Compliance Management im Unternehmen. Martin R. Schulz
und Praxisnähe zu achten, Juristen sind hier vor allem als „Übersetzer“ komplexer Rechtsthemen in alltagstaugliche und nachvollziehbare Zusammenhänge gefragt. Andererseits ist dringend anzuraten, Compliance nicht pauschal als Funktion der „Geschäftsverhinderung“ darzustellen. In Fällen, in denen Geschäfte und Transaktionen aus Compliance-Gründen nicht durchgeführt werden dürfen, müssen die Gründe daher nachvollziehbar und konsistent erklärt werden.312 Soweit sie möglich sollte ferner eine positive Vorstellung davon vermittelt werden, unter welchen Bedingungen ein abgelehntes Geschäft entweder in eingeschränktem Umfang oder nach inhaltlicher Änderung zulässig sein könnte.313
cc) Aktualisierung und Anpassung der Fortbildungsformate
80
Aufgrund des oben beschriebenen komplexen und dynamischen regulatorischen Umfelds müssen die Schulungs- und Fortbildungsinhalte regelmäßig aktualisiert und fortlaufend an neue Rechtsentwicklungen angepasst werden. Nur so erhalten die Unternehmensangehörigen die Möglichkeit, sich regelmäßig auf ein geändertes rechtliches Umfeld einzustellen, um Compliance-Risiken erkennen und vermeiden zu können. Zur Erläuterung aktueller Compliance-Themen und der Klärung von Zweifelsfragen trägt ferner die Einrichtung einer Beratungsstelle („Compliance-Helpline“) bei, an die sich alle Unternehmensangehörigen in Compliance-Fragen wenden können.314
dd) Aktive Einbeziehung der Unternehmensangehörigen
81
Um einen direkten Unternehmensbezug der Compliance-Schulungen und Fortbildungsformate zu gewährleisten, bietet sich die (selektive) Einbeziehung von Unternehmensangehörigen bei der Entwicklung und Durchführung von Schulungsmaßnahmen an.315 Diese aktive Einbeziehung, etwa durch Repräsentanten unterschiedlicher Unternehmenseinheiten, fördert die Attraktivität und Akzeptanz der Fortbildungsformate, da diese weniger als von „oben verordnet“ als vielmehr als „Eigenentwicklung“ wahrgenommen werden. Die gezielte Beteiligung ausgewählter Mitarbeiter und Führungskräfte an der Entwicklung und Durchführung von Compliance-Schulungen ist gleichzeitig ein wichtiger Beitrag zu Förderung der Compliance-Kultur.
b) Anreize für Compliance
82
Im Rahmen der Compliance-Strategie ist auch zu erwägen, positive Anreize für regeltreues und integres Verhalten zu schaffen.316 Hierfür gibt es zahlreiche Möglichkeiten, wie die Aufnahme von Compliance-Themen in Leistungs- und Zielvereinbarungen, die Nominierung ausgewählter Unternehmensangehöriger als sog. „Compliance-Botschafter“ oder die Gestaltung besonderer Workshops zu Compliance-Themen.317 Entscheidend ist, dass Mitarbeiter mit einem regelkonformen und integren Verhalten Karriere machen können318 und nicht etwa falsche Anreize bestehen, die Fälle von Non-Compliance begünstigen (etwa im Sinne unreflektierter finanzieller Zielvorgaben).319 Compliance-gerechte und integre Verhaltensweisen (sowie deren Wertschätzung durch die Unternehmensleitung) müssen darüber hinaus fester Bestandteil der Aus- und Fortbildung von Unternehmensangehörigen sein.320
5. Integration von Compliance-Themen in die Geschäftsprozesse
83
Ein weiterer Erfolgsfaktor für funktionierendes Compliance Management ist die Integration von Compliance-Themen und Maßnahmen in die Geschäftsprozesse. In kleineren und mittelständischen Unternehmen ist diese Verankerung von essenzieller Bedeutung, da spezialisierte Funktionen zur Wahrnehmung von Compliance-Aufgaben wie Rechtsabteilung, Risikomanagement oder Revision häufig fehlen. Wie im Zusammenhang mit dem Risikomanagement (und dem GRC-Ansatz) ausgeführt,321 ist die proaktive Einbeziehung der operativen Einheiten (als sog. „first line of defense“) wichtig, da die dort tätigen Mitarbeiter als „Process Owner“ jeweils über umfangreiches Wissen über die spezifischen Compliance-Risiken verfügen. So kann es sich etwa zur Steuerung der Compliance-Risiken im operativen Betrieb empfehlen, durch spezifische Risikoanalysen und Kontrollen bestimmte Prozesse mit besonderen Compliance-Risiken (z.B. im Einkauf und Vertrieb) systematisch daraufhin zu untersuchen, inwieweit gegen bestehende Regeln verstoßen werden könnte (z.B. bei der Vergabe von Aufträgen im Einkaufsprozess).322 Je nach Untersuchungsergebnis können dann spezifische Maßnahmen zur Prävention von Fehlverhalten eingeführt werden, wie beispielsweise besondere Kontroll-, Dokumentations- oder Freigabeprozesse.323 Bei der Zusammenarbeit mit Lieferanten kann es sich anbieten, diese durch einen Auswahlprozess (unter Einbeziehung von Compliance- und Integritätsaspekten) zu selektieren und durch einen separaten Verhaltenskodex auf rechtskonformes Verhalten und bestimmte ethische Grundsätze zu verpflichten.324
84
Im Zusammenhang mit den Geschäftspartnern des Unternehmens empfiehlt sich die Durchführung einer sog. „Third Party Due Diligence“ vor Abschluss von Transaktionen.325 Dieses besondere Verfahren zur Einschätzung und Steuerung von Compliance-Risiken spielt angesichts der Integration vieler Unternehmen in komplexe Wertschöpfungsketten326 und damit verbundenen Verantwortungszuweisungen eine immer größere Rolle.
6. Koordination der Zusammenarbeit mit anderen Unternehmensfunktionen
85
Wie gezeigt, gibt es für die Wahrnehmung von Compliance-Aufgaben kein einheitliches Modell, sondern – je nach Unternehmenssituation – viele unterschiedliche Gestaltungen, bei denen häufig andere Unternehmensfunktionen (z.B. Rechtsabteilung, Risikomanagement und interne Revision) oder Unternehmensbeauftragte (z.B. Datenschutzbeauftragte, Arbeitssicherheitsbeauftragte, Exportkontrollbeauftragte) bestimmte Compliance-Aufgaben (mit-)erfüllen.327 Im Hinblick auf die Wirksamkeit des Compliance Managements ist eine effiziente Koordination der verschiedenen Kompetenzen und Aktivitäten wichtig (sog. „Schnittstellenmanagement“).328 Dabei ist darauf zu achten, dass im Unternehmen vorhandene Erfahrungen und Kompetenzen zu Compliance-Fragen abteilungsübergreifend erfasst und integriert werden.329
7. Einrichtung von wirksamen Kontrollen und Feedback-Prozessen
86
Um sicherzustellen, dass die relevanten Compliance-Regeln und Prinzipien in allen Unternehmensbereichen und von allen Unternehmensangehörigen tatsächlich eingehalten werden, ist eine systematische Überwachung und Kontrolle unabdingbar – das Compliance-System ist nur so gut wie seine beste Kontrolle.330 Dabei ist zunächst zu beachten, dass die primäre Kontroll- und Überwachungspflicht grundsätzlich bei der Geschäftsleitung verbleibt, einzelne Kontroll- und Überwachungsaufgaben können aber an den Compliance Officer delegiert werden.331 Umfang und Ausgestaltung der erforderlichen Aufgaben und Maßnahmen richten sich wiederum nach den individuellen Besonderheiten des Unternehmens und dessen Compliance-Risiko-Struktur.332 Jedoch ist stets darauf zu achten, dass die entsprechenden Kontrollmaßnahmen regelkonform sind: Bei Kontrollen sind fast immer personenbezogene Daten betroffen, so dass beispielsweise die Vorgaben des Datenschutzrechts zu berücksichtigen sind.333
8. Aufklärung von Verstößen und Bedeutung von Hinweisgebersystemen
87
Auch die Aufdeckung und Aufklärung von Compliance-Verstößen ist ein wichtiges Element des Compliance Managements.334 Denn einerseits gibt es in jedem Unternehmen Fälle vorsätzlicher Regelverletzungen, andererseits kann auch die beste Schulung fahrlässige Regelverstöße nicht absolut ausschließen. Zur Aufdeckung von Regelverletzungen nutzen viele Unternehmen sog. Hinweisgebersysteme (durch den Einsatz von Ombudspersonen oder durch sog. „Whistleblowing-Systeme“).335 Dadurch sollen die Unternehmensangehörigen die Möglichkeit anonymer Hinweise auf Regelverstöße erhalten.336 Die Ausgestaltung im Einzelnen richtet sich nach den Besonderheiten des jeweiligen Unternehmens, in jedem Fall ist auch bei der Ausgestaltung von Hinweisgebersystemen die Einhaltung