Compliance Management im Unternehmen. Martin R. Schulz
Da das System nach § 91 Abs. 2 AktG zumindest teilweise mit einem Compliance-Verfahren identisch ist, sind Teilaspekte des Compliance Managements so zu aktualisieren, dass sie nicht bei der jährlichen Prüfung durch den Wirtschaftsprüfer beanstandet werden können.247 Bei kleineren Gesellschaften kann dagegen eine Überprüfung in größeren Abständen ausreichend sein, etwa wenn das Umfeld des Unternehmens keinen größeren Änderungen unterworfen ist und es auch in der Vergangenheit nicht zu Fällen von „Non-Compliance“ im Unternehmen gekommen ist.248 Für alle Unternehmen können sich allerdings besondere Anforderungen an ein Compliance-Audit aus einzelnen Rechtsgebieten ergeben, beispielsweise erfordert der Datenschutz eine Folgeabschätzung und ein spezielles Audit.249
d) Klärung von Zuständigkeiten und Delegationsfragen
65
Wie oben ausgeführt, ist die Compliance-Pflicht eine besondere Ausprägung der Leitungssorgfaltspflicht der Geschäftsleiter.250 Compliance ist „Chefsache“251 – dementsprechend verbleibt ein unveräußerlicher Kernbereich der Compliance-Pflicht stets bei der Geschäftsleitung.252 In diesem Rahmen muss sie dafür sorgen, dass eindeutige Zuständigkeiten, Verantwortungsbereiche und Berichtswege für Compliance-Maßnahmen bestehen.253 Während etwa in der kleinen und mittelständischen GmbH mit einem (Allein-)Geschäftsführer dieser meist höchstpersönlich die Compliance-Verantwortung wahrnimmt, werden in größeren Unternehmen Compliance-Aufgaben an eines von mehreren Geschäftsleitungsmitgliedern übertragen (sog. horizontale Delegation).254 In großen Unternehmen und Konzernen werden Compliance-Aufgaben häufig an sog. Compliance Officer oder andere Unternehmenseinheiten (wie Rechtsabteilung, Risikomanagement oder Interne Revision) delegiert (sog. vertikale Delegation).255
66
In jedem Fall sind die allgemeinen rechtlichen Anforderungen an eine wirksame Delegation zu beachten: Danach führt eine Delegation von Aufgaben nicht zu einer vollständigen Pflichtbefreiung der übertragenden Personen, vielmehr wandelt sich ihre Pflicht in eine Kontroll- und Überwachungspflicht um: Bei einer horizontalen Delegation an einzelne Geschäftsführungsmitglieder müssen die übrigen Geschäftsführungsmitglieder die Aufgabenwahrnehmung ihrer Kollegen beobachten und sind verpflichtet, im Fall von Compliance-Verstößen zu intervenieren.256 Im Fall der vertikalen Delegation von Compliance-Aufgaben (z.B. an Compliance Officer) verbleiben bei den Auftraggebern bestimmte Auswahl-, Instruktions- und Überwachungspflichten, d.h. die jeweiligen Auftragnehmer müssen sorgfältig ausgewählt, eingearbeitet und kontrolliert werden.257
e) Eigenständige und unabhängige Positionierung der Compliance Officer
67
Angesichts der vielfältigen Rechtspflichten und daraus resultierenden Compliance-Risiken empfiehlt es sich für viele Unternehmen, eine eigene Stelle für Compliance Management bzw. einen Compliance Officer zu etablieren, der die vielfältigen Anforderungen im Rahmen eines eigenständigen Aufgabenbereichs koordiniert.258 Soweit Unternehmen Compliance Officer beschäftigen, spielen diese bei der Einführung und der dauerhaften Implementierung des Compliance Managements eine Schlüsselrolle. Das Aufgabenspektrum der Compliance Officer ist vielfältig,259 dennoch lassen sich einige typische Aufgaben beschreiben, die unabhängig von den Besonderheiten des jeweiligen Unternehmens oder speziellen Branchenvorgaben gelten und sich an den Zielen und Funktionen von Compliance Management orientieren.260 Zu diesen Aufgaben der Compliance Officer gehört die umfassende Beratung der Geschäftsleitung hinsichtlich aller für das Unternehmen relevanter Normen (Gesetze, Richtlinien und Verhaltensstandards) und hinsichtlich der Prävention bzw. Evaluierung sowie Bewältigung von Compliance-Risiken.261 Eine weitere wichtige Aufgabe besteht in der Steuerung von relevanten Informationsflüssen (Informations- und Wissensmanagement).262 Der Compliance Officer fungiert dabei als „Informationsschnittstelle“.263 Dabei sollte der Compliance Officer einerseits alle relevanten Informationen bzw. entsprechende Informationszugriffsrechte in Bezug auf Compliance-Themen erhalten.264 Ein funktionierendes Informations- und Wissensmanagement ist auch die Grundlage für die erfolgreiche Kommunikation von Compliance-Themen und entsprechende Schulungsmaßnahmen.265 Zu den Aufgaben der Compliance Officer gehören ferner Überwachungs- und Kontrollpflichten bezüglich Compliance-relevanter Vorgaben sowie Berichts- und Dokumentationspflichten hinsichtlich aller Compliance-Themen.266
f) Förderung und Incentivierung von Regeltreue (Compliance-Kultur)
68
Für den Erfolg von Compliance-Maßnahmen und Compliance-Management-Systemen gilt die sog. Compliance-Kultur als wichtiger Erfolgsfaktor.267 Auch der vom Institut der Wirtschaftsprüfer veröffentlichte IDW PS 980268 nennt die Compliance-Kultur als erstes Grundelement für die Bewertung der Angemessenheit und Wirksamkeit eines CMS.269 Die Compliance-Kultur behandelt die Frage, inwieweit Rechtstreue bzw. Regelbefolgung als Wert von allen Organisationsangehörigen akzeptiert, geachtet und getragen wird.270 Sie indiziert die Bereitschaft zu regelkonformem und integrem Verhalten ebenso wie die Toleranz oder Indifferenz gegenüber Regelverstößen.271 Die Beachtung und Einhaltung von Regelungen steht in engem Zusammenhang mit der Unternehmenskultur als der Gesamtheit gemeinsamer Werte, Normen, Traditionen und Einstellungen, welche die Entscheidungen und das Verhalten der Organisationsmitglieder prägen.272 Die Prägung der Unternehmenskultur wird als zentrales Element des sogenannten „normativen Managements“ angesehen und ist Teil der Unternehmensstrategie.273 Im Hinblick auf die Compliance-Kultur kommt es dementsprechend darauf an, die richtigen Rahmenbedingungen und Anreize für ein regelkonformes Verhalten der Unternehmensangehörigen zu setzen.274
aa) Compliance Commitment durch die Unternehmens- und Verbandsleitung
69
Es besteht Konsens, dass die Compliance-Kultur maßgeblich durch die Grundeinstellungen und Verhaltensweisen der Mitglieder der Leitungsorgane (Geschäftsleitung und ggf. Aufsichtsorgan) geprägt wird.275 Für den Erfolg des Compliance Managements ist daher ausschlaggebend, dass die Unternehmensleitung selbst von Sinn und Notwendigkeit der Compliance-Maßnahmen überzeugt ist. Diese Überzeugung muss in jeder Kommunikation, aber auch im Verhalten eines jeden Mitglieds der Unternehmensleitung ihren Ausdruck finden („tone at the top“).276 Für die Entwicklung einer Compliance-Kultur ist es sodann wichtig, dass die Mitglieder der Geschäftsleitung die eigene Überzeugung von Sinn und Notwendigkeit des Compliance Managements in das Unternehmen transportieren – „gelebte Compliance“ bedeutet insoweit vor allem „vorgelebte Compliance“. So sollte die Bedeutung von Compliance konsequent an alle Unternehmensangehörigen (Führungskräfte und Mitarbeiter) vermittelt, aber auch an sonstige Bezugsgruppen (Mitarbeiter, Kunden, Lieferanten, Investoren) eindeutig und unmissverständlich kommuniziert werden („Tone from the Top“).277 Das authentische „Commitment“ zu Compliance und Integrität, also ein ausdrücklich formuliertes und kommuniziertes Bekenntnis der Unternehmensleitung, bildet ein zentrales Element zur Förderung einer Compliance-Kultur.278 Für die Glaubwürdigkeit ist entscheidend, dass Regeltreue und Integrität auch und insbesondere in Zweifelsfällen stets den Vorrang genießen und nicht aus Opportunitätsgründen anderen Interessen geopfert werden. Hinzukommen sollte die Selbstverpflichtung der Unternehmensleitung, Regelverletzungen keinesfalls tatenlos hinzunehmen, sondern festgestellte Verstöße ausnahmslos und angemessen zu sanktionieren.279 Umgekehrt sollte regelkonformes und integres Verhalten der Unternehmensangehörigen, das sich in Konfliktsituationen bewährt, besonders honoriert werden – die Geschäftsleitung sollte hierfür ein entsprechendes Anreizsystem konzipieren.280 Insgesamt sollte deutlich werden, dass im Interesse eines regelkonformen und integren Verhaltens im Zweifelsfall auch wirtschaftliche Einbußen in Kauf genommen werden müssen.281
70
Eine Chance, das besondere Compliance-Commitment zu verdeutlichen, liegt in der Formulierung des Unternehmensleitbilds („Mission Statement“) etwa in der Weise, dass der unternehmerische Erfolg stets auf der Achtung rechtlicher Vorgaben