Cookie-Hinweis

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.

Nr. 4948266
Compliance

Was bedeutet Compliance?

1. Allgemeines

Unter Compliance versteht man die Sicherstellung der Einhaltung von Gesetzen und Regeln. Dabei geht es nicht um die Selbstverständlichkeit, dass die Gesetze zu beachten sind, sondern wie dies in der Organisation zu erfolgen hat. Die Notwendigkeit einer wirksamen Compliance-Organisation zeigt sich sehr deutlich immer dann, wenn Rechtsverstöße von Wirtschaftsunternehmen große Aufmerksamkeit in Medien und Öffentlichkeit finden. Diese kann Complianceverstöße nicht immer verhindern. Gerade große Unternehmen haben regelmäßig eine Compliance-Organsiation, nicht zuletzt weil diese, wenn sie börsennotiert sind, hierzu bereits eine Verpflichtung trifft. Als Instrument der Risikovorsorge sollte Compliance auch im Mittelstand Beachtung finden, da auch hier eine nur unzureichende Auseinandersetzung mit dem Thema Compliance als Pflichtverletzung des ordentlichen und gewissenhaften Geschäftsleiters angesehen werden könnte und Regressansprüche drohen.

Im Folgenden sollen für denjenigen, der sich der Problematik erstmals nähert, Hilfestellungen gegeben werden, wie bei der Überprüfung seines Unternehmens auf eine "gute Compliance" vorgegangen werden kann und welche Überlegungen hierbei relevant sind.

2. Identifizierung der Risiken und rechtliche Anforderungen

Jede Compliance-Analyse wird in der Regel mit der Identifizierung der allgemeinen und branchen- oder unternehmensspezifischen Risikobereiche beginnen, in denen sich das Unternehmen bewegt. Danach sind die gesetzlichen Rahmenbedingungen und die hieraus resultierenden Prozessanforderungen zu ermitteln. Nachfolgend einige Beispiele:
Allgemeine Risiken:
  • Arbeitnehmerregelungen/Antidiskriminierungsgesetz
  • Korruptionsstraftaten
  • Vertraulichkeit/Geheimhaltung/Datenschutz
  • Steuerrecht
  • etc.
Spezifische Risiken:
  • Kartellrechtliche Anforderungen
  • Außenwirtschaftsregelungen
  • Meldepflichten bei börsennotierten Unternehmen
  • Umweltstandards
  • Lebensmittel- und Hygienevorschriften
  • Vergabevorschriften
  • etc.

3. Statusanalyse

Nach der Risikoanalyse und der Bestimmung der sich daraus ergebenden rechtlichen Anforderungen, ist der Compliance "Ist-Zustand" des Unternehmens festzustellen, d.h. es ist zu prüfen, welche Regelungen und Sicherstellungsmechanismen bereits im Unternehmen vorhanden sind. Als solche kommen unter anderem in Betracht:
  • Regelungen im Arbeitsvertrag
  • Dienstanweisungen, Betriebsvereinbarungen etc. (z.B. im Bereich Datenschutz oder im Hinblick auf Verhaltensregelungen zur Annahme von Geschenken)
  • Bestellung von bestimmten Beauftragten, z.B. Datenschutzbeauftragter
  • 4-Augen-Prinzip
  • Vertragsmanagement
  • Personalrotation in sensiblen Bereichen
  • etc.
Hierauf bezogen kann ein "Sollzustand" definiert werden. Damit ist gemeint, dass unter Beachtung der gesetzlichen Vorgaben für die identifizierten Risiken die optimalen Regelungen und Schutzmechanismen für deren Einhaltung zu definieren sind. Die Differenz zwischen Soll und Ist beschreibt den verbleibenden Handlungsbedarf. Dieser kann von der Feststellung einer ausreichenden Compliance-Struktur bis zur Notwendigkeit der Schaffung neuer Regelwerke und Überwachungsmechanismen reichen. Selbst wenn die vorhandenen Strukturen ausreichend erscheinen, kann sich im Hinblick auf die bereits erwähnte Außenwirkung die Einführung einer übergeordneten Richtlinie i.S. eines "code of conduct" (Verhaltenskodex) oder einer Compliance-Richtlinie anbieten.

4. Erstellung eines neuen oder zusätzlichen Regelwerks

Wer sich nach der Statusanalyse für die Erstellung eines neuen oder zusätzlichen Regelwerks entscheidet, sollte zunächst klären, wer mit der Formulierung und Umsetzung betraut werden soll. Dies ist üblicherweise die Unternehmensführung selbst, denkbar ist allerdings auch, diese Aufgabe externen Dritten, wie z.B. Anwaltskanzleien zu übertragen. Empfehlenswert ist die Einbindung vorhandener Fachabteilungen, wie Personal oder Recht. Die Beteiligung des Betriebsrates ist in jedem Fall anzuraten; zum Teil ist sie rechtlich auch erforderlich. Soweit bisherige Regelungen ersetzt werden sollen, ist deren arbeitsrechtliche Einordnung (Teil des Arbeitsvertrages, Dienstanweisung, Betriebsvereinbarung etc.) zu beachten.

5. Implementierung im Unternehmen

Bei der Implementierung der ggf. neuen Compliance-Regelung(en) im Unternehmen sind unterschiedliche organisatorische, aber auch rechtliche Aspekte zu beachten. Unabdingbar für eine Verankerung einer guten Compliance und deren Stellenwert im Unternehmen ist jedoch, dass die Werte im Unternehmen (vor)gelebt werden. Compliance kommt von oben, d.h. Geschäftsführung und Führungskräfte haben eine wichtige Vorbildfunktion.
Daneben sind als "handfestere" Überlegungen bei der Implementierung bestimmter vorab formulierter Maßnahmen beispielsweise zu beachten:
  • Aspekte zur arbeitsrechtlichen Einbindung
    • Müssen Arbeitsverträge angepasst werden?
    • Genügt Direktionsrecht des Arbeitgebers (bzgl. arbeitsvertraglicher Pflichten)?
    • Sind Betriebsvereinbarung betroffen, bzw. müssen solche abgeschlossen werden?
  • Organisatorische Probleme
    Bei der Implementierung, z.B. eines "code of conduct", ist, sofern keine arbeitsvertragliche Regelung mit jedem einzelnen Arbeitnehmer getroffen wird, möglicherweise auch problematisch, wie alle Arbeitnehmer verbindlich aktiv von der Regelung Kenntnis erlangen; zu denken ist z.B. an Mitarbeiter ohne PC-Arbeitsplatz.

  • Durchführung von regelmäßigen Schulungen, je nach Risikohöhe
    • in Bezug auf "alltägliche" Handlungserfodernisse (z.B. in den Bereichen Personal, Außenwirtschaft, Ein-/Verkauf, EDV / Datenschutz)
    • in Bezug auf besondere Situationen (z.B. Empfang, Führungskräfte, Pressesprecher: Rechte und Pflichten bei Durchsuchung, s. dazu auch Punkt 7 "Notfallpläne").

6. Mechanismen zur Sicherstellung der Einhaltung der Regeln

Wie erwähnt, kommt der Überwachung und Sicherstellung der Einhaltung der statuierten Regeln in der aktuellen Diskussion um das Thema Compliance ein neuer Stellenwert zu. Neben allgemeinen Mechanismen, wie z.B. dem Vier-Augen-Prinzip, ist daher zu überlegen, ob neue beziehungsweise ergänzende Compliance-Prozesse eingeführt werden müssen, wie beispielsweise:
  • Die Einrichtung einer Stelle, der Mitarbeiter Verstöße gegen Richtlinien melden können, ohne Sanktionen befürchten zu müssen (ggf. anonym nutzbare Hotline o.ä.), oder die Fragen zu compliance-konformen Verhalten beantwortet (Z.B. Compliance-Beauftragter),
  • Bestellung eines Compliance-Beauftragten/Boards, an den/das Verstöße gemeldet werden können bzw. die Möglichkeit besteht, Fragen zu stellen, z.B. ob ein geplantes Verhalten compliance-konform ist,
  • problemlose Erreichbarkeit der Stelle, die Meldungen gegebenenfalls entgegen nimmt bzw. Fragen beantwortet.
  • Sanktionierung von Verstößen
    Hierbei handelt es sich sicherlich um eines der sensibelsten Themen. Der Umgang mit Verstößen und die damit verbundene Sanktionierung durch die Unternehmensführung wird sich dabei an der Schwere des Verstoßes und nach arbeitsrechtlichen Erfordernissen in Abhängigkeit vom Einzelfall richten.
  • Sicherstellung der Unterrichtung / Informationsfluss an nächst höhere Ebene bzw. Compliance-Beauftragten/-Board bei
    • neuen/geänderte gesetzlichen Vorschriften,
    • neuen/geänderte Risiken etc.
    • Verstößen
    • sonstigen compliance-relevanten Sachverhalten (z.B. Durchsuchung).

7. Notfallpläne

Schließlich kann niemals ausgeschlossen werden, dass es trotz größter Sorgfalt in einem Unternehmen zu Compliance-Verstößen kommt. Die Folgen können ganz unterschiedlich sein und reichen beispielsweise von Rückrufaktionen bei Verstoß gegen Sicherheitsvorschriften bis hin zu staatsanwaltlichen Durchsuchungen beim Verdacht auf Straftaten z. B. Korruption. Insbesondere bei staatsanwaltlichen Durchsuchungen kann es hilfreich sein, wenn ein „Notfallplan” existiert, der den Mitarbeitern erläutert, wie sie sich in einer solchen Krisensituation verhalten sollen und welche Rechte und Pflichten sie haben. Folgende Punkte sollte ein solcher Notfallplan mindestens abdecken:
  • wer informiert wen,
  • wer ist Ansprechpartner für die Behörde
  • wer ist gegenüber wem zu Auskünften berechtigt,
  • wer nimmt Stellung gegenüber der Presse,
  • etc.
Weiterhin sollten die Abläufe in einem solchen Krisenfall vorab klar strukturiert und festgelegt sein.

Stand: März 2016


Dieses Merkblatt soll - als Service Ihrer IHK Limburg - nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl es mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.
Compliance

Compliance-Kodex IHK Limburg

Die Vollversammlung der IHK Limburg hat für diese einen eigenen Compliance-Kodex verabschiedet. Dieser soll insbesondere die Bedeutung der Grundsätze des Ehrbaren Kaufmanns, wie Sie gem. § 1 Abs. 1 IHKG für alle Industrie- und Handelskammern verbindlich sind, unterstreichen.