04125 3989923  AM ALTENFELDSDEICH 16, 25371 SEESTERMÜHE

Konzeption einer individuellen Compliance-Strategie

Es sollte das Ziel jeder Unternehmens- und Verbandsleitung sein, geeignete und auf den Verband abgestimmte Rahmenbedingungen für ein regelkonformes und integres Verhalten der Verbandsangehörigen zu organisieren – dieser Organisationsauftrag ist Bestandteil der Leitungsverantwortung. Hierzu bedarf es unter anderem der systematischen Identifikation und Analyse des individuellen Compliance-Risikoprofils des Verbands, der Entwicklung und Förderung einer Compliance-Kultur (siehe unter Rn. 68ff.) sowie eines Konzepts zur Steuerung der maßgeblichen Compliance-Risiken. Ein wichtiger Bestandteil der Compliance-Strategie ist ferner die eindeutige Festlegung von Zuständigkeiten und Verantwortungsbereichen für Compliance-Maßnahmen (siehe unter Rn. 65f.). Die Compliance-Strategie sollte alle wesentlichen konzeptionellen Fragen und Strukturentscheidungen adressieren – diese fallen regelmäßig in den Zuständigkeitsbereich der Unternehmensleitung als Gesamtorgan.

Fokussierung auf effektive Compliance-Maßnahmen

Im Hinblick auf das Ziel einer systematischen Prävention von Regelverletzungen und Fehlverhalten reicht die Organisationsaufgabe der Compliance über die bloße Einführung von Regeln und Richtlinien hinaus. Denn wie oben ausgeführt, kommt es nach den Vorgaben aktueller Rechtsprechung und Gesetzgebung entscheidend darauf an, ob die Compliance-Maßnahmen wirksam sind, also tatsächlich funktionieren. Zwar führte der Bundesgerichtshof in seiner Entscheidung vom 9.5.2017 als obiter dictum aus, für die Bemessung der Geldbuße sei auch von Bedeutung, „inwieweit das Unternehmen seiner Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss“. Allerdings wird diese Anforderung hier nicht näher konkretisiert. Im Zusammenhang der Entscheidungsbegründung und weiteren Stellungnahmen ist denkbar, dass der BGH die Begriffe „effizient“ und „effektiv“ an dieser Stelle nicht näher differenziert hat. Im Hinblick auf die maßgebliche Anforderung, dass das Compliance Management auf die Vermeidung von Rechtsverstößen ausgelegt sein muss, erscheint folgende Definition empfehlenswert: Unter Effizienz wird die Beurteilung der Beziehung zwischen erbrachter Leistung und Ressourceneinsatz verstanden, während Effektivität die Beurteilung der Zielerreichung beschreibt, also in welchem Ausmaß die geplanten Ziele auch tatsächlich erreicht worden sind. Diese Beurteilung, inwieweit die gesetzten Ziele erreichbar sind, dürfte auch für das Compliance Management entscheidend sein, da dessen Zweck in der (bestmöglichen) Vermeidung von Regelverletzungen besteht. Für eine positive Berücksichtigung von Compliance-Maßnahmen durch Gerichte und Behörden kommt es stets darauf an, dass die Compliance Maßnahmen tatsächlich „gelebt“, also konsequent angewandt und regelmäßig aktualisiert werden. Nur so kann das Compliance Management seinen primären Zweck einer bestmöglichen Vermeidung von Rechtsverstößen erfüllen und erscheint nicht nur als bloßes Lippenbekenntnis. Nur ein effektives Compliance Management kann auch die weiteren intendierten Vorteile erreichen, namentlich den Schutz von Unternehmen, Geschäftsleitung und Mitarbeitern, die Sicherung der Reputation des Unternehmens, die rechtssichere Gründung und Gestaltung von Geschäftsmodellen sowie verbesserte Verteidigungsmöglichkeiten in Fällen von „Non-Compliance“.

Wahl eines unternehmensspezifischen Organisationsmodells

Entsprechend der Vielfalt unternehmerischer Aktivitäten gibt es für Compliance Management ganz unterschiedliche Organisationsmodelle. In kleineren und mittelständischen Unternehmen wird die Compliance-Verantwortung meist vom Inhaber bzw. Gesellschafter-Geschäftsführer selbst wahrgenommen (soweit die betreffenden Personen die Notwendigkeit von Compliance Management erkannt haben), oder die Verantwortlichen beauftragen externe Anbieter (wie Rechtsanwälte oder Wirtschaftsprüfer) mit der Ausführung von Compliance Aufgaben. Dagegen sind in größeren Unternehmen häufig nachgeordnete Unternehmenseinheiten wie die Rechtsabteilung, das Risikomanagement oder die Interne Revision mit Compliance-Aufgaben betraut. In großen Unternehmen und Konzernen werden bestimmte Compliance-Aufgaben oft einem zentralen „Chief Compliance Officer (CCO)“ zugewiesen, welcher dann bestimmte Compliance-Aufgaben an weitere Compliance Officer in den einzelnen Geschäftseinheiten delegiert. In dem – ebenfalls in größeren Unternehmen zu findenden – Modell einer sog. Matrix-Organisation wird die Compliance-Funktion durch ein besonderes Gremium (z.B. durch ein sog. „Compliance Committee“) koordiniert, dem die Repräsentanten anderer Unternehmenseinheiten wie etwa Rechtsabteilung, Revision, Finanzen, Personalabteilung sowie die Fachbereiche angehören. Mit Ausnahme spezialgesetzlicher Organisationserfordernisse liegt die Ausgestaltung der organisatorischen Einzelheiten im Handlungsermessen der Geschäftsleiter. Entscheidend ist jeweils die genaue Abstimmung der Compliance-Maßnahmen auf die individuelle Unternehmenssituation und die Anpassung an die jeweils verfolgte Unternehmensstrategie.

Ermittlung des besonderen Compliance-Risikoprofils

Aufgrund des oben beschriebenen Zusammenhangs zwischen Compliance Management und Risikomanagement ist die Entwicklung eines Konzepts zur systematischen Steuerung relevanter Rechts- und Compliance-Risiken ein zentraler Bestandteil der Compliance-Strategie.225 Die Compliance-Risikostrategie bildet die Basis für die Identifizierung, Bewertung und Überwachung der Compliance-Risiken sowie die Konzeption adäquater Maßnahmen.226 Sie ist als Bestandteil der Leitungssorgfaltspflicht nicht delegierbar. Das Eingehen von Risiken ist Bestandteil jeder unternehmerischen Aktivität, auch ein umfassendes Compliance Management kann die Risiken der „Non-Compliance“ nicht völlig ausschließen. Aus Sicht eines wirksamen Compliance Managements kommt es jedoch darauf an, die Gefahren aus vorsätzlichem oder fahrlässigem Fehlverhalten der Unternehmensangehörigen so weit wie möglich zu reduzieren. Wie ausgeführt, ist dabei die Einbeziehung von Methoden und Verfahren des Risikomanagements hilfreich, die Besonderheiten der Compliance-Risiken sind jedoch stets zu beachten. Die Einzelheiten des Compliance-Risikomanagements richten sich nach den unternehmensindividuellen Besonderheiten, Ausgangspunkt ist das jeweils individuelle „Compliance-Risikoprofil“ des Unternehmens.

Systematische Identifikation von Compliance-Risiken

Rechts- und Compliance-Risiken können sich zunächst aus dem rechtlichen Umfeld des Unternehmens ergeben. Zur Identifikation relevanter Compliance-Risiken ist daher eine sorgfältige Analyse des jeweiligen Unternehmens ebenso erforderlich wie eine genaue Prüfung des Umfelds, in dem sich das Unternehmen bewegt. Dazu zählt eine Bestandsaufnahme von Vorgaben des rechtlichen Umfelds, d.h. sämtlicher für das Unternehmen einschlägiger Normen und Rechtspflichten. Diese kann je nach Wettbewerbsumfeld, Branche und Geschäftsmodell ganz unterschiedlich ausfallen, gleichwohl gibt es zahlreiche Compliance-Risiken, die alle Unternehmen und Verbände betreffen. Dazu gehören etwa Risiken im Zusammenhang mit arbeitsrechtlichen, datenschutzrechtlichen und steuerrechtlichen Pflichten, weitere besondere Risiken ergeben sich für viele Unternehmen etwa im Zusammenhang mit dem Wettbewerbs- und Kartellrecht, dem Außenwirtschaftsrecht oder Antikorruptionsvorschriften. Je nach Branchenzugehörigkeit, Größe und geographischer Präsenz können weitere Risiken hinzukommen, etwa aus der Nichtbeachtung von Vorschriften des internationalen oder ausländischen Rechts. Zur systematischen Erfassung empfiehlt sich, die einschlägigen Normen und Rechtspflichten in einem digitalen Bestandsverzeichnis zu archivieren und zu dokumentieren. Die Analyse des Umfelds sollte neben Rechts- und Compliance-Risiken ferner besondere länder- und branchenspezifische Risiken einbeziehen.

Die Analyse des Umfelds des Unternehmens sollte mit einer sorgfältigen Analyse des individuellen Geschäftsmodells des Unternehmens und seiner Unternehmenseinheiten verknüpft werden. So sind bestimmte Abteilungen wie etwa Einkauf und Vertrieb besonders anfällig für „Non-Compliance“ durch Korruption oder Verletzungen des Wettbewerbsrechts.

Grundsätzlich sollte jede Abteilung und Unternehmensfunktion eine „Risiko-Inventur“ durchführen, unter Zusammenarbeit der jeweiligen Leiter mit dem Compliance Officer, der Rechtsabteilung oder externen Rechtsberatern.

Analyse und Bewertung

Die ermittelten Compliance-Risiken sind in einem weiteren Schritt zu analysieren und bewerten, maßgebliche Kriterien sind dabei das potenzielle Schadensausmaß sowie Eintrittswahrscheinlichkeit. Allerdings besteht ein wichtiger Unterschied zum allgemeinen Risikomanagement darin, dass es nicht nur um eine rechnerische Betrachtung geht, sondern vielmehr um die Bewertung menschlichen Verhaltens im Hinblick auf mögliche Regelverstöße. Ein weiterer gravierender Unterschied besteht darin, dass die Geschäftsleitung nicht aus Opportunitätserwägungen heraus Rechtsvorschriften missachten sollte, auch sog. „nützliche Pflichtverletzungen“ sind regelmäßig Compliance-Maßnahmen unter den Aspekt der Erforderlichkeit und Zumutbarkeit zu beurteilen sind. Dementsprechend erscheint es beispielsweise zulässig, dass sich die Unternehmensleitung in einem ersten Schritt auf die wichtigsten Risiken (z.B. Korruption, Katellrechtsverstöße) konzentriert. Im Hinblick auf die oben aufgezeigten vielfältigen Rechts- und Compliance-Risiken sollte diese Schwerpunktsetzung jedoch nicht isoliert erfolgen, sondern Bestandteil eines ganzheitlichen Risikomanagements für das Unternehmen sein. Der Erfassung, Analyse und Steuerung der schwerwiegendsten Risiken sollten umgehend die sonstigen Compliance-Risiken folgen.

Entwicklung von Risikosteuerungsmaßnahmen

Nach der Analyse und Bewertung der Rechts- und Compliance-Risiken folgt die Konzeption von Maßnahmen der Risikosteuerung, die sich nach dem jeweiligen Risiko richten. So kann die Analyse im Ergebnis etwa zu einer Risikovermeidungsmaßnahme dahingehend führen, dass sich das Unternehmen aus einem bestimmten Markt vollständig zurückzieht bzw. einen bestimmten neuen Markt gar nicht betritt. Andere - weniger radikale – Risikosteuerungsmaßnahmen betreffen die Konzeption spezifischer Schulungen zur Risikovermeidung (etwa im Zusammenhang mit Vertriebsstrukturen). Dabei kann ein zuvor erstelltes Rechtspflichten-Verzeichnis als Ausgangspunkt für spezielle Schulungsmaß-nahmen dienen, mit denen die Unternehmensangehörigen hinsichtlich relevanter Rechts- und Compliance-Risiken in ihren Einheiten sensibilisiert und geschult werden.

Im Hinblick auf ein integriertes und effektives Integritäts- und Compliance Management ist bei Konzeption und Durchführung passender Risikosteuerungsmaßnahmen die aktive Einbeziehung von Führungskräften und Mitarbeitern der relevanten Fachabteilungen und Unternehmenseinheiten wünschenswert – diese kennen regelmäßig das Risikoprofil ihrer Umgebung und können als „Process Owner“ ihrer Geschäftsabläufe wertvolle Hinweise zur Risikosteuerung geben. Zudem kann durch die aktive Einbeziehung der Geschäftseinheiten die Akzeptanz von Compliance Management erhöht werden, denn zur Vermeidung von Compliance-Risiken ist eine Compliance-Kultur erforderlich, in der ein entsprechendes Risikoverhalten nicht toleriert wird.

Berichterstattung zu Compliance-Risiken

Die Konzeption einer Compliance-Risikostrategie umfasst auch die Einführung eines entsprechenden Reportings bzw. die Integration dieser Berichte über Compliance-Risiken in die allgemeine Risikoberichterstattung, sofern diese im Unternehmen bereits existiert.

Regelmäßige Compliance-Audits

Die ständige Veränderung des Umfelds für Unternehmen erfordert eine regelmäßige Überprüfung der Compliance-Maßnahmen sowie die Anpassung des Compliance-Risikomanagements an veränderte Umstände. Frequenz und Umfang der sog. „Compliance Audits“ richten sich nach den jeweiligen Besonderheiten des Unternehmens. So folgt aus § 91 Abs. 2 AktG, § 317 Abs. 4 HGB für börsennotierte Aktiengesellschaften, dass eine Prüfung der Einhaltung und der Wirksamkeit des Compliance Managements mindestens einmal jährlich erfolgen sollte. Da das System nach §91 Abs. 2 AktG zumindest teilweise mit einem

Compliance-Verfahren identisch ist, sind Teilaspekte des Compliance Managements so zu aktualisieren, dass sie nicht bei der jährlichen Prüfung durch den Wirtschaftsprüfer beanstandet werden können. Bei kleineren Gesellschaften kann dagegen eine Überprüfung in größeren Abständen ausreichend sein, etwa wenn das Umfeld des Unternehmens keinen größeren Änderungen unterworfen ist und es auch in der Vergangenheit nicht zu Fällen von „Non-Compliance“ im Unternehmen gekommen ist. Für alle Unternehmen können sich allerdings besondere Anforderungen an ein Compliance-Audit aus einzelnen Rechtsgebieten ergeben, beispielsweise erfordert der Datenschutz eine Folgeabschätzung und ein spezielles Audit.

Klärung von Zuständigkeiten und Delegationsfragen

Wie oben ausgeführt, ist die Compliance-Pflicht eine besondere Ausprägung der Leitungssorgfaltspflicht der Geschäftsleiter. Compliance ist „Chefsache“ – dementsprechend verbleibt ein unveräußerlicher Kernbereich der Compliance- Pflicht stets bei der Geschäftsleitung. In diesem Rahmen muss sie dafür sorgen, dass eindeutige Zuständigkeiten, Verantwortungsbereiche und Berichtswege für Compliance-Maßnahmen bestehen. Während etwa in der kleinen und mittelständischen GmbH mit einem (Allein-)Geschäftsführer dieser meist höchstpersönlich die Compliance-Verantwortung wahrnimmt, werden in größeren Unternehmen Compliance-Aufgaben an eines von mehreren Geschäftsleitungsmitgliedern übertragen (sog. horizontale Delegation). In großen Unternehmen und Konzernen werden Compliance-Aufgaben häufig an sog. Compliance Officer oder andere Unternehmenseinheiten (wie Rechtsabteilung, Risikomanagement oder Interne Revision) delegiert (sog. vertikale Delegation).

In jedem Fall sind die allgemeinen rechtlichen Anforderungen an eine wirksame Delegation zu beachten: Danach führt eine Delegation von Aufgaben nicht zu einer vollständigen Pflichtbefreiung der übertragenden Personen, vielmehr wandelt sich ihre Pflicht in eine Kontroll- und Überwachungspflicht um: Bei einer horizontalen Delegation an einzelne Geschäftsführungsmitglieder müssen die übrigen Geschäftsführungsmitglieder die Aufgabenwahrnehmung ihrer Kollegen beobachten und sind verpflichtet, im Fall von Compliance-Verstößen zu intervenieren. Im Fall der vertikalen Delegation von Compliance-Aufgaben (z.B. an Compliance Officer) verbleiben bei den Auftraggebern bestimmte Auswahl-, Instruktions- und Überwachungspflichten, d.h. die jeweiligen Auftragnehmer müssen sorgfältig ausgewählt, eingearbeitet und kontrolliert werden.

Eigenständige und unabhängige Positionierung der Compliance Officer

Angesichts der vielfältigen Rechtspflichten und daraus resultierenden Compliance-Risiken empfiehlt es sich für viele Unternehmen, eine eigene Stelle für Compliance Management bzw. einen Compliance Officer zu etablieren, der die vielfältigen Anforderungen im Rahmen eines eigenständigen Aufgabenbereichs koordiniert. Soweit Unternehmen Compliance Officer beschäftigen, spielen diese bei der Einführung und der dauerhaften Implementierung des Compliance Managements eine Schlüsselrolle. Das Aufgabenspektrum der Compliance Officer ist vielfältig, dennoch lassen sich einige typische Aufgaben beschreiben, die unabhängig von den Besonderheiten des jeweiligen Unternehmens oder speziellen Branchenvorgaben gelten und sich an den Zielen und Funktionen von Compliance Management orientieren. Zu diesen Aufgaben der Compliance Officer gehört die umfassende Beratung der Geschäftsleitung hinsichtlich aller für das Unternehmen relevanter Normen (Gesetze, Richtlinien und Verhaltensstandards) und hinsichtlich der Prävention bzw. Evaluierung sowie Bewältigung von Compliance-Risiken. Eine weitere wichtige Aufgabe besteht in der Steuerung von relevanten Informationsflüssen (Informations- und Wissensmanagement). Der Compliance Officer fungiert dabei als „Informationsschnittstelle“. Dabei sollte der Compliance Officer einerseits alle relevanten Informationen bzw. entsprechende Informationszugriffsrechte in Bezug auf Compliance-Themen erhalten. Ein funktionierendes Informations- und Wissensmanagement ist auch die Grundlage für die erfolgreiche Kommunikation von Compliance-Themen und entsprechende Schulungsmaßnahmen. Zu den Aufgaben der Compliance Officer gehören ferner Überwachungs- und Kontrollpflichten bezüglich Compliance-relevanter Vorgaben sowie Berichts- und Dokumentationspflichten hinsichtlich aller Compliance-Themen.

Förderung und Incentivierung von Regeltreue (Compliance-Kultur)

Für den Erfolg von Compliance-Maßnahmen und Compliance-Management-Systemen gilt die sog. Compliance-Kultur als wichtiger Erfolgsfaktor. Auch der vom Institut der Wirtschaftsprüfer veröffentlichte IDW PS 980 nennt die Compliance-Kultur als erstes Grundelement für die Bewertung der Angemessenheit und Wirksamkeit eines CMS. Die Compliance-Kultur behandelt die Frage, inwieweit Rechtstreue bzw. Regelbefolgung als Wert von allen Organisa-

tionsangehörigen akzeptiert, geachtet und getragen wird. Sie indiziert die Bereitschaft zu regelkonformem und integrem Verhalten ebenso wie die Toleranz oder Indifferenz gegenüber Regelverstößen. Die Beachtung und Einhaltung von Regelungen steht in engem Zusammenhang mit der Unternehmenskultur als der Gesamtheit gemeinsamer Werte, Nonnen, Traditionen und Einstellungen, welche die Entscheidungen und das Verhalten der Organisationsmitglieder prägen. Die Prägung der Unternehmenskultur wird als zentrales Element des sogenannten „normativen Managements“ angesehen und ist Teil der Unterneh-

mensstrategie. Im Hinblick auf die Compliance-Kultur kommt es dementsprechend darauf an, die richtigen Rahmenbedingungen und Anreize für ein regelkonformes Verhalten der Unternehmensangehörigen zu setzen.

Compliance Commitment durch die Unternehmens- und Verbandsleitung

Es besteht Konsens, dass die Compliance-Kultur maßgeblich durch die Grundeinstellungen und Verhaltensweisen der Mitglieder der Leitungsorgane (Geschäftsleitung und ggf. Aufsichtsorgan) geprägt wird. Für den Erfolg des Compliance Managements ist daher ausschlaggebend, dass die Unternehmensleitung selbst von Sinn und Notwendigkeit der Compliance-Maßnahmen überzeugt ist.

Diese Überzeugung muss in jeder Kommunikation, aber auch im Verhalten eines jeden Mitglieds der Unternehmensleitung ihren Ausdruck finden („tone at the top“). Für die Entwicklung einer Compliance-Kultur ist es sodann wichtig, dass die Mitglieder der Geschäftsleitung die eigene Überzeugung von Sinn und Notwendigkeit des Compliance Managements in das Unternehmen transportieren - „gelebte Compliance“ bedeutet insoweit vor allem „vorgelebte Compliance“. So sollte die Bedeutung von Compliance konsequent an alle Unternehmensangehörigen (Führungskräfte und Mitarbeiter) vermittelt, aber auch an sonstige Bezugsgruppen (Mitarbeiter, Kunden, Lieferanten, Investoren) eindeutig und unmissverständlich kommuniziert werden („Tone from the Top“). Das authentische„Commitment“ zu Compliance und Integrität, also ein ausdrücklich formuliertes und kommuniziertes Bekenntnis der Unternehmensleitung, bildet ein zentrales Element zur Förderung einer Compliance-Kultur. Für die Glaubwürdigkeit ist entscheidend, dass Regeltreue und Integrität auch und insbesondere in Zweifelsfällen stets den Vorrang genießen und nicht aus Opportunitätsgründen anderen Interessen geopfert werden. Hinzukommen sollte die Selbstverpflichtung der Unternehmensleitung, Regelverletzungen keinesfalls tatenlos hinzunehmen, sondern festgestellte Verstöße ausnahmslos und angemessen zu sanktionieren. Umgekehrt sollte regelkonformes und integres Verhalten der Unternehmensangehörigen, das sich in Konfliktsituationen bewährt, besonders honoriert werden - die Geschäftsleitung sollte hierfür ein entsprechendes Anreizsystem konzipieren. Insgesamt sollte deutlich werden, dass im Interesse eines regelkonformen und integren Verhaltens im Zweifelsfall auch wirtschaftliche Einbußen in Kauf genommen werden müssen.

Eine Chance, das besondere Compliance-Commitment zu verdeutlichen, liegt in der Formulierung des Unternehmensleitbilds („Mission Statement“) etwa in der Weise, dass der unternehmerische Erfolg stets auf der Achtung rechtlicher Vorgaben und Integrern Geschäftsverhalten basiert - das Leitbild dient der schriftlichen Fixierung der Unternehmensmission, welche Unternehmensziele, Unternehmenswerte, Unternehmenskultur und Unternehmensverfassung zusammenfasst. Es empfiehlt sich, ausgewählte Vertreter (Führungskräfte, Delegierte von Abteilungen etc.) bei der Entwicklung und Formulierung des Leitbildes einzubeziehen, um Verständnis und Akzeptanz bei den Unternehmensangehörigen zu erreichen.

Akzeptanz von Compliance-Maßnahmen als Grundlage der Befolgung

Die Wirksamkeit von Compliance-Maßnahmen hängt dabei auch von der Bereitschaft der Betroffenen ab, die Regeln und Maßnahmen zu befolgen. Nach einer Studie werden die Einstellungen und Werte der Mitarbeiter als kritischer Erfolgsfaktor für Compliance gesehen. Diese Erkenntnis stimmt mit empirischen Untersuchungen zur Wirksamkeit von Compliance-Maßnahmen in Unternehmen überein: Diese Untersuchungen haben gezeigt, dass ein integrierter Ansatz von Compliance- und Integritätsmanagement erfolgversprechender ist als ein rein regel- und kontrollbasierter Compliance-Ansatz, der allein auf die Umsetzung juristischer Vorgaben gerichtet ist. In anderen Rechtsordnungen zählt die Kombination von Compliance und Ethikprogrammen bereits seit Längerem explizit zu denjenigen Kriterien, mit deren Nachweis Organisationen den Vorwurf mangelnder Compliance ausräumen können.

Regelverletzungen beruhen einerseits auf vorsätzlichem Fehlverhalten bzw. kriminellen Aktivitäten von Personen (z.B. bei Korruptionsvergehen oder Kartellrechtsverstößen), in anderen Fällen resultieren sie aus Fahrlässigkeit aufgrund der Verletzung von Sorgfaltspflichten oder auch nur unzureichender Kenntnis von Regeln und Geboten. Die erforderlichen Compliance-Maßnahmen umfassen daher sowohl die Aufdeckung und Sanktionierung von regelwidrigem Verhalten als auch Aufklärungs- und Schulungsmaßnahmen, insbesondere die Erklärung und Übersetzung juristischer Regeln und Zusammenhänge. Die Beachtung und Einhaltung von Regeln steht in einem engen Zusammenhang mit den Werten, denen sich die Organisationsangehörigen verpflichtet fühlen. Im Hinblick auf die Verhinderung bzw. Reduzierung abweichenden Verhaltens und der Förderung von Regeltreue empfiehlt sich daher, die Compliance-Maßnahmen durch ein begleitendes Integritätsmanagement zu untermauern.

Kommunikation von Werten für Regelungslücken und „Graubereiche“

Für eine Fundierung der Compliance-Maßnahmen durch ein begleitendes Integritätsmanagement spricht ferner, dass eine lückenlose Regelung jeglichen (Fehl-)Verhaltens faktisch unmöglich ist (ebenso wie deren Kontrolle). Soweit Regelungen verabschiedet werden - etwa in Form eines Code of Conduct sind die Aussagen nicht immer eindeutig oder selbsterklärend oder sie erfassen nicht alle Fallkonstellationen. Selbst bei regelmäßiger Erläuterung der Inhalte im Rahmen von Compliance-Schulungen können Zweifelsfragen bleiben, die Erfüllung sämtlicher Rechtspflichten im operativen Geschäft ist stets eine Herausforderung. Für diese Fälle hilft eine Orientierung, wie sich Unternehmensangehörige bei unklaren Sachlagen oder in sog. „Graubereichen“ verhalten sollten. Diese Orientierung kann durch ein begleitendes Integritäts- und Wertemanagement erfolgen, mit dem die Unternehmensangehörigen über Sinn und Zweck der Compliance-Maßnahmen und insbesondere deren Schutzfunktion für das Unternehmen und alle seine Stakeholder informiert werden. Die Formulierung von Werten gibt den Unternehmensangehörigen dabei eine wichtige Hilfestellung für diejenigen Fragen und Fallkonstellationen, die (noch) nicht bzw. nicht eindeutig durch Regeln erfasst bzw. geklärt sind. Dies befähigt die Unternehmensangehörigen in solchen Zweifelsfällen entweder zu einer selbstständigen Einschätzung oder es fungiert als eine Art Kompass, der in Zweifelsfällen auf eine Klärung der Frage durch den Compliance Officer verweist.

Die Fundierung der Compliance-Maßnahmen durch ein Integritätsmanagement bietet zugleich die Chance einer höheren Akzeptanz von Compliance-Maßnahmen. Im Hinblick auf den erforderlichen „tone from the top“ lautet die Botschaft an die Unternehmensangehörigen: „Wir vertrauen Ihrem Urteilsvermögen und Ihrer Fähigkeit, sich an diese Regeln zu halten“, zugleich wird versichert: „Werte wie Rechtstreue und Aufrichtigkeit bestimmen das unternehmerische und soziale Miteinander im Unternehmen. Darauf kann man sich als Mitarbeitender verlassen.“

Es empfiehlt sich daher, das Compliance Management durch ein Integritäts- und Wertemanagement zu ergänzen bzw. zu fundieren. So verabschieden beispielsweise viele Unternehmen im Rahmen ihrer Anti-Korruptions-Compliance sog. „Geschenke-Richtlinien“ zur Regelung der Gewährung und Annahme von Vergünstigungen. Die Prävention von Korruptionsrisiken dürfte besser gelingen, wenn gleichzeitig Unbestechlichkeit und faires Wettbewerbsverhalten als Werte durch Unternehmensleitung und Führungskräfte kommuniziert werden. Denn mit dieser Verankerung erhöht sich die Chance, dass Vergünstigungen jeder Art kritisch geprüft werden - auch unabhängig von der Frage, ob die jeweilige Zuwendung im Einzelfall durch die „Geschenke-Richtlinie“ geregelt ist.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf Alle erlauben erklären Sie sich damit einverstanden. Weiterführende Informationen und die Möglichkeit, einzelne Cookies zuzulassen oder sie zu deaktivieren, erhalten Sie in unseren Cookies-Einstellungen.