Der Begriff Compliance

Compliance steht für Regelkonformität. Compliance Management umfasst daher systematische Maßnahmen zur Sicherstellung der Einhaltung des geltenden Rechts einerseits und unternehmensinterner Regelungen andererseits. Darüber hinaus kann auch die soziale und ethische Verantwortung eines Unternehmens einen Teil der Compliance ausmachen. Ziel des Compliance-Managements ist es, mögliche Risiken in den verschiedenen Bereichen eines Unternehmens zu erkennen, zu bewerten und darauf zu reagieren, um drohende Schäden abzuwenden. Durch ein abgestimmtes Compliance-System ist es möglich, die Geschäftsführung zu entlasten, Wettbewerbsvorteile zu erlangen und gleichzeitig die gesetzlichen Vorgaben zu wahren.
I. Risikoanalyse
Ein effektives Compliance Management kann nur auf der Grundlage einer vorgeschalteten Risikoanalyse funktionieren. Grundsätzlich obliegt diese Aufgabe als Teil der Unternehmensorganisation der Geschäftsführung. Welche konkreten Organisationspflichten zu beachten sind, müssen dabei für jedes Unternehmen individuell (entsprechend der Größe, der Branche, dem Markt etc.) bestimmt werden.
Dabei sind neben die einschlägigen Gesetze zu beachten, sondern auch eventuelle untergesetzliche Regelungen (wie z.B. Satzungen oder Verordnungen) und die aktuelle Rechtsprechung. Viele gesetzliche Vorgaben wurden erst im Wege der Rechtsauslegung durch die Gerichte näher konkretisiert. Als Beispiel sei an dieser Stelle auf die allgemein geregelte Risikofrüherkennungspflicht aus § 91 Abs. 2 Aktiengesetz verwiesen. Jedem Mitglied des Vorstandes muss demnach bekannt sein, dass insbesondere Überwachungssysteme einzurichten sind. Welche genauen Anforderungen dabei an die Meldesysteme zu stellen sind, wurde erst durch Urteile des Bundesgerichtshofs festgelegt. Somit ist neben der Durchsicht der gesetzlichen Verpflichtungen auch stets die Kenntnis der aktuellen Rechtsprechung notwendig.
Die Internationalisierung, auch des Mittelstandes, bringt zusätzliche Herausforderungen mit sich. Denn ein Unternehmen, das am internationalen Lieferungs- und Leistungsverkehr teilnimmt, unterliegt auch einer ganzen Reihe von Vorschriften und Regulierungen aus anderen Rechtsordnungen (z.B: Bribery Act, FCPA). Daneben ist zu beachten, dass sich für jedes Unternehmen Compliance-Verstöße und damit Risiken, nicht nur aus einem aktiven Tun (z.B. Gesetzesverstöße durch das Unternehmen), sondern vielmehr auch aus einer passiven Rolle (z.B. Bestechung der eigenen Mitarbeiter durch Dritte) heraus ergeben können. Diese Herausforderungen im internationalen Geschäft finden mitunter ihren Niederschlag in rigorosen Rechten in den Einkaufs- und Lieferbedingungen (z.B. jederzeitige kurzfristige Compliance Audits durch US-Kunden beim deutschen Lieferanten, niederschwellige Kündigungsrechte und De-Listings).
Insgesamt ergeben sich im Durchschnitt für ein Unternehmen weit über 2.000 Rechtspflichten, die bei der Führung des Unternehmens zu beachten sind. Nur eine genaue Risikoanalyse kann diesen Anforderungen gerecht werden und ist somit für das Compliance Management eines jeden Unternehmens unerlässlich.
II. Organisationsstruktur
Um neben einer möglichen Haftung auch andere Risiken (z.B. Reputation) für das Unternehmen auszuschließen, müssen die Ergebnisse der Risikoanalyse ausgewertet und geeignete Maßnahmen ergriffen werden. Getreu dem angloamerikanischen Motto „walk the talk“ ist es unerlässlich, dass die Anordnungen auch tatsächlich umgesetzt und nicht nur besprochen werden. Die Geschäftsführung und die entsprechenden Aufsichtsorgane müssen insoweit transparent kooperieren und dies gegenüber Mitarbeitern und Geschäftspartnern auch entsprechend dem „tone at the top“ kommunizieren.
Selbstverständlich kann die Geschäftsführung der eben angesprochenen Fülle von durchschnittlich knapp 2.000 Verpflichtungen nicht in vollem Umfang selbst nachkommen, sodass sie bestimmte Pflichten auch an andere delegieren muss. Jedoch ist der Geschäftsführer durch die Übertragung nicht von allen Pflichten entbunden, sondern hat vielmehr die Umsetzung des Comliance Managements zu kontrollieren. Diese Überwachungspflicht gehört zum Kernbereich der Aufgaben eines Geschäftsführers und kann auch nicht delegiert werden. Wer dementgegen die erforderlichen Aufsichtsmaßnahmen unterlässt, muss aktuell aufgrund § 130 Ordnungswidrigkeitsgesetz mit Haftung und mit entsprechenden Geldbußen rechnen Daneben befindet sich ein deutsches Unternehmensstrafrecht in Vorbereitung. Hinzu kommt eine persönliche zivielrechtliche Haftung gegenüber der Gesellschaft und unter Umständen auch eine strafrechtliche Verantwortlichkeit der (nicht) handelnen Person.
III. Dokumentation
Installation und Betrieb eines funktionierenden Comliance Management Systems können vor einer Vielzahl von Risiken schützen. Soweit ein CMS aber auch schadenersatz-, odrnugswidrigkeiten- und strafrechtlich wirksam schützen soll, genügen Installation und Betrieb für sich allein nicht, um sich vor Gericht von einem Verschuldensvorwurf entlasten zu können.
Vielmehr muss dessen tatsächliche Umsetzung auch nachweisbar sein. So ist es nicht verwunderlich, dass dem deutschen Recht rund 800 entsprechende Dokumentationspflichten bekannt sind, wovon knapp ein Viertel strafbewehrt ist. Oft ist die Beweislast für den Ausgang eines Gerichtsprozesses entscheidend und sollte nicht unterschätzt werden. Geschäftsführer sollten sich stets die Frage stellen, ob sie ausreichend Material haben, um die Einhaltung aller Rechtsvorschriften auch hinreichend beweisen zu können. So erfordert allein der Normalbetriebsnachweis gemäß § 6 Abs. 2 Umwelthaftungsgesetz, dass ausnahmslos alle besonderen Betriebspflichten ermittelt und auch belegt werden. Oftmals wird entsprechendes Material erst in Vorbereitung auf einen Gerichtsprozess (erstmalig) erhoben – regelmäßig zu spät, so dass die Entlastung nicht erfolgen kann.
Ein funktionierendes Compliance Management muss somit neben der Analyse und anschließenden Bewertundg der RIsiken auch immer eine Dokumentation der ergriffenen Maßnahmen abdecken.