Was ist Compliance? Hinweise zur Umsetzung im Unternehmen

Allgemeines

Rechtsverstöße von Wirtschaftsunternehmen finden immer wieder große Aufmerksamkeit in Medien und Öffentlichkeit. Dies gilt unabhängig davon, welche Bereiche sie betreffen. Der hieraus resultierende Schaden fürs Image kann immens sein, egal ob die Vorwürfe zutreffen oder nicht.
Aus diesem Grund wird für Unternehmen die Einhaltung der gesetzlichen Vorschriften nicht nur der Sache nach, sondern auch zum Erhalt des Ansehens immer wichtiger. Unter der Bezeichnung Compliance hat sich dieser Problemkreis begrifflich etabliert. Dabei steckt hinter dem aus dem amerikanischen Rechtskreis übernommenen Begriff nichts grundsätzlich Neues. Compliance bedeutet im engen Sinn die Einhaltung von Gesetz und Recht durch das Unternehmen und seine Mitarbeiter. Das dürfte für die Unternehmen eine Selbstverständlichkeit sein.
Auch wenn ausdrückliche Vorgaben hierzu lediglich für börsennotierte Unternehmen im Deutschen Corporate Governance Kodex, der ein wirksames Compliance-Management- System (CMS) vorschreibt, aufgestellt sind, beschränkt sich die Problematik nicht nur auf international agierende börsennotierte Unternehmen. Als Instrument der Risikovorsorge sollte Compliance auch im Mittelstand Beachtung finden, da auch hier eine nur unzureichende Auseinandersetzung mit dem Thema Compliance als Pflichtverletzung des „ordentlichen und gewissenhaften Geschäftsleiters” angesehen werden könnte, was zivil- und strafrechtliche Konsequenzen nach sich ziehen könnte.
Compliance ist in erster Linie eine Aufgabe der Geschäftsleitung. Die Leitungsorgane sind in der Pflicht, nicht zuletzt durch eine Verschärfung der Rechtsfolgen von Aufsichtspflichtverletzungen im Bereich von Straftaten und Ordnungswidrigkeiten gemäß § 130 Gesetz über Ordnungswidrigkeiten (OWiG), geeignete Maßnahmen und organisatorische Vorkehrungen zur Überwachung und Sicherstellung der Einhaltung der Regeln zu treffen. Hierzu dienen insbesondere unternehmensinterne Richtlinien, eventuell erweitert um Verhaltenskodizes, die in erster Linie für die Mitarbeiter gelten. Bewusste Verstöße gegen Gesetze werden zwar durch Compliance- Maßnahmen nicht vermieden. Diese helfen aber, Haftungsrisiken auf der Ebene der Führungsverantwortlichen zu vermeiden.
Wer sich erstmals mit dem Thema befasst, sieht sich gerade im mittelständischen Unternehmen vor einer enormen Herausforderung. Um festzustellen, ob ausreichende Compliance-Strukturen existieren beziehungsweise welche Strukturen geschaffen werden müssen, sind alle relevanten Handlungsfelder und geltenden Vorschriften zu identifizieren, interne Regelwerke und Schutzmechanismen zu formulieren und auf ihre Funktionsfähigkeit zu überprüfen. Nicht immer ergibt sich aus einer solchen Compliance-Analyse die Erkenntnis zur Formulierung eines aufwändigen Regelwerks. Häufig bestehen bereits effektive Strukturen, die nur noch anzupassen oder zu aktualisieren sind. Gerade mit Blick auf die Öffentlichkeit kann jedoch auch die Einführung zusätzlicher, auch extern kommunizierter Maßnahmen, wie eines sogenannten code of conduct (Verhaltenskodex) oder einer Compliance-Richtlinie sinnvoll erscheinen. Zudem verlangen immer mehr große Unternehmen von ihren Vertragspartnern die Implementierung von Compliance- Richtlinien.
Im Folgenden sollen für denjenigen, der sich der Problematik erstmals nähert, Hilfestellungen gegeben werden, wie bei der Überprüfung seines Unternehmens auf eine gute Compliance vorgegangen werden kann und welche Überlegungen hierbei relevant sind.

Identifizierung der Risiken und rechtliche Anforderungen

Risiken kann es überall geben. Jede Compliance-Analyse wird daher mit der Identifizierung der allgemeinen und branchen- oder unternehmensspezifischen Risikobereiche beginnen, in denen sich das Unternehmen bewegt. Dabei kommt es in erster Linie auf die Kenntnis des eigenen Unternehmens, seiner internen Abläufe und der Geschäftsstruktur an. So ist beispielsweise das Thema Produkthaftung eher für Maschinenbauer und Mindestlöhne insbesondere für ausländische Subunternehmer im Baubereich ein typisches Problem.
Nachdem die konkreten Risikofelder identifiziert wurden, sind die gesetzlichen Rahmenbedingungen und die hieraus resultierenden Prozessanforderungen zu ermitteln. Nachfolgend einige Beispiele:

Allgemeine Risiken

  • Arbeitnehmerregelungen wie Arbeitszeitgesetz, Mindestlohn, Scheinselbständigkeit
  • Antidiskriminierungsgesetz
  • Korruptionsstraftaten
  • Vertraulichkeit/Geheimhaltung/Datenschutz
  • Unlauterer Wettbewerb
Besondere Bedeutung kommt dem Steuerrecht zu.
Eine Steuerabteilung muss heutzutage gerade bei Auslandssachverhalten mit erhöhten Mitwirkungspflichten kämpfen und sich insbesondere im Bereich der Ertrag-, Lohn- und der Umsatzsteuer der Risiken bewusst sein. Die vollständige und fristgerechte Erfüllung steuerlicher Pflichten (Stichwort: Tax Compliance) oblag den Unternehmen bzw. ihren gesetzlichen Vertretern schon immer. Die verschärfte Steuergesetzgebung der letzten Jahre hat aber dazu geführt, dass insbesondere steuerliche Regeltreue immer mehr in den Fokus der Unternehmen und der steuerlichen Betriebsprüfung rückt.
Die Einrichtung eines funktionierenden Tax Compliance-Management-Systems (Tax-CMS) als Teilbereich eines gesamten Compliance-Systems hat besonders durch die Verschärfung der strafbefreienden Selbstanzeige nach § 371 Abgabenordnung (AO) zum 1. Januar 2015 an Bedeutung gewonnen. Eine strafbefreiende Selbstanzeige führt bei einer Steuerhinterziehung zur Straffreiheit. Davon abzugrenzen ist die leichtfertige Steuerverkürzung, also Fälle, in denen der Unternehmer grob fahrlässig gehandelt hat und die allgemeine Anzeige- und Berichtigungspflicht nach § 153 AO. Die Unternehmen stehen somit immer wieder vor der schwierigen Abgrenzungsfrage, ob Fehlangaben in der Steuererklärung (noch) als Berichtigung oder bereits als Selbstanzeige zu werten sind. Das Bundesfinanzministerium (BMF) hat mit Anwendungserlass zu § 153 AO hierzu Stellung genommen. Dabei sind alle Indizien einzubeziehen, auch sämtliche Bemühungen des Unternehmens um die steuerliche Pflichterfüllung. Ein innerbetriebliches Kontrollsystem findet dabei besonders Erwähnung. Unter Textziffer 2.6 des Anwendungserlasses heißt es: „Sofern der Unternehmer ein innerbetriebliches Kontrollsystem eingerichtet hat (…), kann dies gegebenenfalls ein Indiz darstellen, dass gegen das Vorliegen eines Vorsatzes oder Leichtfertigkeit sprechen kann.“
Ein eingerichtetes und dokumentiertes Tax-CMS soll demnach positiv berücksichtigt werden und kann ein Indiz darstellen, das gegen das Vorliegen einer Steuerhinterziehung oder leichtfertigen Steuerverkürzung spricht. Falls also ein Fehler in der Steuererklärung des Unternehmens auftreten sollte, wird die Finanzverwaltung künftig den Blick auch darauf richten, ob ein Unternehmen ein angemessenes Tax-CMS eingerichtet hat, um zu beurteilen, ob ein Bußgeld- oder Strafverfahren eingeleitet werden muss.

Spezifische Risiken:

  • Kartellrechtliche Anforderungen
  • Außenwirtschaftsregelungen
  • Geldwäscheprävention
  • Meldepflichten bei börsennotierten Unternehmen
  • Umweltstandards
  • Lebensmittel- und Hygienevorschriften
  • Vergabevorschriften et cetera
Neben der Analyse und Bewertung der Risiken sollte aber auch die Geschäftsstruktur in den Blick genommen werden. Große und komplex aufgestellte Unternehmen müssen naturgemäß einen höheren Aufwand für die Organisation von Compliance betreiben als einfacher strukturierte Betriebe. Von Bedeutung ist dabei zum Beispiel, ob in der Unternehmensstruktur die Verantwortung klar geregelt ist und die Kontrolle über den Zahlungsverkehr gewährleistet ist.

Statusanalyse

Nach der Risikoanalyse und der Bestimmung der sich daraus ergebenden rechtlichen Anforderungen, ist der Ist-Zustand des Unternehmens-Compliance. Konkret bedeutet dies, dass geprüft werden muss, welche Regelungen und Sicherstellungsmechanismen bereits im Unternehmen vorhanden sind. Als solche kommen unter anderem in Betracht:
  • Regelungen im Arbeitsvertrag
  • Dienstanweisungen, Betriebsvereinbarungen et cetera (zum Beispiel im Bereich Datenschutz oder im Hinblick auf Verhaltensregelungen zur Annahme von Geschenken und sonstiger Zuwendungen)
  • Bestellung von bestimmten Beauftragten, zum Beispiel Datenschutzbeauftragter, Compliance-Beauftragter
  • Vier-Augen-Prinzip
  • Vertragsmanagement
  • Personalrotation in sensiblen Bereichen et cetera
Hierauf bezogen kann ein Soll-Zustand definiert werden. Damit ist gemeint, dass unter Beachtung der gesetzlichen Vorgaben für die identifizierten Risiken die optimalen Regelungen und Schutzmechanismen für deren Einhaltung zu definieren sind. Die Differenz zwischen Soll und Ist beschreibt den verbleibenden Handlungsbedarf. Dieser kann von der Feststellung einer ausreichenden Compliance-Struktur bis zur Notwendigkeit der Schaffung neuer Regelwerke und Überwachungsmechanismen reichen. Selbst wenn die vorhandenen Strukturen ausreichend erscheinen, kann sich im Hinblick auf die bereits erwähnte Außenwirkung die Einführung einer übergeordneten Richtlinie im Sinne eines code of conduct (Verhaltenskodex) oder einer Compliance-Richtlinie anbieten.

Erstellung eines neuen oder zusätzlichen Regelwerks

Wer sich nach der Statusanalyse für die Erstellung eines neuen oder zusätzlichen Regelwerks entscheidet, sollte zunächst klären, wer mit der Formulierung und Umsetzung betraut werden soll. Dies ist üblicherweise die Unternehmensführung selbst. Denkbar ist allerdings auch diese Aufgabe externen Dritten zu übertragen – beispielsweise Anwaltskanzleien. Empfehlenswert ist die Einbindung vorhandener Fachabteilungen, wie Personal, Recht und Finanzen. Die Beteiligung des Betriebsrates ist in jedem Fall sinnvoll; zum Teil ist sie rechtlich auch erforderlich. Soweit bisherige Regelungen ersetzt werden sollen, ist deren arbeitsrechtliche Einordnung (Teil des Arbeitsvertrages, Dienstanweisung, Betriebsvereinbarung et cetera .) zu beachten.

Implementierung im Unternehmen

Bei der Implementierung der gegebenenfalls neuen Compliance-Regelung(en) im Unternehmen sind unterschiedliche organisatorische und rechtliche Aspekte zu beachten. Unabdingbar für eine Verankerung einer guten Compliance und deren Stellenwert im Unternehmen ist, dass die Werte im Unternehmen (vor-)gelebt werden. Compliance kommt von oben, dass heißt Geschäftsführung und Führungskräfte haben eine wichtige Vorbildfunktion.
Daneben sind als wichtige Überlegungen bei der Implementierung bestimmter vorab formulierter Maßnahmen beispielsweise zu beachten:
  • Einrichtung/Ergänzung der Compliance-Organisation
    • zum Beispiel Auswahl eines Compliance-Officers
    • zusätzliches Budget für den Compliance-Verantwortlichen
  • Aspekte zur arbeitsrechtlichen Einbindung
    • Müssen Arbeitsverträge angepasst werden?
    • Genügt Direktionsrecht des Arbeitgebers (bezüglich arbeitsvertraglicher Pflichten)?
    • Sind Betriebsvereinbarungen betroffen beziehungsweise müssen solche abgeschlossen werden?
  • Organisatorische Probleme
    Bei der Implementierung, zum Beispiel eines code of conduct, ist es möglicherweise problematisch wie alle Arbeitnehmer verbindlich aktiv von der Regelung Kenntnis erlangen, sofern keine arbeitsvertragliche Regelung mit jedem einzelnen Arbeitnehmer getroffen wird. Zu denken ist zum Beispiel an Mitarbeiter ohne PC-Arbeitsplatz.
  • Schulungs- und Kommunikationsmaßnahmen
  • Durchführung von regelmäßigen Schulungen, je nach Risikohöhe
  • In Bezug auf alltägliche Handlungserfordernisse (zum Beispiel in den Bereichen Personal, Außenwirtschaft, Ein-/Verkauf, EDV/Datenschutz)
  • In Bezug auf besondere Situationen (zum Beispiel Empfang, Führungskräfte, Pressesprecher: Rechte und Pflichten bei Durchsuchung, siehe dazu auch unten unter dem Punkt Notfallpläne)

Mechanismen zur Sicherstellung der Einhaltung der Regeln

Der Überwachung und Sicherstellung der Einhaltung von statuierten Regeln kommt ein hoher Stellenwert zu. Neben allgemeinen Mechanismen wie dem Vier-Augen-Prinzip, ist daher zu überlegen, ob neue beziehungsweise ergänzende Compliance-Prozesse eingeführt werden müssen – beispielsweise:
  • Die Einrichtung einer Stelle, der Mitarbeiter Verstöße gegen Richtlinien melden können, ohne Sanktionen befürchten zu müssen (gegebenenfalls anonym nutzbare Hotline oder ähnliches), oder die Fragen zu Compliance-konformen Verhalten beantwortet (zum Beispiel Compliance-Beauftragter)
  • Prüfung der prozessmäßigen Behandlung von Hinweisen auf Compliance-Verstöße
  • Bestellung eines Compliance-Beauftragten/Boards, an den/das Verstöße gemeldet werden können beziehungsweise die Möglichkeit besteht, Fragen zu stellen, zum Beispiel ob ein geplantes Verhalten Compliance-konform ist,
  • Problemlose Erreichbarkeit der Stelle, die Meldungen gegebenenfalls entgegen nimmt beziehungsweise Fragen beantwortet.
  • Sanktionierung von Verstößen
    Hierbei handelt es sich sicherlich um eines der sensibelsten Themen. Der Umgang mit Verstößen und die damit verbundene Sanktionierung durch die Unternehmensführung wird sich dabei an der Schwere des Verstoßes und nach arbeitsrechtlichen Erfordernissen in Abhängigkeit vom Einzelfall richten. Dabei kommen grundsätzlich folgende Maßnahmen in Betracht: Ermahnung, Abmahnung, Versetzung, fristlose oder ordentliche Kündigung
  • Sicherstellung der Unterrichtung oder des Informationsflusses an nächst höhere Ebene beziehungsweise Compliance-Beauftragten/-Board bei
    • neuen/geänderten gesetzlichen Vorschriften
    • neuen/geänderten Risiken et cetera
    • Verstößen
    • sonstigen Compliance-relevanten Sachverhalten (zum Beispiel Durchsuchung)
  • Dokumentation/Nachweis der Einhaltung der Richtlinien

Notfallpläne

Schließlich kann niemals ausgeschlossen werden, dass es trotz größter Sorgfalt in einem Unternehmen zu Compliance-Verstößen kommt. Die Folgen können ganz unterschiedlich sein und reichen beispielsweise von Rückrufaktionen bei Verstoß gegen Sicherheitsvorschriften bis hin zu staatsanwaltlichen Durchsuchungen beim Verdacht auf Straftaten zum Beispiel Korruption. Insbesondere bei staatsanwaltlichen Durchsuchungen kann es hilfreich sein, wenn ein Notfallplan existiert, der den Mitarbeitern erläutert, wie sie sich in einer solchen Krisensituation verhalten sollen und welche Rechte und Pflichten sie haben. Folgende Punkte sollte ein solcher Notfallplan mindestens abdecken:
  • wer informiert wen
  • wer ist Ansprechpartner für die Behörde
  • wer ist gegenüber wem zu Auskünften berechtigt
  • wer nimmt Stellung gegenüber der Presse et cetera
Weiterhin sollten die Abläufe in einem solchen Krisenfall vorab klar strukturiert und festgelegt sein.
Stand: Januar 2017
Quelle: IHK Stuttgart