Dass Unternehmen über ein Compliance Management System verfügen müssen, ist heute weitgehend unumstritten. Entscheidend in diesem Kontext ist die Frage nach Art und Umfang der Compliance-Funktion.

Grundsätzlich sind die Ziele einer Compliance-Funktion in einem Unternehmen klar definiert: zum einen sollen Compliance-Verstöße (aus dem Unternehmen heraus) verhindert werden, um Schäden (materielle Schäden sowie Reputationsschäden) vom Unternehmen abzuwenden. Zum anderen soll durch die Compliance-Funktion auch die persönliche – straf- und zivilrechtliche Haftung – des Managements minimiert, wenn nicht gar verhindert werden.

Seit das Thema Compliance eine hohe mediale Aufmerksamkeit erlangt und zahlreiche Unternehmensskandale verstärkt in das Bewusstsein der zunehmend kritischen Öffentlichkeit gelangt sind, wird die Frage des Aufbaus und der Implementierung von Compliance Management Systemen (CMS) auch in den Kreisen diskutiert, die sich bisher nicht angesprochen fühlten.

Risikolandschaft und Risikostrategie

In jedem Unternehmen – unabhängig von Branche, Produkten und Geschäftsmodell – bestehen Risiken, die sich realisieren und damit Schäden für das Unternehmen verursachen können. Im Zuge der Globalisierung und Internationalisierung sind die regulatorischen Anforderungen gestiegen. Manche Branchen sind hier besonders betroffen. Beispielhaft sei die energiewirtschaftliche Branche genannt, die im Zusammenhang der signifikanten Marktveränderungen mit einer Flut neuer Gesetze zu kämpfen hat. Aber auch die Regelungswut innerhalb von Unternehmen, speziell in Konzernen, nimmt stetig zu, so dass auch vermehrt interne Richtlinien zu beachten sind.

Mit der zunehmenden Anzahl von Regelungen steigt die Gefahr, auch unwissentlich gegen gesetzliche, normative und interne Vorgaben zu verstoßen. Der vorsätzliche Verstoß bleibt hiervon unberührt.

Nicht jedes Risiko hat bei seiner Verwirklichung kritische oder existentielle Folgen. Vor diesem Hintergrund sind die Bestimmung der Risikolandschaft und der Risikostrategie eine wesentliche Grundlage für die künftige Ausprägung des Compliance Management Systems. In einem ersten Schritt sind die Risiken zu identifizieren; hieraus ergibt sich die Risikolandschaft (welche Risiken bestehen in welchem geschäftlichen Kontext). In einem zweiten Schritt erfolgt die Bewertung der Risiken mit Quantifizierung möglicher Schäden und Einschätzung der Eintrittswahrscheinlichkeit. In einem dritten Schritt werden die Risiken priorisiert und einer strategischen Handhabung zugeordnet (in der Regel unterscheidet man bei der Risikostrategie zwischen Risikovermeidung, Risikominimierung, Risikotransfer und Risikoübernahme). Geringe Risiken werden häufig vom Unternehmen selbst getragen, während Risiken mit hohen Schäden entweder auf Dritte transferiert werden (z.B. Versicherung). Bei nicht übertragbaren Risiken versucht das Unternehmen, diese durch geeignete Maßnahmen zu minimieren oder gar zu vermeiden.

Verpflichtung zum Aufbau einer Compliance-Funktion

Jeder Manager ist gut beraten, sein Unternehmen – und sich selbst – gegen Risiken aus Compliance-Verstößen abzusichern. Das geschieht in der Regel durch ein spezifisches Risikomanagementsystem (CMS). In wieweit besteht jedoch die Verpflichtung, eine solche Compliance-Funktion aufzubauen?

Die Meinung hierüber ist alles andere als einheitlich. Explizite gesetzliche Verpflichtungen gibt es nur in Einzelfällen, wie etwa § 33 WpHG1 und § 25a KWG2. Die genannten Bestimmungen fordern ausdrücklich die Einführung von Compliance-Funktionen, wobei hier Unternehmen betroffen sind, die Wertpapierdienstleistungen bzw. Finanzdienstleistungen erbringen.

Befürworter gehen davon aus, dass eine generelle Verpflichtung zur Einführung einer Compliance-Funktion besteht. Diese ergibt sich aus einer gesamtheitlichen Betrachtung bestehender gesetzlicher Bestimmungen wie §§ 76, 91 II, 93 I AktG bzw. §§ 35, 41, 43, 85 GmbHG (gesetzlich normierte Leitungsfunktion des Managements)3.

Auch aus den Bestimmungen des OWiG (§§ 3, 9, 130 OWiG) lässt auch eine Verpflichtung zur Einführung einer Compliance-Funktion ableiten4.

Schließlich fordert der Deutsche Corporate Governance Code (DCGK), dass der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken habe5.

Kritiker teilen diese Meinung nicht. Deren Hauptargument ist, dass es – bis auf die zuvor genannten Bestimmungen des WpHG und KWG sowie ergänzend die Bestimmung des § 64a VAG6 – keine expliziten gesetzlichen Regelungen gibt. Hätte der Gesetzgeber gewollt, dass Compliance-Funktionen, in welcher Art auch immer, verpflichtend sind, so hätte er dies in einschlägigen gesetzlichen Regelungen aufgenommen.

Auch die Auslegung des AktG und GmbHG dahingehend, hieraus die Verpflichtung zur Implementierung einer Compliance-Funktion abzuleiten, wird als überzogen angesehen.

Schließlich wird auch der DCGK wird als Rechtsgrundlage abgelehnt, da dieser Empfehlungscharakter habe und damit keine Rechtsverbindlichkeit gegeben sei. Außerdem gilt dieser ausschließlich für börsennotierte Aktiengesellschaften und berücksichtige damit alle anderen Unternehmen nicht.

Alle genannten Argumente haben ihre Richtigkeit und ihre Berechtigung. Vor dem Hintergrund der im Prinzip einfachen aber entscheidenden Frage, ob Mitglieder des Managements sich dem Risiko aussetzen wollen, aufgrund des Fehlens einer Compliance-Funktion persönlich in die Verantwortung gezogen und damit sowohl zivil- als strafrechtlich in die Haftung genommen zu werden, verlieren die einzelnen Gründe und Argumente, warum ein Unternehmen ein Compliance Management System einführt, an Relevanz.

Das Compliance Management System muss zum Unternehmen passen

Bei dieser Frage gilt zunächst die simple Feststellung: es gibt keine spezifischen gesetzlichen oder normativen Vorgaben für ein Compliance Management System. Insoweit steht es jeder Unternehmensleitung grundsätzlich frei, die funktionalen und organisatorischen Strukturen für die Compliance-Funktion in ihrem Unternehmen frei zu wählen. Ungeachtet dessen gibt es eine Reihe von Aspekten, deren Berücksichtigung hilfreich beim Aufbau des CMS ist und die – direkt und indirekt – Implikationen auf die Ausgestaltung des CMS haben können. Schließlich bindet eine solche Funktion Personal- und Sachressourcen und stellt damit einen nicht unerheblichen Kostenfaktor dar.

Die Compliance-Funktion kann ihre gewünschte Wirkung nur dann effektiv entfalten, wenn sie als Management System in die Gesamt-Unternehmensorganisation integriert ist. Es gilt also, ein für das jeweilige Unternehmen passendes System zu installieren. Dies erfordert mindestens:

• Personelle Zuordnung
  Für das Thema Compliance ist eine personelle Zuordnung vorzunehmen, d.h. einzelnen Personen ist die diesbezügliche Verantwortung zu übertragen. Bei kleinen Unternehmen kann diese in Personalunion mit anderen Funktionen (z.B. Controlling) erfolgen, große Unternehmen beschäftigen hierfür eigene Compliance-Officer. Auch ein Outsourcing an einen spezialisierten Berater ist denkbar.

• Organisatorische Verankerung
  Die Compliance-Funktion muss organisatorisch im Unternehmen verankert sein. Auch dieser Aspekt hängt von Größe und Struktur des Unternehmens ab: von der Stabsstelle bis zur eigenen Complianc-Abteilung sind alle Varianten in der Praxis vertreten. Wie immer auch die organisatorische Verankerung erfolgt, wichtig ist, dass die Compliance-Funktion keine Insellösung darstellt. Es ist unbedingt darauf zu achten, dass eine enge Verzahnung mit anderen Managementsystemen (Qualitätsmanagement, Risikomanagement etc.) besteht.

• Aufgabenfestlegung
  Die Festlegung der Aufgaben der Compliance-Funktion hat zwei Dimensionen. Zum einen sind die konkreten operativen Aufgaben zu beschreiben (z.B. Beratung der Geschäftsleitung sowie anderer Stellen im Unternehmen, Entwicklung und Umsetzung interner Regelwerke, Schulung der Mitarbeiter sowie die Kontrolle und Aufdeckung von Compliance-Verstößen). Zum anderen ist darauf zu achten, dass die Aufgaben der Compliance-Funktion geeignet sind, die Erfüllung der Pflichten der Unternehmensleitung (Organisations-, Kontroll- und Untersuchungspflichten) sicherzustellen – schließlich handelt es sich um die Delegation von Aufsichtsaufgaben und das in diesem Kontext relevante Zusammenspiel von Delegationsakt, Auswahlentscheidung und Überwachung des Delegierten.

• Überwachung, Kontrolle und Berichtswesen
  Eine Compliance-Funktion bedarf der Überwachung und Kontrolle. Dies geschieht in der Regel durch ein Berichtswesen, in dessen erweiterten Rahmen auch die Durchführung von internen und externen Prüfungen gehört.

Das CMS muss individuell auf das Unternehmen zugeschnitten sein, dessen spezifische Anforderungen und Belange sowie dessen individuelle Risikolandschaft berücksichtigen. Insoweit ist es unabdingbar, vor dem Auf- oder Ausbau eines CMS eine sorgfältige Analyse der entscheidenden Parameter durchzuführen.

Anforderungen an die Unternehmensleitung bei der Einrichtung einer Compliance-Funktion

Eine Frage, die in der Unternehmenspraxis immer wieder im Raum steht, ist die nach dem Ermessensspielraum bei Errichtung und Betrieb eines Compliance Management Systems. Hierbei ist zwischen gebundenen und unternehmerischen Entscheidung der Unternehmensleitung zu unterscheiden.

Bei der Einhaltung gesetzlicher Bestimmungen besteht kein Ermessensspielraum. Diese sind ohne Wenn und Aber einzuhalten. Hierbei handelt es sich um gebundene Entscheidungen.

Bei der Festlegung und Umsetzung organisatorischer Maßnahmen dagegen besteht durchaus ein Ermessensspielraum. Schließlich nimmt die Unternehmensleitung meist nicht selbst die Sicherstellung der Gesetzes- und Regelkonformität als originäre Aufgabe wahr, sondern sie delegiert dies an einen bestimmten Personenkreis und gibt dabei den organisatorischen Rahmen vor. Selbst die Überwachung und Kontrolle kann an Aufsichtspersonen delegiert werden. Insoweit handelt es sich hierbei um originäre Führungs- und Organisationsaufgaben, die in den Bereich der unternehmerischen Aufgaben fallen – und für diese besteht unzweifelhaft unternehmerischer Ermessensspielraum.

Folgende Anforderungen bestehen bei der Einrichtung einer Compliance-Funktion:

• Organisatorische Anforderungen

Bei der Haftung für Rechtsverstöße handelt es sich nicht um eine Gefährdungshaftung. Die Haftung trifft die Unternehmensleitung in persona, wenn diese es unterlässt, geeignete organisatorische Maßnahmen zu treffen. Die Rechtsprechung7 geht hier von der Pflicht der Unternehmensleitung aus, die organisatorischen Voraussetzungen dafür zu schaffen, dass der Beauftragte die Pflicht zur Vermeidung von Compliance-Verstößen auch tatsächlich erfüllen kann. Dabei steht der Pflichtumfang im Zusammenhang zu Betriebsgröße und Betriebsstruktur. Nähere Ausführungen über das „Wie“ einer Compliance-Organisation macht die Rechtssprechung nicht, was den Umkehrschluss zulässt, dass sie in Aufbau und Ausgestaltung einer Compliance-Funktion eine originäre unternehmerische Aufgabe sieht.

Zu den wesentlichen organisatorischen Anforderungen zählt – neben den bereits genannten Aspekten der personellen Zuordnung, organisatorischen Verankerung, Aufgabenfestlegung und Kontrolle/ Überwachung – die Verzahnung mit anderen Managementfunktionen im Unternehmen. Hierzu gehören insbesondere das allgemeine Risikomanagement, das Qualitätsmanagement sowie das Controlling und die Revision. In welcher Form diese Verzahnung erfolgt, hängt vom organisatorischen Aufbau ab; wesentlich ist jedoch, dass die Compliance-Funktion keine isolierte „Insellösung“ darstellt.

• Anforderungen an Überwachung und Kontrolle

Grundsätzlich erfordert die eingesetzte Organisation (sowohl im Sinne des § 130 OWiG als auch des § 43 GmbHG) eine geeignete Überwachung und Kontrolle der Personen, an welche die Aufgaben der Compliance-Funktion übertragen sind. Die stichprobenartige Kontrolle der Mitarbeiter stellt damit eine elementare Grundfunktion der Betriebsorganisation dar.

Die Überwachungs- und Kontrollmaßnahmen müssen jedoch praktikabel und zumutbar sein. Wo genau die Grenzen der Praktikabilität und Zumutbarkeit zu sehen sind, ist nicht eindeutig festgelegt. Sie dürften jedoch dann überschritten sein, wenn die Überwachungs- und Kontrollintensität so stark ist, dass sie faktisch der Eigenwahrnehmung der Aufgaben des beaufsichtigten durch die Aufsichtsperson nahe kommt. Dies würde das Delegationsrecht von Aufgaben de facto aushebeln.

• Anforderungen an Untersuchungen und Nachforschungen

Die Rechtssprechung8 geht davon aus, dass – obgleich sich aus dem Gesetz keine eindeutige Pflicht hierzu ableiten lässt – ein Unternehmen dann interne Untersuchungen/ Ermittlungen aufzunehmen hat, wenn sich konkrete Anhaltspunkte für einen Regelverstoß ergeben, auch wenn diese Anhaltspunkte nicht das Ergebnis der regulären, begleitenden Überwachung aus dem Aufgabenfeld der Compliance-Funktion sind. Stellt die Compliance-Funktion im Rahmen ihrer Regeltätigkeit Regelverstöße fest, ist eine entsprechende Untersuchung ohne Zweifel einzuleiten, um den Sinn und Zweck der Compliance-Funktion nicht per se in Frage zu stellen.

Zusammenfassung und Ausblick

Bei Aufbau, Implementierung und Betrieb von Compliance Management Systemen ist Augenmaß gefragt. Kostenaspekte einerseits und die Frage der organisatorischen Verhältnismäßigkeit sowie der internen Akzeptanz sind gewichtige Argumente dafür, nicht das Mögliche, sondern das Notwendige im Bereich der Compliance-Funktion zu realisieren. Das zulässige Ausschöpfen des unternehmerischen Ermessensspielraums sollte demnach auch an dieser Stelle erfolgen.

Dieser Spielraum darf jedoch nicht darüber hinwegtäuschen, dass es sich bei der Frage der Implementierung eines Compliance Management Systems ein unternehmerisches Muss handelt, denn allein das Fehlen einer solcher Compliance-Funktion kann bereits die persönliche straf- und zivilrechtliche Haftung der Unternehmensleitung begründen.

Die Beschäftigung mit einem Compliance Management System ist vielschichtig und erfordert eine Mehrzahl unterschiedlicher fachlicher Disziplinen. Einerseits ist eine juristische Sichtweise erforderlich, die jedoch – isoliert betrachtet – nicht ausreichend ist. Regelverstöße können überall im Unternehmen auftreten. Daher sind profunde Kenntnisse über Organisationsstrukturen sowie über das Zusammenwirken von Funktionen und Prozessen unabdingbar, um im Kontext der unternehmensspezifischen Risikolandschaft die Anforderungen an ein adäquates Compliance Management System zu identifizieren und zu definieren, um auf dieser Grundlage die richtigen Maßnahmen für Aufbau und Implementierung des CMS abzuleiten und umzusetzen. Darüber hinaus sind Kenntnisse und Erfahrungen mit anderen Managementsystemen wie Risiko- oder Qualitätsmanagement-Systeme von Vorteil, um die erforderliche Verzahnung der Systeme im Unternehmen sicher zu stellen.

Über den Autor
Eckart Achauer, Jurist, Dipl.-Betriebswirt, MBA, ist – nach langjähriger international ausgerichteter Tätigkeit in verschiedenen leitenden Funktionen bei einem Schweizer Versicherungskonzern – seit Mitte der Neunziger Jahre als Managementberater und Interimsmanager tätig.

Seine thematischen Schwerpunkte sind Organisations- und Prozessoptimierung, Risiko-, Qualitäts- und Projektmanagement sowie die Sanierung/ Restrukturierung von Unternehmen. Sein Branchenfokus liegt auf der Energiewirtschaft, dem Handel und dem Dienstleistungssektor. Zu seinen Kunden zählen Unternehmen des Mittelstands im In- und Ausland sowie Dax-30-Unternehmen in Deutschland.

Im Rahmen seiner Fortbildung hat sich Eckart Achauer zum European Quality Manager und EFQM-Assessor qualifiziert. 2008 folgte die Ausbildung zum Mediator mit Schwerpunkt Wirtschaftsmediation.

Er ist Geschäftsführer der AGAMON Consulting GmbH, Berlin.