04125 3989923  AM ALTENFELDSDEICH 16, 25371 SEESTERMÜHE
Sie sind hier: » Compliance » Risikoanalyse

Die gesetzliche Pflicht zur Risikoanalyse

Die gesetzliche Pflicht zur Risikoanalyse

Die Pflicht zur Anordnung und Anwendung einer Aufsichtsorganisation in Unternehmen enthält noch keine inhaltlichen Vorgaben über die Ausgestaltung eines Risikomanagementsystems. Die Einzelpflichten zur Organisation eines Unternehmens werden deshalb allzu leicht verkannt. Im Folgenden sollen deshalb die Organisationspflichten so konkret wie möglich aus Gesetzgebung, Rechtsprechung und untergesetzlichen Regelwerken zusammengeführt werden.

Die Pflicht zur Risikoanalyse ist in 91 Abs. 2 AktG gesetzlich geregelt. Danach ist der Vorstand zur Risikofrüherkennung verpflichtet. Diese Gesetzeslage wird in 4.1.4 des Deutschen Corporate Governance Kodex dargestellt. Der Vorstand hat für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen zu sorgen. Eine weitere gesetzliche Regelung findet sich in 25a KWG. Danach ist der Geschäftsleiter zu einem angemessenen und wirksamen Risikomanagement verpflichtet.

Risiken sind als Schadensprognosen zu verstehen und sind durch Rechtspflichten abzuwenden. Jede Rechtspflicht hat den Zweck, ein Risiko präventiv zu vermeiden, damit kein Schaden eintritt. Legales Verhalten setzt die Kenntnis der Rechtspflichten voraus. Wenn Rechtspflichten der Abwehr von Risiken dienen, ist die Risikoanalyse als Vorfrage zu klären. Wer kein Risiko annimmt, hat auch keinen Anlass, eine Rechtspflicht zu ermitteln. Die Risiken im Facility Management der Unternehmen sollten sorgfältig bewertet werden.

Dies gilt sowohl für Verkehrssicherungspflichten, bei denen der Verpflichtete als Inhaber der Risikoquelle das Risiko erfassen und abwenden muss. Das Gleiche gilt aber auch für Risikoanalysen, die der Ermittlung einer öffentlich-rechtlichen Pflicht Vorgehen müssen. Bei der Rechtsprechung zu Verkehrssicherungspflichten ergeben sich aus Einzelfallentscheidungen konkrete Pflichten zur Risikoanalyse.

Verkehrssicherungspflichten

Jeder der im Folgenden aufgelisteten Pflichten zur Risikoanalyse liegt eine Einzelfallentscheidung zu Grunde. Würde sich der gleiche Fall wiederholen und das schon einmal entschiedene Risiko nicht abgewendet, würde die Verkehrssicherungspflicht und die Haftung für ihre Verletzung mit dem entschiedenen Fall der Rechtsprechung begründet. Sollen Wiederholungsfälle vermieden werden, sind die Pflichten zur Risikoanalyse und zur Risikoabwehr aus der Rechtsprechung zu beachten. Fünfzehn unterscheidbare Verkehrssicherungspflichten lassen sich unterscheiden, deren Verletzung die Haftung wegen Organisationsverschuldens nach sich ziehen kann.

- Erstens sind Vorstände / Geschäftsführer danach verpflichtet, sich aktiv Informationen über Risikofaktoren durch Meldesysteme selbst zu beschaffen, auch bei latenten und nicht offensichtlichen Risikofaktoren, die auf Grund von Erfahrung auf drohende Schäden schließen lassen.
- Zweitens sind alle Risiken und Gefahrenquellen im Unternehmen zu erfassen, und zwar unverzüglich, sobald ein Indiz auf einen drohenden Schadensverlauf schließen lässt.
- Drittens sind die Betriebsgröße und die Unübersichtlichkeit eines Unternehmens als besonderes Risiko zu erfassen.
- Viertens sind immer alle Erfahrungen heranzuziehen, die eine Schadensprognose rechtfertigen.
- Fünftens kann für die Annahme von Risiken auf die allgemeine Lebenserfahrung als Erkenntnisquelle zurückgegriffen werden. Alle Erfahrungen aus dem regelmäßigen und gewöhnlichen Verlauf der Dinge sind heranzuziehen.
- Sechstens müssen die Größe eines Betriebes und der Massenverkehr an sich als Risiko gelten.
- Siebtens sind Risiken bei drohenden Schäden auch für immaterielle Rechtsgüter, wie Reputation, Image und Kreditwürdigkeit zu berücksichtigen.
- Achtens ist mit dem Risiko kriminellen Fehlverhaltens in Großbetrieben auf Grund allgemeiner Lebenserfahrung immer zu rechnen.
- Neuntens sind zur Risikoanalyse Gebrauchsanweisungen auf Hinweise zu denkbaren Schadensverläufen zu berücksichtigen.
- Zehntens sind die Erfahrungen aus Herstellerhinweisen zu berücksichtigen.
- Elftens sind bei fehlenden Fachkenntnissen externe Experten zur Ermittlung aller Erfahrungen heranzuziehen, wenn Fachkenntnisse und fachliche Erfahrungen fehlen.
- Zwölftens setzt die Risikofrüherkennungspflicht nicht erst dann ein, wenn Missstände bekannt sind und öffentlich erörtert werden. Auch bei latenten, nicht offensichtlichen und versteckten Risikofaktoren besteht die Pflicht zur Risikofrüherkennung.
- Dreizehntens ist bei der Risikoanalyse zu beachten, dass Prognosen als Mittel zur Selbstkontrolle und nicht zur Wahrheitsfindung zu verstehen sind. Prognosen sind danach zu beurteilen, ob die Erwartungen an den tatsächlichen Erfahrungen gescheitert sind und nicht bestätigt wurden. Dann wäre die Prognose falsifiziert und würde ihre Geltung verlieren. Mit einem widerlegten Erfahrungssatz kann keine Prognose begründet werden.
- Vierzehntens lässt sich zur Konkretisierung der Risikoanalysepflicht entnehmen, dass ein Geschäftsleiter zur eigenen Risikoanalyse verpflichtet ist. Die Pflicht zur Risikoanalyse umfasst die Pflicht zur eigenen Informationsbeschaffung und die Pflicht, alle verfügbaren Erkenntnisquellen auszuschöpfen und sich eine eigene Meinung zu bilden. Die Risikoanalyse umfasst die Frage, ob ein Schaden vorhersehbar und vermeidbar ist und zwar im Zeitpunkt der Entscheidung, noch bevor ein Schaden eingetreten ist. Die Fälle mit latentem Risiko zeigen deutlich, dass ein Risiko nicht erkennbar, sondern nur denkbar ist. Risiken kann man nicht erkennen, vielmehr muss man sie sich denken. Bei latenten Risikofaktoren ist v.a. die Risikofantasie gefragt und die Erfahrung über schon bekannte Schadensverläufe. Risiken sind keine Fakten, sondern Fiktionen. Die Annahme eines Risikos ist danach nicht das Ergebnis eines Erkenntnisverfahrens, sondern eines Entscheidungsverfahrens, wobei mehrere Möglichkeiten eines Schadensverlaufs alternativ angenommen werden müssen und die Wahl zwischen einer der Alter-nativen im Wege einer Entscheidung zu treffen ist und schließlich als Risiko angenommen werden muss.
- Fünfzehntens, hat der BGH die Pflichten von Vorständen bei fehlender eigener Rechtskenntnis konkretisiert. Ein Schuldner trifft grundsätzlich das Risiko, die Rechtslage zu verkennen. Vorstände sind verpflichtet, grundsätzlich bei fehlender eigener Sachkunde Expertenrat einzuholen. Zur Vermeidung eines verschuldeten Rechtsirrtums muss ein Vorstand erstens die Rechtslage sorgfältig prüfen, zweitens soweit erforderlich, Rechtsrat einholen, drittens die höchstrichterliche Rechtsprechung sorgfältig beachten, viertens den Sachverhalt und die erforderlichen Unterlagen offenlegen, fünftens sich von einem unabhängigen, für die zu klärende Frage fachlich qualifizierten Rechtsanwalt beraten lassen und sechstens die erteilte Rechtsauskunft einer sorgfältigen persönlichen Plausibilitätskontrolle unterziehen.

Unternehmen ohne Risikoanalyse

Die Pflicht zur Risikoanalyse lässt sich durch Folgeerwägungen rechtfertigen. Wer kein Risiko annimmt, hat auch keinen Grund, Rechtspflichten zur Risikoabwehr als Verkehrssicherungspflichten zu formulieren. Ohne Schadensprognosen verzichtet ein Unternehmen auf präventive Schadensabwehr. Prognosen lassen sich nur mit geltenden Erfahrungssätzen begründen, die nicht falsifiziert sind. Um ihre fortlaufende Geltung zu kontrollieren, müssen die Erwartungen aus den Prognosen ständig an dem tatsächlichen Geschehensverlauf verglichen werden. Bestätigt sich eine Erwartung nicht, müssen Prognosen unverzüglich korrigiert werden. Praktiziert wird diese Methode der Erfolgskontrolle von Prognosen im Lagebericht, zu dem Unternehmen nach 289 Abs. 1 S. 4 HGB verpflichtet sind. Beim Risikomanagement ist der Confirmation-bias (Bestätigungsfehler) zu vermeiden, nämlich der erfolglose Versuch, Prognosen zu beweisen, statt sie zu widerlegen.

Informationsbeschaffung über Risikofaktoren

Seit 1911 verlangt die Rechtsprechung, dass sich Vorstände über die Risikolage im Unternehmen informieren lassen müssen. Insbesondere müssen sie sich Risikofaktoren melden lassen, die als Indizien heranzuziehen sind, um auf einen drohenden Schaden zu schließen. Gemeldet werden müssen an den Vorstand besondere Vorkommnisse, Abweichungen vom Normalbetrieb und Änderungen von Sachverhalten im Unternehmen, die ein Schadensrisiko bergen können.

In aller Regel wird der Vorwurf des Organisationsverschuldens gegenüber Vorständen erhoben. Der Schaden wurde jedoch durch Mitarbeiter unterer Hierarchiestufen verursacht. Im Nachhinein wird von Gerichten formuliert, durch welche organisatorischen Maßnahmen der Schaden hätte verhindert werden können. Grundsätzlich besteht jedoch eine Informationslücke über Risiken zwischen Vorständen und ihren Mitarbeitern. Vorstände versuchen sich dann mit dem Hinweis auf ihre Unkenntnis über die Risikolage zu entlasten.

Diese Entlastungsversuche scheitern immer wieder am gleichen Argument der Rechtsprechung, der Vorstand habe sich informieren lassen müssen und sich die Informationen hätte beschaffen können. Erfüllen kann der Vorstand seine Informationsbeschaffungspflicht durch die Anordnung einer Meldepflicht für sämtliche Mitarbeiter im Unternehmen. Jeder hat in seinem Verantwortungsbereich Risikoanalysen zu betreiben und die Informationen entweder an den Geschäftsführer oder an dafür bestimmte Personen zu melden. Dabei ist internes und externes Erfahrungswissen heranzuziehen. Lässt sich die Ursache eines Missstands nicht ermitteln und scheitert daran die Formulierung etwa einer Verkehrssicherungspflicht, muss der Vorstand koordinierend eingreifen und Krisenmanagement betreiben.

Zur Begründung der Meldepflichten sind die Mitarbeiter auf ihre arbeitsvertraglichen Treuepflichten zur Risikoabwehr hinzuweisen. Danach haben sie Risiken aus dem Betrieb zur Schadensabwehr jederzeit zu melden. Zur Risikoanalyse sind sämtliche Sachverhalte im Unternehmen systematisch und lückenlos zu untersuchen. Dabei darf kein Sachverhalt mit einem potentiellen Risiko übersehen werden. Die lückenlose Risikoanalyse ist anzuordnen. Ergeben sich bei der Risikoanalyse Unternehmenssachverhalte, die sich zu einem Schaden an einem geschützten Rechtsgut, wie bspw. Leben, Gesundheit der Mitarbeiter, Boden, Wasser, Luft, entwickeln können, sind diese Risiken durch Rechtspflichten abzuwenden. Dazu gibt es zwei Möglichkeiten: Entweder sind die Rechtspflichten zur Risikoabwehr schon gesetzlich geregelt oder es fehlen solche Regelungen. Dann hat das Unternehmen die Pflicht, selbst Verkehrssicherungspflichten zur Abwehr zu formulieren.

Rechtspflichten

Alle einschlägigen Rechtspflichten im Unternehmen sind lückenlos zu ermitteln. "Unkenntnis schützt nicht vor Strafe" zählt als Grundsatz zum Allgemeingut. Der vermeidbare Verbotsirrtum ist nach 17 StGB gesetzlich geregelt.

Der BGH hat zuletzt die Pflichten von Vorständen bei fehlender eigener Rechtskenntnis entschieden. Geschäftsleiter sind danach verpflichtet, grundsätzlich für einen Rechtsirrtum einzustehen, wenn sie dabei schuldhaft gehandelt haben. Geschäftsleiter müssen das Risiko abwenden, die Rechtslage zu verkennen.

Dass alle Rechtsvorschriften im Unternehmen eingehalten werden müssen, gilt als Selbstverständlichkeit. Ausdrücklich formuliert ist dies in den freiwilligen Selbstregelungsvorschriften des Deutschen Corporate Governance Kodex, DCGKZiff.4.1.3, wonach der Vorstand auf die Einhaltung der gesetzlichen Bestimmungen hinzuwirken hat. Nach DIN ISO 14001 (Umweltmanagement) Ziff. 4.3.2 sind die Pflichten im Unternehmen zu ermitteln. Das Gleiche gilt nach EMAS (Umweltmanagement). Gemäß Anhang B.2. "Einhaltung von Rechtsvorschriften", muss die Organisation nachweisen, dass sie "alle" geltenden rechtlichen Verpflichtungen im Umweltbereich ermittelt hat und muss für die Einhaltung der Umweltvorschriften, einschließlich Genehmigungen, sorgen. Im Übrigen muss sie diesen Verpflichtungen dauerhaft nachkommen.

Nach OHSAS 18001:2007 (Arbeitsschutz) muss die Organisation gemäß 4.3.2 ein Verfahren einführen, verwirklichen und aufrechterhalten, um geltende rechtliche Verpflichtungen und andere Anforderungen, zu denen sich die Organisation verpflichtet hat, zu ermitteln und zugänglich zu machen.

Nach DIN EN ISO 50001:2011-12 (Energiemanagement) müssen ebenfalls durch die Organisation die geltenden rechtlichen Vorschriften ermittelt, umgesetzt und zugänglich gehalten werden.
Der Leitfaden zu Arbeitsschutzmanagementsystemen enthält in 2.10 unter dem Titel "Ermittlung von Verpflichtungen" die Pflicht der Organisation, Verfahren einzuführen und aufrecht zu erhalten, um relevante Rechtsvorschriften regelmäßig zu ermitteln und umzusetzen.

Die gleiche Pflicht enthält DIN EN ISO 9001 zur Qualitätssicherung. In 7.2.1 c, sind gesetzliche und behördliche Anforderungen, die auf das Produkt zutreffen, zu ermitteln.
Sämtliche Zertifizierungsvorschriften für Managementsysteme enthalten durch-gehend die Pflicht zur Ermittlung der einschlägigen Rechtspflichten im Unternehmen.

Facility Management

Kay Meyer, Geschäftsführer
Mobil: 0171 7044665
info@fm-connect.com
XING

Diese Website verwendet Cookies gemäß den Bestimmungen in unserer Datenschutzerklärung.