Compliance-Anforderungen bestehen in einer Vielzahl von Rechtsgebieten, und zwar vom Datenschutz über das Arbeitsrecht bis hin zu Geldwäsche oder strafbarer Korruption. (credit:adobestock)
Was ist Compliance?
Der Compliance kommt im Geschäftsleben eine stetig wachsende Bedeutung zu. Den Begriff hat fast jeder schon einmal gehört – die genaue Bedeutung ist jedoch oft unklar. Das ist nicht verwunderlich, handelt es sich doch um einen bloßen Sammelbegriff ohne genaue Definition.
Gemeint ist letztlich die Einhaltung und Befolgung von Recht und Gesetz durch Unternehmen, ihre Leitungsorgane und Mitarbeiter. Compliance-Anforderungen bestehen in einer Vielzahl von Rechtsgebieten, und zwar vom Datenschutz über das Arbeitsrecht bis hin zu Geldwäsche oder strafbarer Korruption. Für Geschäftsführer und Unternehmer begründen sie Organisations-, Kontroll- und Mitteilungspflichten.
Wer ist zu Compliance verpflichtet?
Waren Compliance-Anforderungen vor einigen Jahren noch in erster Linie für Konzerne und Großunternehmen ein Thema, müssen sich heute auch Mittelständler, Familienunternehmen, KMUs und sogar Einzelunternehmer vertieft damit auseinandersetzen. Denn die meisten Regeln greifen für alle Unternehmen, unabhängig von der Größe. Auch Vereine, Stiftungen und sonstige gemeinnützige Organisationen sind zu Compliance verpflichtet. Ist eine Organisation in sensiblen Bereichen oder international tätig, gelten oft besonders strenge Vorgaben.
Die Regelungsdichte hat gerade in jüngerer Zeit – getrieben von prominenten Fällen wie dem VW-Abgasskandal oder den sog. Panama-Papers – noch einmal deutlich zugenommen. Damit wächst auch die Unübersichtlichkeit des Rechtsgebiets „Compliance“. Inzwischen ist ein Dickicht von Regeln entstanden, die für den juristischen Laien kaum noch zu durchblicken, gleichwohl aber durchaus zu beachten sind. Denn die Behörden betreiben mit Blick auf die öffentliche Meinung vielerorts eine Null-Toleranz-Politik.
Selbst wenn keine gesetzliche Pflicht besteht, ist es für Unternehmen oft sinnvoll, proaktiv eigene Compliance-Richtlinien aufzustellen. Denn ein Imageschaden kann auch ohne Gesetzesverstoß verheerende Auswirkungen haben. „Vorbildliches“ Unternehmensverhalten und Corporate Social Responsibility (CSR) hingegen kommt bei Kunden und Geschäftspartnern gut an und kann einen Wettbewerbsvorteil darstellen.
Was droht bei einem Compliance-Verstoß?
Werden Compliance-Anforderungen missachtet, können die zuständigen Stellen in aller Regel Bußgelder gegen die Organisation oder die Verantwortlichen verhängen. Unterliegt das Unternehmen behördlicher Aufsicht (BaFin, BVA, BAFA etc.), kommen zudem aufsichtsrechtliche Sanktionen wie die Abberufung von Vorstandsmitgliedern oder der Widerruf einer Gewerbeerlaubnis in Betracht.
Möglich sind darüber hinaus Schadensersatzforderungen von Dritten. Unter Umständen können Organe (Vorstände, Geschäftsführer, Aufsichtsräte usw.) für diese sogar persönlich haften.
Außerdem müssen sich die handelnden Personen – Mitarbeiter und Unternehmensorgane – ggf. strafrechtlich für etwaiges Fehlverhalten verantworten.
Die meist größte Gefahr droht allerdings der eigenen Reputation. Compliance-Verstöße werden bei Geschäftspartnern und in der Öffentlichkeit meist mit wenig Wohlwollen betrachtet. Ist ein solcher Imageschaden erst einmal entstanden, ist er oft kaum noch wiedergutzumachen. Dies gilt selbst dann, wenn ein Verstoß nur behauptet wird und mangels unternehmensinterner Dokumentation nicht zweifelsfrei entkräftet werden kann.
Warum lohnt sich ein Compliance-Management-System?
In unserer Beratung konzentrieren wir uns deshalb auf die Prävention von compliance-relevanten Vorfällen. Durch ein professionelles Compliance-Management-System (CMS) lassen sich Verstöße zuverlässig vermeiden.
Selbst im bereits eingetretenen Schadensfall ist ein CMS Gold wert: Kann ein Unternehmen hinreichende Compliance-Maßnahmen nachweisen, werden Bußgelder und andere Sanktionen (z.B. „Naming & Shaming“) in der Regel erheblich reduziert. Gegenüber Dritten dient ein rechtssicher dokumentiertes Compliance-Management als entlastender Beweis, dass alle Pflichten eingehalten wurden. Und vor einem Strafgericht wird ein Verantwortlicher sich grundsätzlich darauf berufen können, durch die Befolgung fachmännisch erarbeiteter Compliance-Richtlinien aus seiner Sicht alles Notwendige zur Abwendung von Schäden getan zu haben.
Richtig umgesetzt ist ein CMS somit einerseits eine Absicherung gegen Sanktionen und Inanspruchnahme. Wie alle Versicherungen mag sie zunächst überflüssig wirken – dies allerdings nur bis zum Eintritt des mitunter existenzbedrohenden Schadensfalls.
Durch die verbindliche Vorgabe optimierter Abläufe steigert ein CMS andererseits die Rechtssicherheit und Produktivität. Darüber hinaus vergeben viele öffentliche Auftraggeber ihre Aufträge nur noch an Unternehmen, die ein geeignetes Compliance-Management nachweisen können. Ein professionelles Compliance-Management stellt damit schon heute einen Wettbewerbsvorteil dar, dessen Bedeutung in Zukunft nur noch steigen wird – was etwa die gesetzlichen Regeln zum Transparenzregister und zur Lieferketten-Compliance anschaulich zeigen. Es lohnt sich daher, sich frühzeitig mit der eigenen Compliance zu befassen und geeignete Systeme zu implementieren.
Was ist zu tun?
Leider gibt es im Bereich Compliance keine „one-fits-all“-Patentlösung. Welche Maßnahmen erforderlich oder sinnvoll sind, hängt ganz von dem jeweiligen Unternehmen, dessen Größe, Branche und Risikogeneigtheit ab. So wird ein Juwelier etwa der Geldwäscheprävention besondere Aufmerksamkeit widmen müssen, während die Risiken eines Schweinemastbetriebs eher im Umweltrecht liegen. Für Unternehmen, die über sensible Kundendaten verfügen, ist der Datenschutz eine zentrale Herausforderung. Umfangreiche Vertriebs- oder Vergabeapparate hingegen erfordern Maßgaben zur Vermeidung von Vorteilsannahme.
Jede Compliance-Beratung beginnt deshalb mit einer Risikoanalyse, in der die spezifischen Risiken des jeweiligen Unternehmens herausgearbeitet und bewertet werden. Anhand des Risikoprofils wird dann das sogenannte „Scoping“ vorgenommen, d.h. die konkreten Zweck- und Zielsetzungen der Compliance-Maßnahmen definiert. Darauf basierend entwirft der Berater das CMS, das die erforderlichen Maßnahmen umreißt.
Anschließend geht es an die Umsetzung. Auch diese ist hochindividuell. In vielen Bereichen bietet sich die Implementierung von unternehmensinternen Richtlinien und Verhaltensanweisungen an. Mitunter bedarf es eines Sanktionskatalogs. Oft müssen Organmitglieder und Mitarbeiter speziell geschult und Ansprechpartner benannt werden. Zur fortwährenden Überwachung der Maßnahmen und ihrer Aktualität kann ein Compliance-Beauftragter – intern oder extern – eingesetzt werden. Je nach Branche ist dies sogar gesetzlich vorgeschrieben. Ergänzend kommt auch ein Gremium in Betracht, durch das die Funktionsträger des Unternehmens eingebunden werden.
Wichtig ist, die jeweiligen Schritte sorgfältig und beweissicher zu dokumentieren. Nur so können Organisationen im Schadensfall nachweisen, ihre Pflichten erfüllt zu haben. Darüber hinaus bedarf es einer kontinuierlichen Beobachtung und Leistungsbewertung der getroffenen Maßnahmen anhand messbarer Indikatoren. Zeigt sich ein Defizit, muss das Vorgehen umgehend überarbeitet werden.
Haben Sie zum voranstehenden Thema oder zu anderen Compliance-Themen Fragen, können Sie sich gerne an den Autor dieses Beitrags wenden. Wir beraten Sie insgesamt zu allen Fragen der Compliance sowie des Aktien- und Gesellschaftsrechts.
Autor:
RA Dr. Karl Brock
Referendar Lennart Elßner
Autor
UNVERBINDLICHE KONTAKTAUFNAHME
UNVERBINDLICHE KONTAKTAUFNAHME
Sind Sie unsicher, ob Sie mit Ihrer Angelegenheit bei uns richtig sind?
Nehmen Sie gerne unverbindlich Kontakt mit uns auf und schildern uns Ihr Anliegen.
Wir freuen uns auf Ihren Anruf.
