Aufrechterhaltung der als richtig empfundenen Compliance- und Unternehmensziele.
Eine gute Compliance sieht deshalb nach meiner Überzeugung auch Meldewege für Mitarbeiter und für Externe vor, wenn Regelverstöße festgestelt werden (sog. Whistleblower- bzw. Hinweisgebersystem).
Ein verantwortungsvoller Unternehmensführer schafft es, mit festgestellten Regelverstößen so umzugehen, dass die Compliance-Kultur gestärkt wird. Ein Fehlverhalten – oder auch nur ein Verdachtsfall – muss konsequent aufgeklärt werden und es muss eine angemessene Reaktion erfolgen getreu dem Motto: „Go hard on the issue an soft on the person.“
Zugleich kann jeder Verstoß dazu genutzt werden, die vorhandenen Regeln zu überdenken, zu überprüfen und ggf. zu überarbeiten, um für die Zukunft ein neuerliches Fehlverhalten dieser Art auszuschließen.
Compliance in den von mir verstandenen Sinne ist deshalb ein ständiger Prozess. Das Unternehmen reagiert auf die sich ändernden Einflüsse von außen und von innen so, dass Fehlverhalten vermieden wird und die Mitarbeiter zugleich die Sicherheit haben, bei Einhaltung dieser Regeln stets richtig gehandelt zu haben.
Um die Bedeutung von Compliance im Unternehmen zu unterstreichen empfiehlt es sich, einen Compliance-Beauftragten hierfür einzusetzen. Dies kann ein eigener Mitarbeitender sein, dem – abhängig von der Größe des Unternehmens – ausreichend zeitliche und finanzielle Ressourcen eingeräumt werden, um verantwortungsvoll dieser Aufgabe nachzukommen.
Der Compliance-Beauftragte (in größeren Unternehmen gibt es eigenständige Compliance-Abteilungen mit Compliance Officers etc.) ist zum einen Ansprechpartner etwa für Kunden oder Lieferanten, wenn es um Verstöße oder Verdachtsfälle geht. Zugleich ist der Compliance-Beauftragte aber auch Ansprechpartner für Mitarbeitende des Unternehmens, wenn sie sich unter Compliance-Gesichtspunkten unsicher sind oder sie Fragen zur richtigen Verhaltensweise haben.
Wie ein Compliance Management System aussehen muss, ist gesetzlich weder vorgeschrieben noch definiert. Das Unternehmen hat einen weiten Ermessensspielraum bei der Ausgestaltung. Die Erarbeitung eines Compliance Management Systems muss sorgfältig erfolgen und auf die individuellen Belange des Unternehmens und die dort identifizierten Regeln abgestimmt sein.
Bereits nach dem geltenden Recht werden Verstöße mitunter schwer geahndet, die im Unternehmen deshalb begangen werden konnten, weil die Unternehmensleitung die gebotenen Aufsichtsmaßnahmen unterlassen hat.
So wird nach § 130 OWiG der Vorstand bzw. Geschäftsführer persönlich mit hohen Geldbußen belegt, wenn aus dem Unternehmen heraus Straftaten oder Ordnungswidrigkeiten begangen werden, die bei gehöriger Aufsicht verhindert oder wesentlich erschwert worden wären.
§ 130 Abs. 1 OWiG lautet wörtlich:
„Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.“
Die Geldbuße für den Vorstand oder Geschäftsführer kann nach § 130 Abs. 3 OWiG mit bis zu 1 Mio. EUR geahndet werden, wenn Straftaten von Mitarbeitenden nicht verhindert wurde.
Nach § 30 OWiG kann in diesem Fall auch eine Geldbuße gegen das Unternehmen selbst verhängt werden, die nach § 30 Abs. 2 OWiG bei einer vorsätzlichen Straftat aus dem Unternehmen heraus mit bis zu 10 Mio. EUR richtig teuer werden kann.
Zwar handelt es sich beim bisher geltenden Recht mit den §§ 130, 30 OWiG um bloße Ordnungswidrigkeiten, deren Verfolgung im Ermessen der Ermittlungsbehörden liegt. Eine Verpflichtung zum Einschreiten und eine Verpflichtung zur Einleitung eines Ermittlungsverfahrens gibt es – bislang – nicht.
Das wird sich aber mit der Einführung des Verbandssanktionengesetzes (VerSanG) ändern.
Sobald das Verbandssanktionengesetz in Kraft getreten ist, wird die Staatsanwaltschaft – wie bei den Straftaten auch – verpflichtet (sog. Legalitätsprinzip), bei Straftaten aus dem Unternehmen heraus ein Ermittlungsverfahren nicht nur gegen die delinquenten Mitarbeitenden einzuleiten, sondern auch gegen das Unternehmen selbst. Das Unternehmen kann dann mit Verbandssanktionen belegt werden, die bis zu 10 % des (weltweiten) Jahresumsatzes betragen können.
Das Verbandssanktionengesetz sieht darüber hinaus an verschiedenen Stellen vor, dass im Unternehmen vorhandene „Vorkehrungen zur Vermeidung von Verbandstaten“ zugunsten des Unternehmens berücksichtigt werden. Mit diesen „Vorkehrungen zur Vermeidung von Verbandstaten“ sind Compliance-Strukturen gemeint, die darauf ausgerichtet sind, die Begehung von (strafbaren) Verstößen aus dem Unternehmen heraus zu vermeiden.
Liegen effektive Compliance-Strukturen und ein effektives Compliance Management System vor, kann dies zu einer Einstellung des Verbandssanktionenverfahrens ohne eine teure Verbandssanktion führen.
Das Verbandssanktionengesetz soll für Unternehmen aller Größenordnungen gelten und nicht nur für „große Konzerne“.
Verantwortungsvolle Unternehmensleitungen sollten deshalb frühzeitig damit beginnen, die vorhandenen Compliance-Regelungen auf ihre Wirksamkeit hin zu überprüfen und ggf. zu ergänzen. Die Kosten für die Einrichtung eines Compliance Management Systems sind in jedem Fall deutlich geringer, als eine Verbandssanktion, von dem Rufschaden des Unternehmens einmal ganz abgesehen. Das geplante Verbandssanktionengesetz sieht nämlich auch eine öffentliche Bekanntmachung der Verurteilung eines Unternehmens vor; dafür wird ein eigenes Verbandssanktionenregister geschaffen.
Öffentliche Auftraggeber und (seriöse) private Auftraggeber, die Compliance ernst nehmen, werden mit einem solchen gebrandmarkten Unternehmen keine Verträge mehr abschließen.
Als Compliance Officer (Univ.) berate und unterstütze ich Sie bei der Überprüfung vorhandener Compliance-Strukturen und dem vorhandenen Compliance Management System und überprüfe mit Ihnen, inwieweit Verbesserungen sinnvoll sind.
Gerne unterstütze ich Sie auch bei der unternehmensinternen Aufklärung festgestellter Verstöße, insbesondere bei der Befragung von Mitarbeitenden, der Auswertung von E-Mails und sonstigen Dokumenten.
Regeln Sie die gefährdeten Bereiche Ihres Unternehmens und geben Sie Ihren Mitarbeitenden eine Anleitung zum richtigen Handeln. Regeln und interne Richtlinien sind wichtig für ein rechts- und gesetzeskonformes Verhalten Ihrer Mitarbeitenden.
Fordern Sie als Unternehmensleitung von Ihren Mitarbeitenden immer wieder ein regelkonformes Verhalten ein – und leben Sie Ihren Mitarbeitenden bedingungslos ein solches Verhalten vor.
Sie werden sehen, wie wohl und wie sicher sich Ihre Mitarbeitenden dadurch fühlen und wie sehr sie sich dadurch mit Ihrem Unternehmen identifizieren.
Compliance-Strukturen schaffen Sicherheit und bringen Vertrauen, nicht nur Ihrer Mitarbeitenden, sondern auch Ihrer Lieferanten und Kunden. Die unbedingte Verpflichtung zu rechtstreuem Verhalten, die auch tatsächlich gelebt wird, bringt Sicherheit.
Der Rechtswissenschaftler Rudolf von Jhering hat bereits 1858, als es das Wort „Compliance“ noch nicht gab, geschrieben:
„Die Form ist die geschworene Feindin der Willkür, die Zwillingsschwester der Freiheit. Denn die Form hält der Verlockung der Freiheit zur Zügellosigkeit das Gegengewicht, sie lenkt die Freiheitssubstanz in feste Bahnen, dass sie sich nicht zerstreue, verlaufe, sie kräftigt sie nach innen, schützt sie nach außen.“
Edgar Gärtner, Rechtsanwalt, Fachanwalt für Strafrecht und Compliance Officer (Univ.)