Grundlagen und Zusammenhänge

Im Fokus der Sicherstellung von Compliance Management in Form effektiver Strukturen, Prozesse und Systeme stehen folgende Fragen:

• Wie lassen sich die vielfältigen Risiken und Nachteile aus Regelverletzungen („Non-Compliance“) bestmöglich verhindern oder reduzieren.

• Wie, durch wen und mit welchen Ressourcen lässt sich regelkonformes Verhalten im Unternehmen erreichen und gewährleisten?

• Welche Kernelemente sollte ein effizientes und effektives Compliance Management haben?

• Wie weit reicht die Verantwortung der Leitungsorgane und in welchem Umfang können sie Aufgaben delegieren?

• Welchen Beitrag können unterschiedliche Unternehmensfunktionen leisten?

• Wie können Unternehmen und Verbände aus aufgedeckten Regelverstößen lernen?

Alle Unternehmen und Verbände sowie ihre Leitungsorgane müssen bei ihrer Tätigkeit eine Vielzahl von Normen und rechtlichen Vorgaben von Gerichten und Behörden einhalten. Zahlreiche aktuelle Fälle von „Non-Compliance“ in Unternehmen und Verbänden aus verschiedenen Branchen, mit verschiedenen Geschäftsmodellen und unterschiedlicher Größe und Struktur zeigen, dass die Einhaltung dieser Vorgaben für viele Unternehmen nach wie vor schwierig ist. Dies ist bemerkenswert, da viele Verbände und Unternehmen bereits über Compliance-Programme oder ein Compliance-Management-System (CMS) verfügen.

Die Bedeutung eines effektiven Compliance Managements für alle Unternehmen und Verbände zeigt sich in den Risiken, Nachteilen und Kosten, die durch aufgedeckte Fälle von Regelverletzungen („Non-Compliance“) entstehen. Diese können vielfältig sein und bis zu existenzbedrohenden Ausmaßen führen.

• strafrechtliche Sanktionen gegen die Geschäftsleiter, sonstige Verantwortliche und involvierte Unternehmensangehörige;

• strafrechtliche Sanktionen gegen das Unternehmen bzw. den Verband;

• Bußgelder gegen das Unternehmen selbst und die Geschäftsleiter;

• Entzug der Betriebserlaubnis bzw. Lizenz bis hin zur Zwangsliquidation;

• Nachzahlung von Steuern bzw. Strafzuschlägen;

• Verpflichtung zum Schadensersatz;

• „Vorteilsabschöpfung“ bei rechtswidrigen Geschäften (nach dem „Brutto-Prinzip“);

• Unwirksamkeit von Transaktionen, Nichtigkeit bzw. Anfechtbarkeit von Verträgen und sonstigen Rechtsgeschäften;

• Ausschluss von der Auftragsvergabe;

• Ausschluss von (Verwaltungs-)Verfahren;

• Entfall der „Zuverlässigkeit“ und damit verbundenen verfahrensrechtlichen Erleichterungen;

• Imageverlust und Reputationsschäden;

• Vertrauensverlust bei relevanten Bezugsgruppen; (u.a. Mitarbeiter, Kunden, Lieferanten, Investoren);

• Verschlechterung der Kreditwürdigkeit und des Ratings;

• höhere (Re-)Finanzierungskosten;

• Delisting

• Nachteile bei Personalgewinnung und Mitarbeiterbindung;

• hohe Rechtsberatungskosten.

Das breite Spektrum verdeutlicht, dass die Risiken, Nachteile und Kosten von „Non-Compliance“ für Unternehmen und Verbände erheblich sind. Sie können unternehmerische Aktivitäten und Geschäftsmodelle stark beeinträchtigen oder sogar vollständig zum Erliegen bringen. Zahlreiche bekannte Fälle von „Non-Compliance“ bei Unternehmen und Verbänden aus verschiedenen Branchen, mit unterschiedlichen Geschäftsmodellen und unterschiedlichen Größen und Strukturen belegen dies eindrücklich.

Regelverletzungen resultieren teils aus vorsätzlichem Fehlverhalten oder kriminellen Aktivitäten von Personen, wie beispielsweise in Fällen von Korruptionsdelikten oder Kartellrechtsverstößen.

In anderen Situationen liegt die Ursache von „Non-Compliance“ in fahrlässigem Verhalten durch Vernachlässigung von Sorgfaltspflichten oder aufgrund mangelnder Kenntnis von Regeln und Vorschriften. Manchmal werden normative Vorgaben nicht korrekt interpretiert oder ihre fortlaufende Entwicklung wird nicht ausreichend berücksichtigt.

Die proaktive Vermeidung oder Reduzierung von Regelverstößen stellt in allen Unternehmen und Verbänden eine zentrale Führungs- und Organisationsaufgabe dar.

Compliance Management schützt das Unternehmen vor zivilrechtlicher Haftung und strafrechtlichen Sanktionen und reduziert zudem persönliche zivil- und strafrechtliche Haftungsrisiken der Mitglieder der Leitungsorgane und der Mitarbeiter.

Zusätzlich schützen Compliance-Maßnahmen das Unternehmen vor Angriffen und bewahren die Wettbewerbsposition des Unternehmens.

Außerdem schützt Compliance die Reputation und stärkt das Vertrauen der Stakeholder in eine ordnungsgemäße und rechtskonforme Geschäftstätigkeit.

Neben der präventiven Schutzfunktion spielt auch die Risikomanagementfunktion eine wichtige Rolle, da ein enger Zusammenhang zwischen Compliance Management und Risikomanagement besteht. Das Risikomanagement mit seinen Methoden und Verfahren dient als wesentliche Erkenntnisquelle für die Identifikation und systematische Erfassung von Compliance-Risiken.

Das Compliance Management hat zudem eine wichtige Informations- und Beratungsfunktion. Diese umfasst die Beratung der Unternehmensleitung zur Steuerung von Compliance-Risiken durch organisatorische Maßnahmen sowie die Organisation der Beratung aller Unternehmensangehörigen in allen relevanten Compliance-Fragen.

Zu den erforderlichen organisatorischen Maßnahmen gehört auch die ständige Überwachung und Kontrolle relevanter Normen und Regeln, wodurch Compliance eine Monitoring-Funktion erfüllt. Durch die systematische Erfassung von Rechts- und Compliance-Risiken und die ständige Beobachtung neuer rechtlicher Entwicklungen sowie deren Auswirkungen auf das Compliance-System übernimmt das Compliance Management in einem Unternehmen auch eine Qualitätssicherungs- und Innovationsfunktion.

Ein effektives Compliance Management, das dazu beiträgt, Normverstöße zu verhindern oder zu reduzieren, stärkt die Glaubwürdigkeit des Unternehmens bei seinen Mitarbeitern, Kunden, Geschäftspartnern und anderen Stakeholdern und hat somit auch eine Marketing-Funktion.

Die Flut der rechtlichen Vorgaben und Anforderungen betrifft jeden Unternehmensbereich und stammt aus allen Quellen des Zivilrechts, des öffentlichen Rechts und des Strafrechts.

Die Sicherstellung rechtskonformer Tätigkeit durch Compliance Management stellt eine Herausforderung dar, da jede Form der unternehmerischen Tätigkeit mit zahlreichen rechtlichen Anforderungen verbunden ist. Dies betrifft steuerrechtliche sowie arbeits- und sozialversicherungsrechtliche Anforderungen, aber auch spezielle Pflichten im Falle von Zahlungsunfähigkeit und Insolvenz.

Korruption und Kartellrechtsverstöße gehören für viele Verbände zu den Haupt-Compliance-Risiken ihrer Geschäftstätigkeit. Auch im Bereich der Unternehmensfinanzierung gibt es komplexe Rechts- und Compliance-Risiken.

Neue oder erweiterte Rechtspflichten aus neuen Gesetzen und Regelungen kommen hinzu. Die Datenschutzgrundverordnung (DSGVO) von 2018 hat das für alle Unternehmen geltende Pflichten- (und Sanktions-)Spektrum in Bezug auf die Einhaltung und Umsetzung datenschutzrechtlicher Vorgaben deutlich erweitert. Über Datenschutzanforderungen hinaus bringt die Digitalisierung zusätzliche Rechtsfragen und damit verbundene spezielle Compliance-Risiken mit sich.

Die Sicherstellung einer funktionierenden IT-Sicherheitsstruktur ist im Zeitalter von „Big Data“ eine komplexe und anspruchsvolle Aufgabe des Compliance Managements, insbesondere im Hinblick auf die Gewährleistung einer robusten Cyber-Security. Die Prävention und Kontrolle von Geldwäscherisiken, insbesondere im Zusammenhang mit virtuellen Währungen, wird für Unternehmen und Verbände immer wichtiger.

Herausforderungen für viele Unternehmen stellt die EU-Whistleblower-Richtlinie dar, die bis zum 17.12.2021 in deutsches Recht umgesetzt werden muss. Danach müssen juristische Personen ab bestimmten Schwellenwerten, wie Unternehmen ab 50 Arbeitnehmern und Gemeinden ab 10.000 Einwohnern, unter anderem Hinweisgebersysteme einrichten und dafür interne Meldekanäle bereitstellen.

Diverse Einzelfragen, etwa der Schutzumfang für den Hinweisgeber, sind noch nicht endgültig geklärt. Dies betrifft insbesondere Pflichten zur Vertraulichkeit nach dem Geschäftsgeheimnisgesetz (GeschGehG), da auch Informationen über mögliche Rechtsverstöße als Geschäftsgeheimnisse gelten können. Das Geschäftsgeheimnisgesetz, das am 26.4.2019 in Kraft trat, verpflichtet Unternehmen zu angemessenen Geheimhaltungsmaßnahmen in Bezug auf Geschäftsgeheimnisse (§ 2 Nr. 1 lit. B GeschGehG) und erweitert somit auch den Katalog notwendiger Compliance-Maßnahmen.

Im Rahmen arbeitsteiliger, oft internationaler Produktion nehmen Compliance-Risiken von Geschäftspartnern, unter dem Stichwort „Compliance in der Lieferkette“, eine immer größere Rolle ein.

In anderen Rechtsordnungen existieren bereits Normen zu diesem Thema, die zum Teil auch extraterritorial gelten. Auch der deutsche Gesetzgeber nimmt dieses Thema in Angriff, wie das von der Bundesregierung geplante „Lieferketten-Gesetz“ zeigt.

In Ausführung des „Nationalen Aktionsplans“ (NAP) zur Umsetzung der Leitprinzipien für Wirtschaft und Menschenrechte von 2016 plant man, für Unternehmen mit mehr als 500 Beschäftigten eine sogenannte „menschenrechtliche Sorgfaltspflicht“ („Human Rights Due Diligence“) einzuführen.

Die betroffenen Unternehmen sollen dann verpflichtet sein, ihre Lieferketten einer ständigen Risikoanalyse und Bewertung der Verletzungsrisiken in Bezug auf Menschenrechte zu unterziehen. Sie sollen angemessene Präventions- und Abhilfemaßnahmen sowie einen Beschwerdemechanismus für Betroffene einführen und bestimmten Dokumentations- und Berichtspflichten nachkommen.

Durch diese neuen Compliance-Pflichten bezüglich der Wertschöpfungsnetzwerke wird die Geschäftspartner-Prüfung, bekannt als „Business Partner Screening“, weiter an Bedeutung gewinnen.

Zusätzliche rechtliche Anforderungen variieren je nach Branche und spezifischen Faktoren wie Unternehmensgröße, Unternehmensstruktur, Geschäftsmodell oder internationaler Geschäftstätigkeit.

Gerichte schaffen und erweitern ständig ein umfangreiches rechtliches Pflichtenspektrum für Unternehmen, Verbände und deren Leitungsorgane. Die Haftung von Geschäftsleitern für Fehlverhalten, bekannt als Organhaftung, hat zugenommen. Gerichte haben umfassende Anforderungen auf Basis von Unternehmensorganisationspflichten, Verkehrssicherungspflichten und Garantenpflichten festgelegt.

Die Tragweite dieser Pflichten und ihre Anwendung im jeweiligen Einzelfall sind für Unternehmer und Geschäftsleiter oft schwer vorherzusehen. Gleichzeitig stellt die Verletzung dieser Pflichten ein ständiges Risiko in der unternehmerischen Tätigkeit dar.

In rechtlichen Haftungsfragen bei „Non-Compliance“ steht oft die Verletzung rechtlicher Organisationsanforderungen der Geschäftsleitung im Vordergrund. Gemäß der Entscheidung des Landgerichts München vom 10.12.2013 muss ein Vorstandsmitglied einer AG sicherstellen, dass das Unternehmen so organisiert ist, dass keine Gesetzesverstöße auftreten.

Der Vorstand erfüllt seine Organisationspflicht zur Verhinderung von Rechtsverletzungen, indem er eine Compliance-Organisation einrichtet, die auf Schadensprävention und Risikokontrolle ausgerichtet ist und der jeweiligen Gefahrenlage entspricht. Die Ausführungen des Gerichts zur Compliance-Verantwortung des Vorstands und der einzelnen Vorstandsmitglieder können im Kontext der Organisationspflichten im Unternehmen betrachtet werden.

International tätige Unternehmen müssen oft Anforderungen und Vorgaben für das Compliance Management aus verschiedenen Rechtsordnungen beachten. Dies trifft besonders auf Compliance-Anforderungen des anglo-amerikanischen Rechts zu, da dessen extraterritoriale Geltung oft schon bei minimaler Geschäftsverbindung mit anderen Rechtsordnungen greift. Die Notwendigkeit, die Compliance-Anforderungen der jeweils relevanten Rechtsordnung zu berücksichtigen, steigert die Komplexität bei der Gestaltung des Compliance Managements. Gleichzeitig können solche Vorgaben wertvolle Orientierung bieten, wie das Beispiel des anglo-amerikanischen Rechts verdeutlicht.

Das wachsende Interesse am Compliance Management resultiert aus einem erweiterten Verständnis und höheren Erwartungen der Stakeholder bezüglich verantwortungsvoller Unternehmensführung. Aktuelle Diskussionen zu Corporate Governance und Corporate Social Responsibility (CSR) unterstreichen dies. Unternehmen und Verbände werden vermehrt mit normativen Anforderungen und Erwartungen ihrer Geschäftspartner konfrontiert. Gleichzeitig erwarten auch ihre Bezugsgruppen bzw. Stakeholder (Mitarbeiter, Kunden, Lieferanten, Investoren etc.) und die Öffentlichkeit ein verantwortungsvolles, integres und ethisch korrektes Geschäftsverhalten. Die Grenzen zwischen rechtlichen Anforderungen und Anforderungen der Corporate Social Responsibility (CSR) können verschwimmen. Dennoch sind beide Aspekte für Unternehmen und Verbände hinsichtlich des Schutzes ihres Images und ihrer Reputation oft gleichermaßen wichtig.

Der Deutsche Corporate Governance Kodex (DCKG) als sogenanntes „Soft Law“ bezieht sich an verschiedenen Stellen auf den Zusammenhang mit Compliance und CSR. In Abs. 1 Satz 3 der Präambel wird betont, dass die Prinzipien der sozialen Marktwirtschaft unter Berücksichtigung der Belange der Aktionäre, der Belegschaft und der sonstigen Stakeholder nicht nur Legalität erfordern, sondern auch ethisch fundiertes, eigenverantwortliches Verhalten, was dem Leitbild des Ehrbaren Kaufmanns entspricht.

Gemäß der Empfehlung A.2 des DCKG muss der Vorstand für ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System sorgen und dessen Grundzüge offenlegen. Beschäftigten sowie Dritten sollte die Möglichkeit geboten werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben.

Die gestiegene Bedeutung von CSR spiegelt das moderne Verständnis wider, nach dem Corporate Social Responsibility nicht nur als freiwillige Selbstverpflichtung betrachtet wird, sondern als Verantwortung von Unternehmen für ihre Auswirkungen auf die Gesellschaft. Die Einhaltung des geltenden Rechts (Compliance) stellt dabei nur das Minimum unternehmerischer Verantwortung dar. Unternehmen sollen zudem Auswirkungen auf soziale, ökologische und wirtschaftsethische Belange sowie Menschenrechte berücksichtigen. Viele Unternehmen berücksichtigen ihre gesellschaftliche Verantwortung in der Darstellung ihrer Unternehmenswerte, beispielsweise in einem Code of Conduct.

Die aktuelle Diskussion um Corporate Social Responsibility verdeutlicht, dass der unternehmerische Verantwortungsbereich durch diverse CSR-Vorgaben und Initiativen für verantwortliches gesellschaftliches Handeln erweitert wird. Dabei bleibt oft unklar, welches der wünschenswerte Umfang unternehmerischer Verantwortung und welches das rechtlich zulässige Maß der Begrenzung unternehmerischer Aktivität ist.

Zu den bereits existierenden und oben exemplarisch skizzierten umfangreichen Rechtspflichten gesellt sich ein Trend der „Verrechtlichung“ unterschiedlicher Anforderungen des „Soft Law“. Dies zeigt sich beispielsweise in der Pflicht zur CSR-Berichterstattung, den erforderlichen Compliance-Maßnahmen nach der EU-Konfliktmineralien-Verordnung oder der geplanten menschenrechtlichen Sorgfaltspflicht im geplanten Lieferketten-Gesetz.

Diese Beispiele verdeutlichen, dass der Übergang von Erwartungen an Integrität und verantwortungsvolles Unternehmertum zu Rechtspflichten und deren Durchsetzung im Kontext neuer Entwicklungen manchmal nur ein kleiner Schritt ist. Hieraus ergibt sich ein neuer Bereich der „CSR-Compliance“.

Die Beachtung von CSR-Anforderungen ist im Interesse der Sicherung der Unternehmensreputation auch ohne Rechtsverbindlichkeit wichtig. Die Reputation eines Unternehmens stellt einen bedeutenden immateriellen Vermögensgegenstand dar.

Image- und Reputationsschäden lassen sich oft schwer in Zahlen fassen, können jedoch zu erheblichen Verlusten und Nachteilen führen, einschließlich eines Einbruchs des Börsenwerts. Der Schutz der Reputation hat daher zentrale Bedeutung, da das positive Image des Unternehmens in der Öffentlichkeit und bei den maßgeblichen Bezugsgruppen (Mitarbeiter, Kunden, Lieferanten, Investoren etc.) durch „Non-Compliance“ nachhaltig beeinträchtigt oder sogar vollständig zerstört werden kann. Reputationsrisiken und „Reputationsmanagement“ sind daher zu Schlüsselthemen für das Compliance- und Risikomanagement geworden. Die Identifikation und Steuerung von Reputationsrisiken sind somit essentielle Bestandteile des Compliance Managements.

Die Missachtung ethischer Verhaltenserwartungen der Stakeholder kann genauso zu Imageschäden und Reputationseinbußen führen wie die Nichtbeachtung rechtlicher Vorgaben. Daher ist es ratsam, dass die Unternehmensleitung in bestimmten Fällen zum Schutz vor Reputationsverlusten auf eine Gewinnoptimierung aus ethischen Gründen verzichtet.

Die im Nachhaltigen Aktionsplan (NAP) formulierten Erwartungen der Regierung verdeutlichen, dass es für die Unternehmensleitung sinnvoll ist, das eigene Geschäftsmodell und die Unternehmensstrategie nicht nur auf Rechtskonformität, sondern auch auf ethische Integrität zu überprüfen.