ANFORDERUNGEN AN DIE UNTERNEHMENSLEITUNG BEI DER EINRICHTUNG EINER COMPLIANCE-FUNKTION
Eine Frage, die in der Unternehmenspraxis immer wieder im Raum steht, ist die nach dem Ermessensspielraum bei Errichtung und Betrieb eines Compliance Management Systems. Hierbei ist zwischen gebundenen und unternehmerischen Entscheidung der Unternehmensleitung zu unterscheiden.
Bei der Einhaltung gesetzlicher Bestimmungen besteht kein Ermessensspielraum. Diese sind ohne Wenn und Aber einzuhalten. Hierbei handelt es sich um gebundene Entscheidungen.
Bei der Festlegung und Umsetzung organisatorischer Maßnahmen dagegen besteht durchaus ein Ermessensspielraum. Schließlich nimmt die Unternehmensleitung meist nicht selbst die Sicherstellung der Gesetzes- und Regelkonformität als originäre Aufgabe wahr, sondern delegiert dies an einen bestimmten Personenkreis und gibt dabei den organisatorischen Rahmen vor. Selbst die Überwachung und Kontrolle kann an Aufsichtspersonen delegiert werden. Insoweit handelt es sich hierbei um originäre Führungs- und Organisationsaufgaben, die in den Bereich der unternehmerischen Aufgaben fallen – und für diese besteht unzweifelhaft unternehmerischer Ermessensspielraum.
Folgende Anforderungen bestehen bei der Einrichtung einer Compliance-Funktion:
- Organisatorische Anforderungen
Bei der Haftung für Rechtsverstöße handelt es sich nicht um eine Gefährdungshaftung. Die Haftung trifft die Unternehmensleitung in persona, wenn diese es unterlässt, geeignete organisatorische Maßnahmen zu treffen. Die Rechtsprechung[1] geht hier von der Pflicht der Unternehmensleitung aus, die organisatorischen Voraussetzungen dafür zu schaffen, dass der Beauftragte die Pflicht zur Vermeidung von Compliance-Verstößen auch tatsächlich erfüllen kann. Dabei steht der Pflichtumfang im Zusammenhang zu Betriebsgröße und Betriebsstruktur. Nähere Ausführungen über das „Wie“ einer Compliance-Organisation macht die Rechtssprechung nicht, was den Umkehrschluss zulässt, dass sie in Aufbau und Ausgestaltung einer Compliance-Funktion eine originäre unternehmerische Aufgabe sieht.
Zu den wesentlichen organisatorischen Anforderungen zählt – neben den bereits genannten Aspekten der personellen Zuordnung, organisatorischen Verankerung, Aufgabenfestlegung und Kontrolle / Überwachung – die Verzahnung mit anderen Managementfunktionen im Unternehmen. Hierzu gehören insbesondere das allgemeine Risikomanagement, das Qualitätsmanagement sowie das Controlling und die Revision. In welcher Form diese Verzahnung erfolgt, hängt vom organisatorischen Aufbau ab; wesentlich ist jedoch, dass die Compliance-Funktion keine isolierte „Insellösung“ darstellt.
- Anforderungen an Überwachung und Kontrolle
Grundsätzlich erfordert die eingesetzte Organisation (sowohl im Sinne des § 130 OWiG als auch des § 43 GmbHG) eine geeignete Überwachung und Kontrolle der Personen, an welche die Aufgaben der Compliance-Funktion übertragen sind. Die stichprobenartige Kontrolle der Mitarbeiter stellt damit eine elementare Grundfunktion der Betriebsorganisation dar.
Die Überwachungs- und Kontrollmaßnahmen müssen jedoch praktikabel und zumutbar sein. Wo genau die Grenzen der Praktikabilität und Zumutbarkeit zu sehen sind, ist nicht eindeutig festgelegt. Sie dürften jedoch dann überschritten sein, wenn die Überwachungs- und Kontrollintensität so stark ist, dass sie faktisch der Eigenwahrnehmung der Aufgaben des beaufsichtigten durch die Aufsichtsperson nahekommt. Dies würde das Delegationsrecht von Aufgaben de facto aushebeln.
- Anforderungen an Untersuchungen und Nachforschungen
Die Rechtssprechung[2] geht davon aus, dass – obgleich sich aus dem Gesetz keine eindeutige Pflicht hierzu ableiten lässt – ein Unternehmen dann interne Untersuchungen / Ermittlungen aufzunehmen hat, wenn sich konkrete Anhaltspunkte für einen Regelverstoß ergeben, auch wenn diese Anhaltspunkte nicht das Ergebnis der regulären, begleitenden Überwachung aus dem Aufgabenfeld der Compliance-Funktion sind. Stellt die Compliance-Funktion im Rahmen ihrer Regeltätigkeit Regelverstöße fest, ist eine entsprechende Untersuchung ohne Zweifel einzuleiten, um den Sinn und Zweck der Compliance-Funktion nicht per se in Frage zu stellen.
Zusammenfassung und Ausblick
Bei Aufbau, Implementierung und Betrieb von Compliance Management Systemen ist Augenmaß gefragt. Kostenaspekte einerseits und die Frage der organisatorischen Verhältnismäßigkeit sowie der internen Akzeptanz sind gewichtige Argumente dafür, nicht das Mögliche, sondern das Notwendige im Bereich der Compliance-Funktion zu realisieren. Das zulässige Ausschöpfen des unternehmerischen Ermessensspielraums sollte demnach auch an dieser Stelle erfolgen.
Dieser Spielraum darf jedoch nicht darüber hinwegtäuschen, dass es sich bei der Frage der Implementierung eines Compliance Management Systems um ein unternehmerisches Muss handelt, denn allein das Fehlen einer solcher Compliance-Funktion kann bereits die persönliche straf- und zivilrechtliche Haftung der Unternehmensleitung begründen.
Die Beschäftigung mit einem Compliance Management System ist vielschichtig und erfordert eine Mehrzahl unterschiedlicher fachlicher Disziplinen. Einerseits ist eine juristische Sichtweise erforderlich, die jedoch – isoliert betrachtet – nicht ausreichend ist. Regelverstöße können überall im Unternehmen auftreten. Daher sind profunde Kenntnisse über Organisationsstrukturen sowie über das Zusammenwirken von Funktionen und Prozessen unabdingbar, um im Kontext der unternehmensspezifischen Risikolandschaft die Anforderungen an ein adäquates Compliance Management System zu identifizieren und zu definieren, auf dieser Grundlage werden dann die richtigen Maßnahmen für Aufbau und Implementierung des CMS abgeleitet und umgesetzten. Darüber hinaus sind Kenntnisse und Erfahrungen mit anderen Managementsystemen, wie Risiko- oder Qualitätsmanagement-Systeme, von Vorteil, um die erforderliche Verzahnung der Systeme im Unternehmen sicher zu stellen.
[1] OLG DÜSSELDORF, 12.11.1998
[2] BGH, 8.10.1984 – II ZR 175/83, WiJ – Journal der Wirtschaftsstrafrechtlichen Vereinigung, 03-2012, 09.07.2012
Über den Autor
Eckart Achauer, Studium der Rechtswissenschaften und Betriebswirtschaftslehre, postgraduales Aufbaustudium zum Master of Business Administration (MBA). Berufsbegleitende Fortbildungen zum European Quality Manager (DGQ), zum Mediator mit Spezialisierung auf Wirtschaftsmediation sowie zum Certified Compliance Manager (TÜV).
Er war rund 10 Jahre in der internationalen Versicherungswirtschaft im Management eines Schweizer Versicherungskonzerns in verschiedenen Funktionen (Schadenabteilung, Vertrieb, Assistance) tätig, bevor er 1997 in die Management- und Unternehmensberatung wechselte.
Als Berater und Geschäftsführer verschiedener Beratungsgesellschaften hat sich Herr Achauer thematisch auf die Organisations- und Prozessoptimierung sowie auf den Aufbau und die Implementierung von Managementsystemen – Qualitätsmanagement, Risiko- und Compliance Management – spezialisiert.
Bei Senator Executive Search Partners betreut Herr Achauer den Bereich Compliance Management. Im Rahmen von Compliance Audits analysiert er deren organisatorische „Compliance Fitness“, er sensibilisiert und schult das Management, Führungskräfte und Mitarbeiter und unterstützt die Unternehmen bei Aufbau und Implementierung individueller Compliance Management Systeme. Dabei berücksichtigt er stets die spezifische Risikosituation der Unternehmen. Durch seine langjährige Erfahrung als Führungskraft und Berater ist er mit den unternehmerischen Herausforderungen aus der Praxis bestens vertraut.