Compliance Management im Unternehmen. Martin R. Schulz
von „Non-Compliance“ für Unternehmen und Verbände gravierend sind und (auch durch ihre Verknüpfung bzw. Kumulation) unternehmerische Aktivitäten und Geschäftsmodelle erheblich beeinträchtigen oder sogar vollständig vernichten können. Dies wird durch viele prominente Fälle von „Non-Compliance“ bei Unternehmen und Verbänden aus unterschiedlichen Branchen, mit unterschiedlichen Geschäftsmodellen und mit unterschiedlicher Größe und Struktur belegt.30 Dabei beruhen Regelverletzungen einerseits auf vorsätzlichem Fehlverhalten bzw. kriminellen Aktivitäten von Personen (z.B. in Fällen von Korruptionsvergehen oder Kartellrechtsverstößen).31 In anderen Fällen ist die Ursache von „Non-Compliance“ fahrlässiges Verhalten durch Verletzung von Sorgfaltspflichten oder aufgrund unzureichender Kenntnis von Regeln und Geboten.32 Normative Vorgaben werden zum Teil nicht richtig eingeschätzt oder ihre dynamische (Weiter-)Entwicklung wird nicht hinreichend beachtet.33
4. Funktionen von Compliance und Compliance Management
8
Die dargestellten Risiken und Nachteile aus „Non-Compliance“ zeigen, dass wirksame Compliance-Maßnahmen zur Vermeidung bzw. Reduzierung für alle Unternehmen und Verbände aktuell und relevant sind.34 Die proaktive Vermeidung bzw. Reduzierung von Regelverstößen ist in allen Unternehmen und Verbänden damit eine wichtige Führungs- und Organisationsaufgabe.35 Compliance Management erfüllt dabei die folgenden Funktionen:36 Compliance Management dient sowohl dem Schutz des Verbands vor zivilrechtlicher Haftung und strafrechtlichen Sanktionen als auch der Prävention bzw. Reduzierung persönlicher zivil- und strafrechtlicher Haftungsrisiken der Mitglieder der Leitungsorgane und der Mitarbeiter.37 Darüber hinaus zielen Compliance-Maßnahmen auch auf den Schutz vor Angriffen auf das Unternehmen sowie den Schutz der Unternehmensposition im Wettbewerb.38 Ferner dient Compliance dem Schutz der Reputation und des Vertrauens der Stakeholder in eine ordnungsgemäße und rechtskonforme Geschäftstätigkeit.39
9
Neben dieser präventiven Schutzfunktion ist auch die Risikomanagementfunktion wichtig, denn zwischen Compliance Management und Risikomanagement besteht ein enger Zusammenhang40: Das Risikomanagement mit seinen Methoden und Verfahren ist eine wichtige Erkenntnisquelle für die Identifikation und systematische Erfassung von Compliance-Risiken.41
10
Das Compliance Management erfüllt ferner eine wichtige Informations- und Beratungsfunktion,42 welche sowohl die Beratung der Unternehmensleitung zur Steuerung von Compliance-Risiken durch organisatorische Maßnahmen43 als auch die Organisation der Beratung aller Unternehmensangehörigen in allen relevanten Compliance-Fragen umfasst.44 Da zu den notwendigen organisatorischen Maßnahmen auch die kontinuierliche Überwachung und Kontrolle relevanter Normen und Regeln zählt,45 erfüllt Compliance ferner eine Monitoring-Funktion.46 Durch die systematische Erfassung von Rechts- und Compliance-Risiken, die kontinuierliche Beobachtung neuer rechtlicher Entwicklungen und deren Auswirkungen auf das Compliance-System hat das Compliance Management im Unternehmen zudem eine Qualitätssicherungs- und Innovationsfunktion.47 Indem ein wirksames Compliance Management dazu beiträgt, Normverstöße zu verhindern bzw. zu reduzieren, fördert es die Glaubwürdigkeit des Unternehmens bei seinen Mitarbeitern, Kunden, Geschäftspartnern und sonstigen Stakeholdern und erfüllt damit eine Marketing-Funktion.48
5. Permanente Aufgabe im dynamischen regulatorischen Umfeld
11
Die Flut der rechtlichen Vorgaben und Anforderungen betrifft alle Unternehmensbereiche und speist sich aus allen Quellen des Zivilrechts, des öffentlichen Rechts und des Strafrechts.49 Die Sicherstellung rechtskonformer Tätigkeit durch Compliance Management ist anspruchsvoll, denn mit jeder Art der unternehmerischen Tätigkeit sind vielfältige rechtliche Anforderungen verbunden. Das gilt für steuerrechtliche sowie arbeits- und sozialversicherungsrechtliche Erfordernisse, ebenso wie für besondere Pflichten im Falle von Zahlungsunfähigkeit und Insolvenz.50 Auch Korruption und Kartellrechtsverstöße zählen für viele Verbände zu den zentralen Compliance-Risiken ihrer Geschäftstätigkeit.51 Auch in vielen Bereichen der Unternehmensfinanzierung bestehen komplexe Rechts- und Compliance-Risiken.52 Hinzu kommen neue bzw. erweiterte Rechtspflichten aus neuen Gesetzen und Regelungsvorhaben. So hat die Datenschutzgrundverordnung (DSGVO) von 201853 das für alle Unternehmen geltende Pflichten- (und Sanktions-)Spektrum in Bezug auf die Beachtung und Umsetzung datenschutzrechtlicher Vorgaben erheblich erweitert.54 Über Datenschutzerfordernisse hinausgehend wirft die Digitalisierung weitere Rechtsfragen und damit verbundene besondere Compliance-Risiken auf, etwa im Hinblick auf den rechtssicheren Einsatz sog. „Smart Contracts“ oder der Haftung für autonome Systeme.55 Die Gewährleistung einer funktionierenden IT-Sicherheitsstruktur stellt sich im Zeitalter von „Big Data“ als eine komplexe und anspruchsvolle Daueraufgabe des Compliance Managements dar,56 insbesondere hinsichtlich der Gewährleistung einer nachhaltigen Cyber-Security.57 Immer wichtiger wird für Unternehmen und Verbände ferner die Prävention und Kontrolle von Geldwäsche-Risiken (nicht zuletzt im Zusammenhang virtueller Währungen).58 Die Erfüllung der damit verbundenen umfangreichen gesetzlichen Compliance-Pflichten reicht inzwischen weit über den Finanzdienstleistungssektor hinaus und erfasst unter anderem sog. Güterhändler.59 Zudem sieht ein neuer Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz eine erhebliche Ausweitung des Geldwäschestraftatbestands (§ 261 StGB) vor.60 Um die Effektivität der Strafverfolgung von Geldwäsche-Delikten zu erhöhen, sollen zukünftig Vermögenswerte aus sämtlichen Straftaten Gegenstand einer Geldwäsche sein können. Dadurch wird das Risiko einer Geldwäschestrafbarkeit und damit die Bedeutung geeigneter Präventionsmaßnahmen deutlich erhöht.
12
Herausforderungen bringt für viele Unternehmen auch die EU-Whistleblower-Richtlinie mit sich, die bis zum 17.12.2021 in deutsches Recht umzusetzen ist.61 Danach werden juristische Personen ab bestimmten Schwellenwerten (z.B. Unternehmen ab 50 Arbeitnehmern und Gemeinden ab 10.000 Einwohnern) u.a. verpflichtet sein, Hinweisgebersysteme einzurichten und hierfür interne Meldekanäle vorzuhalten. Diverse Einzelfragen wie etwa der Schutzumfang für den Hinweisgeber sind noch nicht abschließend geklärt: Dies gilt insbesondere im Hinblick auf (konfligierende) Pflichten zur Vertraulichkeit nach dem Geschäftsgeheimnisgesetz (GeschGehG), da auch Informationen zu etwaigen Rechtsverstößen als Geschäftsgeheimnisse angesehen werden können.62 Das Geschäftsgeheimnisgesetz, das am 26.4.2019 in Kraft getreten ist, verpflichtet Unternehmen zu angemessenen Geheimhaltungsmaßnahmen in Bezug auf Geschäftsgeheimnisse (§ 2 Nr. 1 lit. b GeschGehG) und erweitert damit ebenfalls den Katalog erforderlicher Compliance-Maßnahmen.63
13
Rechts- und Compliance-Risiken sind ferner bei Wachstumsstrategien, etwa beim Erwerb von Unternehmen und Restrukturierungsmaßnahmen oder beim Eintritt in Joint Ventures zu beachten („Compliance Due Diligence“).64 Dabei gewinnt auch die proaktive Compliance-Kontrolle von Geschäftspartnern, Vertriebsmittlern und sonstigen Intermediären immer größere Bedeutung („Business Partner Compliance“).65
14
Exportorientierte Unternehmen müssen zahlreiche Vorgaben des Außenwirtschaftsrechts sowie im anwendbaren Umfang auch die Normen anderer Rechtsordnungen beachten.66 Zu zahlreichen nationalen Vorgaben und solchen des Unionsrechts kommen darüber hinaus normative Anforderungen anderer Rechtsordnungen bei einem grenzüberschreitenden Bezug der Unternehmenstätigkeit hinzu.67
15
Im Rahmen arbeitsteiliger (häufig internationaler) Produktion spielen zudem Compliance-Risiken von Geschäftspartnern (Stichwort: „Compliance in der Lieferkette“) eine immer größere Rolle.68 Während es in anderen Rechtsordnungen hierzu bereits (zum Teil auch extraterritorial anwendbare) Normen gibt, greift auch der deutsche Gesetzgebers das Thema auf, wie das derzeit von der Bundesregierung geplante „Lieferketten-Gesetz“ verdeutlicht.69