Compliance: Richtlinien für regelkonformes Unternehmensverhalten

Gesetzestreue und ethisch korrektes Verhalten sollten in Unternehmen eigentlich selbstverständlich sein. Die Vorfälle in der jüngeren Vergangenheit haben aber bewiesen, dass dem nicht so ist. Im Gegenteil: Compliance bleibt ein ständiges Streitthema. Schließlich agieren Unternehmen nicht im luftleeren Raum, sondern ihre Geschäftsaktivitäten tangieren die Sphären zahlreicher Interessensgruppen. Nicht nur Konzerne, auch KMUs stehen deshalb unter Zugzwang, einen eigenen Wertekanon zu definieren und sich auch daran zu halten. Angesichts des komplexen Diskurses stellt sich aber zuerst die Frage: Was bedeutet Compliance eigentlich genau?

Der in der Betriebswirtschaftslehre und Rechtswissenschaft häufig verwendete Begriff „Compliance“ (deutsch: „Konformität“, „Übereinstimmung“) stammt ursprünglich aus dem US-amerikanischen Finanzwesen, kommt inzwischen aber in praktisch allen Branchen und Wirtschaftsbereichen zur Anwendung. Dabei geht es im Grunde um die Regeltreue von Unternehmen und ihren Mitarbeitern. Früher war damit noch vorrangig die Einhaltung von Gesetzen gemeint. So standen etwa für Kreditinstitute die Regelungen aus dem Wertpapierhandelsgesetz im Fokus.

Heute weist der Compliance-Begriff aber längst eine deutlich größere Bandbreite auf: Neben der Wahrung von Legalität umfasst das Konzept nun auch die Anerkennung branchenüblicher Standards und Richtlinien. Noch wichtiger ist aber ein freiwilliges Bekenntnis zu einem eigenen Wertekanon, mit dem sich ein Unternehmen strikte ethische Regeln für sein Verhalten nach innen und außen auferlegt.

Aber warum ist Regelkonformität so wichtig? Was steht hinter dem Compliance-Konzept und welche Ziele verfolgt ein Unternehmen, das sich dazu bekennt?

Aus rein betriebswirtschaftlicher Sicht hat ein Bekenntnis zur Compliance vor allem strategische Beweggründe: Genau wie natürliche Personen müssen sich auch Unternehmen als sogenannte juristische Personen an bestehende nationale und internationale Gesetze halten. In Deutschland ist dieser Grundsatz durch das Gesetz über Ordnungswidrigkeiten (OWiG) festgeschrieben. Die Paragrafen 9, 30 und 130 des OWiG besagen, dass Unternehmen und Unternehmensverantwortliche dafür Sorge zu tragen haben, dass aus dem Unternehmen heraus keine Gesetzesverstöße passieren.

Werden entsprechende Bemühungen nicht unternommen, laufen die Beteiligten Gefahr, mit Sanktionierungsmaßnahmen wie Bußgeldern, Gewinnabschöpfung oder sogar Freiheitsentzug bestraft zu werden. Hinzu kommen interne wie externe Folgen und Kosten, die dem straffälligen Unternehmen entstehen können, etwa personelle Konsequenzen oder Schadensersatzansprüche durch Kunden und Geschäftspartner. Diese Sanktionen beschränken sich jedoch nicht auf ein Einzelunternehmen, sondern können die gesamte Konzernobergesellschaft in Mitleidenschaft ziehen. Eine Versicherung bietet in solch einem Fall keinen Schutz.

Das Hauptanliegen von Compliance ist es also, straffälliges Verhalten zu vermeiden bzw. schnell zu identifizieren und angemessen darauf zu reagieren, um das daraus entstehende wirtschaftliche Risiko zu minimieren. Bewusste Regelverstöße können so zwar nicht verhindert werden, das Vorhandensein von Compliance-Maßnahmen kann jedoch zu einer Haftungsminderung für die Führungsverantwortlichen führen. Ob ein innerbetriebliches Kontrollsystem strafmindernd berücksichtigt wird, ist jedoch immer vom Einzelfall abhängig.

Ein bekanntes Beispiel für einen Compliance-Verstoß ist der Abgasskandal, der seit September 2015 Medien, Industrie und Politik beschäftigt hält: Die Volkswagen AG räumte ein, eine seit Januar 2013 illegale Abschalteinrichtung in seinen Dieselfahrzeugen verwendet zu haben, um Stickoxid-Werte zu manipulieren und somit geltende Abgasnormen zu umgehen – ein bewusster und von der Führungsebene angeordneter Gesetzesbruch. Seitdem steht der Konzern kontinuierlich in der öffentlichen Aufmerksamkeit: Der Firmenvorstandsvorsitzende Martin Winterkorn trat von seiner Position zurück, ihm drohen 25 Jahre Haft; die Politik nimmt Fahrzeughersteller stärker ins Visier; die Autoindustrie sieht sich infolgedessen in einer schweren Krise; zahlreiche straf- und zivilrechtliche Ermittlungsfahren laufen.

Ab November 2018 ringen nun erstmals die betroffenen deutschen Dieselfahrer mit Unterstützung des Verbraucherzentrale Bundesverbands (vzbv) in einer neuartigen Sammelklage um Schadensersatz. Noch sind die finanziellen Konsequenzen nicht vollständig abzusehen, im schlimmsten Fall muss VW aber mit Gesamtkosten von bis zu 100 Milliarden Euro rechnen.

Ein sich ausweitender öffentlicher Diskurs über die gesellschaftliche Verantwortung von Unternehmen hat dazu geführt, dass dem Compliance-Begriff eine ethische Komponente hinzugefügt wurde. Stakeholder – also relevante Interessengruppen wie Kunden, Mitarbeiter und Anwohner in der Nähe von Fabrikanlagen – erwarten von Unternehmen nicht nur Regelkonformität um des Unternehmens willen, sondern auch die Einhaltung branchenüblicher Tugenden und moralischer Werte. Firmen sollen also nicht bloß als wirtschaftliche Größen auftreten, sondern vor allem auch als sogenannte Corporate Citizens (zu Deutsch etwa „Unternehmensbürger“) im Sinne einer Corporate Social Responsibility („Unternehmerische Gesellschaftsverantwortung“, kurz: CSR).

Was als gesellschaftlich verantwortungsvoll gilt, wird bis zu einem gewissen Grad durch allgemein anerkannte Regulierungsorgane und Kodizes vordefiniert. In vielen Fällen, insbesondere in heiklen Industrien wie der Energie- oder Chemiebranche, wird aber auch erwartet, dass das Unternehmen einen eigenen Wertekanon befolgt, der mögliche Interessenskonflikte mit den einzelnen Stakeholdern proaktiv und direkt anspricht. Eine Firma, deren Geschäftsaktivitäten ökologische Implikationen haben, muss also auch ihren Anspruch für Umweltschutz und Nachhaltigkeit transparent kommunizieren und sich entsprechender Kritik stellen. Dies wirkt sich positiv auf ihre Glaubwürdigkeit und Geschäftsbeziehungen aus.

Auch wenn einem Unternehmer schon aus Prinzip an Compliance gelegen sein sollte, ist ein Bekenntnis zur unternehmerischen Gesellschaftsverantwortung ebenso aus rein betriebswirtschaftlicher Sicht sinnvoll: Abgesehen von Sanktionen können Regelverstöße nämlich auch eine Reihe von nichtfinanziellen Konsequenzen nach sich ziehen. Damit ist ganz besonders der Verlust von Reputation und Vertrauen bei Geschäftspartnern und Kunden gemeint. Selbst wenn sich die Vorwürfe später als falsch herausstellen sollten, ist der Image-Schaden mitunter enorm.

Im Fall der nachgewiesenen Manipulationen durch die Volkswagen AG reichte eine einfache Entschuldigung seitens des Vorstandes nicht aus, um den öffentlichen Unmut zu besänftigen, der auf die Enthüllungen folgte: Marktforschungsinstitute bescheinigen dem Konzern ein stark lädiertes Image. Dass die in Deutschland zwischen 2008 und 2015 verkauften Dieselfahrzeuge laut einer MIT-Studie für etwa 1.200 vorzeitige Todesfälle durch Luftverschmutzung in Europa verantwortlich sein könnten, schüttete zusätzliches Öl ins Feuer der Kritik. Somit entfachte der Skandal auch aufs Neue die Langzeitdiskussion um die Verkehrswende, was die Automobilindustrie nun zusätzlich unter Handlungsdruck setzt.

Für die Um- und Durchsetzung von Regelkonformität im Unternehmen wird ein sogenanntes Compliance-Management-System (kurz: CMS) benötigt, das die Einhaltung sämtlicher Richtlinien sicherstellt bzw. die schnelle Erkennung von Regelverstößen ermöglicht. Dieses CMS hat zum Ziel, eine transparente, eindeutige und klar verständliche Compliance-Kultur zu implementieren und aufrechtzuerhalten.

Aufgrund der Vielfalt an Themen und Interessensbereichen, die der Compliance-Begriff tangieren kann, ist der Aufbau eines CMS jedoch kein leichtes Unterfangen. Insbesondere mittelständischen Unternehmen mangelt es für solch ein Projekt häufig am notwendigen Know-how. Da sich je nach Branche, Unternehmensgröße und -art sowie Organisationsstruktur außerdem ganz individuelle Anforderungen für die Implementierung ergeben, existiert keine allgemeingültige Vorgehensweise. Dennoch erklären wir im Folgenden grob die wichtigsten Schritte.

Am Anfang jedes CMS steht ein klares und einheitliches Bekenntnis der Unternehmensführung zur Compliance sowie eine individuell auf das Unternehmen zugeschnittene Definition des Begriffs. Nur so kann sichergestellt werden, dass alle Verantwortlichen gemeinsam an einem Strang ziehen und Missverständnisse über die Art und den Umfang des Projekts vermieden werden. Wie ernst es der Führungsriege mit diesem Bekenntnis ist, zeigt sich bereits daran, wie viel personelle Kapazitäten und Budget sie zu entbehren bereit ist. Ein effektives Compliance-Team sollte sich aus Experten aus allen Abteilungen eines Unternehmens zusammensetzen (z. B. Personalmanagement, Finanzverwaltung, Rechtsabteilung). Nur so ist es möglich, alle denkbaren Interessens- und Risikobereiche im Unternehmen zu identifizieren und abzudecken.

Zusätzliche Expertise erhält man von externer Seite durch Rechtsanwälte sowie Steuer- und Unternehmensberater. Ebenso ist es rechtlich erforderlich und auch empfehlenswert, den Betriebsrat in sämtliche Entscheidungsprozesse miteinzubeziehen. So ist z. B. zu klären, ob bestehende Arbeitsverträge oder Betriebsvereinbarungen einer Änderung bedürfen. Ein realistischer Zeitplan und eine klar definierte Rollenverteilung (inklusive eines kompetenten Teamleiters) können dabei helfen, die Kosten überschaubar zu halten und ein zeitnahes Ergebnis zu erzielen.

Hauptaufgabe des Teams ist es, eine Ist-Analyse durchzuführen. Dabei stellt sich nicht selten heraus, dass im Unternehmen bereits (zumindest rudimentäre) Compliance-Strukturen vorhanden sind, und zwar in Form von „ungeschriebenen Regeln“, die unter den Mitarbeitern gelten. Auf Basis dieser Vorevaluierung erfolgt dann die Definition des Soll-Zustands: Welche Maßnahmen und Mechanismen müssen ergänzt, modifiziert oder völlig neu geschaffen werden, um dem Compliance-Gedanken der Firma gerecht zu werden? Dabei lohnt es sich, die zivilgesellschaftlichen Schnittstellen zu identifizieren, mit denen das Unternehmen im Geschäftsalltag zu tun hat.

Nützliche Hinweise hierfür liefert vor allem die „Regierungskommission Deutscher Corporate Governance Kodex“ mit ihren Empfehlungen und Anregungen für die gute Unternehmensführung (Best Practices). Weitere Vorschriften bezüglich der unmittelbaren Pflichten und Verantwortungsbereiche von Firmen lassen sich u. a. aus §§ 91, 93 AktG (Aktiengesetz) und § 43 GmbHG (Gesetz betreffend die Gesellschaften mit beschränkter Haftung) ableiten. Aus diesen Dokumenten geht bereits eine Vielfalt allgemeiner und branchenspezifischer Risikobereiche für das Unternehmen hervor, die bei der Ausarbeitung des CMS miteinbezogen werden müssen. Dabei ist zu beachten, dass nicht alle Bereiche für alle Unternehmen gleichermaßen relevant sind.

Die folgende Auswahl an möglichen Risikobereichen erhebt daher keinerlei Anspruch auf Vollständigkeit:

• Arbeitsrecht (z. B. Diskriminierungsverbote, Mitbestimmungsrechte, Kündigungsschutz)
• Sozialversicherungsrecht (z. B. Vermeidung von Scheinselbstständigkeit)
• Strafrecht (z. B. Diebstahl, Erpressung, Betrug, Steuerhinterziehung, Schwarzarbeit)
• Steuerrecht (z. B. Steuererklärung, Spenden; Stichwort: Tax-Compliance)
• Datenschutz gemäß DSGVO; Stichwort: IT-Compliance
• Arbeitssicherheit gemäß Arbeitsschutzgesetz, Arbeitsstättenverordnung
• Gesundheitsschutz
• Umweltrecht
• Öffentliches Recht
• Kartellgesetzgebung

Im Internet lassen sich zahlreiche Muster für Compliance-Richtlinien finden, eine allgemeine Vorgabe für den Inhalt und die Struktur eines solchen Dokuments existiert aber nicht. Stattdessen empfiehlt es sich, sämtliche Regeln genau an die individuellen Bedürfnisse und Gegebenheiten im Unternehmen anzupassen.

Ein möglicher Aufbau könnte der folgende sein:

1. Allgemeine Verhaltensregeln
2. Spezifische Sachverhalte (z. B. Geschenke an Geschäftspartner, Verhalten gegenüber Wettbewerbern, Gleichbehandlung von Mitarbeitern)
3. Ansprechpartner und Formalia für die Meldung von Verstößen
4. Dokumentationsmechanismen für Verstöße
5. Sanktionen (z. B. Er-/Abmahnung, Versetzung, (außer-)ordentliche Kündigung, Gehaltsreduzierung, Schadensersatz, polizeiliche Anzeige)

Einmal fertig, muss die Compliance-Richtlinie offen im gesamten Unternehmen kommuniziert werden. Dies geschieht etwa mittels Rundschreiben, Veröffentlichung im Intranet und Informationsveranstaltungen. Durch regelmäßige Schulungen müssen sämtliche Unternehmensbeteiligten (auch Vertragspartner und Lieferanten) für die neue Compliance-Kultur sensibilisiert werden. Unabdingbar ist zudem eine arbeitsvertragliche Verpflichtung aller Mitarbeiter mithilfe entsprechender Ergänzungsklauseln.

Viele Unternehmen entscheiden sich außerdem dazu, eine aufs Wesentliche reduzierte Version ihrer Compliance-Richtlinie in Form eines „Code of Conduct“ oder „Mission Statement“ auf ihrer Internetpräsenz zu platzieren. Zusammen mit einem offiziellen CMS-Zertifikat (z. B. vom TÜV oder von einem Privatzertifizierer wie Pro Honore e. V.) kann solch ein öffentliches Bekenntnis dazu dienen, das Vertrauen von Kunden und Geschäftspartnern zu stärken und im Kontext von „Employer Branding“ Bewerber anzuziehen. Das Wichtigste ist aber, dass die Führungsverantwortlichen stets mit einem guten Beispiel vorangehen und die Compliance-Kultur nach innen und nach außen vorleben.

Zwar liegen die Hauptverantwortung sowie die volle Haftbarkeit bezüglich Regelkonformität grundsätzlich bei der Unternehmensführung, selbige kann das Compliance-Tagwerk aber an einen einzelnen Chief-Compliance-Officer bzw. ein ganzes Compliance-Team (wie bei der Schweizer Bank UBS) delegieren.

Diese sind dann u. a. für die folgenden Aufgaben verantwortlich:

• Implementierung und Umsetzung des CMS
• Organisation und Durchführung von Schulungen
• Kontinuierliche Qualitätskontrolle
• Mitarbeiterbefragungen
• Überwachung von Gesetzesänderungen
• Anpassung, Erweiterung und Weiterentwicklung des CMS wenn nötig
• Dokumentation von Verstößen
• Regelmäßiges Reporting an das Management

Solch ein komplexer Aufgabenbereich verlangt fachkundiges und zugleich durchsetzungsfähiges Personal, weshalb beim Recruiting besondere Sorgfalt geboten ist. Der Compliance-Verantwortliche muss nicht unbedingt auf der höchsten Managementebene angesiedelt sein, sollte aber eine direkte, konsistente und möglichst kurze Kommunikationsverbindung zu ihr unterhalten, um effektiv arbeiten zu können. Nur so wird gewährleistet, dass die Compliance-Bemühungen am Ende fruchten.

Der Nutzen und die Ziele von Compliance-Maßnahmen sind angesichts bestehender Gesetze und der gesellschaftlichen Verantwortung von Unternehmen offenkundig. Das ändert aber nur wenig daran, dass das Konzept in manchen Führungsriegen einen eher zweifelhaften Ruf genießt – nämlich den, bewährte Praktiken auf unangenehme Weise infrage zu stellen und somit die Geschäftsaktivität zu behindern.

Das Hauptproblem sehen viele in der inhärenten Komplexität und der Wandelbarkeit des Compliance-Begriffs. Unternehmen, insbesondere global agierende, sehen sich einer regelrechten Flut aus nationalen und internationalen sowie branchenspezifischen Regeln und Verboten ausgesetzt. Hinzu kommen Themen aus dem gesellschaftlichen Diskurs, die sich ebenfalls ständig verändern. Das führt dazu, dass umfassende Compliance-Management-Systeme häufig nur in großen Konzernen zu finden sind, während das Thema in kleinen und mittleren Unternehmen oft nur zweitrangig behandelt wird.

Umso wichtiger (und dringender) ist es, alle Verantwortlichen im Unternehmen für Regelkonformität zu sensibilisieren und einen ausgebildeten und erfahrenen Compliance-Officer zu beauftragen, der den Herausforderungen des Berufsbildes und der Reserviertheit so mancher Manager gewachsen ist.

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.