COMPLIANCE

Risiken minimieren. Handlungsfähig bleiben.

Ein Compliance-Management-System schützt

Unternehmen, Geschäftsleitung und Mitarbeiter

Compliance dient der Minimierung von Risiken. Ein entsprechendes Compliance-Management-System (CMS) analysiert diese Risiken in allen Bereichen des Unternehmens, um mit geeigneten Maßnahmen präventiv gegen die Verwirklichung dieser Risiken anzugehen. Gleichzeitig dient es dazu bestehende Missstände aufzudecken und diese abzustellen. Abschließend sind diese Erkenntnisse wiederum zur Vermeidung der gleichen Missstände in das CMS einfließen zu lassen. Mit der Entscheidung des BGH vom 9. Mai 2017 – 1 StR 265/16 – steht fest, dass ein CMS bei der Bemessung der Bußgelder positiv zu berücksichtigen ist.  Ein wirksames und funktionierendes CMS schützt damit das Unternehmen vor existenzbedrohender, behördlicher Verfolgung oder zumindest vor verheerenden Folgen behördlicher und staatsanwaltlicher Durchgriffe. Die Geschäftsleitung kann sich durch ein solches Compliance-System vor der umfassenden zivil- und strafrechtlicher Verfolgung schützen. Mitarbeiter erhalten durch die klaren und transparenten Vorgaben eines CMS Sicherheit im Arbeitsalltag und damit ebenfalls einen Schutz betriebsinternen Nachteilen.

Anforderungen an ein Compliance-Management-System

Folgende Fragestellungen ergeben sich im Rahmen der Implementierung eines Compliance-Management-Systems:

  • Was ist Compliance?
  • Wieso sollte Compliance von der obersten Unternehmensstelle initiiert werden?
  • Welche Haftung und Sanktionen können die Geschäftsleitung treffen?
  • Welche aktuellen Entwicklungen sind beim Thema Compliance zu beachten?
  • Weshalb braucht man ein wirksames Compliance Management System?
  • Wir organisiert man ein maßgeschneidertes Compliance Programm?
  • Welche Bausteine sind unverzichtbar?
  • Wie implementiert man ein solches System (BR-Beteiligung etc.)
  • Was bedeutet dies für das tägliche Geschäft und die Mitarbeiter?
  • Wie sind mögliche Risiken aufzudecken und wie ist ihnen zu begegnen?

Was ist Compliance?

Compliance ist in erster Linie eine Management-Aufgabe und nicht lediglich das Einhalten von Vorschriften.
Der englische Begriff Compliance, „to comply with“, bedeutet zwar in der Übersetzung „das Einhalten von Gesetzen“ (Gesetzgebung: national und international, insofern diese einschlägig sind) und Richtlinien (diese stellt das Unternehmen meist selbst auf oder die jeweiligen Verbände der Branche geben diese quasi vor), ist aber weiter zu verstehen.

Eine sehr passende und treffende Formulierung für das Gesamtverständnis findet sich hierzu auch im DCGK (Deutscher Corporate Governance Kodex): „to comply or explain“.

Dies bedeutet, dass bei Nichtbeachtung der Vorgaben des DCGK (to comply or not) eine Erklärung des Unternehmens zu erfolgen hat, warum es diese Regelung nicht befolgt und wie es diese Thematik anderweitig löst („to explain“) bzw. das entsprechende Risiko regelt.
Darüber hinaus ist es die Aufgabe eines Compliance-Management-Systems (CMS), ein Unternehmen so zu organisieren, dass die Unternehmensleitung über die wesentlichen Vorkommnisse im Betrieb informiert ist und diese in die richtigen (gesetzeskonformen) Bahnen lenkt. Es wird damit vermieden, dass ein Unternehmer sich wegen eines Organisationsverschuldens verantworten muss. Dies kann mittels einer sog. Pflichtendelegation geschehen, so dass das Management ein klares Reporting erhält.
Das richtige Konzept für ein CMS ist anhand der jeweiligen Branche maßgeschneidert zu definieren. Ein wirksames CMS ist die Basis für eine erfolgreiche Um- und Durchsetzung der unternehmerischen und gesetzgeberischen Vorgaben.

Wieso sollte Compliance als „tone from the top“ kommuniziert werden?

Compliance ist eine Management-Aufgabe. Eine andere Ansicht wird hierzu bisher nicht vertreten und würde aus rein praktischer Sichtweise auch keinen Sinn ergeben. Dies würde keine Klarheit für das Vorgehen bringen und insbesondere bei großen Konzernen, einer einheitlichen Struktur (sowie Umsetzung) im Wege stehen. Letztlich haftet die Geschäftsleitung und sollte somit im Prozedere auch wissen, wohin die Reise geht.

Um geordnete Strukturen zu schaffen sind diese – genau wie bei der normalen Gesetzgebung der BRD oder EU – durch leitende Organe einzuführen. Sie definieren die Überzeugung und das Maß der Dinge. Der einzelne Mitarbeiter trägt dann als ausführendes Organ dazu bei, dass die „aufgestellten Regeln“ auch umgesetzt und eingehalten werden. Die Management-Ebene kann und darf an dieser Stelle entsprechend delegieren; muss sich aber regelmäßig darüber berichten lassen, was Stand der Dinge ist.

Aufgrund der Möglichkeiten der Leistungs- und Verhaltenskontrolle durch das CMS selbst, muss hier der Betriebsrat als Organ des Unternehmens beteiligt werden. Er will selbstverständlich die Mitarbeiter schützen und davor bewahren, dass diese einem Überwachungssystem ausgesetzt oder unter Druck gesetzt werden. Jedes Kontrollsystem bedarf folglich eines weiteren Kontrollorgans. Dies macht in diesem Zusammenhang durchaus Sinn, so dass bereits bei der Implementierung der Richtlinien (welche für das CMS essentiell sind), ein rechtssicherer Boden geschaffen wird. Daneben spielt auch die strategische Umsetzung zusammen mit dem Betriebsrat eine gewichtige Rolle. Nur wenn auch dieser überzeugt ist, sind die Mitarbeiter wirklich dabei und das System wird tatsächlich gelebt.

Welche Haftung und Sanktionen können möglicherweise drohen (keine abschließende Auflistung)?

Bei Verstößen gegen Compliance bzw. dem Unterlassen eines CMS drohen folgende Sanktionen:

  • Schadenersatzforderungen, §§ 91, 93, 116 AktG, § 33 GWB
  • Bußgelder, §§ 130, 30 OWiG
  • Geld- oder Freiheitsstrafen aus StGB, DSGVO, Kartell- und Wettbewerbsrecht, AGG
  • Unternehmensregress für Managerhaftung (siehe Entscheidungen zu „ARAG-Garmenbeck“, LG München „Straßenreinigungsfall“, BGH 1 StR 265/16 „Steuerrecht“)
  • Arbeitnehmerregress
  • Wertabschöpfung
  • Wettbewerbsausschluss und Verlust von Kunden
  • Steuerliches Abzugsverbot
  • Ratings und Sperren (Basel II, Gewerbezentralregister, Blacklist)
  • Untersagung der Geschäftsführertätigkeit
  • Reputationsschäden und Kosten für Wiederherstellung der Reputation

Compliance ist jedoch auch eine „Waffe der Wettbewerber“ (vgl. Siemens/General Electric in den USA). Aus diesem Grund spielt das Thema Lieferanten-Compliance eine bedeutende Rolle für die Praxis. Hierbei sind jedoch ein paar Fallstricke zu beachten.

Woraus ergeben sich mögliche Rechtspflichten für die Geschäftsleitung?

Rechtspflichten ergeben sich u. a. aus folgenden Bereichen:

  1. Diskriminierung – LEX
  2. Datenschutz – LEX
  3. Interessenkonflikte – LEX
  4. Geschenke und Einladungen – LEX
  5. Kartelle und Wettbewerb – LEX
  6. Kommunikation: Umgang mit vertraulichen Informationen, Presse, Interne Kommunikation (Corporate), Externe Kommunikation (Fachpresse), Umgang mit Behörden
  7. Bestechung und Korruption – LEX
  8. Geldwäsche – LEX
  9. Geistiges Eigentum – LEX
  10. IT-Systeme
  11. Branchenspezifische Besonderheiten: bspw. Handel mit Wertpapieren
  12. Whistleblowing

Wie sind mögliche Risiken aufzudecken und wie wird damit umgegangen?

Risiken dürfen nicht nur durch die Compliance-Abteilung aufgedeckt werden, sondern müssen bereits im Vorfeld durch das Risk Management geahndet werden. Ein effektives Risk Management kann einige Lücken im Vorfeld schließen.
Bezüglich der Compliance Abteilung kann hierbei gesagt werden, dass diese regelmäßige Kontrollen und Tests durchzuführen hat, um Schwachstellen aufzudecken und entsprechende Empfehlungen an das Management weiterzugeben – sog. Testing und Monitoring. Diese können dann im Anschluss an eine Testphase in die Praxis umgesetzt werden.
Hierbei sind auch die Mitarbeiter dazu angehalten die entsprechende Testkataloge und Prüfungsfragen der Compliance Abteilung zu beantworten und mitzuwirken. Das Management hat dies entsprechend zu kommunizieren und den Mitarbeitern die Bedeutung nahezulegen.

Welche aktuellen Entwicklungen gibt es?

Die Bedeutung von Compliance wächst ständig. Hierzu muss insbesondere die Wertung durch die Gerichte herangezogen werden. Das Urteil des LG München vom 8.5.2012 – 6 Sa 957/11 – bezüglich der Implementierung eines unzureichenden Compliance-Systems belegt die Bedeutung. Zusätzlich spielt das neue obiter dictum des BGH, 1 STR 265/16, eine gewichtige Rolle. Es ist ab sofort stets von entscheidender Bedeutung, ob das Unternehmen ein effizientes CMS installiert hat, welches auf die Vermeidung von Rechtsverstößen gerichtet sein muss oder im Zuge des Verfahrens sich darum kümmert, dass entsprechende Regelungen optimiert werden und damit die betriebsinternen Abläufe so gestaltet werden, dass zumindest künftig eine vergleichbare Normverletzung unterbunden werden kann.

Mit Veröffentlichung des Anwendungserlasses zu § 153 AO vom 23.05.2016 hat auch das Bundesministerium für Finanzen (BMF) die endgültige Initialzündung zur Etablierung sogenannter Tax Compliance Management-Systeme („Tax CMS“) gegeben.

Das BMF nimmt darin u. a. eine Abgrenzung der rein steuerlichen Korrektur nach § 153 AO zur Selbstanzeige nach § 371 AO vor. Danach kann bei Korrekturanzeigen ein Tax-CMS ein Indiz gegen bedingten Vorsatz sein und damit zugunsten des Steuerpflichtigen wirken, indem die Anzeige als Korrektur gemäß § 153 AO und nicht als Selbstanzeige nach § 371 AO gewertet wird. Entsprechend kann die Existenz eines Tax-CMS ein gewichtiges Argument darstellen und muss vom Betriebsprüfer bei der Würdigung entsprechender Sachverhalte zwingend ins Kalkül gezogen werden.

Zudem gibt es zahlreiche Gesetzesinitiativen: NRW-Unternehmensstrafrecht, DICO-Entwurf, Anpassung von § 130 OWiG, Standard ISO-19600 etc. .

Weiterhin gilt zu beachten, dass Compliance nicht nur ein nationales Thema ist, sondern gerade im internationalen Geschäftsverkehr mittlerweile die Eintrittskarte für eine geschäftliche Basis ist.

Wie wird dies organisiert? Was sind die Bausteine?

Risikoanalyse – Umsetzung – Kontrolle (fortlaufend)

Unter Berücksichtigung folgender Punkte kann dies organisiert werden:

1.  Vision des Unternehmens – langfristige Ziele
Mission des Unternehmens – Werte des Unternehmens
= (Code of Conduct)
2. Implementierung von Verhaltens-RiLi
3. Organigramm (Kontrolle und Transparenz)
4. Interne Kontaktliste (Kommunikation)
5. Schulung und Beratung (Transparenz)
6. IKS – Archiv (Formulare-Revision; abteilungsspezifisch)
7. Krisen- und Notfallmanagement

Was bedeutet das für die Mitarbeiter und die tägliche Arbeit?

Management und Mitarbeiter müssen sich darin „üben“, Compliance in die tägliche Aufgabenerledigung einzubauen bzw. ein gewisses Risikoverständnis zu erwerben.
Mitarbeiter sind zu schulen und über das CMS-System aufzuklären. Dem Mitarbeiter wird das Vorgehen der Firma bei Verstößen nun vor Augen geführt und transparent gemacht. Auch die Mitarbeiter können für Compliance-Verstöße haftbar gemacht werden.
Eine gute Compliance-Struktur kostet zwar Geld (Personalkosten, Dienstleister, IT-Systeme etc.), schafft aber Vertrauen der Mitarbeiter in die Ordnungsgemäßheit der Geschäftsabläufe. Gleichzeitig werden Haftungstatbestände und Sanktionen vermieden.

Was ist bei der Implementierung zu berücksichtigen?

Neben der Analyse der Risikobereiche muss eine regelmäßige Kommunikation zum aktuellen Status stattfinden, so dass nicht nur das Management weiß, was zu tun ist. Hierbei kann und muss Überzeugungs- und Aufklärungsarbeit geleistet werden, warum der jeweilige Fachbereich Compliance braucht; und wo konkret Anhaltspunkte für die Umsetzung bestehen. Dabei sollte möglichst das persönliche Gespräch durch die Compliance-Abteilung gesucht werden.

Welche Anforderungen sind an die betrieblichen Digital-Beauftragten zu stellen?

Compliance ist eine komplexe Thematik. Compliance ist ein in vielen Rechtsgebieten verstreut geregeltes Aufgabenfeld. Der Digital-Beauftragte muss daher vertiefte juristische Kenntnisse aufweisen. Dies wird auch durch die drohende Garantenstellung unterstrichen, die eine verschärfte Haftung mit sich bringt (vgl. Berliner Straßenreinigungsfall). Darüber hinaus erfordert die Implementierung eines Compliance-Management-Systems umfassende Erfahrungen mit betrieblichen Abläufen. Das Team des CAD-Institut für Compliance, Arbeitsrecht und Datenschutz zeichnet sich durch langjährige Erfahrungen in den drei Fachbereichen Compliance, Arbeitsrecht und Datenschutz aus. Dadurch ist es dem CAD-Team möglich, komplexe Rechtsgebiete in den Schnittstellenbereichen zu vermitteln und auch bei der Digitalisierung im Betrieb zu unterstützen. Exklusive Einblicke das einschlägigen Gesetzgebungsverfahren der DSGVO und der direkte Erfahrungsaustausch mit Behörden in Fachkreisen runden den Support ab. Oberstes Gebot ist die Integration der vorhandenen Betriebsstrukturen in die zu implementierende Datenschutzorganisation.

Hinweis

Sämtliche Texte dieser Internetpräsenz mit Ausnahme der Gesetzestexte und Gerichtsentscheidungen sind urheberrechtlich geschützt. Urheber im Sinne des Gesetzes über Urheberrecht und verwandte Schutzrechte (UrhG) sind die Geschäftsführer des CAD-Institut für Compliance, Arbeitsrecht und Datenschutz Armin und Jasmin Fladung. Wörtliche oder sinngemäße Zitate sind nur mit vorheriger schriftlicher Genehmigung des Urhebers bzw. bei ausdrücklichem Hinweis auf die fremde Urheberschaft (Quellenangabe i. S. v. § 63 UrhG) rechtlich zulässig. Verstöße hiergegen werden gerichtlich verfolgt.