Compliance-Infos – FAQ Compliance-Untersuchungen

Von Aufbau bis Zielvorgabe

ausgeblendet

Was bedeutet Compliance und was sind die Vorteile?

In einem Unternehmen gibt es viele mögliche Gesetzesverstöße. Mit einer größeren Mitarbeiterzahl wächst das Risiko exponentiell. Auch die Anzahl möglicher (auch fahrlässiger) Verstöße mit großen Haftungsrisiken wächst rasant und die Folgen werden oft unterschätzt. Bis sie einen treffen. Compliance geht es darum, die Haftung für die mit absoluter Sicherheit auftretenden Rechtsverletzungen im Unternehmen möglichst abzufedern. Wenn Mitarbeiter weit unten in der Hierarchie eine Pflichtverletzung begehen (auch versehentlich), dann soll davon nicht die Geschäftsleitung und dadurch das Unternehmen selbst in die Haftung geraten. Das ist gemeint, wenn man davon spricht, dass Compliance Regeleinhaltung bedeutet. Eigentlich geht es um Prävention und den Umgang mit den als sicher zu erwartenden Verstößen.

Es setzt sich sukzessive die Erkenntnis durch, dass Compliance

- nachhaltig den geschäftlichen Erfolg von Unternehmen sichert,
- Haftungsrisiken für Unternehmen, die Geschäftsleitung und die Mitarbeiter verringert ( Compliance-Defense),
- Vertrauen bei Geschäftspartnern, Behörden und der Öffentlichkeit schafft,
- Vorteile bei Auftragsvergaben bietet und
- zu einer Optimierung der Ressourcenverteilung im Unternehmen führt.

Was ist ein Compliance Management System?

Das Compliance-Management-System (CMS) umfasst sämtliche Maßnahmen, Strukturen, Prozesse und Regelwerke, die dazu dienen, ein regelkonformes Verhalten im Unternehmen herzustellen. Also ein regelwidriges Verhalten präventiv zu verhindern und mit etwaigen Verstößen umzugehen. Auf diese Weise soll ein sog. Organisationsverschulden verhindert werden, wonach Unternehmen und Geschäftsleitung nahezu automatisch mithaften würden, wenn es zu Verstößen durch Mitarbeiter – oder mitunter auch: Geschäftspartner! – kommt.

Entscheidend ist, dass ein systematisches CMS im Unternehmen existiert. Dabei müssen die einzelnen Compliance-Komponenten wie Zahnräder ineinandergreifen und ein in sich geschlossenes System bilden. Das CMS sollte als lebendiges Gebilde verstanden werden. Ein System, dass Strukturen schafft, überwacht und aktiv auf Veränderungen reagiert.

Warum sollte mein Unternehmen eine Compliance-Risikoanalyse durchführen?

Es gibt zahlreiche Gründe, weshalb Unternehmen eine Risikoanalyse durchführen sollten:

- aufgrund regulatorischer Anforderungen bzw. zur Vermeidung von Haftungsrisiken (insb. §§ 130, 30 OWiG, GwG, LkSG etc.),
- weil das Unternehmen die Einrichtung oder Anpassung eines CMS plant,
- die Aufnahme neuer Geschäftsmodelle, Produkte oder Erschließung neuer Märkte ansteht,
- um eine angemessene (Re-)Allokation von Ressourcen sicherzustellen oder
- ganz allgemein: weil nur derjenige, der seine aktuellen bzw. potenziellen Risiken kennt, diesen auch durch wirksame Maßnahmen begegnen kann!

Wie läuft eine Compliance-Risikoanalyse ab?

Die Durchführung einer Risikoanalyse ist in der Regel ein dreiphasiges Projekt, bestehend aus den Abschnitten (i) Vorbereitung, (ii) Erhebung und (iii) Auswertung. Die Risikoanalyse beginnt üblicherweise mit der Definition des Projektzieles, der Verabredung einer Projektstruktur und dem Aufsetzen eines Zeit- und Ressourcenplanes. Ebenfalls frühzeitig sollte man das Projektteam zusammenstellen und den Ablauf bestimmen. Sodann folgt die Festlegung des Scopes und der Erhebungstiefe der Risikoanalyse (umfassende CRA oder beschränkt auf Compliance-Teilbereiche? Sämtliche Konzerngesellschaften oder beschränkt auf einzelne Entitäten?).

Im nächsten Schritt erfolgt die Feststellung etwaiger Lücken des CMS anhand der „Papierlage“. Das bedeutet, es werden Basis-Compliance-Dokumente – typischerweise über einen Datenraum – angefordert. Damit beginnt die Erhebung des Status Quo des CMS. Parallel bereitet das Projektteam Interviews mit Unternehmensangehörigen (Gegenstrommethode, d.h. top-down und bottom-up-approach) vor. Diese erfolgen nach abgeschlossener Auswertung der Dokumente. Anschließend folgen die Bewertung der erhobenen Informationen und die Ermittlung der tatsächlichen Risikoexposition (Nettorisiko) des Unternehmens. Ausgehend von dem Nettorisiko werden konkrete Risikostrategien abgeleitet. Ggf. werden offene Punkte abschließend geklärt. Am Ende des Projektes Risikoanalyse steht die Erstellung des Abschlussberichtes.

Achtung: Mit der einmaligen Durchführung einer Risikoanalyse ist es nicht getan! Die Risikoanalyse ist als Regelprozess im Rahmen der kontinuierlichen Weiterentwicklung und Verbesserung des CMS auszugestalten.

Was sind strukturelle Compliance-Risiken?

Von einem CMS wird nicht erwartet, jede Straftat und jede Ordnungswidrigkeit im Unternehmen zu verhindern. Es muss aber risikogeneigte Strukturen erfassen. Im Rahmen der Compliance-Risikoanalyse kommt es daher nicht darauf an, tatsächliche Compliance-Verstöße aufzudecken. Diese muss zwar bekannte Verstöße einstellen, es geht ihr aber um die Bewertung struktureller Risiken. Das CMS muss also Risiken antizipieren, deren Realisation nicht sicher ist, für die auch noch kein sog. Anfangsverdacht besteht. Die dafür notwendig prognostische Betrachtung sollte kriminologisch akzeptierte Anreizstrukturen berücksichtigen. Je stärker diese Faktoren ausgeprägt sind, desto stärker ist das strukturelle Risiko eines Regelverstoßes. Ein wirksames CMS betrachtet diese Faktoren, um strukturelle Risiken im Vorfeld klein zu halten. Es muss strukturell risikoerhöhende und risikomindernde Faktoren gewichten.

Was bedeutet es, wenn ich keine Risikoanalyse habe oder die nicht „gut“ ist?

Die Risikoanalyse stellt das Herzstück bzw. das Fundament des CMS dar. Ein CMS kann daher nur so gut – so robust sein – wie die Risikoanalyse, auf der es gründet. Ohne sorgfältige Risikoanalyse lässt sich nämlich nicht abschätzen,

- ob und wie groß ein bestimmtes Compliance Risiko ist,
- eine risikomitigierende Maßnahme damit erforderlich
- und wie sie auszugestalten ist.

Es besteht damit die Gefahr von blind spots. Dies führt rasch zu Haftungsfallen und -fällen. Nicht zuletzt, weil ohne sorgfältige Risikoanalyse die bußgeldbewehrten Aufsichtspflichten (§§ 130, 30 OWiG) nicht erfüllt werden können.

Was bedeutet es, wenn ich ein Risiko nicht delegiert habe?

Wird ein Risiko nicht delegiert, verbleibt es im vollen Umfang bei dem ursprünglichen risk owner. Dieser trägt damit die bußgeld- und strafbewehrte Verantwortung für den Fall, dass sich das Risiko realisiert. Unterlässt es etwa die aus mehreren Personen bestehende Geschäftsleitung eines Unternehmens, die Verantwortung für den Bereich Compliance ordnungsgemäß auf ein Geschäftsleitungsmitglied zu delegieren (sog. horizontale Delegation; z.B. in Gestalt einer Satzung, eines Ressort- oder Geschäftsverteilungsplanes), verbleibt die Allzuständigkeit unverändert bei sämtlichen Organmitgliedern. Dasselbe gilt im Falle einer unterbliebenen vertikalen Delegation. In diesem Fall verbleibt die volle Verantwortung bei dem zuständigen Organmitglied.

Wofür haftet der Compliance Officer?

Die Tätigkeit des Compliance Officers (CO) gilt als „gefahrgeneigt“. Ihm kommt eine besondere Verantwortung für die Bereiche Prävention und Kontrolle im Unternehmen zu. Erfüllt er die ihm arbeitsvertraglich übertragenen – und in der Stellenbeschreibung präzisierten – Pflichten nicht ordnungsgemäß, kommt unter Umständen eine strafrechtliche Haftung des CO in Betracht. Der BGH hat bereits in einer Entscheidung aus dem Jahr 2009 (BSR-Entscheidung) – in einem obiter dictum – eine persönliche Verantwortlichkeit des CO für die Verhinderung von Rechtsverstößen und damit eine Garantenstellung bejaht. Diese folge als Kehrseite aus der vom CO übernommenen Pflicht zur Verhinderung von Straftaten.

Was genau der CO im Einzelfall tun muss, um eine Haftung zu vermeiden, ist nicht in jedem Fall gleich und hängt von den an ihn delegierten konkreten Pflichten (Arbeitsvertrag, Stellenbeschreibung) ab. Er wird allerdings regelmäßig verpflichtet sein, der Geschäftsleitung turnusmäßig und anlassbezogen Bericht zu erstatten. Hingegen wird er regelmäßig nicht verpflichtet sein, eine rechtswidrige Handlung aus dem Unternehmen heraus zu verhindern. Mit Ausnahme einzelner spezialgesetzlicher Vorschriften (z.B. § 43 GwG) ist der CO auch nicht verpflichtet, Rechtsverstöße den zuständigen Behörden zu melden.

Neben eine mögliche strafrechtlichen Haftung des CO tritt die ordnungswidrigkeitenrechtliche Haftung nach §§ 130, 9 Abs. 2 OWiG. Verletzt der CO vorsätzlich oder fahrlässig diejenigen Aufsichtspflichten, die erforderlich sind, um im Unternehmen Compliance-Verstöße zu verhindern, kommt die Verhängung einer Geldbuße bis zu 1 Mio. EUR in Betracht.

Wie baut man ein Berichtswesen auf?

Wesentlicher Bestandteil eines angemessenen CMS ist ein (gleichsam) funktionierendes Berichtswesen. Unternehmensintern muss bestimmt werden,

- wer
- wen
- über welche Inhalte
- wann und wie häufig

informieren muss. Mithilfe einer Grafik (s.u.) lassen sich die Berichtswege am besten veranschaulichen.

Die Berichtspflichten (insb. Gegenstand, Adressat, Empfänger, Turnus) werden zudem im Arbeitsvertrag niedergelegt.

Was ist eine interne Untersuchung?

Kommt es im Unternehmen zu – möglicherweise gar strafbarem – Fehlverhalten- oder sonstigen Compliance-Verstößen, ist oft eine interne Compliance-Untersuchung erforderlich. Diese läuft üblicherweise nach dem folgenden (Grob-) Schema ab:

Mit den eigenen Nachforschungen verdeutlicht das Unternehmen den Behörden, Mitarbeitern und Investoren wie auch Kunden, dass es seine Unternehmenswerte konsequent umsetzt und seinen gesellschaftsrechtlichen Verpflichtungen nachkommen. Leider gilt immer auch: Interne Untersuchungen sind stets eine organisatorische, fachliche und unternehmenskulturelle Herausforderung. Dies hat auch der Gesetzgeber in der vergangenen Legislaturperiode erkannt und versucht, durch seine – zwischenzeitlich gescheiterte – Gesetzesinitiative (Referentenentwurf Verbandssanktionengesetz) einen Rahmen für die internen Untersuchungen zu schaffen. Es ist davon auszugehen, dass der Gesetzgeber das Thema erneut aufgreifen und einer gesetzlichen Regelung zuführen wird.

Wie kann ich mich auf eine interne Untersuchung vorbereiten?

Durch eine kluge Vorbereitung auf eine interne Untersuchung – die regelmäßig nicht viel kostet – kann das Unternehmen im Krisenfall sehr viel Geld sparen (Asset Protection) und seine Handlungsfähigkeit erhalten. Einfach, weil jeder weiß, was er tut (Fehlervermeidung) und man für vieles keinen externen Berater in der Krise benötigt (Kostensenkung). Die Vorbereitung auf eine interne Untersuchung umfasst regelmäßig folgende Schritte:

1. Erstellung eines Prozessablaufs für die Compliance-Untersuchung
  (Flussdiagramm)
2. Optimierung der Aufbauorganisation für Compliance-Untersuchungen:
  Wenn im Ernstfall erst Zuständigkeiten verteilt werden, gibt es Reibungsverluste und Informationslecks. Das darf nicht passieren. Die Aufbauorganisation muss im Vorfeld klar sein.
3. Schaffung oder Anpassung der Regelwerke für den Fall einer Internen Compliance-Untersuchung:
  Eine Richtlinie kann Orientierung und Nachschlagewerk sein. Sie beschreiben im besten Fall Prozessablauf und Aufbauorganisation. Es kann aber auch sein, dass der Code of Conduct oder sonstige Regelungen angepasst werden müssen (zB: Datenschutz oder ISMS).
4. Erstellung individueller Muster
  (Preservation Order, Kommunikationsplan, Belehrungen, Datenschutzbewertungen)
5. Anpassung Arbeitsverträge od. Betriebsvereinbarung, soweit für Datenzugriff erforderlich
  Es kann sein, dass Arbeitsverträge angepasst oder eine BV geschlossen werden muss. Dafür können wir in Zusammenarbeit mit Arbeitsrechtlern Muster bereitstellen.
6. Zurverfügungstellung FAQ für Verantwortliche (zur Behandlung und Bewertung von Stellschrauben)
  Einzelne Verantwortliche im Team müssen verschiedene Entscheidungen treffen. Bspw. Muss ein Datenschutzbeauftragter in die Lage versetzt werden, die Zugriffsmöglichkeit auf betroffene Custodians bei einer Verdachtslage zu bewerten und der Projektleiter muss die Sinnhaftigkeit einzelner Untersuchungsmaßnahmen erkennen können. Das ist gut über FAQ abbildbar.
7. Konzeptpapier für den Aufbau Struktur zur Datenerhebung
  Im Ernstfall müssen Daten schnell gefunden werden. Sie müssen auf eine Weise gesichert werden, die den Beweiswert erhält und die zugleich rechtmäßig ist. Mit einem bloßen Kopieren von Daten ist es nicht getan. Im Gegenteil.
8. Bereitstellung Erstberatung im Ernstfall („hit the ground running“)
  In der Erstberatung herrscht Zeitdruck. Es hilft, das Unternehmen, die Personen und Prozesse zu kennen. Das spart Zeit und Geld. Wir würden regelmäßige Jour Fixes durchführen, in denen auch sonstige Compliance-Fragen besprochen werden können.
9. Simulationsschulung für den Ernstfall (Verantwortliche Personen)
  Wir setzen das gesamte Team an einen Tisch und gehen eine Planuntersuchung mit allen wichtigen Stellschrauben durch.