Compliance

Der Begriff „Compliance“ stammt aus dem anglo-amerikanischen Wirtschafts- und Rechtsraum. Zwar kann man ihn mit (Regel-)Befolgung, (Regel-)Einhaltung bzw. (Regel-)Treue übersetzen. Jedoch hat der Begriff „Compliance“ heute auch im hiesigen Sprachgebrauch bereits seinen festen Platz. Er umfasst zugleich diejenigen Maßnahmen, die das Einhalten der (gesetzlich) fixierten und der ungeschriebenen Regelungen und Verhaltensrichtlinien durch die Mitarbeiter und die Geschäftsleitung eines Unternehmens gewährleisten. Dabei stellt Compliance eine Verbindung von Recht und Praxis her. In einem Satz bietet Compliance Leitlinien für Unternehmen und darin Handelnde, die von (rechtlichen) Vorschriften beeinflusst werden.

Compliance dient vor allem der Risikovorbeugung und der Schadensabwehr. Rechtsverstöße in Unternehmen finden oft große Aufmerksamkeit in den Medien und in der Öffentlichkeit. Die Folgen solcher Verstöße – aktuelle Beispiele belegen dies eindrucksvoll – können für das jeweilige Unternehmen ganz erheblich sein. Sie reichen von Imageschäden über – möglicherweise existenzbedrohende – Schadenersatzforderungen bis hin zu strafrechtlichen Konsequenzen. Hier können der Aufbau einer Compliance- Organisation und das Etablieren einer eigenen Compliance-Kultur sehr hilfreich sein. Das macht Compliance zugleich zu einem Thema nicht nur für Großunternehmen, sondern gerade auch für den Mittelstand.

Am Anfang jeder Beschäftigung mit dem Thema Compliance steht eine objektive Bestimmung des aktuellen „Ist-Zustands“. Dazu zählt, die im Unternehmen bestehenden (Rechts-)Risiken zu identifizieren und eine Prognose zu Wahrscheinlichkeit und Umfang eines möglichen Schadenseintritts abzugeben (Risikoanalyse). Zu identifizieren sind sowohl die allgemeinen als auch die branchen- bzw. unternehmensspezifischen Risiken. Zur allgemeinen Risikosphäre gehören etwa die Bereiche Arbeitsrecht, Datenschutz und Korruption. Spezifische Risiken können aus Lebensmittel- und Hygienevorschriften, kartellrechtlichen Anforderungen oder zum Beispiel Umweltstandards resultieren. Anhand dieser Feststellungen sind die einschlägigen gesetzlichen Grundlagen sowie die sich ergebenden Prozessanforderungen zu ermitteln, Vorgaben zu definieren und Verantwortungsbereiche zu schaffen. Danach erfolgt eine Bestandsanalyse der bereits vorhandenen Schutzmechanismen und Regelungen. Unternehmensintern werden dabei insbesondere die Arbeitsverträge sowie die bestehenden Dienstanweisungen und Betriebsvereinbarungen auf vorhandene Verhaltensregeln (etwa die Anordnung eines „Vieraugenprinzips“) durchgesehen. Ebenfalls einzubeziehen ist hier das gesamte Vertragsmanagement. Ausgehend vom „Ist-Zustand“ wird in einer Bedarfsanalyse der angestrebte „Soll-Zustand“ definiert. Erarbeitet werden dabei mit Blick auf die identifizierten Risiken die optimalen Regelungen und Schutzmechanismen unter Berücksichtigung der gesetzlichen Vorgaben. Erkannte Defizite zeigen den Handlungsbedarf auf. Dieser kann in der Anpassung bzw. Aktualisierung vorhandener oder der Schaffung neuer Strukturen bestehen. Ist beabsichtigt, das Thema Compliance in der Öffentlichkeit aktiv zu „spielen“, kann sich auch die Einführung besonderer, extern kommunizierter Maßnahmen – etwa eines „Code of Conduct“ (Verhaltenskodex) oder einer Compliance-Richtlinie – anbieten.

Die Hauptverantwortung für das Thema Compliance liegt bei der Unternehmensführung. Die weitere Einbindung ist stark von der Größe und Personalstruktur des Unternehmens abhängig. Bei kleineren Unternehmen genügt oft bereits die klare Übertragung von Compliance-Aufgaben an bestimmte Personen. Größere Unternehmen ernennen meist einen (Chief) Compliance Officer, der der Geschäftsleitung unterstellt ist und direkt an diese berichtet. Compliance-Aufgaben können auch an externe Dritte, beispielsweise juristische Berater oder externe Compliance Officer, übertragen werden. Unerlässlich ist die Einbindung interner Fachabteilungen, insbesondere „Personal“ und „Recht“. Bei der Veränderung bereits bestehender Regelungen muss die arbeitsrechtliche Einordnung (Arbeitsvertrag, Dienstanweisung etc.) beachtet werden. Die Beteiligung des Betriebsrats ist – je nach Art der geplanten Maßnahme – entweder rechtlich erforderlich oder zumindest sehr sinnvoll. Nicht zuletzt kann davon ausgegangen werden, dass sich dies in der Belegschaft akzeptanzfördernd auswirkt und eventuelle Vorurteile gegenüber dem Thema Compliance zu reduzieren hilft.

Viele denkbare Regelungen eines Compliance-Systems können bereits mittels Ausübung des Weisungsrechts des Arbeitsgebers etabliert werden. Dies vor allem dann, wenn dadurch „nur“ bereits bestehende Pflichten konkretisiert werden. Weitergehende Verhaltensvorgaben lassen sich in Unternehmen, in denen ein Betriebsrat besteht, auch durch Betriebsvereinbarung einführen. Erforderlich ist dies dann, wenn der Betriebsrat ein Mitbestimmungsrecht hat. Darüber hinaus können Verhaltensregeln natürlich auch individuell zwischen Arbeitgeber und Arbeitnehmer im Arbeitsvertrag abgestimmt werden. Bei einem bereits bestehenden Arbeitsverhältnis ist in diesem Fall jedoch die Zustimmung des Arbeitgebers oder eine Änderungskündigung notwendig, da der Inhalt eines Vertrages nicht einfach einseitig abgeändert werden kann. Die schlichte Vorgabe neuer Regelungen führt aber noch nicht dazu, diese im Unternehmen auch wirksam zu etablieren. Dazu ist es wichtig, dass die Werte und Regelungen durch die Geschäftsführung „vorgelebt“ werden. Weiter kommt es auf eine klare Kommunikation gegenüber der Belegschaft und den Geschäftspartnern an, dass die Einhaltung der (Rechts-)Vorschriften und internen Regelungen erwartet und kontrolliert wird. Gerade auch in diesem Zusammenhang ist es empfehlenswert, Verhaltensvorgaben beispielsweise in Ethikrichtlinien („Code of Ethics“) zu dokumentieren und durch Unterlagen, Schulungen bzw. das Intranet den Mitarbeitern zu vermitteln.

Ein Compliance-System ist nur effizient, wenn es Kontrollen gibt und Verstöße angemessen sanktioniert werden. Kontrollmaßnahmen können das Vieraugenprinzip“, die Trennung von unvereinbaren Tätigkeiten und eine Personalrotation sowie lückenlose Dokumentationen und Plausibilitätsprüfungen sein. Möglich ist auch die Schaffung einer internen oder externen Anlauf- und Meldestelle, die den Mitarbeitern anonyme Hinweise („Whistleblowing“) ermöglicht.

„Klassische“ Verstöße gegen Compliance-Grundsätze liegen etwa vor beim Anbieten, Versprechen, Gewähren, Billigen oder gar Fordern von Vorteilen für die Bevorzugung bei einer Entscheidung, bei Angebotsabsprachen unter Wettbewerbern bzw. der Vergabe von Geschenken, die – etwa durch ihren (hohen) Wert – den Anschein von Unredlichkeit erwecken. Wird ein Verstoß entdeckt, sind die erforderlichen rechtlichen bzw. disziplinarischen Maßnahmen einzuleiten. Dabei dient eine angemessene Reaktion auf den Vorfall zugleich auch der Prävention künftigen Fehlverhaltens.

Sanktionen sind konkret einzelfallbezogen an der Schwere des Verstoßes auszurichten und müssen den arbeitsrechtlichen Erfordernissen entsprechen. Dabei reicht das Spektrum von einer Ermahnung letztlich bis zur fristlosen Kündigung und/oder Strafanzeige. Sinnvoll ist es auch, einen Notfallplan aufzustellen, der eingreift, wenn es zu einem Verstoß gekommen ist. Denn die Vielfältigkeit der möglichen Folgen für das Unternehmen (z. B. Ansehensminderung, Produktrückrufe bis hin zu staatsanwaltlichen Ermittlungsverfahren) erfordert sinnvolle und angemessene Maßnahmen. Gerade bei möglicher strafrechtlicher Relevanz ist es wichtig, korrektes Verhalten aufzuzeigen und über bestehende Rechte und Pflichten zu informieren. Vor allem sollte der Notfallplan auch die einzuhaltenden Kommunikationswege aufzeigen: Wer informiert wen; wer ist Ansprechpartner für was und wer ist wozu berechtigt.