04125 3989923  AM ALTENFELDSDEICH 16, 25371 SEESTERMÜHE
Immobilien und Unternehmen rechtskonform betreiben » Grundlagen » Vorgaben

Vorgaben und Orientierungshilfen

COMPLIANCE MANAGEMENT STELLT EINEN ZENTRALEN ASPEKT DER BETREIBERVERANTWORTUNG DAR UND GEWÄHRLEISTET DIE BEFOLGUNG GESETZLICHER BESTIMMUNGEN SOWIE INTERNER RICHTLINIEN.

COMPLIANCE MANAGEMENT STELLT EINEN ZENTRALEN ASPEKT DER BETREIBERVERANTWORTUNG DAR UND GEWÄHRLEISTET DIE BEFOLGUNG GESETZLICHER BESTIMMUNGEN SOWIE INTERNER RICHTLINIEN.

Dabei steht nicht nur die Abwendung von Strafen und Bußgeldern im Vordergrund, sondern ebenso die Beachtung ethischer und moralischer Prinzipien. Unternehmen sind gefordert, ein Compliance Management System zu etablieren, welches die Erkennung, Einschätzung und Kontrolle von Risiken und Chancen sowie die Einführung entsprechender Maßnahmen beinhaltet.

Compliance-Management: Vorgaben und Orientierungshilfen

Compliance-Organisation als übergreifende Ausprägung der Leitungsverantwortung

Compliance-Management: Vorgaben & Orientierung

Bei prominenten Regelverstößen rückt oft die Verantwortung der Geschäftsleiter für ein fehlendes oder unzureichendes Compliance Management in den Mittelpunkt. Eine Besonderheit von Compliance-Fällen besteht darin, dass Geschäftsleiter nicht nur für ihr eigenes Verhalten, sondern auch für die Rechtmäßigkeit des Handelns aller Unternehmensangehörigen verantwortlich sind (Legalitäts- bzw. Legalitätskontrollpflicht).

Compliance ist eine rechtsform-, struktur- und größenunabhängige Aufgabe jedes Geschäftsleiters. Jeder Verband muss so organisiert sein, dass Rechts- und Regelverstöße vermieden werden.

Kernbestand an Organisationsaufgaben

Wenn Geschäftsleiter nicht selbst und direkt für die Erfüllung von Rechtspflichten verantwortlich sind (z.B. im Zusammenhang mit steuer- und sozialversicherungsrechtlichen Anforderungen, datenschutzrechtlichen Vorgaben oder Pflichten im Zusammenhang mit einer Insolvenz), müssen sie geeignete organisatorische Maßnahmen ergreifen, um ein rechtskonformes Verhalten der Unternehmensangehörigen zu gewährleisten und Regelverstöße zu verhindern. Dieser Organisationsauftrag der Geschäftsleitung beinhaltet sowohl die Entscheidung zur Einführung von Compliance-Maßnahmen als auch wesentliche Strategie- und Strukturentscheidungen im Bereich des Compliance Managements. Die Unternehmensleitung kann diesen zentralen Organisationsaufgaben nicht entkommen, auch nicht durch Delegation.

Als relevante Kriterien für die individuelle Ausgestaltung gelten u.a.:

  • Branche bzw. Industriesektor;

  • regulatorisches Umfeld;

  • Unternehmensgröße und Struktur;

  • Kapitalmarktzugang;

  • Geschäftsmodell;

  • internationale Präsenz bzw. Auslandsaktivitäten;

  • Compliance-Verstöße in der Vergangenheit („Compliance-Historie“), Wahrscheinlichkeit einer Normverletzung.

Ausgestaltung

Die jeweilige Ausgestaltung des Compliance Managements, also Art und Umfang der notwendigen Compliance-Maßnahmen einschließlich einer möglichen „Compliance-Organisation“, orientiert sich immer am individuellen Risikoprofil und den Besonderheiten des jeweiligen Unternehmens. Neben speziellen gesetzlichen Organisationsvorgaben für bestimmte Branchen bestimmt die Analyse relevanter Kriterien den notwendigen Organisationsgrad des Compliance Managements.

Leitplanken

Strafrecht und Zivilrecht enthalten für alle Unternehmen spezifische allgemeine Vorgaben für Aufsichts-, Kontroll- und Untersuchungspflichten, die von den Gerichten je nach Fall konkretisiert wurden. Diese „Leitplanken“ zur Unternehmensorganisation sind der Ausgangspunkt und ein integraler Bestandteil jedes Compliance Managements.

Vielfalt an Vorgaben und Orientierungshilfen

Das deutsche Recht – abgesehen von einigen branchenspezifischen Normen – hat keine speziellen Vorschriften für ein Compliance Management. Dennoch gibt es diverse Rechtsnormen mit allgemeinen Vorgaben und Grundsätzen, die bei der Umsetzung der Compliance-Pflicht durch organisatorische Maßnahmen beachtet werden müssen. Die Gerichte haben diese Vorgaben fallbezogen präzisiert, und Rechtswissenschaft sowie Rechtspraxis haben sie kommentiert. Sie bilden somit ein Muster organisatorischer (Mindest-)Anforderungen für eine ordnungsgemäße Unternehmensführung. Für bestimmte Branchen existieren zudem (teils selbst erstellte) Regelwerke und Verhaltenskodizes, die zentrale Compliance-Themen adressieren und Handlungsempfehlungen bieten.

Ferner ist das Thema Compliance seit längerem Regelungsgegenstand verschiedener Standardisierungsorganisationen, zu nennen sind insbesondere der Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW PS 980), die ISO 19600 (Compliance-Management-Systeme: zukünftig ISO 37301) sowie die ISO 37001 (Anti-Korruptions Management-Systeme).

Diese Regelwerke und Standards sind grundsätzlich nicht rechtsverbindlich, enthalten aber häufig nützliche Empfehlungen und Leitlinien für die Gestaltung eines auf das jeweilige Unternehmen passenden Compliance Managements.

Erkenntnisse des Risikomanagements / Non-Compliance

Zwischen Compliance Management und Risikomanagement besteht ein enger Zusammenhang.

So verpflichtet die Vorschrift des § 91 Abs. 2 AktG den Vorstand einer Aktiengesellschaft nach ihrem Wortlaut dazu, geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten. Demnach hat der Vorstand als Gesamtorgan für eine Organisation zu sorgen, welche die Erkennung von bestandsgefährdenden Entwicklungen sicherstellt.

Bestandsgefährdende Risiken können auch aus „Non-Compliance“ resultieren: Dies gilt etwa bei hohen Geldstrafen bzw. Bußgeldern, z.B. im Zusammenhang mit Kartellrechtsverstößen oder beim Ausschluss von Projekten öffentlicher Auftraggeber. Existenzbedrohend können auch die geplanten Verbandssanktionen nach dem Regierungsentwurf zum Verbandssanktionengesetz sein.

Risikoprävention

Die Geltungsreichweite von § 91 Abs. 2 AktG („Ausstrahlungswirkung“) für andere Unternehmens- und Verbandsformen ist im Detail umstritten. Dennoch stellt die Pflicht zur Risikoprävention, ebenso wie die Compliance-Organisationspflicht, eine Ausprägung der Leitungssorgfalt dar und ist daher in jeder Unternehmensform anwendbar. Zumindest in dem Maße, in dem Risiken aus Rechtsverletzungen das Bestehen des Unternehmens gefährden, fallen sie unter § 91 Abs. 2 AktG (analog). Für die Steuerung anderer (nicht bestandsgefährdenden) Compliance-Risiken gibt es viele Parallelen zum allgemeinen Risikomanagement. Denn auch bei Compliance-Risiken ist die systematische Identifizierung sowie Analyse und Bewertung mit anschließender Einleitung von risikosteuernden Maßnahmen ratsam. Dabei müssen jedoch die Besonderheiten von Compliance-Risiken berücksichtigt werden.

"Nützliche Pflichtverletzungen"

Eine zentrale Eigenheit von Compliance-Risiken und Compliance Management ist, dass der staatliche Rechtsdurchsetzungsanspruch in der Regel keine wirtschaftliche Risikoabwägung berücksichtigt. Sogenannte „nützliche Pflichtverletzungen“ sind rechtlich nicht akzeptiert und gelten regelmäßig als Compliance-Verstöße.

Berücksichtigung integrativer Perspektiven (Beispiel GRC-Ansatz)

Die Berücksichtigung ganzheitlicher oder integrativer Perspektiven kann bei der Konzeption und Weiterentwicklung von Maßnahmen des Compliance-Risiko-Managements nützlich sein. In der Betriebswirtschaftslehre hat man einen integrierten Managementansatz von Governance, Risk und Compliance, den sogenannten GRC-Ansatz, entwickelt. Auch wenn nicht alle Unternehmen über eigenständige Kontroll-, Risikomanagement- und Compliance-Funktionen verfügen, erscheint es ratsam, über die effektive Verknüpfung der durch diese Funktionen institutionalisierten Prozesse nachzudenken. Das Modell der „Three-Lines-of-Defense“ sieht vor, dass Risiken in erster Linie bei den operativen Unternehmenseinheiten adressiert werden, in zweiter Linie durch das Risikomanagement und die Compliance Funktion und in dritter Linie durch die interne Revision verhindert oder gesteuert werden. Daraus ergibt sich die Notwendigkeit eines differenzierten und abgestuften Prozesses zur Steuerung von Compliance-Risiken und insbesondere die Notwendigkeit, das Compliance-Risikomanagement in die relevanten Geschäftsprozesse zu integrieren.

Vorgaben der Unternehmensorganisationspflichten und Garantenpflichten

Eine Quelle zur Konkretisierung der Compliance-Pflicht ist die Rechtsprechung zu den Unternehmensorganisationspflichten. Die Gerichte haben auf Basis deliktsrechtlicher Verkehrssicherungs- und Organisationspflichten sowie strafrechtlicher Garantenpflichten umfangreiche Anforderungen festgelegt, für deren Verletzung die Unternehmen (sowie unter bestimmten Umständen auch die Geschäftsleiter persönlich) haften. Dazu gehören Pflichten zur ordnungsgemäßen Betriebsorganisation, Informationsversorgung, Risikosteuerung, Delegation, Instruktion, Überwachung und Kontrolle sowie Dokumentation.

Anforderungen an Aufsichts- und Überwachungsmaßnahmen § 130 OWiG

Auch aus dem Gesetz über Ordnungswidrigkeiten, insbesondere aus § 130 OWiG, lassen sich allgemeine Anforderungen für das Compliance Management ableiten.

Die Vorschrift gilt für alle Unternehmen, unabhängig von ihrer Rechtsform. Gemäß § 130 OWiG begeht eine Ordnungswidrigkeit, wer als Inhaber eines Betriebs oder Unternehmens die notwendigen Aufsichtsmaßnahmen nicht trifft, um in dem Betrieb oder Unternehmen Verstöße gegen Pflichten zu verhindern, die den Inhaber betreffen und deren Verletzung mit Strafe oder Geldbuße geahndet wird.

Der Adressat der Norm muss seine Aufsichtspflichten so erfüllen, dass grundsätzlich alle betriebsbezogenen Pflichten beachtet werden.

Die Gerichte haben über die Jahre hinweg die relevanten Pflichten gemäß § 130 OWiG präzisiert. Auch wenn daraus bisher keine explizite Verpflichtung zu einer bestimmten Compliance-Organisation hervorgeht, gibt es dennoch klare Vorgaben zur Erfüllung der geforderten Aufsichtspflichten. Dazu gehören die sorgfältige Auswahl und Bestellung von Aufsichtspersonen, ihre Schulung und Überwachung sowie die Untersuchung, Aufklärung und Ahndung von Verstößen.