Das Thema Compliance spielt in kleinen und mittleren Unternehmen (KMU) noch eine untergeordnete Rolle. Warum ist das so und welche Probleme ergeben sich daraus?
Darüber sprach die Haufe Online Redaktion mit Marc Günther, Gründer und Inhaber von awaris consult, einem Beratungsunternehmen für kleine und mittelständische Unternehmen (KMU) und seit 1995 Zertifizierungsauditor für Qualitätsmanagement.
Compliance im Dialog: Compliance in KMU kein Thema?
Click to tweet
Herr Günther, wie erleben Sie in Ihrer Beratung und bei Ihren Zertifizierungen den Umgang mit dem Thema Compliance in KMU?
Noch immer sehr verhalten. Ich zertifiziere Unternehmen seit Mitte der 90er Jahre u.a. im Qualitätsmanagement. Im Zuge der Revision der ISO 9001:2015 werden Themen wie Risikoprävention oder Vorschriften- und Pflichtenmanagement an die Geschäftsführung adressiert. Doch diese ist nicht darauf vorbereitet. Fällt dann noch das Schlagwort Compliance, sind die meisten Führungskräfte gänzlich überfordert.
Die meisten verstehen unter Compliance nur die Einhaltung von Rechtsanforderungen. Themen wie Umweltschutz oder die Anforderungen durch Versicherungen ordnen sie diesem Bereich nicht zu. Bei solch einer Denkweise kann es jedoch ein böses Erwachen geben, nämlich dann, wenn eine Versicherung bei einem Schaden nicht zahlt, obwohl die rechtlichen Vorgaben eigentlich berücksichtigt wurden. Denn Regelungen beinhalten Interpretationsspielräume.
Ein Unternehmen hält die gesetzlichen Vorgaben ein und trotzdem reicht das in einem Schadensfall nicht aus? Wie kann das sein?
Ich gebe Ihnen ein Beispiel: Im Bundesdatenschutzgesetz heißt es z. B., dass ein Unternehmen ab 10 Mitarbeitern einen Datenschutzbeauftragten bestellen muss. Also geht ein Dienstleister mit 5 Mitarbeitern davon aus, dass ihn diese Vorgabe nicht betrifft.
Dann ereignet sich in seinem Unternehmen ein Datenschutzvorfall. Der Unternehmer meldet den Schaden der Versicherung. Diese sagt: Wir übernehmen nur 20 % der Schadenssumme, denn du hättest einen Datenschutzbeauftragten bestellen können und beruft sich dabei auf die allgemeinen Unternehmerpflichten des Unternehmers, wie sie im Gesetz genannt werden.
Um den vollen Versicherungsschutz zu erhalten, hätte er z. B. mithilfe einer Risikobewertung nachweisen und dokumentieren müssen, dass kein erhöhtes Risiko besteht. Diese Bewertung muss außerdem von einer Person durchgeführt werden, die das Wissen und die Kompetenz dafür hat.
Können kleine und mittlere Unternehmen das leisten?
In meinen Beratungen habe ich immer wieder das Gefühl, dass die KMU bei solchen Themen dicht machen und denken: „Das ist mir egal.“ Sie sind sich ihrer Risiken oft nicht bewusst und sie haben selten die personellen Ressourcen. Die Personaldecke ist bei vielen so knapp bemessen, dass der Laden nur läuft, wenn 100 % der Mitarbeiter operativ arbeiten.
Was könnte auch die Unternehmer von KMU aus der Reserve locken?
Der einzige Treiber, den es bisher für das Thema Compliance gibt, ist ein Schadensfall. Doch dann ist es vielfach zu spät und das Unternehmen geht in die Insolvenz . Und wenn es sich doch noch einmal berappeln kann, ist Compliance so lange Thema, wie der Schaden wirkt. Danach schläft es wieder ein.
Kürzlich hatte ich einen Versicherungsgutachter in einem meiner Seminare. Er sagte, die Unternehmen würden das Risiko einfach weglügen. Das sei so ähnlich, wie wenn man auf dem Konto rote Zahlen hat und die Kontoauszüge nicht mehr abholt. Dann sieht man die Schulden nicht, aber weg sind sie trotzdem nicht.
Den Kopf in den Sand stecken ist aber keine Lösung, oder?
Solange der Gesetzgeber sich so verhält, dass Gesetzestexte und Vorgaben nicht verstanden werden können, wird sich, aus meiner Sicht, die Mentalität des Wegschiebens, Nicht-Lesens und Nur-Abheftens nicht ändern.
Außerdem fehlt die Transparenz, z. B. zu den Kosten, die einem Unternehmen entstehen, wenn es Vorschriften und Normen nicht einhält. Oder Berichte darüber, welche Auswirkungen es für einen Betrieb hat, wenn eine Versicherung nicht bezahlt.
Ohne Zahlen und Fakten erreicht man niemanden. Solange für die Unternehmen die Kosten nicht transparent sind, so lange verstehen sie den Nutzen nicht und so lange schlummern viele Themen ungenutzt, auch das Thema Compliance.
Aber bewirken Skandale wie bei Siemens oder die Diesel-Affäre kein Umdenken?
Solche Ereignisse lösen bei kleinen Unternehmen nur Häme aus. Der Fall an sich ist für sie ganz weit weg und hat nichts mit ihrem eigenen Geschäft zu tun, wie ein Beispiel aus meiner Beratungspraxis zeigt:
Ein mittelständisches Unternehmen zieht einen großen Auftrag an Land. Vertragsbedingung ist der Abschluss einer Versicherung u. a. für einen Brandfall mit einer Versicherungssumme von über 20 Mio. EUR. Die Bedingung wird erfüllt, allerdings hat das Unternehmen weder eine Fachkraft für Arbeitssicherheit noch einen Brandschutzbeauftragten und führt auch keine DGUV-V 3–Prüfungen durch.
Sollte nun ein Schadensfall eintreten, z. B. ein veralteter PC ein Feuer verursachen, und das gesamte Gebäude brennt ab, würde die Versicherung mit Sicherheit, wenn überhaupt, nur für einen Teil der Schadenssumme aufkommen – sagen wir einmal sehr optimistisch für die Hälfte. Das Unternehmen müsste dann über 10 Mio. EUR selbst bezahlen.
Der einzige Kommentar des Firmeninhabers, auf dieses Risiko angesprochen, lautete: „Dann sind wir halt pleite.“
Woher kommt diese Geisteshaltung in KMU?
Ich denke, dafür gibt es mehrere Gründe: Einerseits geht man in Ausbildung und Studium bisher zu wenig auf das Thema Compliance ein. Das fehlende Bewusstsein und das fehlende Verständnis der Führungskräfte basiert also schon auf diesem Mangel.
Das größte Problem in Deutschland sehe ich aber in der Überregulierung. In anderen Ländern, wie z. B. den Niederlanden, ist das anders. Bei uns prasselt viel zu viel auf die Unternehmen ein. Die Folge davon ist eine Abwehrhaltung. So höre ich ständig den Satz: „Als Unternehmer bin ich sowieso immer mit einem Bein im Gefängnis.“
Was würden Sie sich für das Thema Compliance in KMU wünschen?
Lassen Sie mich zum Schluss eine Lanze für die kleinen und mittelständischen Unternehmer brechen. Die Gesetze und Normen sind äußerst kompliziert, oft unverständlich formuliert und es gibt aus meiner Sicht zu viele davon. Und die KMU sehen bisher noch keinen direkten Vorteil, sich mit dem Thema Compliance auseinanderzusetzen.
In der ISO 9001:2015 ist als eine Grundpflicht genannt, dass Unternehmen Risiken und Chancen identifizieren, analysieren, bewerten sowie Gegenmaßnahmen planen, umsetzen und ihre Wirksamkeit kontrollieren müssen. Legen wir den Fokus einmal auf den Begriff Chancen. Dann kann das bedeuten, dass ich die Gesetze und Normen annehme und mich darum kümmere.
Bei der Risikobewertung werden Risiken identifiziert und bewertet. Sollte sich ergeben, dass das Unternehmen ein erhöhtes Risiko hat, kann ein Compliance-Managementsystem helfen, Risiken zu minimieren. Wer sich dem Thema Compliance so stellt, sorgt für ein sicheres Unternehmen, sichert Standorte und Arbeitsplätze.
Herr Günther, vielen Dank für das Gespräch!
Das Interview führte Bettina Brucker M. A., Freie Journalistin und Autorin.
Compliance im Dialog mit Marc Günther, awaris consult
Marc Günther ist seit 1995 bei mehreren international anerkannten Zertifizierungsunternehmen als Zertifizierungsauditor bestellt. Seit 2000 ist für die Standards ISO 9001 und OHSAS 18001 als Trainer und Ausbilder in seinem eigenen Unternehmen sowie einem großen deutschen Ausbildungsträger tätig. Sein Beratungsunternehmen awaris consult unterstützt nationale und internationale Unternehmen aus verschiedenen Branchen bei der Einführung und Optimierung von Managementsystemen sowie Prozess- und Leanmanagement.
| Compliance-Managementsystem von Haufe |
| Compliance-Management von Haufe hilft Ihnen, regeltreues Handeln unternehmensweit zu verankern. Die Haufe-Lösung ist ein integriertes System mit individuell wählbaren Modulen aus den Bereichen Compliance-Prozessmanagement, Compliance-Training und Compliance-Consulting. Die Basis-Lösung ist sofort einsetzbar. |