Eine Aussage mit Fragezeichen, die gleich zwei wichtige Fragen beinhaltet. Ist es im Unternehmensinteresse einen Compliance Officer zu beschäftigen? Soll der Compliance Officer bei seiner Tätigkeit im Unternehmensinteresse agieren? Beides ist zu bejahen – nicht ohne Einschränkung, aber doch im Kern.
Unternehmensinteresse und Compliance – passt das zusammen?
Das Unternehmensinteresse ist auf wirtschaftlichen Erfolg ausgerichtet. Compliance scheint dabei eher im Wege zu stehen. Compliant zu sein wird zunehmend schwieriger. Immer mehr Regeln sind zu beachten, die sich auf internationaler Ebene bisweilen sogar widersprechen. Ein Compliance Officer hilft dabei, „Schneisen“ durch das schnell wachsende „Vorschriften-Dickicht“ zu schlagen.
Der Deutsche Corporate Governance Kodex („DCGK“) richtet sich in erster Linie an börsennotierte Gesellschaften; er will aber allen Wirtschaftsunternehmen Orientierung geben. Warum also nicht einmal hineinschauen? Denn der Kodex adressiert beides. „Unternehmensinteresse“ definiert er als Aufgabe, „im Einklang mit den Prinzipien der sozialen Marktwirtschaft unter Berücksichtigung der Belange der Aktionäre, der Belegschaft und der sonstigen mit dem Unternehmen verbundenen Gruppen (Stakeholder) für den Bestand des Unternehmens und seine nachhaltige Wertschöpfung zu sorgen“. Beim Thema „Bestand“ denke ich unweigerlich an „Wirecard“. Und in puncto „Compliance“ empfiehlt er: „Der Vorstand soll für ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System sorgen (…).“ Offenbar ist beides miteinander verknüpft.
Wozu Compliance und welchen Wertbeitrag leistet der Compliance Officer?
Definitionen von Compliance gibt es wie Sand am Meer. Immer geht es um regelkonformes Verhalten und die Beachtung von Gesetzen und Vorschriften. Es gibt für „Compliance“ keine griffige Übersetzung ins Deutsche und es schwingt immer ein bestimmtes Motiv mit. Die Unternehmen sollen die Gesetze nicht um ihrer selbst willen beachten, wozu sie ja ohnehin verpflichtet sind, sondern ihre Aktivitäten risikogerecht priorisieren mit dem Ziel, wirtschaftlichen Schaden (z. B. Strafen und Schadensersatz) und einen Reputationsverlust des Unternehmens zu vermeiden. Es geht um den guten Ruf des Hauses, der nachhaltige Wertschöpfung zumindest erleichtert.
Um Compliance zu praktizieren empfiehlt der Kodex ein „Compliance-Management-System“ („CMS“). Für manchen mittelständischen Unternehmer mag das nach einem teuren und wenig effektiven „Monstrum“ klingen. So „schlimm“ ist es nicht. Die Unternehmensführung behält immer die Gestaltungshoheit für das CMS. Es geht darum, Compliance-Risiken zu erkennen, entsprechende Maßnahmen zu ergreifen, die Belegschaft zu informieren und wo nötig zu schulen, um Missstände abzustellen. Ein gut gebriefter Compliance Officer organisiert diese Aufgaben systematisch und nimmt der Geschäftsführung neben der Detailarbeit auch ein Stück der Verantwortung dafür ab.
Wer sollte das Compliance-Management-System aufbauen und pflegen?
Ein funktionierendes CMS ist mit einem komplexen Gebäude vergleichbar. Doch wer ist sein Architekt, wer der Baumeister und wer managt später diese „Facility“? Der Compliance Officer muss mit den Strukturen (Geschäftsmodell, Organisation usw.) vertraut sein. Nur so kann er seiner Hauptaufgabe, die (Compliance-)Verpflichtungen und Risiken des Unternehmens zu identifizieren, erfolgreich nachgehen. Seine Beurteilung hilft dem Management bei der Einschätzung des „Gebäude-Zustands“. Auf dieser Grundlage entscheidet das Management, ob „Reparatur-Maßnahmen“ (z. B. Anpassung von Prozessen oder Einführung zusätzlicher Kontroll-Mechanismen) zu treffen sind oder ob ggf. eine Änderung der „Hausordnung“ (z. B. interne Richtlinien oder Schulungs-Angebote) ausreicht.
Der Compliance Officer beobachtet, berichtet und berät die Unternehmensleitung in allen die „Gebäude-Substanz“ betreffenden Fragen. Er nimmt die Beschwerden der „Mieter“ entgegen (z. B. Whistleblowing), schaut genauer nach, wenn sich ein „Gebäude-Mangel“ abzeichnet (durch interne Ermittlungen), und betreut „Baustellen“ und „Renovierungen“ im bzw. am „Gebäude“. In Summe stellt er die Leistungsfähigkeit des „Gebäudes“ (also des CMS) sicher. Compliance ist folglich eine echte Management-Aufgabe, aber ist sie eine Aufgabe für das Top-Management?
Die Letztverantwortung und Gestaltungshoheit für das Compliance-Management-System hat die Geschäftsleitung. Sie muss für sich entscheiden, welche Rolle sie im CMS spielen möchte. Dabei ist sie als „Architekt“ gefragt, um gerade beim „Neubau“ des CMS den „Baumeister“ eng zu betreuen und ggf. selbst mit anzupacken. Sie muss im Unternehmensinteresse entscheiden, ob sie sich höchstpersönlich um das Management der Facility kümmern oder den Fokus besser auf die Unternehmensstrategie und das Geschäft richten will.
Delegation von Pflichten und Verantwortung an den Compliance Officer
Wie bei allen anderen im Unternehmen anstehenden Aufgaben kann die Geschäftsleitung den Aufbau und die „Unterhaltung“ des Compliance-Management-Systems delegieren. Natürlich kann sie das Thema „Compliance“ nicht komplett „wegdelegieren“. Die Verpflichtung zur sorgfältigen Auswahl, Instruktion, Ressourcen-Ausstattung und Kontrolle des Compliance Officers verbleibt bei ihr – das ist immer die „Kehrseite“ wirksamer Delegation.
In welchem Umfang die Geschäftsleitung die Aufgaben und die Verantwortung für Compliance delegieren möchte, kann sie im Wesentlichen frei gestalten und entscheiden. Die Spanne reicht von einem rein beratenden und präventiv ausgerichteten Profil bis zu einer mit Eingriffs- und Ermittlungsbefugnissen ausgestatteten Tätigkeit. Nach der Rechtsprechung des BGH wird dem Compliance Officer sogar eine so genannte Garantenstellung zugesprochen. Das heißt, er macht sich selbst strafbar, wenn er es in vorwerfbarer Weise unterlässt, vom Unternehmen ausgehende Straftaten zu unterbinden.
Schon deshalb sollten das Aufgabengebiet und der Verantwortungsbereich des Compliance Officers stets sehr sorgfältig beschrieben werden. Zur Frage, wie die Rollenverteilung zwischen Management und Compliance Officer gestaltet werden kann, gibt beispielsweise die ISO 37301 Auskunft, in der die Anforderungen an ein CMS umfassend dargestellt sind. Dabei geht es im Kern nicht darum, alles zu tun, um eine Garantenstellung des Compliance Officers „herbei zu definieren“ oder durch eine Begrenzung auf rein beratende und präventive Tätigkeiten möglichst zu vermeiden. Im Unternehmensinteresse ist vielmehr, die Zusammenarbeit aller Beteiligten klar und effizient zu regeln.
In der Praxis scheitert eine umfassende Delegation der Pflichten und Verantwortung regelmäßig an den im Ergebnis doch begrenzten Ressourcen und Befugnissen des Compliance Officers. Das ist meines Erachtens nichts Negatives, sondern gut so. Denn worauf kommt es an? Es liegt im Unternehmensinteresse, dass Management und Compliance Officer eng und vertrauensvoll zusammenarbeiten, um die Leitungsaufgabe „Compliance“ gemeinsam bestmöglich abzudecken. Das gelingt, wenn die Geschäftsleitung bei grundlegenden Entscheidungen selbst im „driver seat“ bleibt und dem Compliance Officer die Befugnisse und Informationsrechte einräumt, die dieser benötigt, um sie umfassend zu beraten und das CMS (also das „Gebäude“) in Schuss zu halten.
Berichtspflichten und Berichtsweg des (Chief) Compliance Officers
Der Überbringer schlechter Nachrichten hat es sprichwörtlich schwer. Im Unternehmen teilen die Verantwortlichen für Risiko-Management, Interne Revision und Compliance dieses „Schicksal“. Das liegt in der Natur der Sache, denn ihre Materie sind Risiken, Fehlschläge, Ungereimtheiten und sonstige Abweichungen des IST-Zustands vom SOLL-Zustand.
Unternehmer zu sein, bedeutet immer auch Risiken einzugehen. Wer solche Gefahren frühzeitig erkennt und nicht „verpennt“, kann ihnen begegnen und wirksam gegensteuern. Nicht umsonst verlangt § 91 Abs. 2 AktG: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
Der (Chief) Compliance Officer muss deshalb Zugang zu den Entscheidungsträgern im Unternehmen haben, am besten einen direkten. Seinerseits benötigt er Rückgrat, Überzeugungskraft und kommunikatives Geschick, um mit seinem Bericht Gehör zu finden und – soweit erforderlich – Entscheidungsprozesse auszulösen. Dabei ist bei allen Beteiligten Augenmaß gefragt – im wohlverstandenen Unternehmensinteresse. Probleme links liegen zu lassen oder gar zu vertuschen ist niemals im Unternehmensinteresse, höchstens im Interesse einzelner Protagonisten. Dasselbe gilt für übereilte oder vollkommen überzogene Reaktionen, bei denen man das Kind mit dem Bade ausschüttet. Deshalb ist es nur vernünftig, dass die Letztverantwortung und die Gestaltungshoheit für den Betrieb des Compliance Management Systems bei der Geschäftsleitung liegen. Nur sollte sie bei Systemfehlern, „Baumängeln“ oder bei „Feuer unter dem Dach“ nicht zögern selbst einzuschreiten.
Welche Informations- und „Eingriffs“-Rechte sollte der Compliance Officer erhalten?
Das stärkste Indiz für Non-Compliance ist Intransparenz. Im Unternehmen gibt es Betriebs- und Geschäftsgeheimnisse und von Zeit zu Zeit ein geheimes Projekt. Hier muss der Compliance Officer nicht in alle Details bzw. von Anfang an eingebunden sein, solange er die Rechtmäßigkeit dieser „Geheimnisse“ noch überprüfen kann. Abgesehen davon sollte er unbeschränkten Zugang zu allen Unternehmensinformationen haben: Zu Dokumenten, Daten, zum Personal und Führungskräften, um Informationen einholen zu können, zu allen Betriebsstätten und schließlich zu den Entscheidern.
Im Gegenzug hat er das Unternehmen auf allen Ebenen in Fragen der Compliance zu beraten. Gegenüber der Geschäftsleitung ist er sogar berichtspflichtig, woraus sich „automatisch“ ein Vorschlags- und Eskalationsrecht ihr gegenüber ergibt.
Interventions- und Veto-Rechte werden dem Compliance Officer eher selten eingeräumt. Ohnehin ist dabei Vorsicht geboten, denn solche „Weisungsrechte“ können einerseits das Organisationsgefüge empfindlich stören und andererseits seine Garantenstellung untermauern. Optimal dürfte sein, wenn der Compliance Officer aufgrund seines „Standing“ eine Fehlentwicklung kurzzeitig anhalten kann („Stopp mal!“), um das Problem einer schnellen Klärung auf der Leitungsebene zuzuführen.
Hilfe durch externe Compliance-Berater?
Je nach Größe und Anfälligkeit für Non-Compliance kann es im Unternehmensinteresse sein, keinen Compliance Officer (in Vollzeit) zu beschäftigen und stattdessen Beratung punktuell „einzukaufen“. Solche Hilfe in Anspruch zu nehmen, kann auch im Interesse von Geschäftsleitung (und Compliance Officer) liegen. Die Angebote im Markt zielen auf Aus- und Fortbildung der eigenen Compliance-Experten, auf Erstberatung und Klärung von konkreten Compliance-Fragestellungen sowie auf eine Bewertung des bestehenden Compliance-Management-Systems bis hin zu seiner Zertifizierung.
Bei den Lehrgängen zum (zertifizierten) Compliance Officer konkurrieren beispielsweise kommerzielle Anbieter wie die Haufe Akademie, die BeckAkademie und der TÜV Rheinland mit Hochschulen wie der Zürcher Hochschule für Angewandte Wissenschaften, der Universität St. Gallen und der Steinbeis-Hochschule (Berlin). Compliance Officer erhalten ihr rechtlich-organisatorisches Rüstzeug und können im Einzelfall sogar einen MBA erwerben. Ob der Zuschnitt und die Kosten des jeweiligen Programms zu den Unternehmensbedürfnissen passen, ist Frage des Einzelfalls.
Viele Anwaltskanzleien und Beratungsunternehmen bieten sich als externe Compliance-Berater an. Sie beraten zu Einzelfragen des CMS, helfen Risiken zu identifizieren, führen Schulungen durch oder übernehmen die Funktion des (externen) Compliance Officers sogar komplett. Wenn sie selbst praktische Erfahrung in Unternehmen gesammelt haben, erleichtert dies die Kommunikation mit ihnen und erhöht ihre Akzeptanz. Schwierig in dieser Konstellation ist, den Informationsfluss sicherzustellen sowie Aufwand und Kosten transparent zu halten. Wer die Compliance-Geschicke des Unternehmens tatsächlich steuert, muss wegen der Letztverantwortung der Geschäftsleitung klar geregelt sein. Ein gangbarer Kompromiss kann sein, die mit Compliance-Themen befassten Mitarbeiter in der Startphase des CMS von einem erfahrenen Compliance-Experten „coachen“ zu lassen.
„Fortgeschrittene“ Unternehmen können ihr bestehendes Compliance-Management-System zertifizieren lassen. Große Wirtschaftsprüfungsgesellschaften, Anwaltskanzleien und zahlreiche Beratungsunternehmen bieten Zertifizierungen an. Hier gilt es aufmerksam zu sein. Denn Zertifizierungen nach der bisherigen ISO 19600, die nach eigener Aussage (!) überhaupt nicht zertifizierbar ist, halten nicht, was sie versprechen. Die bislang wohl am weitesten verbreitete Zertifizierung gemäß IDW PS 980 lief Gefahr, in absehbarer Zukunft von der ISO 37301 (zu Compliance-Management-Systemen) und der ISO 37002 (zu Whistleblowing-Systemen) verdrängt zu werden. Folgerichtig wurde im Oktober 2021 der Entwurf einer Neufassung des IDW PS 980 Prüfungsstandards vorgestellt, auf den interessierte Kreise bis zum 31.5.2022 mit Ergänzungs- und Änderungsvorschlägen reagieren dürfen. In seiner Anlage 1 verweist der Entwurf auf die aktuelle Entwicklung der ISO-Normen, insbesondere die ISO 37301, 37001 und 37002. Diese international gültigen Normen sind zwar nicht verpflichtend, definieren aber den Maßstab für eine adäquate Compliance-Organisation der Unternehmen neu. Ein wesentlicher Aspekt darin ist die Verteilung der Rollen, Verantwortlichkeiten und Befugnisse zwischen der „obersten Leitung“ und der „Compliance-Funktion“. Unternehmen, die eine Zertifizierung ihres CMS ins Auge fassen, sollten in Anbetracht dieser neuen Normen entsprechende Angebote zuvor auf die „Haltbarkeit“ der Zertifizierung genau prüfen.
Welche Rolle spielt die Kommunikation von Compliance im Unternehmen?
Ein Unternehmen spricht gerne über Wachstum und Erfolge, in Zeiten wie diesen auch über Krisenbewältigung. Warum sollte es über seine Compliance sprechen? Weil Kommunikation mehr ist, als nur das „werbehafte Anpreisen“ eigener Vorzüge gegenüber Kunden. Die Kommunikation nach innen, also in Richtung Führungskräfte und Mitarbeiter ist (beinahe) ebenso wichtig. Denn so werden Ziele sowie geschäftliche und kulturelle Erwartungen an die „Mannschaft“ vermittelt.
Compliance Officer können Richtlinien formulieren und Mitarbeiter schulen, aber den größten Einfluss auf die Compliance-Kultur eines Unternehmens hat fraglos die Geschäftsleitung. Denn die Mitarbeiter wollen wissen: „Was sagen die da oben dazu?“ Compliance-Lehrbücher verweisen deshalb gebetsmühlenartig auf den „Tone from the top“. In ihrer Vorbildfunktion soll die Geschäftsleitung deutlich machen, dass sie „saubere Geschäfte“ will und keine Rechtsverstöße toleriert.
Bloß wie macht man das? Wenn man Glück hat, schaut man sich die Sendung „Dunja Hayali“ vom 16.7.2020 an und verfolgt das Interview mit dem damaligen Siemens-Chef Joe Kaeser. In dessen Verlauf kommt Dunja Hayali auf den Skandal um Schmiergeld und schwarze Kassen und dessen Folgen zu sprechen. 2008 schon musste Joe Kaeser als Zeuge vor Gericht aussagen und betonte in diesem Zusammenhang, dass das Thema Bestechung und schwarze Kassen in seinen Werten nicht vorkommt. Damals war er Finanzvorstand. In der Sendung nimmt der CEO von Siemens den Ball souverän auf. Ja, der Skandal habe geschadet. Heute wisse jeder bei Siemens, dass ein solches Verhalten nicht akzeptiert ist. Compliance bleibe eine Herausforderung und es gebe auch immer wieder einmal einen Vorfall. Dem werde aber nachgegangen, das Fehlverhalten abgestellt und die Compliance-Abteilung mache einen professionellen Job. So konnte man als Zuschauer „Tone from the top“ einmal „live“ erleben.
Was also ist im Unternehmensinteresse?
Compliance Officer zu sein, ist eine Rolle. Sie ist wichtig, um Risiken zu erkennen und Fehlentwicklungen zu vermeiden. Beides dient dem Unternehmensinteresse. Der Compliance Officer ist nicht „Spion“ im eigenen Hause oder „Handlanger“ der Ermittlungsbehörden. Dafür wird er nicht bezahlt. Vielmehr soll er dazu beitragen, dass sich das Unternehmen rechtskonform verhält, und dadurch Schaden von ihm abwenden. Das ist es, was Aktionäre, Mitarbeiter und Stakeholder des Unternehmens von ihm (und der Geschäftsleitung) erwarten – im Unternehmensinteresse zu handeln.
Die Anforderungen an Unternehmen, sich um eine angemessene Compliance zu kümmern, sind schon da. Neue gesetzgeberische Aktivitäten, wie z. B. die Reform des Gesetzes gegen Wettbewerbsbeschränkungen (vgl. § 81d Abs.1 Nrn. 4 und 5 GWB) sowie das neue Lieferkettensorgfaltspflichtengesetz (vgl. § 24 Abs.4 Nrn. 6 und 7 LkSG) honorieren solche Anstrengungen mit Strafmilderung, erhöhen zusammen mit den neuen ISO-Standards zur Compliance aber auch den Druck. Davon kann man halten, was man will. Ja man kann sich sogar streiten, ob das wirklich alles im Unternehmensinteresse ist. Trotzdem kommt man nicht daran vorbei.