Was bedeutet Compliance -ist es nur eine Modeerscheinung? Wer ist dafür zuständig und welche Verantwortung trägt die Geschäftsleitung?

Was ist Compliance? Eine Definition

„Compliance“ ist ein allgegenwärtiger Begriff. Dieser Beitrag soll seine Bedeutung für Handelsgesellschaften und deren Organe, die so genannte Corporate Compliance, darstellen. In der solchermaßen gesellschaftsrechtlichen Diskussion war „Compliance“ vor etwa 15 bis 20 Jahren ein etwas schillerndes Modewort. Seither erfährt „Compliance“ aber eine eigene Ausformung, sodass man es heute fast schon mit einem technischen Begriff zu tun hat, dessen wesentlicher Gehalt klar herausgearbeitet ist. Soll sich ein Unternehmen compliant verhalten, ist damit im Kern gemeint, dass es sämtliche Rechtsnormen zu befolgen hat, die an das Unternehmen gerichtet sind. Dies allein ist jedoch keine Modeerscheinung und erst recht nichts Neues, sondern eine rechtsstaatliche Binsenweisheit, deren Einhaltung die Rechtsprechung seit je einfordert. Es muss also etwas hinzukommen, und dieses Mehr liegt in Folgendem: Von Unternehmen wird heute nicht nur erwartet, dass sie „schlicht“ Recht und Gesetz einhalten. Sie müssen darüber hinaus proaktiv Maßnahmen ergreifen, damit es erst gar nicht zu Rechtsverstößen kommt. Das erfordert Maßnahmen zur Risikofrüherkennung und Risikovermeidung.

Was ist konkret zu tun?

Welche konkreten Maßnahmen ein Unternehmen ergreifen muss, hängt von dessen Größe, dem Geschäftsfeld und den Geschäftspartnern, kurz dem Risikoprofil, ab. Ein örtliches Unternehmen, das Dienstleistungen anbietet, hat weit weniger organisatorische Maßnahmen zu treffen als ein weltweit tätiges Industrieunternehmen, das Stahlrohre herstellt und diese in Länder exportiert, die auf Sanktionslisten stehen. Stahlrohre können nämlich einerseits zu friedlichen Zwecken verwendet werden, etwa für Wasserleitungen. Sie können aber auch in Waffensysteme verbaut werden. Das Industrieunternehmen muss also wissen, was seine Kunden mit den Rohren tun werden.

Wer ist zuständig?

Gesellschaften können nicht selbst handeln, sondern sie tun dies durch ihre Organe. Für die operative Tätigkeit von GmbH und AG sind dies der Geschäftsführer und der Vorstand (die wir nachfolgend einheitlich Geschäftsleiter nennen). An den Geschäftsleiter richtet sich die Erwartung, dass sich „seine“ Gesellschaft compliant verhält; der Geschäftsleiter ist primärer Adressat der Compliance-Forderung. Er muss jedoch nicht selbst alle erforderlichen Maßnahmen treffen, sondern er kann dies delegieren. Entschließt sich ein Geschäftsleiter dazu, reduziert sich seine Compliance-Verantwortung grundsätzlich darauf, diese Delegation richtig vorzunehmen. Voraussetzung dafür ist wiederum, dass der Geschäftsleiter die Verantwortlichen ordnungsgemäß auswählt und sie überwacht. Zur ordnungsgemäßen Auswahl gehört, dass die Beauftragten ihr Handwerk verstehen.

„Und wenn das herauskommt?“

Konsequenz einer Compliance-Einrichtung und insbesondere einer richtigen Delegation wird es sein, dass die Verantwortlichen auch etwas finden, das es – von Rechts wegen – abzustellen gilt.

Bisweilen scheuen Geschäftsleiter dies, und zwar aus unterschiedlichen Gründen. Mitunter befürchten sie, dass der „Fund“ und der Beseitigungsaufwand weit größer sind als anfangs vermutet und ein Abstellen „gerade jetzt“ nicht budgetverträglich ist. Bisweilen kann es sich bei dem „Fund“ auch um handfeste Rechtsverstöße handeln, die bußgeld- oder gar strafbewehrt sind und/oder geschädigten Abnehmern möglicherweise die Tür zu Schadensersatzforderungen öffnen. Hierher gehören etwa Kartellverstöße. Ein dritter Grund für eine gewisse Skepsis gegenüber einer richtigen Delegation kann darin liegen, dass sich der Geschäftsleiter nicht gerne hinterfragen lässt. Ein Phänomen, das man in inhaber- und fremdgeführten Gesellschaften gleichermaßen bisweilen antrifft, und das als Hemmschwelle nicht zu unterschätzen ist.

Ganz oder gar nicht

Geschäftsleiter, die so vorgehen, also die an der konkreten Stelle offenen Rechts- und Sachverhaltsfragen nicht stellen oder einen vermeintlich „nützlichen Idioten“ installieren, der die Dinge nicht durchschaut, tun sich keinen Gefallen: Eine solche Delegation ist nämlich rechtlich unbeachtlich. Dies hat zur Folge, dass es bei der Haftung des Geschäftsleiters bleibt. Dieser muss sich vergegenwärtigen, dass er „seiner“ Gesellschaft gegenüber grundsätzlich mit seinem gesamten Vermögen haftet.

Haftung für fehlendes Risikoerkennungssystem

Hinzu kommt ein Weiteres: Dem Geschäftsleiter muss gar nicht der eigentliche Rechtsverstoß eines Unternehmens persönlich zum Vorwurf gereichen, sondern es genügt, wenn er keine Maßnahmen getroffen hat, die es ermöglicht hätten, diesen Rechtsverstoß zu erkennen. So haftete der zuständige Finanzvorstand der Siemens AG nicht etwa dafür, selbst schwarze Kassen eingerichtet zu haben. Sein Pflichtverstoß lautete, kein System installiert zu haben, mit dem diese aufgeflogen wären.

Fortlaufende Beobachtung

Die Frage, welche Bereiche für ein Unternehmen riskant sein könnten, ist nicht einmalig mit ewiger Gültigkeit zu beantworten, sondern muss immer wieder neu gestellt werden, gängigen Empfehlungen zufolge etwa einmal pro Jahr. Das hat seinen Grund darin, dass die Geschäftsbereiche, in denen ein Unternehmen tätig ist, ständigem Wandel unterworfen sind. Fragt man sich, welche besonderen Risiken etwa der Vertrieb eines Unternehmens mit sich bringt, können solche im einen Jahr im Bereich von Korruption und Zollverstößen liegen. Ein Jahr später kann sich herausstellen, dass unerwartete Forderungen auf das Unternehmen zukommen, weil das Vertriebspersonal bestimmte Auskünfte über das Produkt erteilt und sich aus solchen Auskünften eine eigene Haftung ergeben kann. Es kann auch sein, dass im nächsten Jahr ganz andere Bereiche akut werden. Ist man in Sachen Korruption und Zoll auf dem Laufenden, kann sich im nächsten Jahr eine Kartellproblematik ergeben, die gar nicht im Vertrieb angelegt ist.

Dialog mit den „Machern“

Ab einer bestimmten Betriebsgröße werden die Dinge unübersichtlich, was unweigerlich das Risiko mit sich bringt, dass der Compliance-Verantwortliche alleine die verschiedenen Bereiche und die dort möglicherweise vorhandenen Risiken nicht erkennt. Es ist daher erforderlich, dass er mit den Fachbereichen in ständigem Kontakt ist und einen lebhaften und offenen Dialog pflegt. Die Ansprechpartner hierfür sollten diejenigen sein, die operativ „den Job machen“ und die deswegen wissen, „was los ist“. Dieser Dialog lässt sich nur zu einem bestimmten Grad anordnen. Da es aber gerade in solchen Bereichen menschelt, lässt sich dies nicht alleine mit den Mitteln arbeitsrechtlicher Anordnung in Gang bringen und halten. Vielmehr ist zum einen eine Kultur erforderlich, in der Wegschauen und Vertuschen nicht gefördert, sondern loyale Ehrlichkeit und gemeinsame Sorge um das Unternehmen geschätzt werden. Im Übrigen muss der Compliance-Verantwortliche von der Persönlichkeit her jemand sein, dem sich die Belegschaft wenigstens halbwegs gerne anvertraut. Ansonsten kann es passieren, dass ein Compliance-Verantwortlicher kräftig „aufläuft“.

Erkennen und Handeln

Hat das Unternehmen einmal ein zutreffendes Bild von seinem Risikoprofil erhalten, gilt es, Maßnahmen zur Risikominimierung oder –beseitigung zu ergreifen. Hierzu ist es erforderlich, den gefundenen Istzustand mit dem Sollzustand zu vergleichen und den Fortschritt zu messen. Das kann anhand eines Punkteplans geschehen.

Berichten

Sofern die Compliance-Verantwortung nicht bei der Geschäftsleitung selbst angesiedelt ist, muss der Verantwortliche an diese berichten. Dies müsste sich von selbst verstehen, bedarf aber deshalb der Betonung, weil der Geschäftsleiter gleichzeitig ein Stück seiner Überwachungspflicht erfüllt, wenn er sich berichten lässt. Die Regelmäßigkeit und die Intensität dieser Berichte hängen wiederum von der Größe des Unternehmens ab, weitere Determinanten sind die erkannten Risiken und der „Reifegrad“ des Unternehmens.