How To

Alles was Recht ist…

…der Unternehmensjurist als Tausendsassa

Der Unternehmensjurist ist ein Chamäleon. Im Zuge eines durchschnittlichen 10-Stunden-Tages durchlebt er verschiedenste Rollen und agiert als Anwalt (Verträge schreiben, verhandeln, etc.), Therapeut (der Unternehmensjurist zieht „Probleme“ nahezu magnetisch an), Feuerwehr (Feuer löschen = Probleme lösen, wenn es schon fast zu spät ist), Marketing-Spezialist (juristische Lösungen müssen im Unternehmen und dem Vertragspartner entsprechend schmackhaft gemacht und verkauft werden), Datenschutzbeauftragter (im Zweifel ist Datenschutz immer ein Thema der Juristen), HR-Experte, Compliance-Officer,… Man kann mit Recht behaupten, dass der Unternehmensjurist – als Tausendsassa – einen unverzichtbaren Beitrag zum Erfolg des Unternehmens beiträgt.

In diesem Beitrag legen wir den Fokus auf die Rolle des Unternehmensjuristen als „Compliance-Officer“. Wer trägt die Verantwortung? Wie implementiert man ein effektives Compliance-Management-System (CMS) im Unternehmen? Warum ist der Unternehmensjurist die richtige Wahl?

„Compliance“ als Thema der Rechtsabteilung?

Während große – meist international agierende – Unternehmen über entsprechende Compliance-Strukturen verfügen, wird dieses Thema bei Klein- und Mittelunternehmen (KMU) kaum beachtet. Ungeachtet der Größe eines Unternehmens übernimmt der Unternehmensjurist die Rolle des Compliance-„Verantwortlichen“. Dieser Umstand ist oftmals auf fehlende personelle, finanzielle und zeitliche Ressourcen zurückzuführen.

Warum überhaupt „Compliance“?

„If you think compliance is expensive, try non-compliance.“ (Former U.S. Deputy Attorney General Paul McNulty) Besser könnte man es nicht sagen. Die Wichtigkeit entsprechender Compliance-Strukturen steht sohin außer Frage.

Warum ist der Unternehmensjurist die richtige Wahl? Es steht außer Zweifel, dass Juristen gut im Unternehmen vernetzt sind und für Integrität und Regelkonformität stehen. Aus diesen Gründen (und genau deshalb) genießen sie sowohl bei der Belegschaft als auch bei der Geschäftsführung ausreichend Vertrauen. In anderen Worten: Der Unternehmensjurist ist die perfekte Wahl für die Rolle des Compliance-Officers.

Was ist „Compliance“ und ein „Compliance Management System (CMS)?

Das Wort „Compliance“ leitet sich von „to comply with“ ab. Dem Wortsinn entsprechend versteht man darunter somit das Einhalten von Regeln. Im weiteren (und übertragenem) Sinne versteht sich Compliance jedoch als Summe von organisatorischen Maßnahmen, die gewährleisten, dass das Unternehmen rechtlich verbindliche Vorgaben und selbst auferlegte Verpflichtungen einhält (und einhalten kann). Es kann somit festgehalten werden, dass Compliance mehr als „Regelkonformität“ ist.

Herzlich willkommen im Compliance Management System (CMS)!

Compliance als Pflicht für Unternehmen?

In Österreich fehlt es grundsätzlich (bisher) an einer ausformulierten gesetzlichen Vorgabe zur Implementierung entsprechender Compliance-Strukturen (Ausnahmen bestätigen die Regel; zB im Wertpapieraufsichtsgesetz). Dennoch lassen sich aus einer Vielzahl an bestehenden Bestimmungen entsprechende Verpflichtungen ableiten (zB § 22 GmbHG, § 25 GmbHG, § 82 AktG, § 84 AktG). Diese gesetzlichen Regelungen weisen Führungskräfte (Geschäftsleitungen) an, im Rahmen der Ausübung ihrer Geschäftsleitungstätigkeit die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden und interne Kontrollsysteme zu implementieren. Aber ist tatsächlich ein Gesetz zur Einhaltung der geforderten Sorgfalt erforderlich? Nein, denn auch der gesunde Hausverstand bietet eine ausreichende Grundlage für Compliance.

„Compliance“ ist dem Grunde nach eine Verantwortlichkeit der Geschäftsführung (wenngleich jeder Mitarbeiter zu rechtskonformen Verhalten verpflichtet sind) und kann diese Verantwortung nicht delegiert werden, die Aufgaben hingegen schon. Der Unternehmensjurist übernimmt somit eigentlich gewisse Geschäftsführungsagenden und verpflichtet sich als Compliance-Officer zur Implementierung, Aufrechterhaltung und Verbesserung von Compliance-Strukturen.

Wichtig: Es mag bislang keine explizite – gesetzliche – Verpflichtung zur Einführung von Compliance geben, jedoch wurde von der EU im Herbst 2019 die „Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ („Whistleblowing-Richtlinie“) verabschiedet. Dadurch werden Unternehmen nunmehr auch gesetzlich verpflichtet, entsprechende Strukturen (insbesondere ein Hinweisgeber-System) zu schaffen.

Wie schafft man „Compliance“?

Wie geht man das Thema an? Was benötigt eine effektive Organisation? Im Zusammenhang mit Compliance haben sich eine Vielzahl an unterschiedlichen Standards und Normen bewährt. Diese unterscheiden sich im Kern kaum voneinander und helfen bei der Implementierung entsprechender Strukturen. Man kennt (je nachdem, ob das Unternehmen international tätig ist oder nicht)

  • die ISO 19600:2014 12 15 (Compliance Management System)
  • die ISO 37001:2016 10 15 (Anti-Bribery Management System)
  • die ON-Regel 192050:2013 02 01 (Compliance Management Systeme (CMS) – Anforderungen und Anleitung zur Anwendung)
  • den FCPA Guide (Foreign Corruption Practices Act)
  • den UK Bribery Act 2010-Guidance
  • den IDW PS 980, etc.

Bei diesen Standards handelt es sich um Empfehlungen und bilden diese ein Grundgerüst zur Ausgestaltung effektiver Maßnahmen.

Der Aufbau eines Compliance Management Systems (CMS)…

Die oben genannten Standards legen die erforderlichen Eckpfeiler eines effektiven Compliance Management Systems (CMS) fest. Das Institut der Wirtschaftsprüfer in Deutschland definiert in seinem Standard – dem IDW PS 980 – ein „Compliance Management System (CMS)“ als „sämtliche auf der Grundlage der definierten Unternehmensziele eingeführten Grundsätze und Maßnahmen eines Unternehmens, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und der Mitarbeiter sowie ggf von Dritten abzielen.“ In einer Broschüre von Transparency International – Austrian Chapter, Verein zur Korruptionsbekämpfung, werden die Elemente eines effektiven Compliance Management Systems (CMS) zusammengefasst:

  • Kultur
  • Strategie und Ziele
  • Risk Assessment
  • Prävention und Erkennen
  • Reaktion
  • Organisation

Diese Punkte sollten als „Orientierung“ dienen und ein schrittweises Abarbeiten ermöglichen. Der Fokus liegt dabei auf den Grundfunktionen „Prävention“, „Erkennen“ und „Reagieren“.

Von der Kultur bis zur Organisation – vor der Implementierung von Compliance-Strukturen ist es wichtig, die Erwartungshaltung der Geschäftsführung abzufragen und ein gemeinsames – insbesondere ein richtiges – Verständnis von „Compliance“ zu schaffen. Oft stellt sich heraus, dass Compliance primär (und ausschließlich) als Investigation bei Fehlverhalten verstanden wird. Die Investigation ist – ohne Zweifel – ein wichtiger Bestandteil eines Compliance Management Systems (CMS)…aber nicht alles.

Kultur

Compliance – als Verantwortung der Geschäftsleitung – steht und fällt mit dem Verhalten der Unternehmensführung. Es ist unabdingbar, dass diese stets vorbildhaft agieren und handeln wie erwartet. „Tone from the Top“ verdeutlicht, dass Compliance Chefsache ist (Es heißt nicht ohne Grund: Der Fisch fängt stets beim Kopf zu stinken an!).

Da Compliance Kultur-stiftend ist, obliegt es somit primär der Unternehmensführung, für eine entsprechende Kultur zu sorgen. 

Strategie und Ziele

Schon Konfuzius erkannte richtig: „Wer das Ziel kennt, kann entscheiden. Wer entscheidet, findet Ruhe. Wer Ruhe findet, ist sicher. Wer sicher ist, kann überlegen. Wer überlegt, kann verbessern.“ Die Einführung von Compliance-Strukturen erfordert eine Strategie und das Festlegen von Compliance-Zielen. Was soll mit Compliance erreicht, verbessert und/oder vermieden werden. Wichtig ist, dass die Ziele realistisch und umsetzbar sind. Unmögliche Ziele lassen das Thema „Compliance“ schon zu Beginn scheitern.

Risk-Assessment

Die Implementierung einer effektiven Struktur erfordert die systematische Identifikation und Bewertung von Risiken. Dabei ist die Unterstützung aus der Organisation erforderlich („Bottom up“). An diesem Punkt ist es für den Unternehmensjuristen wichtig, sich gut im Unternehmen zu vernetzen und die Risiken direkt bei/gemeinsam mit den handelnden/betroffenen Personen zu erheben.

Prävention und Erkennen

Kennt man erst die Risiken, sind entsprechende Maßnahmen zu setzen. Konkret bedient man sich hier zielgerichteter Handlungsweisungen/-empfehlungen (zB in Form von Richtlinien) und prozessunterstützender Maßnahmen (zB 4-Augen-Prinzip). Die Richtlinien-Kompetenz liegt ohnehin in vielen Fällen bereits in der Rechtsabteilung. Als wesentlich für den Erfolg von Compliance erweisen sich zudem eine entsprechende Kommunikation sowie maßgeschneiderte Schulungsmaßnahmen, wodurch die Notwendigkeit und Wichtigkeit des Themas erfolgreich in die Organisation getragen werden.

Ein effektives Compliance Management System (CMS) erfordert außerdem regelmäßige Kontrollmaßnahmen (zB durch interne und externe Audits) und die Implementierung eines Hinweisgebersystems (Achtung: die Whistleblowing-Richtlinie sieht die verpflichtende Einrichtung eines internen Meldekanals vor).

Reaktion

Wer nicht hören will muss fühlen. Fehlverhalten erfordert entsprechende Maßnahmen. In diesem Fall bedarf es einer geregelten Vorgehensweise. Die Mitarbeiter müssen jedoch wissen, dass ein Verstoß gegen Regeln jedenfalls geahndet wird („Null-Toleranz-Politik“). Führt unredliches Verhalten nicht zu entsprechenden Sanktionen, erweist sich das Thema Compliance als zahnlos.

Organisation

Compliance ist – wie eingangs bereits angeführt – oftmals in der Rechtsabteilung angesiedelt. Das macht durchaus Sinn. Dennoch darf nicht außer Acht gelassen werden, den verantwortlichen Unternehmensjuristen mit den erforderlichen Berechtigungen und Ressourcen (zB Zeit, Personal, Budget) auszustatten. Darauf muss und darf man durchaus bestehen, andernfalls läuft man Gefahr, dass das Thema lediglich ein „Schattendasein“ fristet.

Fazit: Der Unternehmensjurist als „Tausendsassa“ übernimmt durchaus zu Recht die Compliance-Agenden. Ab 2021 wird das Thema für alle Unternehmen mit mehr als 250 (bzw. 50) Mitarbeitern verpflichtend und bedarf es daher der Implementierung entsprechender Maßnahmen sowie Strukturen. Etablierte Standards und Normen bieten hier mögliche Ansätze zum Aufbau. Ohne Zustimmung und Unterstützung der Geschäftsführung wird die Implementierung eines effektiven Compliance Management Systems (CMS) im Unternehmen jedoch nicht erfolgreich gelingen.

Die nächsten Schritte zum Compliance Management System (CMS)…

Unternehmen sind gut beraten, sich frühestmöglich mit dem Thema „Compliance“ zu beschäftigen. Wichtig ist, dass Compliance als Chance und nicht als lästige Bürde verstanden wird. Auf „Compliance“ spezialisierte Unternehmen (zB digitale Hinweisgebersysteme, Compliance-Tools, Compliance-Beratung, etc.) bieten oftmals einfache Lösungen und helfen bei der Unterstützung zur Einführung passender Strukturen.

Gefällt Ihnen der Artikel? Dann bitte teilen!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.