An dieser Stelle erhalten Sie einen Überblick über typische Dokumente, die im Rahmen eines Compliance-Systems genutzt werden. Wenn Sie konkrete Hilfe bei Aufbau und Einführung benötigen, melden Sie sich gern.
Compliance ist “Chefsache” und damit grundsätzlich Teil der Leitungsaufgabe der Geschäftsleitung. Sie haftet also grundsätzlich auch für Pflichtverletzungen aus dem Unternehmen heraus (von Mitarbeitern). Es sei denn, sie hat diese Pflichten ordnungsgemäß delegiert und die Mitarbeiter hinreichend gut ausgewählt und überwacht.
Regelmäßig beinhaltet diese Delegation eine Übertragung von Pflichten an einen Compliance-Verantwortlichen (zB. Chief Compliance Officer (CCO)). Für einige Compliance-Teilbereiche ist die Übertragung von Einzelpflichten auf bestimmte nachgeordnete Beauftragte gesetzlich explizit normiert, etwa im Falle des
Eine Delegation wirkt nur enthaftend, wenn für die Aufgabe eine qualifizierte Person ausgewählt wird, dieser die Aufgaben hinreichend beschrieben werden und die Arbeit des Delegationsempfängers angemessen überwacht wird. Ist das nicht der Fall, bleibt es bei der Haftung der Geschäftsleitung!
Deshalb sollte bei der Delegation gefragt werden:
Die Struktur eines Delegationsschreibens kann wie folgt aussehen:
#04533C
Im Verhaltenskodex wird die Haltung des Unternehmens zu Compliance-Themen nach innen und nach außen getragen. Hier sollte man sich bei der Erstellung, aber auch bei der Kommunikation Mühe geben.
Er bildet das grundlegende Dokument, an dem sich alle anderen Compliance-Regelwerke orientieren. Aus ihm ergeben sich die Werte und grundlegenden Compliance-Strukturen, oft auch die erkannten Risiken, die das Unternehmen erkannt hat.
Er ist für ein Compliance System notwendig, wenn auch nicht gesetzlich angeordnet. Ohne ihn kann man sich kaum auf ein angemessenes Compliance-System berufen (sog. Compliance Defense). Denn dann hat man den Mitarbeitern jedenfalls keine angemessenen Vorgaben mitgegeben.
Für die meisten Unternehmen ist es sinnvoll, dieses grundlegende Regelwerk nicht zu lang werden zu lassen. Es enthält also typischerweise keine umfassende Beschreibung des Compliance-Systems im Einzelnen. Eine gute Zielgröße für einen Verhaltenskodex ist ein Umfang von 2-5 Seiten. Detailregelungen zu einzelnen Themen (etwa: Korruption, Datenschutz, Kartell, Hinweisgeberschutz etc.) bleiben dann Ausführungsrichtlinien vorbehalten.
Die Geschäftsleitung sollte ihn verabschieden und mit ihm identifiziert werden. Aus dem Dokument folgt der „tone from the top“. Dieser muss glaubhaft sein und zu Ihrem Unternehmen passen.
Der Verhaltenskodex richtet sich typischerweise an sämtliche Mitarbeiter und legt verbindliche Erwartungen für das Verhalten sowohl im Innen- als auch im Außenverhältnis (gegenüber Geschäftspartnern, Amtsträgern – allgemein Dritten) fest. Inhalte und thematische Schwerpunkte des CoC sind abhängig von dem jeweiligen Geschäftsgegenstand, der Branche und der konkreten Risikoexposition des Unternehmens. Ein guter Verhaltenskodex fußt also auf einer vorgeschalteten Risikoanalyse.
Üblicherweise wird der CoC sämtlichen Mitarbeitern schriftlich oder elektronisch in einer für sie verständlichen Sprache zur Verfügung gestellt.
Unternehmen müssen sich ferner die Frage stellen, wie sie ihre Mitarbeiter auf den CoC verpflichten wollen. Hier bieten sich unterschiedliche Lösungswege an:
Was vorzugswürdig ist, hängt von den konkreten Gegebenheiten ab. In jedem Fall gilt: Unternehmen sollten bei der Erstellung des Code of Conduct frühzeitig den Betriebsrat (ggf. Konzern- oder Gesamtbetriebsrat) einbeziehen. Auch wenn dies nicht in jedem Fall arbeitsrechtlich zwingend erforderlich ist, erhöht dies auf Seiten der Mitarbeiter doch die Akzeptanz für das gemeinsame Projekt.
Eine typische Struktur eines Verhaltenskodex kann wie folgt aussehen, muss aber nicht alles diese Themen enthalten:
In Unternehmen fristen häufig einzelne oder auch zahlreiche (mitunter veraltete) Richtlinien ein Schattendasein. Sie sind veraltet, widersprechen sich gegenseitig und werden im Rahmen der täglichen Arbeit und insbesondere im Rahmen von Onboarding- oder Offboarding-Prozessen übersehen. Damit steigt das Risiko eines Compliance-Verstoßes. Ein solches Richtlinien-Chaos kann mit einem effizienten Richtlinien Management (Policy Management System) vermieden werden. Unternehmen sollten daher
Änderungen der einzelnen Richtlinien und ihr jeweiliger Bearbeitungsstand werden in der „Mutter-Richtlinie“ festgehalten.
Wenn ein Hinweisgebersystem eingerichtet wurde, müssen Hinweisgeber und Hinweisempfänger wissen, was mit etwaigen Hinweisen passiert. Der Hinweisgeber muss sicher sein, dass er sich in einem geschützten Raum bewegt. Der Hinweisempfänger (oft: die Ombudsstelle) muss wissen, wie er zu handeln hat, wenn ein relevanter Hinweis eingeht.
Ein Hinweisgebersystem ist spätestens seit Geltung der EU-Hinweisgeberschutz-RL (Ende 2021) notwendiger Bestandteil eines jeden Compliance-Systems. Mit Geltung des Hinweisgeberschutzgesetzes wird die Einrichtungen sogar für Unternehmen ab 50 Mitarbeiter zur Pflicht.
Dass ein solches Hinweisgebersystem unternehmensintern eingerichtet wurde, muss aber auch kommuniziert werden. Denn jedes noch so ausgefeilte System funktioniert in der Praxis nicht, wenn die Mitarbeiter (oder Dritte) es nicht kennen.
Hinzu kommt künftig die gesetzliche Verpflichtung, Informationen zum Hinweisgebersystem zu veröffentlichen. Eine solche Verfahrensordnung muss Antworten auf folgende Fragen geben (z.B. im Falle eines Ombudsmann-Systems):
Das Hinweisgebersystem kann gleichzeitig als Beschwerdestelle im Sinne des Lieferkettengesetzes gelten. Dafür muss es aber nicht nur nach innen (an die Mitarbeiter), sondern auch nach außen (an die Lieferkette) gerichtet sein. Sinnvoll ist dann die Veröffentlichung auf der Homepage des Unternehmens.
Die Verfahrensordnung zum LkSG-Beschwerdeverfahren kann dann mit der allgemeinen Verfahrensordnung zum Hinweisgebersystem kombiniert werden („integrierte Lösung“). Ein Beispiel finden Sie hier:
Kombinierte Verfahrensordnung
Das Lieferkettensorgfaltspflichtengesetz (LkSG) verlangt von Unternehmen die Festlegung einer öffentlich zugänglichen Verfahrensordnung zum Beschwerdeverfahren. Sie dient der Information etwaiger Hinweisgeber und kann kurz gefasst sein. Dritte müssen anhand der Verfahrensordnung ersehen können, an wen ihre Hinweise gemeldet werden, was mit den Hinweisen geschieht, und dass ihre Informationen vertraulich behandelt werden.
Die Verfahrensordnung zum LkSG-Beschwerdeverfahren kann mit der allgemeinen Verfahrensordnung zum Hinweisgebersystem kombiniert werden („integrierte Lösung“).
Korruption ist eines der wichtigsten und ältesten Compliance-Themen. Es geht dabei um das Erlangen von unlauteren Vorteilen im Wettbewerb oder gegenüber Amtsträgern durch Gewährung irgendwelcher Zuwendungen. Dabei kommt es nicht darauf an, dass der Wert der Zuwendung besonders hoch ist. Es geht vielmehr darum, ob die Zuwendung sozialadäquat oder doch unlauter ist. Sie können sich vorstellen, dass die Einordnung einer Zuwendung als unlauter nicht immer einfach ist. Deshalb arbeiten viele Unternehmen mit festen Wertgrenzen für Geschenke, Einladungen oder Spenden. Das ist zwar einfach, gibt aber keine absolute Sicherheit. Wesentliche Regelungen finden sich im StGB. Allerdings gibt es zahlreiche ausländische Gesetze, die Weitgeltungsanspruch haben und deshalb mitbedacht werden müssen (FCPA, UK Bribery Act, Sapin II…).
Aus Compliance-Sicht ist es daher wichtig, den Mitarbeitern in einer Richtlinie zum Thema klare Verhaltensvorgaben an die Hand zu geben. Auch hier gilt wieder: Weniger ist mehr! Man muss keine umfassenden Regelwerke vorhalten. Es genügt, die zentralen Dos & Don’ts zu formulieren und die für das jeweilige Unternehmen relevanten Problemfälle zu adressieren. Zudem sollte – wie in jedem anderen Compliance-Bereich auch – ein Ansprechpartner für den Umgang mit Zweifels- oder Verdachtsfällen benannt werden.
Um hier ein Judiz auszubilden, lohnt sich der sog. Öffentlichkeitstest: Hätte ich oder das Unternehmen ein Problem, wenn die Zuwendung morgen so in der Zeitung stehen würde? Außerdem spielt die Frage nach der Transparenz des Handelns eine wichtige Rolle. Einzelfälle sind schwierig. Richtiges Verhalten kann in Schulungen trainiert werden.
Hilfestellung mag das hier verknüpfte Tool bieten.
Die Struktur einer typischen Richtlinie „Einladungen und Geschenke“ kann wie folgt gestaltet werden. Zwingende Vorgaben gibt es aber nicht. Erlaubt ist, was funktioniert.
Kartellverstöße können enorme wirtschaftliche Folgen für Unternehmen haben. Eine Besonderheit besteht darin, dass die Verfolgung von Kartellabsprachen über Bonusregelungen des Kartellamts oft zu einem Wettrennen der Kartellanten führt, bei dem jeder versucht, der erste zu sein, der sich dem Kartellamt gegenüber öffnet. Denn: Der erste kann ein Bußgeld gänzlich vermeiden. Wesentliche Regelungen dazu finden sich im GWB und im StGB.
Verstöße geschehen aber auch außerhalb der sog. hardcore Kartelle und unbemerkt. Dann fehlt es an einer hinreichenden Sensibilisierung. Verhaltensweisen, um die es geht, sind nämlich nicht nur konkrete Preisabsprachen oder Gebietsabsprachen mit Wettbewerbern. Das problematische Verhalten kann schon viel früher ansetzen, etwa beim unzulässigen Austausch von Informationen im operativen Geschäft. Beispiel etwa der Einkäufer, der von einem anderen Einkäufer eines anderen Unternehmens gefragt wird, ob man in den eigenen Verträgen Energiepreiserhöhungen weitergibt oder nicht. Wenn die Information nicht sofort zurückgewiesen wird, befindet man sich schon in einem Kartellverstoß, auch wenn man mit der erhaltenen Information ansonsten nichts unternimmt.
Klare und einfach zu verstehende und zu befolgende Vorgaben müssen also her.
Dabei gilt wiederum: Weniger ist mehr! Man muss kein umfassendes Kartellrechts-Handbuch (Lehrbuch) erstellen. Es genügt, die zentralen Dos & Don’ts zu formulieren und die für das jeweilige Unternehmen relevanten Problemfälle zu adressieren. Zudem sollte – wie in jedem anderen Compliance-Bereich auch – ein Ansprechpartner für den Umgang mit Zweifels- oder Verdachtsfällen benannt werden.
Die Struktur einer solchen Richtlinie Kartellrecht kann wie folgt gestaltet werden. Zwingende Vorgaben gibt es aber auch hier nicht. Erlaubt ist, was funktioniert.
Außenwirtschaftsrechtliche Compliance befasst sich insbesondere mit den Fragen: Wer exportiert, welche Güter an wen? Wohin wird geliefert und für welche Endverwendung können die Güter in der Enddestination bestimmt sein – bzw. für welche Verwendung sind sie geeignet (Dual-Use)? Liegt gegen das belieferte Land ein Embargo vor? Ist der Empfänger (Person/Gruppe/Organisation) auf einer Blacklist/Terrorliste aufgeführt? Sind alle erforderlichen Genehmigungen bzw. Dokumentation erteilt und erstellt? Wurden die Meldepflichten eingehalten? Die Pflichten ergeben sich im Wesentlichen aus dem AWG.
Diese Fragen werden typischerweise in einer Richtlinie zum Thema „Außenwirtschaftsrecht/“Exportkontrolle” beantwortet und gegenüber den Mitarbeitern kommuniziert.
Eingebunden ist immer die Exportabteilung (Exportkontrollbeauftragter, Ausfuhrverantwortlicher). Diese steht normalerweise in engem Austausch mit dem Zoll und muss bereits seit vielen Jahren dem Zoll eine ordnungsgemäße Compliance-Struktur der Exportkontrolle nachweisen. Es gibt also normalerweise in dieser Abteilung bereits eine Compliance-Insel und es sollte versucht werden, keine Friktionen mit anderen Compliance-Regeln im Unternehmen entstehen zu lassen. Man muss das Rad nicht neu erfinden!
Die Struktur einer solchen Richtlinie kann wie folgt aussehen:
Soweit Unternehmen gewerblich Güter veräußern, sind sie „Güterhändler“ und damit Verpflichtete im Sinne des Geldwäschegesetzes. Sofern Güterhändler im Rahmen ihrer Geschäftstätigkeit Bargeldzahlungen in Höhe von mindestens 10.000 EUR tätigen oder entgegennehmen, treffen sie eine Vielzahl geldwäscherechtlicher (Sorgfalts-) Pflichten. Doch auch wenn dies nicht der Fall ist, muss ein Mindestmaß an Geldwäschevorsorge betrieben werden. Hierzu zählt u.a. die Aufklärung der relevanten Mitarbeiter (insbesondere im Bereich Finance & Accounting) zu den Erscheinungsformen und Risiken der Geldwäsche.
Vor allem Händler von Luxusgütern sind im Fokus der Geldwäscher. Diese Händler werden dann für Geldwäsche missbraucht. Das Opfer zu sein, schützt aber nicht davor, selbst wegen Geldwäsche verfolgt zu werden, wenn man hätte erkennen können, dass man es mit Kriminellen zu tun hat oder wenn man die sehr kleinteiligen Pflichten nach dem Geldwäschegesetz nicht einhält.
Für die Mitarbeiter von Güterhändlern geht es v.a. darum, Indentifizierungspflichten bei Kunden zu erfüllen. Dazu müssen sie nicht nur für Bargeldgeschäfte über 10.000 EUR sensibilisiert sein, sondern auch ein gutes Bauchgefühl für Geldwäschefälle entwickeln. Denn beides löst Sorgfaltspflichten bis hin zu Geldwäscheverdachtsanzeigen aus. Um ein solches Bauchgefühl zu entwickeln, bedarf es regelmäßiger Schulungen Für die Zeit zwischen den Schulungen hilft dieses Tool.
Das Geldwäschegesetz gibt natürlich auch zahlreiche organisatorische Grundeinstellungen vor. Diese müssen nicht unbedingt in der an die Mitarbeiter gerichteten Richtlinie geregeln sein, dürfen aber nicht vergessen werden. Insbesondere etwa die Benennung eines Geldwäschebeauftragten, die Registrierung bei goAML, damit überhaupt Verdachtsanzeigen abgegeben werden können, regelmäßige Risikoanalysen.
Eine typische Richtlinienstruktur sieht wie folgt aus, wobei auch hier gilt: Erlaubt ist, was funktioniert. Es kann sich anbieten, die Richtlinie aufzuteilen in eine Verfahrensordnung (vordringlich für die Geldwäschebeauftragten) und einen einfachen Teil für die betroffenen Mitarbeiter, die Sorgfaltspflichten erfüllen müssen.
Die datenschutzrechtlichen Anforderungen an europäische Unternehmen sind in den letzten Jahren stetig gewachsen. Zugleich hat das relativ junge Regelungskorsett des Datenschutzrechts intensive Ermittlungstätigkeiten der Datenschutzbehörden zur Folge. Die Höhe der verhängten Geldbußen ist hoch. Unternehmen sind daher gut beraten, im Bereich Datenschutz-Compliance nicht auf Lücke zu setzen.
Es geht hier um personenbezogene Daten, die überall im Unternehmen entstehen und verarbeitet werden können. Die meisten Unternehmen haben inzwischen Verfahrensverzeichnisse aufgestellt und wissen grundsätzlich, wo ihre personenbezogenen Daten liegen. Es hapert oft an ausreichenden Berechtigungskonzepten, Regelungen für den Umgang mit IT, EDV und Telefonie (zB: Bring Your Own Device?) oder der Kontrolle der Umsetzung (zB Nutzung von WhatsApp oder Verwendung von USB-Datenträgern. Der Teufel steckt im Detail.
Der Datenschutzbeauftragte muss eng an der Erarbeitung der Richtlinie beteiligt sein. Er ist es, der die Regelungen später überwacht.
Zu dem Standardrepertoire datenschutzrechtlicher Compliance zählt daher die Erstellung einer internen Datenschutz-Richtlinie. Diese kann etwa folgende Struktur haben:
Unternehmen haben nur bedingt Einfluss darauf, ob sich ihre Geschäftspartner integer verhalten oder nicht. Dieses Risiko ist jeder Geschäftsbeziehung immanent, steht der Geschäftspartner – als Dritter – doch außerhalb der eigenen Organisation und damit der Einfluss- und Kontrollsphäre des Unternehmens. Unternehmen müssen sich daher im Außenkontakt gegen eine „Infizierung“ durch unlauter – mitunter korruptiv – agierende Geschäftspartner schützen. Denn im Falle der Auswahl nicht integrer Geschäftspartner besteht das Risiko einer Haftungszurechnung für deren rechtswidriges Verhalten (z.B. im Falle der Bestechung ausländischer Amtsträger). Um sich zu schützen, bietet sich die Einrichtung einer Geschäftspartnerprüfung (Business Partner Screening) an. Der Prozess (unterscheidet sich je nach Unternehmen und den konkreten Gegebenheiten) wird üblicherweise in einer Richtlinie bzw. einem Leitfaden niedergelegt. Je nach Risikoexposition des Unternehmens kommen simple Excel-Lösungen bis hin zu ausgefeilten Legal Tech-Anwendungen in Betracht.
Eine Richtlinie reicht nicht. Zentrale Stellen wie der Empfang, der Durchsuchungskoordinator und die Geschäftsleitung, besser auch zusätzlich die IT und die Kommunikationsabteilung müssen geschult sein. Solche Schulungen müssen nicht aufwändig sein und man muss sie wie einen Erste-Hilfe-Kurs betrachten. Man ist im Ernstfall froh, wenn man ihn mal gemacht hat.
Daneben gibt es Notfall-Apps wie diese hier. Sie bereiten Sie auf Durchsuchungen vor und helfen im Notfall durch die Automatisierung von Prozessen, die oft schiefgehen.
Ein Durchsuchungsleitfaden richtet sich an alle relevanten Mitarbeiter (Empfang, Vorstandssekretariate, Rechtsabteilung, Compliance Officer, Durchsuchungskoordinator, IT, Datenschutz, Kommunikation, Geschäftsleitung) und klärt über die wesentlichen Fallstricke auf, die es im Rahmen einer Durchsuchung zu vermeiden gilt. Zudem wird eine interne und externe Berichtskette festgelegt:
Die Notwendigkeit für eine unternehmensinterne Untersuchungen ergibt sich in der Regel unerwartet. Sie kann sich etwa aus einem Hinweis über den Whistleblower-Kanal ergeben. In einem solchen Fall müssen die erforderlichen Untersuchungshandlungen zügig umgesetzt werden, um den Erfolg der internen Untersuchung nicht zu gefährden. Ansonsten ist zu befürchten, dass wichtige Informationen unwiederbringlich verloren gehen und auch Gegenmaßnahmen faktisch nicht mehr durchsetzbar sind. Damit interne Untersuchungen insbesondere am Anfang zügig umgesetzt werden können, sollten Unternehmen vorab bestimmte vorbereitende Maßnahmen treffen. Nicht zuletzt bietet eine gute Vorbereitung im Krisenfall ein erhebliches Potential zur Kosteneinsparung.
Eine Compliance-Untersuchung ist eine Krise, auf die man sich einfach vorbereiten kann. Unternehmen, die ohne ausreichende Vorbereitung in eine sog. Internal Investigation ziehen, werfen Geld zum Fenster heraus. Daher wichtig: Erarbeiten Sie ein Konzept für den Ernstfall. Wir helfen mit unserem einfachen und bewährten Vorbereitungspaket. Sprechen Sie uns an.
Eine klassische Richtlinie enthält diese Punkte: