Einführung eines Compliance Systems

Erschienen in der Zeitschrift Lohn + Gehalt, Ausgabe September 2011.

Compliance ist ein immer häufiger benutzter Begriff hauptsächlich im Zusammenhang mit dem Handeln und der Organisation von Wirtschaftsunternehmen. Seit dem Zusammenbruch des ENRON Konzerns in 2001, dessen Ursache die Aufdeckung von massiven Bilanzfälschungen gewesen war, und den nachfolgenden Schmiergeldaffären namhafter Konzerne sowie die immer häufiger aufgedeckten Kartellverstöße von Unternehmen haben Regulierungsbehörden und Gesetzgeber zahlreicher Rechtsordnungen immer mehr Gesetze und Verordnungen rund um das unternehmerische Handeln geschaffen. Die Regulierungswut scheint keine Grenzen finden zu wollen, wie die ständig neuen Gesetze und die Gesetzesnovellen zeigen. Auch die Häufigkeit der Aufdeckung und Verfolgung von Rechtsbrüchen von Gesellschaftsorganen und Mitarbeitern und die Höhe der verhängten Strafen und Bußgelder haben viele Unternehmen und deren Leitungsorgane aufgerüttelt. Erst in jüngster Zeit wurden wieder zahlreiche Fälle von Korruption, Datenmissbrauch und Kartellrechtsverstöße von Unternehmen bekannt, die die Diskussion um Compliance weiter entfacht haben.
Aber was bedeutet eigentlich Compliance? Compliance bedeutet im wirtschaftsrechtlichen Zusammenhang nichts anderes als Regeln zu befolgen, oder anders ausgedrückt, sich regelkonform zu verhalten und umfasst die Gesamtheit der externen und internen Regeln und Maßnahmen, die das rechtmäßige Verhalten eines Unternehmens, der Leitungs- und Aufsichtsorgane und seiner Mitarbeiter sicherstellen soll. Zu der Gesamtheit von Regeln gehören alle öffentlich rechtlichen Vorschriften, strafrechtliche Normen, Verordnungen, Satzungen und sogar die betriebsinternen Weisungen und Richtlinien. Zwar gibt es noch keine gesetzliche Definition von Compliance, der Begriff an sich wird jedoch bereits in mehreren Regelwerken erwähnt, wie z.B. im Deutschen Corporate Governance Kodex (DCGK) oder im Wertpapierhandelsgesetz (WpHG).
Regelkonformität ist jedermanns Sache. Auch Unternehmen, deren Leitungsorgane sowie deren Mitarbeiter haben sich an zahlreiche Regeln zu halten, um rechtmäßig im Wirtschaftsleben zu agieren. Gegenwärtig wird in der Fachwelt sehr viel darüber diskutiert, ob es eine gesetzliche Pflicht für Unternehmen oder Leitungsorgane gibt, ein Compliance Management System einführen zu müssen. Es gibt zahlreiche Vertreter, die diese Pflicht aus dem Gebot der Einführung eines Risikofrüherkennungssystems ableiten, oder aus einer Vorschrift im Ordnungswidrigkeitengesetz (§ 130 OWiG), wonach derjenige Unternehmensinhaber ordnungswidrig handelt, der es unterlässt geeignete Aufsichtsmaßnahmen im Unternehmen einzuführen, die zur Vermeidung von strafbaren Handlungen oder Ordnungswidrigkeiten notwendig sind und sodann eine unter Strafe gestellte Handlung aus dem Unternehmen heraus begangen wird. Die Schwerpunkte der unternehmerischen Compliance liegen in der Vermeidung von Korruptionstatbeständen sowie von Verstößen gegen Kartellrecht, Arbeitsrecht, Datenschutz, Exportbestimmungen usw. Auch Vermögensdelikte gegen das Unternehmen selbst, wie Unterschlagungen, Betrug und Diebstahl zu Lasten des Unternehmens gehören zu den Compliance relevanten Sachverhalten.
Die Instrumente und Prozesse zur Vermeidung von Regelverstößen werden in sog. Compliance Management Systemen (CMS) entwickelt und zusammengefasst. Dieses CMS hat als eine der wichtigsten Aufgaben, die Prävention von Regelverstößen. Eine weitere Aufgabe eines CMS ist die Implementierung von Compliance-Instrumenten in die Organisation und in die Prozesse des Unternehmens. Last but not least werden auch Sanktionsmaßnahmen für den Fall von Regelverstößen notwendig sein.
Die Ziele eines solchen CMS sind mannigfaltig. Es geht zum einen um Vermeidung von Rechtsverstößen und der Definition und Kontrolle von betriebsinternen Regelungen. Die sich daran anschließende Haftungsvermeidung, insbesondere von Organen und Mitarbeitern des Unternehmens, spielt eine nicht minder gewichtigere Rolle. Nachdem Regelverstöße aufgedeckt worden sind, kann eine Exkulpation unter Umständen nach bestimmten Gesetzen nur dann eintreten, wenn ein solches CMS eingeführt worden ist (z.B. nach dem extraterritorial wirkenden UK Bribery Act) und im Unternehmen auch gelebt wird. Zudem verlangen Kunden immer mehr von ihren Lieferanten, z.B. in der Automobilindustrie, dass letztere sich „compliant“ verhalten bzw. sogar ein CMS eingeführt haben, ansonsten eine Geschäftsbeziehung erst gar nicht eingegangen wird. Eine Angebotsanfrage kommt manchmal erst zur Einkaufsabteilung, wenn der Compliance-Beauftragte diese nach Untersuchung des Bieters freigegeben hat. Schließlich erhöht ein CMS das Image des Unternehmens und unterstützt die Prozessoptimierung.
Aber aus was besteht ein solches Management System? Es sind mehrere Schritte zur Entwicklung und Implementierung eines CMS notwendig. Zunächst sollte sich die Unternehmensleitung eindeutig zur Compliance bekennen und eine entsprechende Erklärung zur Selbstverpflichtung (commitment) abgeben. Ohne dass die Unternehmensleitung selbst die Compliance als eines der obersten Ziele des Unternehmens anerkennt, kann kein wirksames CMS installiert werden. Man spricht hier vom „tone of the top“. Zweitens ist die Benennung einer für die Compliance zuständige Stelle notwendig. Dies kann ein ausdrücklich für diese Aufgabe eingesetzter Compliance Beauftragter, ein Komitee bestehend aus Repräsentanten verschiedener besonders betroffener Abteilungen (Compliance Committee), oder eine andere hierfür nominierte Person oder Institution sein. Bei dem Compliance Beauftragten muss es sich nicht zwingend um einen Juristen handeln, wichtiger neben den juristischen Grundkenntnissen und dem Verständnis für die juristische Materie sind eine entsprechende Erfahrung und Integrität. Im Rahmen einer unternehmens- und branchenspezifischen Risikoevaluierung werden die Compliance-Risiken herausgearbeitet, die für das betreffende Unternehmen besondere Relevanz haben und im Übrigen werden alle für das Unternehmen bedeutende Regelungen gesammelt. Auf dieser Basis sollte als nächster Schritt ein Verhaltenskodex erarbeitet werden, der die grundsätzlichen Verhaltensregelungen für das Unternehmen, Organe und Mitarbeiter enthält (Code of Conduct). Abhängig von der Intensität der Regelungen in diesem Kodex werden zusätzliche Richtlinien erforderlich sein, die detaillierter die Pflichten und Sanktionen bei Verstößen regeln (z.B. Geschenkerichtlinie, Richtlinie zur Vermeidung von Kartellverstößen). Sobald diese Regelwerke feststehen ist auf die umfassende und richtige Information der davon Betroffenen zu achten, da Regeln, die in der Schublade schlummern niemanden nützen. Eines der wichtigsten Schritte bei der Implementierung eines CMS und insbesondere auch um die Akzeptanz der Mitarbeiter zu erreichen, sind angemessene und verständliche Schulungsmaßnahmen, die den Mitarbeitern die hiervon betroffenen Themen nahe bringen. Ein „aber das wusste ich nicht“ oder „ich habe es doch zum Vorteil des Unternehmens getan“ soll es danach nicht mehr geben. Es zeigt sich in der Praxis, dass Mitarbeiter häufig darüber froh sind, dass ihnen die Grenzen ihres legalen Tuns aufgezeigt werden. Ferner ist es Aufgabe des Compliance Verantwortlichen, dass Compliance Vorfälle genauestens aufgeklärt und dokumentiert werden, da häufig sich die anschließenden Untersuchungen auf diese Dokumentation stützen werden. Schließlich muss entschieden werden, ob ein sog. Ombudsmann, also eine inner- oder außerbetriebliche Stelle eingerichtet wird, die auch anonyme Anzeigen von Compliance-Verstößen aufnimmt und untersucht. Dieses auch als Hinweisgeber- oder „Whistle-blower“ – System genannte Instrument ist jedoch häufig umstritten und bedarf einer sorgfältigen Abwägung des Für und Wider.
Damit wären die wichtigsten Schritte für die Entwicklung und der ersten Implementierung getan. Was folgt, ist die ständige Evaluierung und Verbesserung des CMS sowie eine eventuelle Auditierung desselben. Große Wirtschaftsprüfungsgesellschaften sind inzwischen dazu übergegangen solche Auditierungen nach Regeln des IDW (Institut der Wirtschaftsprüfer) vorzunehmen, aber auch der TÜV Rheinland hat kürzlich bekanntgegeben, dass von dieser Institution Zertifizierungen nach bestimmten Maßstäben vorgenommen werden.
Compliance und die Implementierung eines CMS bedeuten auch für die Personalabteilung eine besondere Herausforderung. Nicht nur, dass die Personalabteilung selbst Ziel der Compliance Maßnahmen sein wird, sie kann auch erheblich dazu beitragen, dass ein CMS erfolgreich eingesetzt wird. Als Objekt der Compliance wird die Personalabteilung dadurch, dass zahlreiche Prozesse und Sachverhalte, die von dieser Abteilung geregelt werden, mit Vorschriften verbunden sind, die es gilt einzuhalten. Als Beispiele können hier gelten, Einhaltung des Datenschutzes, Geheimhaltungserklärungen mit Mitarbeitern, Einhaltung des Allgemeinen Gleichberechtigungsgesetzes (AGG) und vieles mehr. Auch bei der Lohn- und Gehaltsabrechnung kann Compliance eine Rolle spielen, wie z.B. bei der Überwachung einmaliger Zahlungen, wie Boni, Gratifikationen und Abfindungen, insbesondere bei der Kontrolle von Überzahlungen oder doppelten Auszahlungen. Bei der Implementierung des CMS gewinnt die Mitbestimmung des Betriebsrates eine bedeutende Rolle sowie, wie der Code of Conduct und die darauf basierenden Richtlinien verbindlich festgelegt werden, sofern diese Regelungen über das Direktionsrecht des Arbeitgebers hinausgehen. Auch aus diesen Gründen ist es empfehlenswert, den Leiter der Personalabteilung in einem frühen Stadium in den Prozess der Entwicklung und Implementierung eines CMS einzubinden.