Was ist Compliance?

Hinweise zur Umsetzung im Unternehmen

Stand: Januar 2017
1. Allgemeines
Rechtsverstöße von Wirtschaftsunternehmen finden immer wieder große Aufmerksamkeit in Medien und Öffentlichkeit. Dies gilt unabhängig davon, welche Bereiche sie betreffen. Der hieraus resultierende Schaden fürs Image kann immens sein, egal ob die Vorwürfe zutreffen oder nicht.
Aus diesem Grund wird für Unternehmen die Einhaltung der gesetzlichen Vorschriften nicht nur der Sache nach, sondern auch zum Erhalt des Ansehens immer wichtiger. Unter der Bezeichnung Compliance hat sich dieser Problemkreis begrifflich etabliert. Dabei steckt hinter dem aus dem amerikanischen Rechtskreis übernommenen Begriff nichts grundsätzlich Neues. Compliance bedeutet im engen Sinn die Einhaltung von Gesetz und Recht durch das Unternehmen und seine Mitarbeiter. Das dürfte für die Unternehmen eine Selbstverständlichkeit sein.
Auch wenn ausdrückliche Vorgaben hierzu lediglich für börsennotierte Unternehmen im Deutschen Corporate Governance Kodex, der ein wirksames Compliance-Management- System (CMS) vorschreibt, aufgestellt sind, beschränkt sich die Problematik nicht nur auf international agierende börsennotierte Unternehmen. Als Instrument der Risikovorsorge sollte Compliance auch im Mittelstand Beachtung finden, da auch hier eine nur unzureichende Auseinandersetzung mit dem Thema Compliance als Pflichtverletzung des „ordentlichen und gewissenhaften Geschäftsleiters” angesehen werden könnte, was zivil- und strafrechtliche Konsequenzen nach sich ziehen könnte.
Compliance ist in erster Linie eine Aufgabe der Geschäftsleitung. Die Leitungsorgane sind in der Pflicht, nicht zuletzt durch eine Verschärfung der Rechtsfolgen von Aufsichtspflichtverletzungen im Bereich von Straftaten und Ordnungswidrigkeiten gemäß § 130 Gesetz über Ordnungswidrigkeiten (OWiG), geeignete Maßnahmen und organisatorische Vorkehrungen zur Überwachung und Sicherstellung der Einhaltung der Regeln zu treffen. Hierzu dienen insbesondere unternehmensinterne Richtlinien, eventuell erweitert um Verhaltenskodizes, die in erster Linie für die Mitarbeiter gelten. Bewusste Verstöße gegen Gesetze werden zwar durch Compliance- Maßnahmen nicht vermieden. Diese helfen aber, Haftungsrisiken auf der Ebene der Führungsverantwortlichen zu vermeiden.
Wer sich erstmals mit dem Thema befasst, sieht sich gerade im mittelständischen Unternehmen vor einer enormen Herausforderung. Um festzustellen, ob ausreichende Compliance-Strukturen existieren beziehungsweise welche Strukturen geschaffen werden müssen, sind alle relevanten Handlungsfelder und geltenden Vorschriften zu identifizieren, interne Regelwerke und Schutzmechanismen zu formulieren und auf ihre Funktionsfähigkeit zu überprüfen. Nicht immer ergibt sich aus einer solchen Compliance-Analyse die Erkenntnis zur Formulierung eines aufwändigen Regelwerks. Häufig bestehen bereits effektive Strukturen, die nur noch anzupassen oder zu aktualisieren sind. Gerade mit Blick auf die Öffentlichkeit kann jedoch auch die Einführung zusätzlicher, auch extern kommunizierter Maßnahmen, wie eines sogenannten code of conduct (Verhaltenskodex) oder einer Compliance-Richtlinie sinnvoll erscheinen. Zudem verlangen immer mehr große Unternehmen von ihren Vertragspartnern die Implementierung von Compliance- Richtlinien.
Im Folgenden sollen für denjenigen, der sich der Problematik erstmals nähert, Hilfestellungen gegeben werden, wie bei der Überprüfung seines Unternehmens auf eine gute Compliance vorgegangen werden kann und welche Überlegungen hierbei relevant sind.
2. Identifizierung der Risiken und rechtliche Anforderungen
Risiken kann es überall geben. Jede Compliance-Analyse wird daher mit der Identifizierung der allgemeinen und branchen- oder unternehmensspezifischen Risikobereiche beginnen, in denen sich das Unternehmen bewegt. Dabei kommt es in erster Linie auf die Kenntnis des eigenen Unternehmens, seiner internen Abläufe und der Geschäftsstruktur an. So ist beispielsweise das Thema Produkthaftung eher für Maschinenbauer und Mindestlöhne insbesondere für ausländische Subunternehmer im Baubereich ein typisches Problem.
Nachdem die konkreten Risikofelder identifiziert wurden, sind die gesetzlichen Rahmenbedingungen und die hieraus resultierenden Prozessanforderungen zu ermitteln. Nachfolgend einige Beispiele:
Allgemeine Risiken
  • Arbeitnehmerregelungen wie Arbeitszeitgesetz, Mindestlohn, Scheinselbständigkeit
  • Antidiskriminierungsgesetz
  • Korruptionsstraftaten
  • Vertraulichkeit/Geheimhaltung/Datenschutz
  • Unlauterer Wettbewerb
  • Besondere Bedeutung kommt dem Steuerrecht zu.
Spezifische Risiken:
  • Kartellrechtliche Anforderungen
  • Außenwirtschaftsregelungen
  • Geldwäscheprävention
  • Meldepflichten bei börsennotierten Unternehmen
  • Umweltstandards
  • Lebensmittel- und Hygienevorschriften
  • Vergabevorschriften etc.
Neben der Analyse und Bewertung der Risiken sollte aber auch die Geschäftsstruktur in den Blick genommen werden. Große und komplex aufgestellte Unternehmen müssen naturgemäß einen höheren Aufwand für die Organisation von Compliance betreiben als einfacher strukturierte Betriebe. Von Bedeutung ist dabei zum Beispiel, ob in der Unternehmensstruktur die Verantwortung klar geregelt ist und die Kontrolle über den Zahlungsverkehr gewährleistet ist.
3. Statusanalyse
Nach der Risikoanalyse und der Bestimmung der sich daraus ergebenden rechtlichen Anforderungen, ist der Ist-Zustand des Unternehmens-Compliance. Konkret bedeutet dies, dass geprüft werden muss, welche Regelungen und Sicherstellungsmechanismen bereits im Unternehmen vorhanden sind. Als solche kommen unter anderem in Betracht:
  • Regelungen im Arbeitsvertrag
  • Dienstanweisungen, Betriebsvereinbarungen etc. (zum Beispiel im Bereich Datenschutz oder im Hinblick auf Verhaltensregelungen zur Annahme von Geschenken und sonstiger Zuwendungen)
  • Bestellung von bestimmten Beauftragten, z. B. Datenschutzbeauftragter, Compliance-Beauftragter
  • Vier-Augen-Prinzip
  • Vertragsmanagement
  • Personalrotation in sensiblen Bereichen etc.
Hierauf bezogen kann ein Soll-Zustand definiert werden. Damit ist gemeint, dass unter Beachtung der gesetzlichen Vorgaben für die identifizierten Risiken die optimalen Regelungen und Schutzmechanismen für deren Einhaltung zu definieren sind. Die Differenz zwischen Soll und Ist beschreibt den verbleibenden Handlungsbedarf. Dieser kann von der Feststellung einer ausreichenden Compliance-Struktur bis zur Notwendigkeit der Schaffung neuer Regelwerke und Überwachungsmechanismen reichen. Selbst wenn die vorhandenen Strukturen ausreichend erscheinen, kann sich im Hinblick auf die bereits erwähnte Außenwirkung die Einführung einer übergeordneten Richtlinie im Sinne eines code of conduct (Verhaltenskodex) oder einer Compliance-Richtlinie anbieten.
4. Erstellung eines neuen oder zusätzlichen Regelwerks
Wer sich nach der Statusanalyse für die Erstellung eines neuen oder zusätzlichen Regelwerks entscheidet, sollte zunächst klären, wer mit der Formulierung und Umsetzung betraut werden soll. Dies ist üblicherweise die Unternehmensführung selbst. Denkbar ist allerdings auch diese Aufgabe externen Dritten zu übertragen – beispielsweise Anwaltskanzleien. Empfehlenswert ist die Einbindung vorhandener Fachabteilungen, wie Personal, Recht und Finanzen. Die Beteiligung des Betriebsrates ist in jedem Fall sinnvoll; zum Teil ist sie rechtlich auch erforderlich. Soweit bisherige Regelungen ersetzt werden sollen, ist deren arbeitsrechtliche Einordnung (Teil des Arbeitsvertrages, Dienstanweisung, Betriebsvereinbarung etc.) zu beachten.
5. Implementierung im Unternehmen
Bei der Implementierung der gegebenenfalls neuen Compliance-Regelung(en) im Unternehmen sind unterschiedliche organisatorische und rechtliche Aspekte zu beachten. Unabdingbar für eine Verankerung einer guten Compliance und deren Stellenwert im Unternehmen ist, dass die Werte im Unternehmen (vor)gelebt werden. Compliance kommt von oben, d. h. Geschäftsführung und Führungskräfte haben eine wichtige Vorbildfunktion.
Daneben sind als wichtige Überlegungen bei der Implementierung bestimmter vorab formulierter Maßnahmen beispielsweise zu beachten:
  • Einrichtung/ Ergänzung der Compliance-Organisation
    • zum Beispiel Auswahl eines Compliance-Officers
    • zusätzliches Budget für den Compliance-Verantwortlichen
  • Aspekte zur arbeitsrechtlichen Einbindung
    • Müssen Arbeitsverträge angepasst werden?
    • Genügt Direktionsrecht des Arbeitgebers (bezüglich arbeitsvertraglicher Pflichten)?
    • Sind Betriebsvereinbarungen betroffen beziehungsweise müssen solche abgeschlossen werden?
  • Organisatorische Probleme
    Bei der Implementierung, zum Beispiel eines code of conduct, ist es möglicherweise problematisch wie alle Arbeitnehmer verbindlich aktiv von der Regelung Kenntnis erlangen, sofern keine arbeitsvertragliche Regelung mit jedem einzelnen Arbeitnehmer getroffen wird. Zu denken ist zum Beispiel an Mitarbeiter ohne PC-Arbeitsplatz.
  • Schulungs- und Kommunikationsmaßnahmen
  • Durchführung von regelmäßigen Schulungen, je nach Risikohöhe
  • In Bezug auf alltägliche Handlungserfordernisse (zum Beispiel in den Bereichen Personal, Außenwirtschaft, Ein-/Verkauf, EDV / Datenschutz)
  • In Bezug auf besondere Situationen (z. B. Empfang, Führungskräfte, Pressesprecher: Rechte und Pflichten bei Durchsuchung, siehe dazu auch Punkt 7 Notfallpläne)
6. Mechanismen zur Sicherstellung der Einhaltung der Regeln
Der Überwachung und Sicherstellung der Einhaltung von statuierten Regeln kommt ein hoher Stellenwert zu. Neben allgemeinen Mechanismen wie dem Vier-Augen-Prinzip, ist daher zu überlegen, ob neue beziehungsweise ergänzende Compliance-Prozesse eingeführt werden müssen
– beispielsweise:
  • Die Einrichtung einer Stelle, der Mitarbeiter Verstöße gegen Richtlinien melden können, ohne Sanktionen befürchten zu müssen (gegebenenfalls anonym nutzbare Hotline oder ähnliches), oder die Fragen zu Compliance-konformen Verhalten beantwortet (zum Beispiel Compliance-Beauftragter)
  • Prüfung der prozessmäßigen Behandlung von Hinweisen auf Compliance-Verstöße
  • Bestellung eines Compliance-Beauftragten/Boards, an den/das Verstöße gemeldet werden können bzw. die Möglichkeit besteht, Fragen zu stellen, z. B. ob ein geplantes Verhalten Compliance-konform ist,
  • Problemlose Erreichbarkeit der Stelle, die Meldungen gegebenenfalls entgegen nimmt beziehungsweise Fragen beantwortet.
  • Sanktionierung von Verstößen
    Hierbei handelt es sich sicherlich um eines der sensibelsten Themen. Der Umgang mit Verstößen und die damit verbundene Sanktionierung durch die Unternehmensführung wird sich dabei an der Schwere des Verstoßes und nach arbeitsrechtlichen Erfordernissen in Abhängigkeit vom Einzelfall richten. Dabei kommen grundsätzlich folgende Maßnahmen in Betracht: Ermahnung, Abmahnung, Versetzung, fristlose oder ordentliche Kündigung
  • Sicherstellung der Unterrichtung oder des Informationsflusses an nächst höhere Ebene beziehungsweise Compliance-Beauftragten/-Board bei
    • neuen/geänderten gesetzlichen Vorschriften
    • neuen/geänderten Risiken etc.
    • Verstößen
    • sonstigen Compliance-relevanten Sachverhalten (z B. Durchsuchung)
  • Dokumentation/ Nachweis der Einhaltung der Richtlinien
7. Notfallpläne
Schließlich kann niemals ausgeschlossen werden, dass es trotz größter Sorgfalt in einem Unternehmen zu Compliance-Verstößen kommt. Die Folgen können ganz unterschiedlich sein und reichen beispielsweise von Rückrufaktionen bei Verstoß gegen Sicherheitsvorschriften bis hin zu staatsanwaltlichen Durchsuchungen beim Verdacht auf Straftaten zum Beispiel Korruption. Insbesondere bei staatsanwaltlichen Durchsuchungen kann es hilfreich sein, wenn ein Notfallplan existiert, der den Mitarbeitern erläutert, wie sie sich in einer solchen Krisensituation verhalten sollen und welche Rechte und Pflichten sie haben. Folgende Punkte sollte ein solcher Notfallplan mindestens abdecken:
  • wer informiert wen
  • wer ist Ansprechpartner für die Behörde
  • wer ist gegenüber wem zu Auskünften berechtigt
  • wer nimmt Stellung gegenüber der Presse etc.
Weiterhin sollten die Abläufe in einem solchen Krisenfall vorab klar strukturiert und festgelegt sein.
Dieses Merkblatt soll – als Service Ihrer IHK – nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl es mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.