Compliance
Compliance - die Einhaltung von Gesetzen und Richtlinien wird für Unternehmen zu einem zunehmend komplexen Thema. Immer mehr deutsche und internationale Verordnungen sind zu beachten und Prüfmechanismen einzurichten. Bei Verstößen drohen hohe Geld- oder sogar Gefängnisstrafen sowie dauerhafte Imageschäden.
Allgemeines
Rechtsverstöße von Wirtschaftsunternehmen finden eine immer größere Aufmerksamkeit in Medien und Öffentlichkeit. Dies gilt unabhängig davon, welche Bereiche sie betreffen. Der daraus resultierende Imageschaden kann immens sein, egal ob die Vorwürfe zutreffen oder nicht. Aus diesem Grund wird für Unternehmen die Einhaltung der gesetzlichen Vorschriften nicht nur der Sache nach, sondern auch zum Erhalt des Ansehens immer wichtiger. Unter der Bezeichnung „Compliance” hat sich dieser Problemkreis in der jüngeren Vergangenheit begrifflich etabliert. Dabei steckt hinter dem aus dem amerikanischen Rechtskreis übernommenen Begriff nichts grundsätzlich Neues.
Sachlich wird damit nichts anderes als die an sich selbstverständliche Einhaltung von Gesetzen und Richtlinien, aber auch freiwilliger Kodizes in Unternehmen bezeichnet. Was jedoch neu ist, ist die Bedeutung, die in diesem Zusammenhang den Mechanismen der Überwachung und Sicherstellung der Einhaltung der Regeln zukommt. Auch wenn ausdrückliche Vorgaben hierzu lediglich in dem für börsennotierte Unternehmen geltenden "Deutschen Corporate Governance Kodex"(DCGK) aufgestellt sind, beschränkt sich die Problematik nicht auf international agierende börsennotierte Unternehmen. Als Instrument der Risikovorsorge sollte "Compliance" auch im Mittelstand Beachtung finden, da auch hier eine nur unzureichende Auseinandersetzung mit dem Thema "Compliance" als Pflichtverletzung des "ordentlichen und gewissenhaften Geschäftsleiters" angesehen werden könnte und Regressansprüche drohen.
Wer sich erstmals mit dem Thema befasst, sieht sich gerade im mittelständischen Unternehmen vor einer enormen Herausforderung. Um festzustellen, ob ausreichende "Compliance-Strukturen" existieren beziehungsweise welche Strukturen geschaffen werden müssen, sind alle relevanten Handlungsfelder und geltenden Vorschriften zu identifizieren, interne Regelwerke und Schutzmechanismen zu formulieren und auf ihre Funktionsfähigkeit zu überprüfen. Nicht immer ergibt sich aus einer solchen Compliance-Analyse die Erkenntnis zur Formulierung eines aufwändigen Regelwerks. Häufig bestehen bereits effektive Strukturen, die nur noch anzupassen oder zu aktualisieren sind. Gerade mit Blick auf die Öffentlichkeit kann jedoch auch die Einführung zusätzlicher, auch extern kommunizierter Maßnahmen wie eines "code of conduct" (Verhaltenskodex) oder einer Compliance-Richtlinie sinnvoll erscheinen.
Im Folgenden sollen für denjenigen, der sich der Problematik erstmals nähert, Hilfestellungen gegeben werden, wie bei der Überprüfung seines Unternehmens auf eine "gute Compliance" vorgegangen werden kann und welche Überlegungen hierbei relevant sind.
Identifizierung der Risiken und rechtliche Anforderungen
Jede Compliance-Analyse wird in der Regel mit der Identifizierung der allgemeinen und branchen- oder unternehmensspezifischen Risikobereiche beginnen, in denen sich das Unternehmen bewegt. Danach sind die gesetzlichen Rahmenbedingungen und die hieraus resultierenden Prozessanforderungen zu ermitteln. Nachfolgend einige Beispiele:
Allgemeine Risiken:
- Arbeitnehmerregelungen/Antidiskriminierungsgesetz
- Korruptionsstraftaten
- Vertraulichkeit/Geheimhaltung/Datenschutz
- Steuerrecht
- etc.
Spezifische Risiken:
- Kartellrechtliche Anforderungen
- Außenwirtschaftsregelungen
- Meldepflichten bei börsennotierten Unternehmen
- Umweltstandards
- Lebensmittel- und Hygienevorschriften
- Vergabevorschriften
- etc.
Statusanalyse
Nach der Risikoanalyse und der Bestimmung der sich daraus ergebenden rechtlichen Anforderungen, ist der Compliance "Ist-Zustand" des Unternehmens festzustellen, d.h. es ist zu prüfen, welche Regelungen und Sicherstellungsmechanismen bereits im Unternehmen vorhanden sind. Als solche kommen unter anderem in Betracht:
- Regelungen im Arbeitsvertrag
- Dienstanweisungen, Betriebsvereinbarungen etc. (z.B. im Bereich Datenschutz oder im Hinblick auf Verhaltensregelungen zur Annahme von Geschenken)
- Bestellung von bestimmten Beauftragten, z.B. Datenschutzbeauftragter
- 4-Augen-Prinzip
- Vertragsmanagement
- Personalrotation in sensiblen Bereichen
- etc.
Hierauf bezogen kann ein "Sollzustand" definiert werden. Damit ist gemeint, dass unter Beachtung der gesetzlichen Vorgaben für die identifizierten Risiken die optimalen Regelungen und Schutzmechanismen für deren Einhaltung zu definieren sind. Die Differenz zwischen Soll und Ist beschreibt den verbleibenden Handlungsbedarf. Dieser kann von der Feststellung einer ausreichenden Compliance-Struktur bis zur Notwendigkeit der Schaffung neuer Regelwerke und Überwachungsmechanismen reichen. Selbst wenn die vorhandenen Strukturen ausreichend erscheinen, kann sich im Hinblick auf die bereits erwähnte Außenwirkung die Einführung einer übergeordneten Richtlinie i.S. eines "code of conduct" (Verhaltenskodex) oder einer Compliance-Richtlinie anbieten.
Erstellung eines neuen oder zusätzlichen Regelwerks
Wer sich nach der Statusanalyse für die Erstellung eines neuen oder zusätzlichen Regelwerks entscheidet, sollte zunächst klären, wer mit der Formulierung und Umsetzung betraut werden soll. Dies ist üblicherweise die Unternehmensführung selbst, denkbar ist allerdings auch, diese Aufgabe externen Dritten, wie z.B. Anwaltskanzleien zu übertragen. Empfehlenswert ist die Einbindung vorhandener Fachabteilungen, wie Personal oder Recht. Die Beteiligung des Betriebsrates ist in jedem Fall anzuraten; zum Teil ist sie rechtlich auch erforderlich. Soweit bisherige Regelungen ersetzt werden sollen, ist deren arbeitsrechtliche Einordnung (Teil des Arbeitsvertrages, Dienstanweisung, Betriebsvereinbarung etc.) zu beachten.
Implementierung im Unternehmen
Bei der Implementierung der ggf. neuen Compliance-Regelung(en) im Unternehmen sind unterschiedliche organisatorische, aber auch rechtliche Aspekte zu beachten. Unabdingbar für eine Verankerung einer guten Compliance und deren Stellenwert im Unternehmen ist jedoch, dass die Werte im Unternehmen (vor)gelebt werden. Compliance kommt von oben, d.h. Geschäftsführung und Führungskräfte haben eine wichtige Vorbildfunktion.
Daneben sind als "handfestere" Überlegungen bei der Implementierung bestimmter vorab formulierter Maßnahmen beispielsweise zu beachten:
- Aspekte zur arbeitsrechtlichen Einbindung
- Müssen Arbeitsverträge angepasst werden?
- Genügt Direktionsrecht des Arbeitgebers (bzgl. arbeitsvertraglicher Pflichten)?
- Sind Betriebsvereinbarung betroffen, bzw. müssen solche abgeschlossen werden?
- Organisatorische Probleme
Bei der Implementierung, z.B. eines "code of conduct", ist, sofern keine arbeitsvertragliche Regelung mit jedem einzelnen Arbeitnehmer getroffen wird, möglicherweise auch problematisch, wie alle Arbeitnehmer verbindlich aktiv von der Regelung Kenntnis erlangen; zu denken ist z.B. an Mitarbeiter ohne PC-Arbeitsplatz. - Durchführung von regelmäßigen Schulungen, je nach Risikohöhe
- in Bezug auf "alltägliche" Handlungserfordernisse (z.B. in den Bereichen Personal, Außenwirtschaft, Ein-/Verkauf, EDV / Datenschutz)
- in Bezug auf besondere Situationen (z.B. Empfang, Führungskräfte, Pressesprecher: Rechte und Pflichten bei Durchsuchung, s. dazu auch Punkt 7 "Notfallpläne").
Mechanismen zur Sicherstellung der Einhaltung der Regeln
Wie erwähnt, kommt der Überwachung und Sicherstellung der Einhaltung der statuierten Regeln in der aktuellen Diskussion um das Thema Compliance ein neuer Stellenwert zu. Neben allgemeinen Mechanismen, wie z.B. dem Vier-Augen-Prinzip, ist daher zu überlegen, ob neue beziehungsweise ergänzende Compliance-Prozesse eingeführt werden müssen, wie beispielsweise:
- Die Einrichtung einer Stelle, der Mitarbeiter Verstöße gegen Richtlinien melden können, ohne Sanktionen befürchten zu müssen (ggf. anonym nutzbare Hotline o.ä.), oder die Fragen zu compliance-konformen Verhalten beantwortet (Z.B. Compliance-Beauftragter),
- Bestellung eines Compliance-Beauftragten/Boards, an den/das Verstöße gemeldet werden können bzw. die Möglichkeit besteht, Fragen zu stellen, z.B. ob ein geplantes Verhalten compliance-konform ist,
- problemlose Erreichbarkeit der Stelle, die Meldungen gegebenenfalls entgegen nimmt bzw. Fragen beantwortet.
- Sanktionierung von Verstößen
Hierbei handelt es sich sicherlich um eines der sensibelsten Themen. Der Umgang mit Verstößen und die damit verbundene Sanktionierung durch die Unternehmensführung wird sich dabei an der Schwere des Verstoßes und nach arbeitsrechtlichen Erfordernissen in Abhängigkeit vom Einzelfall richten. - Sicherstellung der Unterrichtung / Informationsfluss an nächst höhere Ebene bzw. Compliance-Beauftragten/-Board bei
- neuen/geänderte gesetzlichen Vorschriften,
- neuen/geänderte Risiken etc.
- Verstößen
- sonstigen compliance-relevanten Sachverhalten (z.B. Durchsuchung).
Notfallpläne
Schließlich kann niemals ausgeschlossen werden, dass es trotz größter Sorgfalt in einem Unternehmen zu Compliance-Verstößen kommt. Die Folgen können ganz unterschiedlich sein und reichen beispielsweise von Rückrufaktionen bei Verstoß gegen Sicherheitsvorschriften bis hin zu staatsanwaltlichen Durchsuchungen beim Verdacht auf Straftaten z. B. Korruption. Insbesondere bei staatsanwaltlichen Durchsuchungen kann es hilfreich sein, wenn ein „Notfallplan” existiert, der den Mitarbeitern erläutert, wie sie sich in einer solchen Krisensituation verhalten sollen und welche Rechte und Pflichten sie haben. Folgende Punkte sollte ein solcher Notfallplan mindestens abdecken:
- Wer informiert wen,
- Wer ist Ansprechpartner für die Behörde
- Wer ist gegenüber wem zu Auskünften berechtigt,
- Wer nimmt Stellung gegenüber der Presse,
- etc.
Weiterhin sollten die Abläufe in einem solchen Krisenfall vorab klar strukturiert und festgelegt sein.