test
19.01.2015

Haftungsvermeidung und Compliance – quo vadis?

Dem Thema „Compliance“ wird in den letzten Jahren eine immer stärkere Aufmerksamkeit zuteil. Dies hat seine Ursache insbesondere in der steigenden Zahl an öffentlichkeitswirksamen Straf- und Bußgeldverfahren gegen bekannte Unternehmen, deren Führungskräfte und Mitarbeiter. Dadurch aufgerüttelt, begannen auch leitende Manager mittelständischer Unternehmen, sich mit den Strukturen und Abläufen in den eigenen Betrieben zu befassen und sie auf den Prüfstand zu stellen.

Compliance“ bedeutet „Regeltreue“, die Einhaltung von Gesetzen und Richtlinien, aber auch von freiwilligen Kodizes in Unternehmen; eigentlich eine Selbstverständlichkeit, sollte man meinen. Die Praxis in Unternehmen jedoch wird oftmals bestimmt von dem Spannungsfeld zwischen betriebswirtschaftlichen Zielen und Zwängen einerseits und rechtlichen Anforderungen andererseits. So verbinden viele leitende Manager wie bspw. Vorstände und Geschäftsführer Compliance-Maßnahmen mit Bürokratie, betrachten sie als Geschäftsverhinderung. Dies stellt eine riskante Einstellung zu Compliance dar, kann sie sich doch massiv geschäftsschädigend auswirken.

Wer Compliance richtig versteht und sie in angemessener Form einsetzt, kann Risiken frühzeitig erkennen und vermeiden, Image- und finanzielle Schäden von dem Unternehmen abwenden  sowie das persönliche Haftungsrisiko von Vorständen bzw. Geschäftsführern in gesellschaftsrechtlicher, zivilrechtlicher, bußgeldrechtlicher und strafrechtlicher Hinsicht deutlich reduzieren oder sogar ausräumen. Mit der richtigen Dosierung kann Compliance zu einem wesentlichen Erfolgsfaktor werden.

Wir möchten in einem Überblick aufzeigen, welchen Haftungsrisiken Unternehmen und ihre leitenden Manager ausgesetzt sind und wie sie diesen mit Compliance in der Weise begegnen können, dass sie sicherer in ihrem Risikomanagement und finanziell erfolgreicher werden.

I.    Haftungsrisiken
Jedes Unternehmen ist verpflichtet, Rechtsverstöße seiner Mitarbeiter im Unternehmen oder aus dem Unternehmen heraus zu verhindern. Vorstände und Geschäftsführer müssen laut Gesetz (AktG und GmbHG) die Angelegenheiten der Gesellschaft mit der Sorgfalt eines ordentlichen Geschäftsmannes führen. Pflichtverstöße führen zu der Haftung auf Schadenersatz gegenüber dem Unternehmen (§ 43 Abs. 2 GmbHG, § 93 Abs. 2 AktG).

Bestechen z.B. für den Einkauf bzw. Vertrieb zuständige Mitarbeiter des Unternehmens Angestellte eines anderen Unternehmens, um einen Auftrag zu erteilen bzw. zu erhalten, laufen neben den Mitarbeitern auch die leitenden Manager selbst Gefahr, von den Strafverfolgungsbehörden mit einem Ermittlungsverfahren überzogen zu werden.

Inhaber, vertretungsberechtigte Gesellschafter, gesetzliche Vertreter und Organe eines Unternehmens müssen nämlich die erforderlichen und zumutbaren Aufsichtsmaßnahmen ergreifen, damit die geltenden Gesetze eingehalten werden. Nach den §§ 9, 130 OWiG trifft diese leitenden Manager eine dementsprechende Aufsichtspflicht, deren Verletzung mit einer Geldbuße gegen die natürliche Person bis zu 1 Mio. € geahndet wird.

Daneben führt ein Verstoß gegen diese Aufsichtspflicht zu einer Durchgriffsmöglichkeit auf das Unternehmen nach § 30 OWiG. Die Verletzung der Aufsichtspflicht stellt eine betriebsbezogene Ordnungswidrigkeit i. S. dieser Vorschrift dar und kann die Festsetzung einer Unternehmensgeldbuße in beträchtlicher Höhe nach sich ziehen (s. § 30 Abs. 2, Abs. 3 i. V. m. § 17 Abs. 4 OWiG).

Doch nicht nur Bußgeldverfahren haben die leitenden Manager zu befürchten. Die Rechtsprechung geht vermehrt dazu über, in Fällen, in denen Leitungspersonen eines Unternehmens bestimmte Maßnahmen unterlassen haben, um Straftaten zu verhindern, diese nach den Grundsätzen der „strafrechtlichen Geschäftsherrenhaftung“ wegen Unterlassung strafrechtlich zur Verantwortung zu ziehen. An dieser Stelle soll nur auf einige wenige Folgen hingewiesen werden, die ein Strafverfahren nach sich ziehen kann: Abberufung als Organ, Vergaberegistereintrag (ggf. bereits bei Einleitung eines Strafverfahrens), u. U. langwierige Hauptverhandlung mit hohen Kosten und Bestrafung, Reputationsverlust, zivilrechtliche Schadensersatzansprüche Dritter (§ 823 Abs. 2 BGB in Verbindung mit einem strafrechtlichen Schutzgesetz), sonstige Nebenfolgen (§ 6 Abs. 2 GmbHG / §76 Abs. 3 AktG).

Die dargestellten Haftungsrisiken für leitende Manager und Unternehmen könnten durch die Einführung und Pflege eines funktionierenden, auf das Unternehmen maßgeschneiderten Compliance-Management-Systems (CMS), vermieden werden. Könnten die leitenden Manager in dem obigen Fall ein solches nachweisen, ist weder ihre Verfolgung nach dem Strafgesetzbuch und dem Ordnungswidrigkeitengesetz noch die des Unternehmens wahrscheinlich.

Ein Blick in die Zukunft zeigt, dass die Bedeutung dieser Feststellung zunehmen wird. Laut einem Gesetzgebungsvorhaben soll ein sog. „Verbandsstrafgesetzbuch“ erlassen werden, das hohe Sanktionen für das Unternehmen bei Zuwiderhandlungen gegen Strafgesetze vorsieht. Diese Strafen reichen bis zur Auflösung des Unternehmens. Nach § 5 dieses geplanten Gesetzes kann jedoch die Einführung eines CMS dazu führen, dass das Gericht von Sanktionen gegen das Unternehmen absieht.

II.    Compliance als Lösung
Hierzulande existiert in den großen Konzernen seit einigen Jahren ein regelrechter „Compliance-Hype“. Die meisten Großunternehmen rühmen ihre umfangreichen Compliance-Programme. Mittlerweile haben sich diese Unternehmen eine gute Basis geschaffen und Compliance in ihre Geschäftsmodelle integriert. Sie sind damit auf dem richtigen Weg, auch weiterhin erfolgreich Geschäfte zu machen.

Doch wie steht es um das Gros der Unternehmen in Deutschland? Wie positioniert sich der Mittelstand dazu? Aus rechtlicher Sicht besteht zwar keine Pflicht, aus faktischer Sicht jedoch sind auch Mittelständler verpflichtet, ein CMS aufzubauen. Untersuchungen zeigen, dass gerade diese Unternehmen noch erheblichen Nachholbedarf haben, was den Aufbau bzw. die Integration eines CMS in ihrer Organisation betrifft.

Wir wollen aufzeigen, wie Compliance im Mittelstand mit Augenmaß im Unternehmen umgesetzt werden kann, und wir geben Antworten auf die Fragestellung, welche Compliance-Strukturen auch für den Mittelstand sinnvoll und notwendig sind.

ISO 19600 – Compliance-Management-System

Der neue Standard ISO 19600 soll spätestens Anfang 2015 erscheinen und harmonisiert die bislang grenzübergreifend vorliegenden unkoordinierten Standards zu CMS. In erster Linie geht es hierbei um die Definition von angemessenen Maßnahmen, die compliance-konformes Verhalten bei den eigenen Mitarbeitern, Lieferanten und den sogenannten Third Parties, das heißt den Agenten und Zwischenhändlern sowie sonstigen im Namen der Firma involvierten Personen, festlegen.

Neu ist die Definition von Compliance: Gemäß ISO 19600 wird Compliance als die Erfüllung aller Compliance-Verpflichtungen eines Unternehmens verstanden. Compliance-Verpflichtungen sind gesetzlich vorgeschriebene oder freiwillige Verpflichtungen, also unternehmens- sowie branchenspezifische Verpflichtungen, Codex-Verpflichtungen, Governance-Verpflichtungen und dergleichen.

Der neue Standard ISO 19600 hilft allen Beteiligten, mehr Compliance-Sicherheit im operativen Geschäft und in ihrer Organisation zu etablieren. Die Herausforderung liegt allerdings in der sinnvollen Dosierung von Compliance für das jeweilige Unternehmen und seinem Geschäftsmodell.

Compliance-Management-System für den Mittelstand

Die Zweckmäßigkeit des CMS ist der zentrale Punkt bei der Implementierung in dem jeweiligen Unternehmen. Das CMS muss so gestaltet sein, dass alle Aktivitäten im Unternehmen durch angemessene Maßnahmen  effizienter werden.

Es geht nicht darum, ein umfangreiches Regelwerk auf das eigene Unternehmen zu übertragen. Zunächst muss das Compliance-Risiko konkret nach seiner Eintrittswahrscheinlichkeit und den Folgen der Nichteinhaltung der Compliance-Verpflichtungen ermittelt werden. Im Anschluss daran ist ein auf das Unternehmen konzipiertes CMS zu entwickeln, bestehend aus einzelnen Elementen, welche die folgende Grafik veranschaulicht.

 

Nutzen des Compliance-Management-Systems

Den Nutzen eines wirksamen CMS erkennen viele  Verantwortliche in Unternehmen erst, nachdem das Kind bereits in den Brunnen gefallen ist. Dann jedoch wird’s kostspielig. Wer meint, Compliance ist teuer, mag bedenken, welche Kosten und sonstigen negativen Folgen Non-Compliance hat. Die untenstehende Grafik zeigt den Nutzen eines CMS.


 

Mit einem angemessenen und wirksamen CMS bewahren Sie Ihr Unternehmen vor möglichen Reputationsschäden, können einen deutlichen Wettbewerbsvorteil gegenüber anderen erzielen und einen finanziellen Vorteil erwirtschaften.

Der Weg zu einem wirksamen Compliance-Management-System

Mit einem „Compliance-Health-Check“ ist der Weg zu einem maßgeschneiderten CMS vorgegeben. Mit einer Organisations- und Prozessanalyse erfolgt zunächst eine neutrale Bestandsaufnahme. Hier wird der status quo ermittelt und evaluiert, wo das Unternehmen aus Compliance-Sicht heute steht. Hierbei werden alle notwendigen Elemente eines CMS inhaltlich analysiert und gewürdigt.

Im Anschluss daran erfolgt ein Funktionalitäts-Check. Hier wird überprüft, ob die vorhandenen Maßnahmen mit hinreichender Sicherheit so ausgestaltet sind, dass Regelverstöße (frühzeitig) erkannt werden können. Gegebenenfalls müssen neue Prozesse definiert und kurzfristig Abstellmaßnahmen eingeleitet werden, um die Schwachstellen zu „heilen“ und das Compliance-Risiko zu minimieren.

Mit einem dritten Schritt erfolgt der Effektivitätscheck des vorhandenen CMS. Dabei wird verifiziert, inwieweit die implementierten Grundsätze ausreichend in ihrer Wirksamkeit sind. Es wird z.B. geprüft, welche Mitarbeiter wie oft geschult werden und wie es um die Kommunikation in Bezug auf Compliance im Unternehmen, „tone at the top“, bestellt ist. Mittels definierter KPIs wird der Erfolg gemessen. Dadurch besteht eine volle Transparenz hinsichtlich der Wirksamkeit des CMS.

In einem vierten und letzten Schritt des „Compliance-Health-Checks“ werden konkrete Maßnahmen zur Optimierung bzw. Weiterentwicklung des CMS aufgezeigt. Hierbei werden klare Verantwortlichkeiten und verbindliche Termine zur Umsetzung festgelegt. In der untenstehenden Grafik sind die wesentlichen Schritte aufgeführt.

III.    Fazit
Die Pflicht, betriebsbezogene Straftaten von Mitarbeitern zu verhindern, trifft jedes Unternehmen, nicht nur die großen, sondern auch den Mittelstand. Die Nichteinführung eines CMS und die fehlende Überwachung, dass die aufgestellten Regeln auch eingehalten werden, bedeutet ein enormes Haftungsrisiko. Dieses besteht für das Unternehmen, aber auch und insbesondere für die leitenden Manager persönlich, wenn Rechtsverstöße durch ein fehlendes oder unzureichendes CMS ermöglicht wurden. Für die Mitglieder der Geschäftsführung oder des Vorstandes ist es schon zum eigenen Schutz unverzichtbar, sich darum zu kümmern, dass ein CMS im Unternehmen implementiert und auch „gelebt“ wird.
Ein CMS, das der Größe und den Anforderungen des Unternehmens entspricht, gibt den Rahmen vor. Zu den Aufgaben des Geschäftsführers oder des Vorstandes gehört es aber auch zu überprüfen, ob Rechte und Pflichten von Mitarbeitern eingehalten werden.

Durch die Verschärfung der Gesetze und die damit verbundene Erhöhung der Compliance-Anforderungen auch für den Mittelstand wird es für die zukünftige Wettbewerbsfähigkeit immer wichtiger, ein angemessenes und funktionierendes CMS im Unternehmen zu verankern. Der „tone at the top“ ist dabei integraler Bestandteil für die gelebte Kultur in der Organisation. Die Zeiten des Wegschauens, des Duldens oder Ignorierens von Straftaten und deren Herabstufung zu bloßen Kavaliersdelikten sind längst vorbei. Wer sein Unternehmen sicher in die Zukunft führen möchte, hat Compliance heute schon zur Chefsache gemacht. Compliance sollte nicht als Bedrohung, sondern als Notwendigkeit, Herausforderung und Chance betrachtet werden. Zur Erreichung von Wettbewerbsvorteilen ist Compliance heutzutage unerlässlich.

Die Autoren

Güray Karaca ist Geschäftsführer der Kerkhoff Risk and Compliance GmbH, einer Beratungsgesellschaft für Risiko- und Compliance-Management mit Schwerpunkt im Bereich des Supply Chain Managements.

Elke Werner ist Rechtsanwältin und Fachanwältin für Strafrecht bei Krekeler Rechtsanwälte und Expertin im Bereich des Strafrechts für Compliance und Kooperationspartnerin der Kerkhoff Risk and Compliance GmbH.

Impressum & Datenschutz
Kerkhoff Consulting GmbH – +49 211 621 80 61 - 0 – Elisabethstr. 5 – 40217 Düsseldorf - Deutschland
Kerkhoff Consulting GmbH – +43 1 532 27 29 - 0 – Wallnerstr. 3 – 1010 Wien - Österreich