Schwerpunkt dieser Seite: Die Compliance im Unternehmen (Regeltreue oder Regelkonformität)
Gemeinsam mit meinen Mandanten analysiere ich die bestehenden Risikobereiche, überprüfe den „Ist-Zustand“ im Unternehmen und ermittle den erforderlichen „Soll-Zustand“.
- Anhand der so gewonnenen Erkenntnisse wird eine entsprechende „Compliance-Richtlinie“ für das Unternehmen individuell vorbereitet und professionell angepasst.
- Die hierbei zum Entstehen gelangenden Kosten haben sich in einem möglichen Haftungsfall sehr schnell amortisiert. Die Kosten für die Erstellung einer Compliance-Richtlinie trägt die Gesellschaft. Die Kosten für eine strafrechtliche Verteidigung des Geschäftsführers trägt der Geschäftsführer selbst.
Das Landgericht München I hat in seiner Entscheidung vom …
… 10.12.2013 – 5 HKO 1387/10 erstmals ausdrücklich die Pflicht jedes einzelnen Vorstandmitglieds einer Aktiengesellschaft statuiert, für die Schaffung und Anwendung eines wirksamen Compliance-Systems zu sorgen und dessen konsequente Anwendung auch zu kontrollieren.
- Eine Nichtbeachtung dieser Pflichten kann gegebenenfalls zu Schadensersatzverpflichtungen führen.
Definition: Eigentlich steckt hinter dem aus dem amerikanischen Rechtskreis übernommenen Begriff „Compliance“ nichts grundsätzlich Neues. Der Begriff Compliance ist in der betriebswirtschaftlichen Fachsprache der Begriff für die Einhaltung von Gesetzen und Richtlinien, aber auch von freiwilligen Kodizes, in Unternehmen.
Neu ist jedoch die Bedeutung, die in diesem Zusammenhang den Mechanismen der Überwachung und Sicherstellung der Einhaltung der Regeln zukommt.
Auch wenn ausdrückliche Vorgaben hierzu lediglich für börsennotierte Unternehmen gelten, beschränkt sich die Problematik nicht auf diese Unternehmen. Als Instrument der Risikovorsorge sollte “Compliance” auch in kleinen und mittelständischen GmbHs Beachtung finden, da auch hier eine unzureichende Auseinandersetzung mit dem Thema “Compliance” als Pflichtverletzung des “ordentlichen und gewissenhaften Geschäftsleiters” angesehen werden kann und Regressansprüche drohen.
Aus haftungsrechtlichen Gründen ist daher jeder Geschäftsführer verpflichtet für die Schaffung und Anwendung eines wirksamen Compliance-Systems zu sorgen und dessen konsequente Anwendung auch zu kontrollieren.
- Häufig bestehen in einem Unternehmen bereits effektive Strukturen, die nur noch anzupassen oder zu aktualisieren sind.
Im Folgenden möchte ich daher – in der gebotenen Kürze – meine Überlegungen darlegen, wie bei der Überprüfung eines Unternehmens auf eine “gute Compliance” vorgegangen werden kann.
I. Situationsanalyse
1. Ermittlung der Risikobereiche
Jede Compliance-Analyse beginnt in der Regel mit der Identifizierung der allgemeinen und branchen- oder unternehmensspezifischen Risikobereiche, in denen sich das Unternehmen bewegt. Danach sind die gesetzlichen Rahmenbedingungen und die hieraus resultierenden Pflichten zu ermitteln. Hierzu einige Beispiele:
- Arbeitnehmerregelungen/Antidiskriminierungsgesetz
- Korruptionsstraftaten
- Vertraulichkeit/Geheimhaltung/Datenschutz
- Steuerrecht
- Außenwirtschaftsregelungen
- Umweltstandards
- Lebensmittel- und Hygienevorschriften
2. Ermittlung des „Ist-Zustandes“
Nach der Risikoanalyse und der Bestimmung des sich daraus ergebenden rechtlichen Pflichtenkreises, ist der Compliance “Ist-Zustand” des Unternehmens festzustellen, d. h. es ist zu prüfen, welche Regelungen und Sicherstellungsmechanismen bereits im Unternehmen vorhanden sind. Als solche kommen unter anderem in Betracht:
- Regelungen im Arbeitsvertrag
- Dienstanweisungen, Betriebsvereinbarungen etc. (z.B. im Bereich Datenschutz oder im Hinblick auf Verhaltensregelungen zur Annahme von Geschenken)
- Bestellung von bestimmten Beauftragten, z.B. Datenschutzbeauftragter
- 4-Augen-Prinzip
- Vertragsmanagement
- Personalrotation in sensiblen Bereichen
3. Definition des Soll-Zustandes“
Hierauf bezogen ist ein “Sollzustand” zu definieren. Unter Beachtung der gesetzlichen Vorgaben sind für die identifizierten Risiken die optimalen Regelungen und Schutzmechanismen für deren Einhaltung zu formulieren.
Die Differenz zwischen Ist und Soll beschreibt den verbleibenden Handlungsbedarf.
Dieser kann von der Feststellung, dass bereits eine ausreichende Compliance-Struktur besteht bis zur Feststellung der Notwendigkeit der Schaffung neuer Regelwerke und Kontrollmechanismen reichen.
II. Compliance-Richtlinie
Wer sich nach der Statusanalyse für die Erstellung eines neuen oder zusätzlichen Regelwerks in der Form einer Compliance-Richtlinie entscheidet, sollte zunächst klären, wer mit der Formulierung und Umsetzung betraut werden soll.
Dies ist üblicherweise die Unternehmensführung selbst, denkbar ist allerdings auch, diese Aufgabe externen Dritten, wie z. B. Anwaltskanzleien zu übertragen.
Empfehlenswert ist stets die Einbindung vorhandener Fachabteilungen, wie Personal oder Recht sowie – sofern vorhanden – die Beteiligung des Betriebsrates.
Bei der Einführung der – ggfs. neuen – Compliance-Richtlinie im Unternehmen sind unterschiedliche organisatorische, aber auch rechtliche Aspekte zu beachten. Unabdingbar für eine Verankerung einer guten Compliance und deren Stellenwert im Unternehmen ist jedoch, dass die Werte im Unternehmen gelebt werden. Compliance kommt von oben, d.h. Geschäftsführung und Führungskräfte haben eine wichtige Vorbildfunktion.
Damit die Einführung der Compliance-Richtlinie auch in der Praxis Erfolg haben kann, ist eine enge Einbindung sämtlicher beteiligter Mitarbeiter unabdingbar.
III. Kontrollmechanismen
Gerade der Überwachung und Sicherstellung der Einhaltung der statuierten Regeln kommt nach der zitierten Entscheidung des Landgerichtes München I ein neuer Stellenwert zu.
Neben allgemeinen Mechanismen, wie z. B. dem Vier-Augen-Prinzip, ist daher zu überlegen, ob neue beziehungsweise ergänzende Compliance-Prozesse eingeführt werden müssen, wie beispielsweise:
- die Bestellung eines Compliance-Beauftragten, an den Verstöße gemeldet werden können bzw. die Möglichkeit besteht, Fragen zu stellen, z. B. ob ein geplantes Verhalten Compliance konform ist,
- die Sanktionierung von Verstößen oder
- der Sicherstellung der Anpassung der Compliance-Richtlinie bei neuen oder geänderten gesetzlichen Vorschriften oder bei neuen oder geänderten Risiken.
Schließlich kann niemals ausgeschlossen werden, dass es trotz größter Sorgfalt in einem Unternehmen zu Compliance-Verstößen kommt. Die Folgen können ganz unterschiedlich sein und reichen beispielsweise von Rückrufaktionen bei Verstoß gegen Sicherheitsvorschriften bis hin zu staatsanwaltlichen Durchsuchungen beim Verdacht auf Straftaten.
Insbesondere bei staatsanwaltlichen Durchsuchungen kann es hilfreich sein, wenn ein „Notfallplan” existiert, der den Mitarbeitern erläutert, wie sie sich in einer solchen Krisensituation verhalten sollen und welche Rechte und Pflichten sie haben.
Die Abläufe in einem solchen Krisenfall sollten vorab klar strukturiert und festgelegt sein.
Zu denken ist in einem solchen Fall insbesondere auch an den rechtzeitigen Abschluss einer Strafrechtsschutzversicherung für Unternehmen.
al28032017ks-240420rd