Com­pli­ance ist mehr als nur Gesetze einhalten

„Ver­hal­ten im Ein­klang mit gel­ten­dem Recht“ – das ist eine der gän­gi­gen Be­schrei­bun­gen von Com­pli­ance. Com­pli­ance be­deu­tet mehr: nämlich den Grad der Ein­hal­tung von Regeln (Re­gel­kon­for­mi­tät). Wer „com­pli­ant“ (engl. für über­ein­stim­mend) ist, hält sich nicht nur an Recht, Gesetz und Ordnung, sondern idea­ler­wei­se auch an die Leit­li­ni­en und das Wer­te­sys­tem der eigenen Organisation.

Der Begriff Com­pli­ance ist noch relativ jung in seiner Ver­wen­dung für die Rechts­treue von Un­ter­neh­men und Be­trie­ben. Eine Selbst­ver­ständ­lich­keit ist es al­ler­dings, dass Un­ter­neh­men Gesetze ein­hal­ten müssen. Vor­stän­de und Ge­schäfts­füh­rer haben die Sorg­falt eines ord­nungs­ge­mä­ßen Ge­schäfts­lei­ters an­zu­wen­den (§ 93 Abs. 1 AktG, § 43 Abs. 1 GmbHG). Dies be­deu­tet nichts anderes, als dass sie dafür Sorge tragen müssen, dass das Un­ter­neh­men die gel­ten­den Gesetze einhält.

Also alter Wein in neuen Schläuchen?
Die er­wähn­ten Pa­ra­gra­phen des AktG und GmbHG sind schließ­lich nicht neu. Nicht ganz. Neu ist die Her­an­ge­hens­wei­se, die Aufgabe „com­pli­ant“ zu werden und zu sein. Es bedarf ein „Ma­nage­ment­sys­tem“ – vor allem vor dem Hin­ter­grund der sich än­dern­den Gesetze, wie bei­spiels­wei­se die Än­de­rung im Da­ten­schutz­recht mit der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) im Mai 2018 oder das neue Ge­schäfts­ge­heim­nis­ge­setz (GeschGehG) im April 2019.

Die recht­li­chen Risiken nehmen also zu durch:
–       dy­na­mi­sche Än­de­rung des re­gu­la­to­ri­schen Umfelds auf in­ter­na­tio­na­ler und na­tio­na­ler Ebene
–       extra-ter­ri­­to­ria­­le Wirkung aus­län­di­scher Normen (z. B. FCPA, UK Bribery Act, Loi Sapin II)
–       Aus­wei­tung der Haftung von Un­ter­neh­men und Ge­schäfts­lei­ter durch Ge­setz­ge­ber, Ge­rich­te und Behörden.

Die neue Her­an­ge­hens­wei­se ist somit eine Antwort auf ein sich laufend ver­än­dern­des Umfeld. Die Straf­vor­schrif­ten haben sich ver­schärft. Ge­rich­te gehen viel härter gegen Wirt­schafts­kri­mi­na­li­tät vor. Dies ist auch dem Umstand ge­schul­det, dass Medien und die Öf­fent­lich­keit von z.B. Kor­rup­ti­on und Vor­teils­nah­me viel stärker Notiz nehmen als noch vor ein paar Jahren.

Un­ter­neh­me­ri­sches Handeln ist stets mit Risiko verbunden.
Ob neue Pro­duk­te er­folg­reich am Markt be­stehen können, ob sich In­ves­ti­ti­ons­ent­schei­dun­gen letzt­lich aus­zah­len oder wie sich externe Rah­men­be­din­gun­gen ent­wi­ckeln, vieles hängt von einer be­wuss­ten In­kauf­nah­me be­stimm­ter Risiken durch die Un­ter­neh­mens­lei­tung ab, ohne die er­folg­rei­ches Wirt­schaf­ten nicht möglich wäre.^[1]

Waren Buffet sagte „It takes 20 years to build a re­pu­ta­ti­on and five minutes to ruin it. If you think about that, you’ll do things dif­fer­ent­ly.” Ein Auf- und Ausbau eines Com­­pli­­an­ce-Systems ist für Un­ter­neh­men heute un­er­läss­lich – um Risiken zu er­ken­nen, zu mi­ni­mie­ren und um vorzubeugen.

Im Com­pli­ance geht es aber um viel mehr als „nur“ um die Ein­hal­tung von Ge­set­zen, die Mi­ni­mie­rung von Risiken und die Ver­mei­dung von Ge­set­zes­ver­stö­ßen. Sie be­inhal­tet neben ver­pflich­ten­den Regeln auch solche, denen sich eine Un­ter­neh­mung frei­wil­lig un­ter­wirft, wie zum Bei­spiel Stan­dards, Ver­hal­tens­re­geln oder Ver­hal­tens­ko­dex (Code of Contact).

„Wie“ ge­stal­tet man ein Compliance-System?
Hin­sicht­lich des „Wie“ zur Aus­ge­stal­tung eines Com­­pli­­an­ce-Ma­­na­ge­­men­t­­sys­­tems (CMS) besteht in Deutsch­land keine ge­setz­li­che Vorgabe (ab­ge­se­hen von be­stimm­ten Bran­chen z. B. Ban­ken­sek­tor). Im Rahmen der „Busi­ness Judgment Rule“ besteht ein Er­mes­sen bei der Aus­ge­stal­tung, welches in­di­vi­du­ell genutzt werden sollte. Die Com­­pli­­an­ce-Or­­ga­­ni­­sa­­ti­on – der Aufbau, der Umfang und die Aus­ge­stal­tung – hängt von der Fir­men­kul­tur ab sowie u. a. auch von Kri­te­ri­en wie der Um­satz­grö­ße, Ri­si­ko­ex­po­si­ti­on, zen­tra­ler oder de­zen­tra­ler Un­ter­neh­mens­struk­tur. Sie und richtet sich nach den in­di­vi­du­el­len Be­son­der­hei­ten des Unternehmens.

Dabei sollte das Ziel des Com­­pli­­an­ce-Systems nicht aus den Augen ver­lo­ren gehen: Ziel eines wirk­sa­men CMS ist der Schutz von Mit­ar­bei­tern, Füh­rungs­kräf­ten und Stake­hol­dern. Für ein er­folg­rei­ches Com­­pli­­an­ce-System ist die Un­ter­neh­mens­lei­tung daher sehr wichtig. Maß­geb­lich ist au­ßer­dem die Vor­bild­funk­ti­on von Fach- und Füh­rungs­kräf­ten sowie den Lei­tungs­or­ga­nen, die Kom­mu­ni­ka­ti­on von Werten und das kom­pro­miss­lo­se Sank­tio­nie­ren von „Non-Com­­pli­­an­ce“.

Nicht-be­­fol­­gen („Non-Com­­pli­­an­ce“) hat Konsequenzen.
Für den Ein­zel­nen, z. B. Ab­mah­nung und Ent­las­sung, aber auch für die ganze Or­ga­ni­sa­ti­on, z. B. Sank­tio­nen, Bußgeld, Re­pu­ta­ti­ons­ver­lust. Com­pli­ance ist eine zen­tra­le Vor­aus­set­zung für lang­fris­ti­gen und nach­hal­ti­gen un­ter­neh­me­ri­schen Erfolg. Ver­läss­lich­keit, Kon­ti­nui­tät und Ver­trau­en können in einem Un­ter­neh­men nur be­stehen, wenn sich dieses deut­lich, auch nach außen, zu Com­pli­ance bekennt.

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: per E-Mail consulting@AdOrgaSolutions.de.

(Autorin Regina Mühlich: Als Ex­per­tin für Daten­schutz, Da­ten­­­schutz-Au­­di­­to­rin sowie Com­pli­ance Officer berät und un­ter­stützt sie Un­ter­neh­men im Bereich Daten­schutz, Com­pli­ance und Qualitäts­management in Deutsch­land, Ös­ter­reich sowie der Schweiz. Sie ist Lehr­be­auf­trag­te an der Hoch­schu­le Furt­wan­gen und Vor­stands­mit­glied des Be­rufs­ver­ban­des für Datenschutz­beauftragte Deutsch­land (BvD) e. V.)

16. Sep­tem­ber 2019

^[1] Moos­may­er, K., Com­pli­ance, 2015, 3. Auflage, C. H. Beck Verlag, München