Kein vermeidbarer Verbotsirrtum beim Vorgehen gegen Hinweisgeber
Dass der Wind sich beim Thema Compliance dreht und den Verantwortlichen in den Unternehmen zunehmend kälter in die Gesichter bläst, ist mittlerweile - hoffentlich - auch im Mittelstand angekommen:
Der Chef muss wirksam dafür sorgen muss, dass die gesetzlichen Regelungen eingehalten werden. Er kann sich nicht damit rechtfertigen, dass er sich "um so etwas" nicht kümmere und dafür "seine Leute" habe. Der Fall Stadler zeigt das gerade recht anschaulich.
Wie sehr der Wind sich dreht, zeigt der Fall von Jes Staley, dem Chef der britischen Barclays Bank. Den hatte die englische Finanzaufsicht im Mai 2018 zu einer Geldstrafe von umgerechnet 730.000 € verurteilt, weil er "nicht so agiert habe, wie es einem Vorstandschef im Umgang mit anonymen Tippgebern gebühre" (siehe Bericht auf spiegel.de). Sein Arbeitgeber hatte ihm vorher schon deswegen den Bonus gekürzt.
Sein Vergehen: Staley wollte wissen, wer Briefe an den Verwaltungsrat und einen Manager der Bank geschickt und in diesen Briefen Vorwürfe gegen eine neu eingestellte Führungskraft erhoben hatte. Um den Autor der von ihm als unfaire persönliche Attacke empfundenen Briefe aufzuspüren, hatte Staley die Konzernsicherheit der Bank eingeschaltet.
Lehrreich daran ist, dass es ziemlich unstreitig zu sein scheint, dass Staley glaubte, dass es erlaubt sei, den Urheber des Briefes zu identifizieren. Diese Fehleinschätzung konnte ihn, obwohl er öffentlich zu Kreuze gekrochen ist, trotzdem nicht vor der Strafe schützen. Die Entsprechung dieses Gedankens findet sich im deutschen Strafrecht in § 17 StGB; danach entfällt bei einem Verbotsirrtum die Schuld des Täters nur dann, wenn der Irrtum unvermeidbar war, was nur in Ausnahmefällen der Fall ist.
Panik ist hier sicher unnötig und auch fehl am Platz, aber es schadet nichts, den "neuen Geist" in das Unternehmen und die Köpfe zu lassen und sich aktiv mit dem Thema Risikosteuerung auseinanderzusetzen. Eine guter Ausgangspunkt dafür ist unsere fünfteilige Miniserie:
https://www.schnee-gronauer.de/compliance-in-der-praxis-1-5/
With great power comes great responsibility (Managerhaftung)
Der Audi-Chef Rupert Stadler sitzt in Untersuchungshaft. Auslöser war die Befürchtung der Staatsanwaltschaft, dass er Beweise verschwinden lassen könnte, nachdem er am - abgehörten - Telefon darüber diskutiert hatte, einen Mitarbeiter des Konzerns zu beurlauben, nachdem dieser ihn zuvor schwer belastet hatte.
Die Staatsanwaltschaft ermittelt gegen Stadler u.A. wegen Betruges. Immerhin hatte er über Jahre hinweg behauptet, die verkauften Autos seien die „saubersten Diesel der Welt“. Scheinbar wider besseres Wissen, denn die Manipulationssoftware dürfte ihm bekannt gewesen sein.
Dazu schreibt der Volkswirt und Kommunikationsberater Ralf-Dieter Brunowsky:
Könnte es sein, dass Manager die Manipulation von Abgaswerten nicht direkt veranlasst haben, sondern eher nach dem Motto vorgegangen sind: „Lösen Sie das Problem, wie Sie es machen, ist Ihre Sache.“ Man fragt sich: Welcher Vorstand beschäftigt sich schon mit Abgasfragen? [...]
In den Vorständen der deutschen Automobilindustrie sitzen doch keine Verbrecher.
Das ist Quatsch. Warum sollten Manager weniger verbrecherisch sein und anders behandelt werden als andere Menschen? Etwa weil sie teure Anzüge tragen? Oder weil sie erhebliche Summen verdienen?
Auch dass - wie Brunowsky schreibt - die Autoindustrie neben der Telekommunikation der wichtigste industrielle Ast ist auf dem Deutschland sitzt von dem Hunderttausende Arbeitsplätze abhängen, kann wohl kaum einen Freifahrtschein in die Straffreiheit rechtfertigen.
Tatsächlich stehen Unternehmenslenker besonders im Fokus und besonders in der Pflicht. Ihnen obliegt es, dafür zu sorgen, dass im Unternehmen compliant - also ethisch und gesetzeskonform - gehandelt wird. Wir hatten über das Thema hier schon mehrfach berichtet.
Es ist wie (zum Beispiel) Ben Parker, der Onkel von Peter Parker a/k/a Spider-Man sage:
"With great power comes great responsibility"
Matthias Müller steht (erst) mit einem Fuß im Gefängnis
VW-Chef Matthias Müller hat dem Spiegel ein Interview gegeben. Darin hat er sein Millionengehalt gegen Kritik verteidigt. Es gebe zwei Gründe für so eine hohe Vergütung. Nämlich die Relevanz des Unternehmens für die Volkswirtschaft sowie das mit dem Posten verbundene Risiko. Als Chef "steht man immer mit einem Fuß im Gefängnis", sagt Müller. Er denke, dass die Vorstandsgehälter "angesichts dieser Verantwortung gerechtfertigt sind" (Spiegel 13/2018).
Sicher, der Job von Herrn Müller ist nicht einfach und vermutlich arbeitet er auch mehr als die an sich bei VW geltenden 35 Stunden pro Woche.
Und wer den Unternehmenswert gemessen an der Marktkapitalisierung in einer – gelinde gesagt – nicht gerade einfachen Situation um rd. 9 Mrd. € (+13,5%) erhöht, der soll auch am wirtschaftlichen Erfolg teilhaben. Und verglichen mit dem erreichten Wertzuwachs ist eine Vergütung von 10 Mio € (+40% zum Vorjahr) im Jahr nicht zu hoch (lassen wir die negativen externen Effekte des Handelns von VW für die Gesellschaft hier einmal beiseite).
Trotzdem taugen die Argumente von Herrn Müller nicht.
Klar hat Herr Müller Verantwortung – aber wofür? Herr Müller lässt Autos zusammenschrauben. Er ist nicht etwa Geburtshelfer, Arzt, Krankenpfleger, Rettungssanitäter, Feuerwehrmann, Lehrer oder tut sonst irgendetwas das Menschen hilft. Gäbe es keine Autos aus dem VW Konzern mehr, wäre das sicher zu verschmerzen – Beschäftigungseffekte hin- oder her. Wir sollen hier den Blick für Wertigkeiten nicht verlieren, auch wenn Herr Müller sich für besonders wichtig hält
Und die Sache mit dem Risiko? Das trägt jeder Geschäftsführer in ganz ähnlicher Weise. Wer als Unternehmenslenker gegen die fast unübersehbaren Regeln aus dutzenden von Gesetzen verstößt bzw. solche Verstöße nicht verhindert, dem droht Geld- oder Freiheitsstrafe (in unserer Serie zu Compliance hatten wir die Basics dargestellt dargestellt).
Aber es wird ja nicht alles so heiß gegessen, wie es gekocht wird. Trösten mag Herrn Müller vielleicht der Beschluss des OLG München vom 23.9.2014 in der Sache 3 Ws 599, 600/14.
W war Geschäftsführer in einem Unternehmen F und gleichzeitig Aufsichtsrat bei einem anderen Unternehmen C. Die Staatsanwaltschaft hielt das Unternehmen F für die „faktischen Konzernmutter“, weil es an C mit rd. 76% beteiligt war. Sie warf W vor, dass er seine konzernrechtliche Aufsichtspflicht gegenüber dem Beteiligungsrunternehmen verletzt habe, weil er nicht verhindert hat, dass dort ein rechtswidriges Lohnsplittingmodell fortgeführt wird.
Die Staatsanwaltschaft hat Anklage gegen insgesamt sieben Manager erhoben sowie unter anderem gegen den Nebenbeteiligten W. Das Landgericht hatte die Anklage gegen die Hauptangeklagten zugelassen, nicht aber gegen W.
Damit war die Staatsanwaltschaft nicht einverstanden und legte sofortige Beschwerde gegen die Einstellung ein. Das dann zuständige OLG hat diese im Ergebnis zurückgewiesen.
Dabei hat es festgestellt, dass für den Umfang der Aufsichtspflicht im Sinne des § 130 OWiG die tatsächlichen Verhältnisse im Konzern maßgeblich sind, weshalb auf die tatsächliche Einflussnahme der Konzernmutter auf die Tochtergesellschaft abzustellen ist.
Ausreichende Anhaltspunkte für die Annahme einer „faktischen“ Konzernstruktur würden sich aus den bisherigen Ermittlungsergebnissen nicht ergeben. Dafür genüge weder die tatsächlich gegebene Beteiligung im angeklagten Tatzeitraum noch die vorliegend gegebene „personelle Verflechtung“.
Der Unterschied zwischen dem Geschäftsführer einer mittelständischen GmbH und Herrn Müller übrigens, dass ersterer sich keine hochspezialisierte Compliance-Abteilung leisten kann und mit den komplizierten Fragen alleine dasteht, wenn es sich nicht extern beraten lässt.
Was lernen wir von Prof. Krause?
Das Amtsgericht Potsdam hat gegen den früheren Bundesverkehrsminister Prof. Dr. Günther Krause einen Strafbefehl mit einer Geldstrafe in Höhe von 5.400,00 € erlassen. Den Strafbefehl hat Krause sofort angenommen – das war eine gute Entscheidung, denn damit ist er nach meiner Einschätzung recht gut davon gekommen. Die Staatsanwaltschaft hatte gegen Günther Krause Anklage in drei Fällen erhoben.
- Erstens: Insolvenzverschleppung, also das zu späte Stellen des Insolvenzantrags.
- Zweitens: Vorenthalten von Arbeitnehmerbeiträgen zur Sozialversicherung.
- Drittens: Bankrott.
Das Gesetz sieht für die einzelnen Tatbestände Höchststrafen von je fünf bzw. drei Jahren Gefängnis vor. Wer es nachlesen will: geregelt sind die Delikte in §§ 15a InsO, 266a StGB und 283 StGB.
Krauses ehemalige Firma „Information–Beratung–Projektentwicklung GmbH“ mit Sitz in Brandenburg/Havel hatte angeblich eine Methode erfunden, mit der er aus Hausmüll Rohöl und aus alten Autoreifen Carbon produzieren wollte. So richtig scheint das aber nicht geklappt zu haben.
Nach Anträgen auf Insolvenzeröffnung vom 13.11.2015, 15.02.2016, 16.03.2016 und 05.04.2016 hat das Amtsgericht Potsdam das Insolvenzverfahren über das Unternehmen eröffnet (Aktenzeichen 35 IN 642/15). Krause selbst gibt einem ausgefallenen Großauftrag die Schuld.
Der nun verhängte Strafe setzt sich aus 180 Tagessätzen zu je 30 € zusammen. Damit gilt Krause als vorbestraft, aber das dürfte ihn nicht sonderlich interessieren, denn er wurde im Zusammenhang mit der Insolvenz seiner „Aufbau Invest GmbH“ schon einmal zu einer Bewährungsstrafe verurteilt.
Gesetzlich möglich sind 5 bis 360 Tagessätze, bei Bildung einer Gesamtstrafe nach § 54 StGB bis 720 Tagessätze; ein Tagessatz entspricht einem Dreißigstel des monatliches Nettoeinkommens, wobei noch bestimmte Belastungen abgezogen werden. Wesentlich mehr als dem pfändungsfreien Betrag dürfte Herrn Krause also nicht zur Verfügung stehen. So gesehen sind 5.400,00 € auch nicht ganz wenig.
Was lernen wir aus dem Fall?
- In Insolvenzverfahren gehen die Akten automatisch vom Insolvenzgericht an die Staatsanwaltschaft - dafür gibt es die Mitteilungen in Zivilsachen, liebevoll MiZi genannt. Die Sozialversicherungsträger liefern die Informationen zu und der Staatsanwalt kann ohne allzu viel Mühe eine schöne Anlage machen.
- Wenn eine Gesellschaft in eine wirtschaftliche Schieflage gerät, muss der Geschäftsführer schnell und richtig agieren. Fehler führen hier fast zwangsläufig dazu, dass man sich mit dem Insolvenzverwalter und der Staatsanwaltschaft herumschlagen muss.
- Gute anwaltliche Beratung ist wichtig. Besser aber bevor das Kind im Brunnen liegt.
- "Der Dumme macht einen Fehler zweimal; der Kluge lernt daraus" - obwohl: "Du kannst nicht zweimal den gleichen Fehler machen, Beim zweiten Mal ist es nämlich kein Fehler mehr, sondern eine Entscheidung."
Wie Sie ermitteln, ob eine GmbH zahlungsunfähig ist
Im Moment wird in der insolvenzrechtlichen „Szene“ ziemlich ausführlich über ein Urteil des Bundesgerichtshofs von 19. Dezember 2017 berichtet (II ZR 88/16), in dem es um die Ermittlung der Zahlungsunfähigkeit einer GmbH geht.
Ich verstehe diese Aufregung nicht ganz, denn eigentlich ist das doch – Entschuldigung! - kalter Kaffee.
Hintergrund war ein klassischer Fall der Geschäftsführerhaftung nach § 64 GmbHG. In diesem heißt es
Die Geschäftsführer sind der Gesellschaft zum Ersatz von Zahlungen verpflichtet, die nach Eintritt der Zahlungsunfähigkeit der Gesellschaft oder nach Feststellung ihrer Überschuldung geleistet werden. Dies gilt nicht von Zahlungen, die auch nach diesem Zeitpunkt mit der Sorgfalt eines ordentlichen Geschäftsmanns vereinbar sind.
Der Insolvenzverwalter verlangte Ersatz für Zahlungen, die im letzten Jahr vor dem Insolvenzantrag veranlasst worden waren und begründete dies damit, die Gesellschaft sei schon ein Jahr vor der Antragstellung zahlungsunfähig gewesen.
Der Knackpunkt war also, ob die Zahlungsunfähigkeit der Gesellschaft zum Zeitpunkt als die Zahlungen vorgenommen wurden bereits eingetreten war. Die Zahlungsunfähigkeit ist in § 17 Abs. 2 Satz 1 InsO wie folgt definiert:
Der Schuldner ist zahlungsunfähig, wenn er nicht in der Lage ist, die fälligen Zahlungspflichten zu erfüllen.
Die Zahlungsunfähgkeit („nichts geht mehr“) wird von der Zahlungsstockung ("es ist vorübergehend etwas knapp") abgegrenzt. Nur eine Zahlungsstockung und noch keine Zahlungsunfähigkeit liegt vor, wenn die vorhandenen flüssigen Mittel ausreichen, um wenigstens 90% der fälligen Verbindlichkeiten zu bedienen und die Deckungslücke in den kommenden drei Wochen geschlossen werden kann.
Bislang hatte noch keiner der für zivilrechtliche Fragen zuständigen Senate des BGH entschieden, ob nur die innerhalb von drei Wochen flüssig zu machenden Mittel auf der Aktivseite zu berücksichtigen sind, oder auch die innerhalb von drei Wochen fällig werdenden und eingeforderten Verbindlichkeiten (Passiva II) auf der Passivseite.
Ein Beispiel:
Der aktuelle Liquiditätsbestand beträgt 1.000 T€, dem stehen fällige Verbindlichkeiten in Höhe von 1.050 T€ gegenüber. Wenn innerhalb von 21 Tagen weitere liquide Mittel (Aktiva II) realisiert werden können von 300 T€ ergibt der Vergleich zwischen geplanter Liquidität in drei Wochen und aktuell fälligen Verbindlich keine Deckungslücke mehr – die Liquidität übersteigt die Verbindlichkeiten.
Aber was bringt diese Betrachtung, wenn im gleichen Zeitraum weitere Verbindlichkeiten von 400 T€ fällig werden (Passiva II)? Richtig gar nichts, denn dann ist nichts gewonnen und die Deckungslücke hat sich sogar noch erhöht.
Das hat auch der BGH so gesehen und geurteilt:
Bei der Feststellung der Zahlungsunfähigkeit gemäß § 17 Abs. 2 Satz 1 InsO anhand einer Liquiditätsbilanz sind auch die innerhalb von drei Wochen nach dem Stichtag fällig werdenden und eingeforderten Verbindlichkeiten (sog. Passiva II) einzubeziehen.
Es ist also nicht ausreichend, dass die am Stichtag bestehende Lücke durch die in den kommenden drei Wochen flüssig zu machenden Mittel geschlossen werden kann. Die Vorschau muss vielmehr zeigen, dass im drei-Wochen-Zeitraum die Lücke auch unter Berücksichtigung der neu fällig werdenden Verbindlichkeiten vollständig geschlossen werden kann.
Weil das bislang nicht entschieden worden war, gab es über diesen Punkt einen Streit in der juristischen Fachliteratur - obwohl der für Strafsenat zuständige Teil des Bundesgerichtshofs diese Frage in einem Urteil vom 21.8.2013, 1 StR 665/12, schon genau so beantwortet hatte wie die Kollegen von der Zivilrechtsabteilung jetzt. Und da sage noch mal einer, „zwei Juristen, drei Meinungen“.
Auch wenn der BGH diese Frage noch nicht ausdrücklich entschieden hat, sagt doch der gesunde Menschenverstand, dass es gar nicht anders sein kann. Auch die Beratungspraxis (jedenfalls meine) hat das in den vergangenen Jahren schon so gehandhabt - allein schon, um auf der sichern Seite zu sein, schließlich geht es für den Geschäftsführer um Strafbarkeit und seine wirtschaftliche Existenz.
Apropos: Kennen Sie unsere Infografik zur Prüfung der Insolvenzantragspflicht?
http://www.schnee-gronauer.de/infografik-pruefungsschema-insolvenzantragspflicht-wegen-zahlungsunfaehgkeit/
Umsetzung eines CMS - Anleitung zur Haftungsvermeidung Teil 5/5
"Der krisengeplagte Bilfinger-Konzern fordert von früheren Vorstandsmitgliedern Schadensersatz wegen Pflichtverletzungen. Der Aufsichtsrat habe beschlossen, gegen alle von 2006 bis 2015 amtierenden früheren Vorstände Ansprüche geltend zu machen, heißt es in einer Börsenmitteilung des Unternehmens. Den insgesamt zwölf Managern wird demnach vorgeworfen, das Compliance-Managementsystem nicht ordnungsgemäß eingeführt zu haben. Dies dient dazu, im Geschäftsleben das Einhalten aller Rechtsvorschriften zu gewährleisten." (spiegel.de, 20.02.2018)
Kernaufgabe eines Compliance Management Systems ist – natürlich – die im Rahmen der Risikoanalyse festgestellten Risiken zu verringern. Folgende konkrete Schritte sind bei der Einführung zu gehen:
Bestellung eines Compliance-Beauftragten
Der Compliance-Beauftragte – auch Compliance Officer genannt - ist diejenige Person im Unternehmen, die die Verantwortung für Compliance übernimmt.
Wegen der vielfältigen rechtlichen Aspekte dieser Tätigkeit hat der Compliance-Beauftragte meist einen juristischen Hintergrund, muss aber auch das Geschäft des Unternehmens gut kennen. Irina Jäkel hat ihn als „eine Mischung aus Sadomasochist und Religionslehrer“ beschrieben.
Eine solche eigenständige Position eines Compliance-Beauftragten ist nicht zwingend erforderlich und – gerade in kleineren Unternehmen – nicht zu realisieren; oft wird ein anderer Mitarbeiter das Thema Compliance mit übernehmen. Da der Compliance-Beauftragte aber sinnvollerweise unabhängig von bestehenden Hierarchien ist, bietet sich dann eher eine externe Lösung an, also ein Berater, der diese Aufgabe als Dienstleister übernimmt.
Wenn eine eigene Compliance-Abteilung geschaffen wird, sind dabei zwingend auch Fragen der Ausstattung und der organisatorischen Anbindung zu klären. Diesen Punkt wollen wir hier nicht vertiefen.
Verabschiedung eines Code of conduct/Compliance Kodex
In einem Compliance Kodex sind wesentliche Verhaltensgrundsätze niedergelegt; er kann als „moralische Richtschnur“ verstanden werden.
Damit er „wirkt“, muss er praxisnah und verständlich sein. Unser Tipp: Setzen Sie Schwerpunkte entsprechend den Ergebnisses der Risikoanalyse: niemand liest einen 200-seitigen Kodex.
Ein aus unserer Sicht gut gemachtes Beispiel ist der Compliance Kodex der Signal-Iduna.
Implementierung der Compliance Regeln in Prozesse
Das Qualitätsmanagementsystem vieler Unternehmen ist nach ISO 9000 oder einer anderen Qualitätsnorm zertifiziert. Jedenfalls in diesen Unternehmen gibt es Beschreibungen für die einzelnen Leistungsprozesse. Um nicht unterschiedliche Regelwerke nebeneinander zu verwalten und einheitliche Abläufe zu gewährleisten, ist es sinnvoll, die compliancerelevanten Aspekte so weit wie möglich in die ohnehin vorhandenen Prozessbeschreibungen zu implementieren.
Beispiel:
Das Gesetz zur Regelung eines allgemeinen Mindestlohns sieht in § 21 eine Geldbuße bis zu 500.000 € für denjenigen vor, der als Unternehmer einen anderen Unternehmer mit Werk- oder Dienstleistungen beauftragt obwohl er weiß oder fahrlässig nicht weiß, dass dieser keinen Mindestlohn zahlt.
In Unternehmen, die regelmäßig in nennenswertem Umfang Fremdleistungen vergeben, kann es Teil einer Lösung sein, die Dokumentvorlage mit der Angebote angefordert werden so zu ergänzen, dass der zu beauftragende Unternehmer versichern muss, den Mindestlohn nach § 20 Mindestlohngesetz zu zahlen.
Es lässt sich nicht beschönigen: das Durchleuchten von Prozessen und das Anpassen der Prozessbeschreibungen ist aufwändig, bietet allerdings aus meiner Sicht den unschlagbaren Vorteil, dass die compliancerelevanten Aspekte direkt in die normalen Handlungsabläufe integriert werden und dadurch mehr oder weniger automatisch miterledigt werden. Wenn die Prozessbeschreibungen beispielsweise auch Vorlagen und Checklisten enthalten, lässt sich so das regelkonforme Verhalten auch direkt dokumentieren.
Einführung eines Hinweisgebersystems
Ein typisches Element im Compliance Management sind Hinweisgebersysteme, auch Whistle-Blower-Hotlines genannt. Diese dienen dazu, Complianceverstöße aufzudecken, indem die Möglichkeit besteht, solche – in der Regel anonym – zu melden.
Dabei sind sowohl unternehmensinterne als auch externe Lösungen möglich. Bevor solch ein Hinweisgebersystem eingeführt wird, muss geklärt werden, ob eine anonyme Meldung überhaupt möglich sein soll, welche Folgen eine (ggf. unberechtigte) Meldung haben soll und wie das Hinweisgebersystem im Unternehmen kommuniziert wird.
Durchführung unternehmensinterner Untersuchungen
Unternehmensinterne Untersuchungen – auch Internal Investigations genannt - kommen eher in größeren Unternehmen vor; dabei handelt es sich um durch Berater des Unternehmens durchgeführte "Ermittlungen" - eine Art private Staatsanwaltschaft.
Die Große Koalition will den Unternehmen weitere Anreize schaffen, solche internen Untersuchungen durchzuführen.
Das Thema soll hier nicht weiter vertieft werden. Allerdings ist das Verhältnis von Arbeitsrecht und Strafprozessrecht nicht unproblematisch; ebenso die Frage, was mit den Ermittlungsergebnissen geschieht (siehe hierzu Jeanne I. Wimmers, Internal Investigations in der Praxis Ein Thema, vier Sichtweisen).
Schulungen/Kommunikation
Papier ist geduldig. Ein effizientes Compliance Management System funktioniert nur, wenn alle Beteiligten informiert sind.
Erforderlich ist daher eine intensive Kommunikation des Themas gegenüber den Mitarbeitern – beispielsweise durch Online- und Offline-Schulungen und Informationsseiten im Intranet.
Auch muss dokumentiert werden, dass den Mitarbeitern die Informationen und in der Folge auch Änderungen zur Verfügung gestellt wurden. Effizient lässt sich das bei einer Unterrichtung in Form von Web-Based-Trainings gestalten, bei denen automatisch protokolliert wird, welche Mitarbeiter teilnehmen und/oder bei denen die Mitarbeiter am Ende Verständnisfragen beantworten müssen.
Weiter müssen die Mitarbeiter arbeitsvertraglich auf Einhaltung der Compliance verpflichtet werden; bei bestehenden Arbeitsverträgen sind ggf. Nachträge erforderlich. Außerdem sind ggf. Mitbestimmungsrechte des Betriebsrats zu beachten.
Weitere Maßnahmen
Daneben sind noch weitere Maßnahmen möglich.
Typisch ist die Durchführung regelmäßiger ggf. unternehmensübergreifender „Compliance-Runden“, in denen praktische Fragen besprochen werden. Auch können Anreizwirkungen zu regelkonformem Verhalten über die Vergütung der Mitarbeiter gesetzt werden, wenn Compliance als Bestandteil der Zielvereinbarung definiert wird. In standardisierten Bereichen sind auch elektronisch forensische Datenanalysen möglich.
Wichtig ist, dass nicht alle Maßnahmen, die (arbeits-)rechtlich, organisatorisch oder technisch möglich sind, auch ergriffen werden, sondern nur die für das jeweilige Unternehmen sinnvollen Maßnahmen ausgewählt werden, um das System nicht zu überfrachten.
Einen guten Überblick über die einzelnen Komponenten eines Compliance Management Systems bietet der Corporate Governance Bericht von Thyssen Krupp.
In unserer Miniserie haben wir die wesentlichen Elemente eines Compliance Management Systems dargestellt und erklärt, dass Unternehmen ein solches System beinahe zwingend brauchen, um die steigende Gefahr von erheblichen Geldbußen und weiteren Sanktionen zu verringern. Fehlen solche Systeme oder funktionieren sie nicht effizient, droht der Geschäftsführer von seinem Unternehmen, einem Insolvenzverwalter oder Gesellschaftern in Anspruch genommen zu werden.
Unser Appell: Gehen Sie das Thema an! Wenn Sie dabei Hilfe brachen, unterstützen wir Sie gerne. Nehmen Sie dazu gerne unverbindlich Kontakt mit uns auf.
Hier noch einmal die Übersicht über alle Folgen unserer Miniserie zum Thema Compliance:
- In Teil 1 ging es darum, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert.
- In Teil 2 haben wir die relevanten Bereiche und Vorschriften dargestellt, die Sie auf dem Schirm haben müssen.
- In Teil 3 haben wir dargestellt, welche Bausteine zu einem Compliance Management System gehören.
- In Teil 4 haben wir die Risikoanalyse näher beleuchtet und
- in diesem Teil 5 haben wir schließlich skizziert, worauf bei der Einführung eines Compliance Management Systems konkret zu achten ist.
Risikoanalyse - Anleitung zur Haftungsvermeidung Teil 4/5
Die Risikoanalyse ist Basis für den Aufbau eines unternehmensspezifischen Compliance Management Systems: nur wenn klar ist, wo konkret Regelverstöße drohen und welche Folgen diese ggf. für das Unternehmen haben, lassen sich sinnvolle Gegenmaßnahmen ergreifen.
Schematisch können die einzelnen Schritte der Risikoanalyse wie folgt dargestellt werden:
1.
Zunächst werden alle im Unternehmen und dem konkreten Umfeld möglichen Risiken ermittelt und beschrieben. Hier ist - wie meistens im Leben - ein systematisches Vorgehen sinnvoll; aber auch das Sammeln vergangener Regelverstöße und Brainstormig gehören dazu.
2.
Im nächsten Schritt werden die Risiken strukturiert und kategorisiert. Dabei ist eine Systematik nach Leistungsprozessen oder Unternehmensbereichen oft am besten geeignet.
3.
Dann müssen die tatsächlichen Risiken für das Unternehmen analysiert und bewertet werden, indem jeweils die konkret mögliche Schadenhöhe und die Eintrittswahrscheinlichkeit eines Schadens geschätzt werden.
4.
In diesem Zusammenhang müssen auch - ggf. bereits vorhandene - risikomindernde Maßnahmen betrachtet werden; beispielsweise, ob es insoweit bereits Vorkehrungen gibt.
Die Ermittlung der compliancerelevanten Risikofelder sollte unter Einbindung der jeweiligen Fachabteilungen erfolgen - dort ist meist das relevante Wissen darüber vorhanden, wie die Abläufe jenseits irgendwelcher QM-Richtlinien wirklich sind und was alles schiefgehen kann.
Dabei bietet es sich an, zunächst vom Umfeld des Unternehmens her zu denken, also zu untersuchen, welche Risiken aus den Absatz- und Beschaffungsmärkten drohen (Geschäfte in Risikoländern? Unterschiedliche rechtliche Rahmenbedingungen?), dem Geschäftsmodell (hochvolumige Aufträge? Vertrieb genehmigungspflichtiger Produkte? Korruptionsanfälliges Geschäftsfeld?) oder aufgrund der Unternehmensorganisation (viele Tochterunternehmen? Handelsvertreter?).
Es ist ein guter Weg, die so identifizierten Risiken danach zu "ordnen" und noch einmal die typischen unternehmerischen Funktionsbereiche bzw. Rechtsbereiche im Detail und anhand der konkreten Normen unter die Lupe zu nehmen. Hier kann Ihnen unser Download über Compliancerelevante Normen gute Dienste leisten.
Wenn die möglichen Risiken erfasst und systematisiert sind, geht es darum, diese zu bewerten. Dazu sind zu jedem einzelnen Risiko vier Fragen zu beatworten:
1.
Was ist die Risiko-Wirkung?
Es muss ermittelt werden, welcher Schaden konkret droht. Das kann ein Imageschaden sein, aber auch ein Bußgeld oder ein Vertriebsverbot etc.
2.
Wie ist die Risiko-Höhe?
Dann muss ermittelt werden, wie hoch der Schaden in € ist, wenn das Risiko eintritt. Bei Geldbußen ist das relativ einfach, die Maximalhöhe steht im Gesetz. Bei anderen Schäden müssen Auswirkungen so gut es geht geschätzt und beziffert werden.
3.
Wie groß ist die Risiko-Wahrscheinlichkeit?
Dann muss zu jedem Risiko abgeschätzt werden, mit welcher Wahrscheinlichkeit das Risiko eintreten wird. Prognosen sind bekanntlich schwierig, besonders wenn sie die Zukunft betreffen - anders geht es aber leider nicht.
4.
Was hoch ist der erwartete Schaden?
Schließlich ergibt sich der erwartete Schaden als Produkt von Risiko-Höhe und Risiko-Wahrscheinlichkeit. Wenn ein 5%-iges Risio besteht, dass eine Geldbuße von 50.000 € festgesetzt wird, beträgt der Erwartungswert des Schadens 2.500 € (50.000 € * 0,05).
Es liegt auf der Hand, dass der Fokus auf den Risiken liegen sollte, die einem hohen erwarteten Schaden haben.
Das sind Risiken, die den Fortbestand des Unternehmens bedrohen (unabhängig davon, wie selten sie sind) und Risiken die sich häufig zu verwirklichen drohen. Gedanklich arbeiten Sie sich in der nachfolgenden Grafik von rechts oben nach links unten. Risiken die selten sind und nur geringe Folgen haben falls sie denn eintreten, können Sie getrost vernachlässigen.
Ein schönes Beispiel für das Ergebnis einer Risikoanalyse findet sich im Risiko- und Chancenbericht der Henkel AG & Co. KGaA.
Hier die Übersicht über alle Folgen unserer Miniserie zur Einführung eines Compliance Management Systems:
- In Teil 1 ging es darum, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert.
- In Teil 2 haben wir die relevanten Bereiche und Vorschriften dargestellt, die Sie auf dem Schirm haben müssen.
- In Teil 3 haben wir dargestellt, welche Bausteine zu einem Compliance Management System gehören.
- In diesem Teil 4 haben wir die Risikoanalyse näher beleuchtet.
- In Teil 5 kümmern wir uns schließlich darum, worauf bei der Einführung eines Compliance Management Systems konkret zu achten ist.
Sie haben einen Compliance-Notfall? Kein Problem, wir kümmern uns - nehmen Sie Kontakt auf.
Compliance Management Systeme - Anleitung zur Haftungsvermeidung Teil 3/5
Nachdem Sie nun wissen, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert (Teil 1) und Sie einen Überblick über die relevanten Bereiche und Vorschriften haben (Teil 2), soll es endlich losgehen - also "Butter bei die Fische":
Vor rund zwei Jahren hatten wir schon einmal eine kleine Zusammenstellung der Rechtsprechung zu Compliance-Systemen gemacht. Wer es nachlesen will, findet diese hier:
https://www.schnee-gronauer.de/endlich-wieder-ruhig-schlafen-compliance-in-der-praxis/
Darum soll es heute aber nicht gehen, sondern darum, wie ein Compliance Management System konkret beschaffen sein muss.
Zahlreiche kluge Menschen haben sich darüber Gedanken gemacht – entsprechend viele Definitionen gibt es. Ein generelles richtig oder falsch gibt es dabei nicht. Die Ausgestaltung eines Compliance Management Systems kann immer nur ganz spezifisch für das jeweilige Unternehmen erfolgen. Dabei sind eine Vielzahl von unternehmensindividuellen Faktoren zu beachten; standardisierte Vorlagen bringen nach unserer Erfahrung nichts.
Das Institut der Wirtschaftprüfer sieht für seine Mitglieder in der Prüfung von Compliance Management Systemen ein neues Betätigungsfeld und hat im Jahr 2011 einen Prüfungsstandard dazu veröffentlicht (IdW PS 980).
Das IdW formuliert darin sieben Grundelemente eines Compliance Management Systems. Der Vorteil dieses Standards liegt für den Anwender darin, dass er eine Übersicht der "Bausteine" und Anforderungen bietet und somit eine gute "Arbeitsvorlage", um ein eigenes Compliance Management Systeme zu entwerfen. Zumal in der Folge reichlich Literatur zu den einzelnen Punkten erschienen ist.
Wir lehnen uns hier an diese Grundelemente an, stellen sie aber teilweise anders dar, damit eine Art Fahrplan herauskommt.
1.
Compliance-Kultur
Ausgangspunkt ist meist die Entscheidung der Geschäftsführung, das Thema anzugehen.
Auch nach dem Startschuss wird die Compliance-Kultur in einem Unternehmen vor allem geprägt durch die Grundeinstellung und das Verhalten des Managements.
Wird das Thema ernst genommen und geht die Leitung entschlossen mit gutem Beispiel voran oder ist es erkennbar nur ein Feigenblatt? Die Compliance-Kultur beeinflusst damit auch, welche Bedeutung, die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.
2.
Compliance-Risken
Für mich ist einer der zentralen Punkte eines effizienten Compliance Managements die Risikoanalyse. Dabei werden die Bereiche und Prozesse im Unternehmen unter die Lupe genommen und genau geprüft, wo Verstöße gegen einzuhaltende Regeln drohen können und welche Folge diese haben.
Unterschiedliche Unternehmen sind vollkommen unterschiedlichen Risiken ausgesetzt und lassen sich nicht über einen Leisten scheren. Eine sorgfältige Risikoanalyse schützt daher vor Frust, konzentriert die Kräfte und spart Geld.
Beispielsweise hat ein Beratungsunternehmen andere Bereiche in denen Regelverletzungen drohen als ein Entsorgungsunternehmen oder ein Chemieproduzent. Während bei dem einen vermutlich das Thema Datenschutz besonders im Fokus steht, ist es bei dem anderen eher Umwelthaftung und ggf. Korruption.
Dem Thema Risikoanalyse widmen wir uns ausführlich in der 4. Folge unserer Miniserie.
3.
Compliance-Ziele
Das IdW geht davon aus, dass die gesetzlichen Vertreter auf der Grundlage der allgemeinen Unternehmensziele und einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln die Ziele festlegen, die mit dem Compliance Management System erreicht werden sollen. Aus Sicht des IdW ist das folgerichtig, da die Compliance-Ziele die Grundlage für die Prüfung durch den Wirtschaftsprüfer bilden.
Wenn man den ganzen theoretischen Ballast einmal weglässt, ist aufgrund des Legalitätsprinzips („Gesetzesverstöße müssen verhindert werden!“) das Ziel allerdings meist vorgegeben:
- Aufdeckung und Sanktionierung bereits begangener Compliance-Verstöße
- Verhinderung künftiger Verstöße, um drohenden Schaden für das Unternehmen aufgrund rechtswidrigen Verhaltens abzuwenden.
in den allermeisten Fällen braucht man hier keinen besonderen Aufwand zu treiben, um auf Teufel komm raus Ziele zu definieren.
Das kann in Fällen anders sein, in denen die Unternehmensziele nur mit laxeren Standards erreicht werden können. Häufig werden als Beispiele niedrigere Umwelt- und Korruptionsstandards bei Geschäften in Asien genannt (siehe Christian Schefold, ZRFC 6/12, 253, Katherine Xin und Wang Haijie, HBM Heft 11/2011).
4.
Compliance-Programm
Im nächsten Schritt geht es darum, wie sich die festgestellten Risiken begrenzen lassen.
Hier geht es beispielsweise darum, konkrete Richtlinien und Verfahrensanweisungen („Policies & Procedures“) zu entwickeln und Verhaltenskodizes zu erarbeiten, die für bestimmte Problemfelder grundsätzliche Reglungen treffen.
Ggf. wird auch ein internes Kontrollsystem erforderlich sein oder die Möglichkeit zur Meldung von Verstößen („Whistleblower-Hotline“). Auch weitere Motivationsfaktoren können sinnvoll sein, die Anreize zum regelkonformen Verhalten setzen und beispielsweise über Bonus/Malus-Regeln bestimmte Verhaltensweisen fördern.
Das Compliance-Programm ist in der praktischen Umsetzung der Kern bei der Einrichtung eines Compliance Management Systems. Die Herausforderung besteht dabei darin, nicht irgendein neues Handbuch zu schreiben, das in der Ecke liegt, sondern die Compliance in jeden Geschäftsprozesses zu integrieren. Nur so hält sich der Aufwand für die Mitarbeiter in Grenzen und das System wird gelebt.
Dieses Thema betrachten wir in Folge 5 unserer Minireihe noch einmal genauer.
5.
Compliance Organisation
Zu einem Compliance Management System gehören – wie immer in der Betriebswirtschaftlehre - eine Aufbau- und Ablauforganisation – also die Festlegung, wer wofür zuständig und verantwortlich ist und wie die einzelnen Schritte sind.
Das klappt natürlich nur, wenn das Unternehmen die dafür nötigen Ressourcen bereitstellt. Das sind in der Regel eigene, ggf. neue, Mitarbeiter die Zeit und Wissen haben, um sich um das Thema zu kümmern und/oder externe Dienstleister.
6.
Compliance-Kommunikation
Um die erfolgreiche Einrichtung eines Compliance Management Systems sicherzustellen, ist eine gute Kommunikation mit den betroffenen Personen (innerhalb und ggf. außerhalb der Organisation) erforderlich. Nur so können die im Compliance Programm definierten Maßnahmen und Vorgehensweisen wirksam umgesetzt werden.
Dieser Punkt darf nicht unterschätzt werden, denn es ist wichtig dass die jeweils betroffenen Mitarbeiter ihre Compliance-Aufgaben verstehen, und das Wissen haben, sie sachgerecht erfüllen können.
Gesetzesverstöße lassen sind nicht durch einen Text in einem Handbuch verhindern. Daher muss den Mitarbeitern das richtige Vorgehen vermittelt werden und dies muss für die spätere Enthaftung der Unternehmensleitung auch dokumentiert werden.
Gerade am Anfang sollte daher der Aufwand für Schulungen nicht unterschätzt werden. Durch E-Learning und die Bereitstellung von Angeboten in einem Intranet-Portal lässt sich der Aufwand jedoch reduzieren. Sprechen Sie und hierzu gerne an, wir geben Ihnen gerne Tipps.
7.
Compliance-Überwachung und Verbesserung
Es reicht nicht, ein Compliance Management System einmal einzuführen und dann laufen zu lassen. Das System muss vielmehr laufend überprüft werden, um zu beurteilen, ob es angemessen und wirksam ist.
Wenn im Rahmen dieser Überprüfung Schwachstellen im Compliance Management System oder Compliance-Verstöße festgestellt werden, muss das System nachjustiert und verbessert werden.
In der nächsten Folge geht es um die Risiko-Analyse. Falls Sie mehr dazu lesen wollen, hier die Übersicht über unsere Miniserie zum Thema Einrichtung eines Compliance Management Systems:
- In Teil 1 ging es darum, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert.
- In Teil 2 haben wie die relevanten Bereiche und Vorschriften dargestellt, die Sie auf dem Schirm haben müssen.
- In diesem Teil 3 haben wir erklärt, welche Bausteine zu einem Compliance Management System gehören.
- In Teil 4 schauen wir uns die Risikoanalyse an.
- Und in Teil 5 kümmern wir uns schließlich darum, worauf bei der Einführung eines Compliance Management Systems konkret zu achten ist.
Sie haben einen Compliance-Notfall? Kein Problem, wir kümmern uns - nehmen Sie Kontakt auf.
Compliancerelevante Normen - Anleitung zur Haftungsvermeidung Teil 2/5
In Teil 1 unserer Serie zu Managerhaftung und Compliance haben wir dargestellt, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert.
Wenn alle vorgeschriebenen Regeln eingehalten werden sollen, muss erst einmal klar sein, welche Regeln eigentlich gemeint sind.
Nicht zwingende Regelungen, wie ISO-Normen und Industriestandards oder freiwillige Selbstverpflichtungen wie die GOI, sollen hier zunächst ausgeblendet werden; ebenso der Corporate-Governance-Kodex - auch so bleibt genug übrig.
Vorschriften was ein Unternehmensleiter oder "das Unternehmen" zu tun und zu unterlassen hat, können sowohl im "normalen" Strafrecht enthalten sein als auch im allgemeinen Ordnungswidrigkeitsrecht und in zahlreichen Einzelgesetzen.
Dabei weisen Vorschriften des Strafrechts und des Ordnungswidrigkeitsrechts strukturelle Unterschiede auf. Strafbar machen können sich im deutschen Recht immer nur Menschen - schon im römischen Recht hieß es „societas delinquere non potest“ („eine Gesellschaft kann sich nicht vergehen“).
Anders im Ordnungswidrigkeitsrecht. Hier ist in § 30 OWiG ausdrücklich festgehalten, dass eine Geldbuße auch gegen die juristische Person oder die Personenvereinigung festgesetzt werden kann, wenn deren Organ oder Vertreter eine Straftat oder Ordnungswidrigkeit begangen hat und dadurch Pflichten der Gesellschaft verletzt worden sind oder diese bereichert worden ist oder werden sollte.
Für den Unternehmer stellen sich in der Praxis vor allem zwei Probleme:
1.
Es ist nicht klar, wo die genau Grenze verläuft.
Viele der relevanten Tatbestände sind ziemlich komplex. Ein Beispiel:
Das Korruption verboten ist, weiß jeder, aber was genau ist verboten und was noch erlaubt?
In den Unternehmen sind die Bereiche Einkauf und Vertrieb besonders gefährdet. Vertrieb beruht auch auf persönlichen Beziehungen und Vertriebsmitarbeiter brauchen eine größere Selbständigkeit und sind schwieriger zu überwachen als Mitarbeiter im Innendienst. Wie vielfältig das Thema ist, zeigt der jährlich erscheinende Lagebericht Korruption des Bundeskriminalamts.
Für das Unternehmen geht es schon damit los, dass die relevanten Normen - § 299 StGB (Bestechlichkeit u. Bestechung im geschäftlichen Verkehr), § 299a StGB (Bestechlichkeit im Gesundheitswesen), § 299b StGB (Bestechung im Gesundheitswesen), § 331 StGB (Vorteilsannahme), § 332 StGB (Bestechlichkeit), § 333 StGB (Vorteilsgewährung) und § 334 StGB (Bestechung) um die Wesentlichen zu nennen - nicht besonders lesefreundlich sind.
Zudem fehlt es oft auch am Wissen (und manchmal am Bewusstsein), was noch als Geschenk oder als Einladung durchgeht und was schon als Bestechungsversuch angesehen werden kann.
Zu den Aufgaben im Rahmen eines Compliance Management Systems gehört daher, klare Regeln und Grenzen zu definieren, für Vertretungs- oder Rotationsregeln zu sorgen und wo nötig ein 4-Augenprinzip zu installieren.
2.
Was ist eigentlich alles verboten?
Die Anzahl der zu beachtenden Gesetze wächst und es gibt immer mehr Regeln. Die Folge dieser steigenden Regelungsdichte ist, dass in den Unternehmen oftmals überhaupt nicht bekannt ist, dass bestimmte Handlungspflichten bestehen.
Vor allem für kleinere Unternehmen ohne eigene Rechtsabteilung bereitet es erhebliche Schwierigkeiten, alle Vorschriften im Blick zu behalten und laufend zu prüfen, welche Bedeutung diese für das eigene Geschäft haben.
Um es Ihnen etwas einfacher zu machen, haben wir die wesentlichen Normen in einem pdf-Dokument zusammengestellt, dass Sie hier herunterladen können: Compliancerelevante Normen
Hier die Übersicht über alle Folgen unserer Miniserie zur Einführung eines Compliance Management Systems:
- In Teil 1 ging es darum, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert.
- In diesem Teil 2 haben wir die relevanten Bereiche und Vorschriften dargestellt, die Sie auf dem Schirm haben müssen.
- In Teil 3 erklären wir welche Bausteine zu einem Compliance Management System gehören.
- In Teil 4 schauen wir uns die Risikoanalyse an.
- Und in Teil 5 kümmern wir uns schließlich darum, worauf bei der Einführung eines Compliance Management Systems konkret zu achten ist.
Sie haben einen Compliance-Notfall? Kein Problem, wir kümmern uns - nehmen Sie Kontakt auf.
Compliance in der Praxis - Anleitung zur Haftungsvermeidung Teil 1/5
"Gerechtigkeit: Manager und Unternehmer müssen haften" (DIE WELT, 11.09.2017)
"Haftungsrisiko für Manager gestiegen" (manager-magazin.de, 25.02.2015)
"Managerhaftung: Immer öfter ein Thema für den Mittelstand" (Technische Mitteilungen, 26.01.2018)
"Manager unterschätzen persönliche Haftungsrisiken" (RiskNET, 03.04.2015)
"Aufsichtsräte im Visier der Insolvenzverwalter" (DIE WELT, 28.06.2017)
Zumindest gefühlt vergeht kein Tag, an dem es nicht irgendeine Meldung zum Thema Managerhaftung gibt. Die Fälle in denen Manager in Anspruch genommen werden mehren sich.
Während Managerhaftung noch vor ein paar Jahren fast nur bei Großunternehmen ein Thema war, ist dies mittlerweile im Mittelstand angekommen. Und es ist steht erwarten, dass sich die Dynamik durch die GroKo-Pläne von CDU/CSU und SPD sogar noch einmal erhöht.
Dabei sind die in Anspruch Genommenen im Allgemeinen nicht gerade das, was man landläufig einen "Verbrecher" nennt. Vielmehr geht es darum, dass im Unternehmen gegen eine der fast unübersehbar vielen Vorschriften verstoßen wurde und der Unternehmensleiter dies nicht verhindert hat.
Compliance
Der "nette Zwilling" der Managerhaftung ist die Compliance. Darunter wird nach einer typischen Definition folgendes verstanden:
"Der Begriff Compliance steht für die Einhaltung von gesetzlichen Bestimmungen, regulatorischer Standards und Erfüllung weiterer, wesentlicher und in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen.“ (Zitiert nach Wikipedia, Nachweis siehe dort)
Im Ergebnis geht es im engeren Sinn darum, im Unternehmen ein System zu integrieren, das systematische Gesetzesverstöße verhindert.
Auch wenn es den Anschein hat: es ist keine neue Kuh, die da durch Dorf getrieben wird, sondern nur eine systematische Ausgestaltung der Pflicht der Manager zur ordnungsgemäßen Unternehmensführung, die auch umfasst, sicherzustellen, dass Gesetze eingehalten werden (§ 91 Abs. 2 AktG; § 93 Abs. 1 AktG; § 43 GmbHG; § 130 OWiG).
Das OLG Düsseldorf hat schon in seiner IKB-Entscheidung vom 09.12.2009 klargestellt, dass dem Vorstand eines Unternehmens kein Ermessensspielraum zusteht, wenn es um die Begehung von Gesetzes- und Satzungsverstößen geht - diese müssen verhindert werden (Rn 46).
Mittlerweile wird die Sicherstellung von Compliance - also die Einhaltung aller Regeln - als einer der wesentlichen Faktoren für den nachhaltigen Erfolg von Unternehmens gesehen. Dies liegt im Wesentlichen an drei folgenden Punkten:
1.
Die Regelungsdichte steigt.
Immer mehr Sachverhalte sind durch immer kompliziertere Vorschriften geregelt und in immer mehr Gesetzen finden sich Straf- und Bußgeldvorschriften - hierdurch erhöht sich auch das Risiko von Regelverstößen.
2.
Die Risiken der Aufdeckung von Regelverstößen sind hoch.
Das liegt zum einen an Kronzeugenregelungen und Hinweisgebersystemen (ggf. bei Wettbewerbsunternehmen) und zum anderen auch an der besseren Arbeit der Ermittlungsbehörden, die in diesem Bereich nach meiner Wahrnehmung ganz erheblich aufgerüstet haben.
3.
Die Sanktionen sind erheblich und werden weiter steigen.
Dies ist sowohl für die Unternehmen als auch für die handelnden Personen mit enormen wirtschaftlichen Risiken verbunden. Geschäftsführer, Vorstände und Aufsichtsräte werden zunehmend in die persönliche Haftung genommen.
Und diese Entwicklung wird sich Fortsetzen: die Parteien der großen Koalition halten beispielsweise ein Bußgeld in Höhe von 10% des Gesamtumsatzes des Unternehmens nicht in allen Fällen für ausreichend.
Compliance Management System (CMS)
Als Compliance Management System (CMS) bezeichnet das Institut der Wirtschaftsprüfer
"die Gesamtheit der im Unternehmen eingerichteten Maßnahmen und Prozesse, um Regelkonformität sicherzustellen." (IdW Prüfungsstandard 980, Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen, WPg Supplement 2/2011, S. 78 ff., FN-IDW 4/2011, S. 203 ff.)
Dabei geht es darum, (1.) Regeln und Zuständigkeiten als geeignete präventive Maßnahmen einzurichten (2.) deren Einhaltung regelmäßige zu kontrollieren und (3.) substantiierte Hinweisen auf Verstöße zu verfolgen.
Die gute Nachricht ist, dass es in Deutschland keine gesetzliche Pflicht gibt, ein Compliance Management System einzuführen (solange alles läuft). Tatsächlich kommt diese Pflicht aber durch die Hintertür: beispielsweise findet sich im Anwendungserlass zu § 153 Abgabenordnung der explizite Hinweis auf ein „innerbetriebliches Kontrollsystem“ (Ziffer 2.6) - im Ergebnis ist das nichts anderes.
Mittlerweile hat auch der Bundesgerichtshof (BGH) in seinem Urteil vom 9.5.2017 – 1 StR 265/16 klargestellt, dass Compliance Management Systeme wirken.
Nach dem BGH ist für die Bemessung der Geldbuße nach § 30 OWiG nämlich entscheidend, ob zum Tatzeitpunkt ein effektives Compliance Management System zur Vermeidung von Rechtsverstößen im Unternehmen implementiert war. Gab es ein effektives Compliance Management System wirkt sich dies bußgeldmindernd aus.
Selbst für den Fall, dass zum Zeitpunkt des Regelverstoßes noch kein wirksames Compliance Management System implementiert war, aber danach die betriebsinternen Abläufe dennoch so gestaltet wurden, dass vergleichbare Normenverletzungen künftig jedenfalls deutlich erschwert werden, soll dies haftungsmindernd wirken.
Gibt es einen besseren Anreiz, gleich ein Compliance Management System einzuführen?
Damit Sie den Schwung nicht verlieren, zeigen wir in den nächsten Folgen unser Miniserie, welche Elemente ein effektiven Compliance Management System braucht und wie dieses eingeführt wird. Hier die Übersicht über die einzelnen Teile:
- In diesem Teil 1 ging es darum, was Compliance ist und warum ein Compliance Management System die Haftung für das Unternehmen und die Unternehmensleitung reduziert.
- In Teil 2 stellen wir die relevanten Bereiche und Vorschriften da, die Sie auf dem Schirm haben müssen.
- In Teil 3 erklären wir welche Bausteine zu einem Compliance Management System gehören.
- In Teil 4 schauen wir uns die Risikoanalyse an.
- Und in Teil 5 kümmern wir uns schließlich darum, worauf bei der Einführung eines Compliance Management Systems konkret zu achten ist.
Sie haben einen Compliance-Notfall? Kein Problem, wir kümmern uns - nehmen Sie Kontakt auf.