© AdOrga
von Regina Mühlich
„Verhalten im Einklang mit geltendem Recht“ – das ist eine der gängigen Beschreibungen von Compliance. Compliance bedeutet mehr: nämlich den Grad der Einhaltung von Regeln (Regelkonformität). Wer „compliant“ (engl. für übereinstimmend) ist, hält sich nicht nur an Recht, Gesetz und Ordnung, sondern idealerweise auch an die Leitlinien und das Wertesystem der eigenen Organisation.
Der Begriff Compliance ist noch relativ jung in seiner Verwendung für die Rechtstreue von Unternehmen und Betrieben. Eine Selbstverständlichkeit ist es allerdings, dass Unternehmen Gesetze einhalten müssen. Vorstände und Geschäftsführer haben die Sorgfalt eines ordnungsgemäßen Geschäftsleiters anzuwenden (§ 93 Abs. 1 AktG, § 43 Abs. 1 GmbHG). Dies bedeutet nichts anderes, als dass sie dafür Sorge tragen müssen, dass das Unternehmen die geltenden Gesetze befolgt.
Also alter Wein in neuen Schläuchen?
Die erwähnten Paragraphen des AktG und GmbHG sind schließlich nicht neu. Nicht ganz. Neu ist die Herangehensweise, die Aufgabe, „compliant“ zu werden und zu sein. Es bedarf eines „Managementsystems“ – vor allem vor dem Hintergrund der sich ändernden Gesetze, wie beispielsweise die Änderung im Datenschutzrecht mit der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 oder das neue Geschäftsgeheimnisgesetz (GeschGehG) im April 2019.
Die rechtlichen Risiken nehmen
also zu durch:
- dynamische Änderung des regulatorischen Umfelds auf internationaler und nationaler Ebene
- extra-territoriale Wirkung ausländischer Normen (z. B. FCPA, UK Bribery Act, Loi Sapin II)
- Ausweitung der Haftung von Unternehmen und Geschäftsleiter durch Gesetzgeber, Gerichte und Behörden
Die neue Herangehensweise ist somit eine Antwort auf ein sich laufend veränderndes Umfeld. Die Strafvorschriften haben sich verschärft. Gerichte gehen viel härter gegen Wirtschaftskriminalität vor. Dies ist auch dem Umstand geschuldet, dass Medien und die Öffentlichkeit von Korruption und Vorteilsnahme viel stärker Notiz nehmen als noch vor ein paar Jahren.
Unternehmerisches Handeln ist stets mit Risiko verbunden.
Ob neue Produkte erfolgreich am Markt bestehen können, ob sich Investitionsentscheidungen letztlich auszahlen oder wie sich externe Rahmenbedingungen entwickeln, vieles hängt von einer bewussten Inkaufnahme bestimmter Risiken durch die Unternehmensleitung ab, ohne die erfolgreiches Wirtschaften nicht möglich wäre. 1
Waren Buffet sagte: „It takes 20 years to build a reputation and five minutes to ruin it. If you think about that, you’ll do things differently.” Ein Auf- und Ausbau eines Compliance-Systems ist für Unternehmen heute unerlässlich – um Risiken zu erkennen, zu minimieren und zur Prävention/Vorbeugung.
In Compliance geht es aber um viel mehr als „nur“ um die Einhaltung von Gesetzen, die Minimierung von Risiken und die Vermeidung von Gesetzesverstößen. Sie beinhaltet neben verpflichtenden Regeln auch solche, denen sich eine Unternehmung freiwillig unterwirft, wie zum Beispiel Standards, Verhaltensregeln oder der Verhaltenskodex (Code of Contact).
„Wie“ gestaltet man ein Compliance-System?
Hinsichtlich des „Wie“ zur Ausgestaltung eines Compliance-Managementsystems (CMS) besteht in Deutschland keine gesetzliche Vorgabe (abgesehen von bestimmten Branchen, z. B. Bankensektor). Im Rahmen der „Business Judgment Rule“ besteht ein Ermessen bei der Ausgestaltung, welches individuell genutzt werden sollte. Die Compliance-Organisation – der Aufbau, der Umfang und die Ausgestaltung – hängt stark von der Firmenkultur, beispielsweise aber auch von den Kriterien der Umsatzgröße, Risikoexposition, einer zentralen oder dezentralen Unternehmensstruktur ab, richtet sich also nach den individuellen Besonderheiten des Unternehmens.
Dabei sollte man das Ziel des Compliance-Systems nicht aus den Augen verlieren: Ziel eines wirksamen CMS ist der Schutz von Mitarbeitern, Führungskräften und Stakeholdern. Für ein erfolgreiches Compliance-System ist die Unternehmensleitung daher sehr wichtig. Maßgeblich ist außerdem die Vorbildfunktion von Fach- und Führungskräften sowie von Leitungsorganen, ebenso die Kommunikation von Werten und das kompromisslose Sanktionieren von „Non-Compliance“.
Nicht-Befolgen („Non-Compliance“) hat Konsequenzen.
Für den Einzelnen, z. B. Abmahnung und Entlassung, aber auch für die ganze Organisation, z. B. Sanktionen, Bußgeld, Reputationsverlust. Compliance ist eine zentrale Voraussetzung für langfristigen und nachhaltigen unternehmerischen Erfolg. Verlässlichkeit, Kontinuität und Vertrauen können in einem Unternehmen nur bestehen, wenn dieses sich deutlich – auch nach außen – zu Compliance bekennt.
Kontakt: consulting(at)AdOrgaSolutions.de
Regina Mühlich ist Geschäftsführerin der Unternehmensberatung AdOrga Solutions GmbH. Sie unterstützt als Expertin für Datenschutz und als Compliance Officer nationale und internationale Unternehmen. Sie ist Autorin, Referentin sowie Vorstandsmitglied des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e. V.
Bildquelle: © AdOrga