Lieferkette und Compliance

Auch wenn Compliance-Verstöße durch Zulieferer oft erhebliche Schäden verursachen, besteht bislang keine gesetzliche Pflicht, ein die Lieferkette umfassendes CMS einzurichten. Eine solche Verpflichtung kann sich aber aus Compliance-Klauseln ergeben, die in vielen Lieferverträgen größerer Unternehmen Verwendung finden.

Mittelstand hat Relevanz von Compliance in der Lieferkette erkannt

Im Mittelstand gibt es mittlerweile kaum noch ein Unternehmen, das sich nicht mit dem Thema „Compliance“ auseinandersetzt. Dabei steht üblicherweise die Frage im Vordergrund, wie sich Verstöße gegen gesetzliche Vorgaben vermeiden lassen, um das Unternehmen, dessen Geschäftsleiter, Aufsichtsorgane, Compliance-Beauftragte und Mitarbeiter vor hieraus resultierenden Haftungsrisiken zu schützen und um Reputationsverluste zu vermeiden. Gerade Reputationsschäden haben häufig äußerst negative Auswirkungen auf die finanzielle Situation des Unternehmens. So haben bspw. der aktuelle Dieselskandal sowie der Einsturz der Textilfabrik Rana Plaza in Bangladesch im Jahr 2013 das Ansehen der gesamten Automobil- bzw. Textilbranche in Verruf gebracht.

Compliance fördert eine nachhaltige Lieferkette

„Compliance“ ist ein essenzieller Bestandteil der Standards guter und verantwortungsvoller Unternehmensführung, die häufig unter dem Schlagwort „Corporate Governance“ zusammengefasst werden. So sieht bspw. der Deutsche Corporate Governance Kodex neben der Einrichtung des internen Kontrollsystems, des internen Revisionssystems und des Risikomanagements auch die Implementierung eines an der Risikolage des Unternehmens ausgerichteten CMS vor. Zwar sind nur börsennotierte Gesellschaften verpflichtet, eine Erklärung zur Einhaltung der Empfehlungen des Deutschen Corporate Governance Kodex abzugeben, allerdings soll der Kodex ausweislich seiner Präambel auch nicht börsennotierten Gesellschaften als Orientierungshilfe zur Erfassung des rechtlichen und faktischen Ordnungsrahmens für die Leitung und Überwachung von Unternehmen dienen. Weiterer Bestandteil der Corporate Governance ist schließlich die sog. „Corporate Social Responsibility“, im Rahmen derer sich immer mehr Unternehmen dazu verpflichten, bei der Verfolgung ihrer Unternehmensstrategie auch soziale, ökologische, gesellschaftliche sowie arbeits- und insbesondere menschenrechtliche Belange zu beachten.

Lieferkette: Keine gesetzliche Pflicht zur Einrichtung eines Content Management Systems

Zwar besteht bislang keine gesetzlich explizit geregelte Pflicht zur Einrichtung eines CMS. Gleichwohl herrscht seit der sog. Siemens/Neubürger-Entscheidung (LG München I, Urt. v. 10.12.2013, 5HK O 1387/10) in der Fachwelt Einigkeit darüber, dass Geschäftsleiter und Aufsichtsorganmitglieder ihr Unternehmen in einer Art und Weise organisieren und beaufsichtigen müssen, welche die Vermeidung von Gesetzesverstößen sicherstellt. Abhängig von der Art, Größe und Organisation des Unternehmens ist danach bei einer entsprechenden Gefährdungslage eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einzurichten. Geschieht dies pflichtwidrig nicht, so haften die Geschäftsleiter und Aufsichtsorganmitglieder für hieraus resultierende Compliance-Verstöße. Überdies hat der Bundesgerichtshof (Urt. v. 9.5.2017, Az. 1 StR 265/16) geurteilt, dass die Implementierung eines effizienten CMS bei der Bemessung einer Geldbuße, die gegen ein Unternehmen aufgrund von Compliance-Verstößen verhängt werden soll, von wesentlicher Bedeutung ist.

Unternehmen orientieren sich bei Einrichtung eines CMS häufig an IDW PS 980

Vor diesem Hintergrund verzichten immer weniger Unternehmen auf die Einrichtung eines CMS. Häufig dient insoweit der IDW PS 980 als Anhaltspunkt für dessen pflichtgemäße Ausgestaltung. Diesem zufolge sind zunächst auf Basis der allgemeinen Unternehmensziele sowie einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln bestimmte Compliance-Ziele zu definieren, die mit dem CMS erreicht werden sollen. Typische Compliance-Ziele sind bspw. regelkonforme Unternehmensführung und Risikominimierung. Sodann sind die Compliance-Risiken zu ermitteln, deren Verwirklichung eine Verfehlung der Compliance-Ziele zur Folge haben könnte. Hierauf aufbauend ist ein Compliance-Programm, das die notwendigen Maßnahmen zur Verringerung der identifizierten Compliance-Risiken umfasst, zu entwickeln und zu dokumentieren. Ferner ist eine mit hinreichenden Ressourcen ausgestattete Compliance-Organisation zu implementieren. Außerdem sind die Mitarbeiter und ggf. betroffene Dritte über das Compliance-Programm sowie die festgelegten Rollen und Verantwortlichkeiten zu informieren. Darüber hinaus sind die Angemessenheit sowie Wirksamkeit des CMS in geeigneter Weise zu überwachen. So wird im Unternehmen eine seitens des Managements geprägte Compliance-Kultur („tone from the top“) verankert.


Schlagworte zum Thema:  Compliance