Compliance Kultur und Management — Rechtliche Grundlagen, Risiken und Chancen

Compliance – Mehr als die Einhaltung von Gesetzen und Richtlinien

Jedes Unternehmen benötigt Regelungen, die gewährleisten, dass Rechtsvorschriften eingehalten werden. Regelverstöße sind nicht nur haftungsrelevant und können zu erheblichen Schadensersatzleitungen und Haftstrafen führen, sondern schädigen die Reputation der Unternehmen meist für Jahre oder Jahrzehnte.

Folgen fehlender oder nicht eingehaltener Compliance-Regeln

Prominentes Beispiel ist die VW-Abgasaffäre, in der deutlich wird, mit welchen drastischen Folgen sowohl die verantwortlichen Manager als auch das Unternehmen selbst in die Haftung genommen werden. In den USA wurde ein VW Manager zu einer mehrjährigen Haftstrafe verurteilt, während der Konzern in Kanada eine Entschädigung in Höhe von 192 Milliarden Euro zahlen musste.

Mit der US-Regierung hatte das Unternehmen im Jahre 2017 einen Vergleich abgeschlossen, wonach das Unternehmen mehr als 17 Milliarden Euro als Entschädigung zahlen musste. Zusätzlich sah der Vergleich vor, dass der Konzern nachweisen muss, ob und wie er die rechtlichen Verpflichtungen zukünftig einhält. Diese Maßnahmen werden durch einen sog. Monitorship überwacht, das auf drei Jahre ausgelegt war und nach einer Verlängerung voraussichtlich bis September 2020 andauert.Bei der Einhaltung der rechtlichen Verpflichtungen setzt Compliance an.

Was bedeutet Compliance?

Unter dem Begriff Compliance versteht man die Einhaltung von Regeln jeglicher Art. Dazu gehören selbstverständlich die geltenden Gesetze und Verordnungen als auch vertragliche Verpflichtungen, technische Normen sowie die internen Regelungen bzw. Richtlinien eines Unternehmens. Ihre Aufgabe besteht darin, den Mitarbeitern eines Unternehmens die rechtlichen Vorgaben so klar und übersichtlich wie möglich zu vermitteln und für ihre Durchsetzung zu sorgen. Nur so können sowohl das Unternehmen als auch die Geschäftsführer, Vorgesetzte und Mitarbeiter vor straf- und zivilrechtlicher Haftung bewahrt werden.

Was sind Compliance Management Systeme?

Die Gesamtheit aller Grundsätze und Maßnahmen eines Unternehmens, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter des Unternehmens abzielen, wird als „Compliance Management System“ (CMS) bezeichnet.

– Rechtliche Pflicht für Compliance Management Systeme

Eine rechtlich kodifizierte Pflicht, ein Compliance Management System einzurichten, besteht lediglich für Versicherungsunternehmen sowie für Banken- und Wertpapierdienstleistungsunternehmen. Auch der Deutsche Corporate Governance Kodex (DCGK) beinhaltet keine gesetzliche Pflicht zur Einrichtung eines CMS. Bei der Formulierung in Ziffer A.2 DCGK handelt es sich lediglich um eine Empfehlung an den Vorstand einer Aktiengesellschaft, für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien Sorge zu tragen und auf die Beachtung auch in den Konzernunternehmen hinzuwirken.

Legitimiert ist der Deutsche Corporate Governance Kodex allerdings durch die Regelung des § 161 Abs. 1 AktG. Danach müssen Vorstand und Aufsichtsrat eines börsennotierten Unternehmens jährlich erklären, dass den Empfehlungen des Deutschen Corporate Governance Kodex entsprochen wurde. Soweit die Empfehlungen nicht angewendet wurden, sind die Gründe dafür offen zu legen.

Zusätzlich wird in der Regelung des § 91 Abs. 2 AktG das bestandsgefährdende Potential der Compliance-Risiken aufgezeigt und verpflichtet den Vorstand einer Aktiengesellschaft dazu, ein Überwachungssystem einzurichten, „damit [die] den Fortbestand der Gesellschaft gefährdenden Entwicklungen frühzeitig erkannt werden“. Darunter fallen vor allem risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft oder des Konzerns auswirken. Diese Regelung strahlt nach allgemeiner Auffassung auch auf andere Gesellschaftsformen aus.

– Gerichtliche Bestätigung zur Verpflichtung ein CMS einzurichten

Erstmals gerichtlich bestätigt wurde diese Verpflichtung der Unternehmen zur Einrichtung eines angemessenen und effektiven Compliance Management Systems durch das Urteil des LG München I (Urteil vom 10.12.2013, Az: 5 HK O 1387/10). Darin heißt es unter anderem, dass die Haftung auf die Geschäftsleitung übergeht, wenn ersichtlich ist, dass mögliche Compliance-Verstöße durch ein angemessenes und effektives Compliance Management System hätten verhindert werden können.

– Unklarheiten bei Gestaltung des Compliance Management Systems

Unklar bleibt allerdings in Ermangelung weiterer gesetzlicher Vorgaben, was konkret bei der Gestaltung eines CMS zu beachten ist. Explizit erwähnt ist in Ziffer A.2 DCGK nur die Empfehlung, dass Unternehmen ein Hinweisgebersystem einrichten sollen, dass sowohl Mitarbeitern als auch Dritten die Möglichkeit einräumt, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben.

Darüber hinaus besteht die wesentliche Aufgabe des CMS darin, die Compliance Risiken anhand eines Verfahrens zur systematischen Risikoerkennung zu identifizieren, zu dokumentieren und zu bewerten, um angemessene Maßnahmen mit Blick auf deren Eintrittswahrscheinlichkeit und der möglichen Schadenshöhe einleiten zu können. Als weiteres Element eines wirksamen CMS bedarf es einer effizienten Aufbauorganisation bestenfalls bestehend aus einem Chief Compliance Officer und einem entsprechend geschulten Team.

Die Compliance Abteilung: Second Line of Defence

Während das Management eines Unternehmens die sog. first line of defence darstellt und die interne Revision, die unabhängige Sicherheit zu bieten hat, als third line of defence agiert, ist die Compliance Abteilung als second line of defence für das Risikomanagement sowie die Überwachung der Einhaltung der anwendbaren Vorschriften zuständig. Innerhalb der Aufbauorganisation sind Abläufe festzulegen, durch die gewährleistet wird, dass Informationen zu Risiken gewonnen, gesammelt und ausgewertet werden.

Was bedeutet Compliance Kultur?

Das Fundament eines effektiven Compliance Management Systems bleibt die Einhaltung von Gesetzen und unternehmensinternen Regelungen. Dazu werden Führungspersonen und Mitarbeiter durch die Compliance Abteilung für rechtliche Vorgaben und Verhaltensregeln sensibilisiert und regelmäßig entsprechend geschult und fortgebildet.

– Freiwillige Selbstbindung & Wirksamkeit des CMS

Das Verhalten eines Mitarbeiters – unabhängig von seiner Position im Unternehmen – ändert sich aber nur, wenn sich aus der Erkenntnis heraus, das Richtige zu tun, eine freiwillige Selbstbindung entwickelt. Dazu müssen die Mitarbeiter als vollwertige Entscheidungsträger angesehen und eingebunden werden.

Die Wirksamkeit des CMS eines Unternehmens hängt daher vor allem von der Compliance Kultur des Managements ab (tone from the top). Die Grundeinstellung und das Verhalten des Managements strahlt aus auf die Bedeutung, welche die Mitarbeiter des Unternehmens der Einhaltung von Regeln beimessen, und damit auch auf die Bereitschaft, sich selbst regelkonform zu verhalten. Entscheidend ist dabei die Integrität des Managements und sein Bekenntnis zur Einhaltung der Gesetze und der internen Richtlinien des Unternehmens sowie zu klar kommunizierten Verhaltensgrundsätzen, die sich sowohl im Führungsstil als auch in der Personalpolitik widerspiegeln.

– Compliance Kultur — Ermittlung von Risiken

Die Compliance Kultur eines Unternehmens zeigt sich auch darin, wie die Ermittlung der Risiken organisatorisch gestaltet ist. Es empfiehlt sich weniger, diese allein durch die Compliance-Funktion im Unternehmen durchzuführen. Umfassender ist es, in die Ermittlung sowohl die Geschäftsführung (top-down), als auch die einzelnen Unternehmensbereiche (bottom-up) mit einzubinden. Diese Methode vermittelt insbesondere den Mitarbeitern ein besseres Verständnis für die Einschätzung von Risiken auf Unternehmensebene.

So kann ein wirksames CMS nicht nur das Wissen und Verhalten des einzelnen Mitarbeiters beeinflussen, sondern auch auf die Verhältnisse im Unternehmen insgesamt einwirken. Unter Berücksichtigung von psychologischen, organisationssoziologischen und verhaltensökonomischen Aspekten wird deutlich, dass Compliance nicht nur eine rechtliche Komponente hat, sondern ein weites Spektrum interdisziplinärer Tätigkeiten umfasst.

Von einer gelungenen Implementierung eines CMS im Unternehmen kann daher erst die Rede sein, wenn sowohl Führungskräfte als auch Mitarbeiter alle rechtlichen Vorschriften einhalten und sich zugleich der Bedeutung der Regelkonformität bewusst sind.

Weitere Themen