Der Begriff „Compliance” hat in den letzten Jahren Einzug in die Unternehmenskultur gefunden. Angesichts der mit Compliance-Verstößen verbundenen, teilweise existenzgefährdenden Risiken (z. B. hohe Geldbußen und Schadensersatzforderungen gegen Unternehmen, Geschäftsführer, Vorstände und leitende Mitarbeiter) genießt das Thema Compliance sowohl bei Konzernen als auch in der mittelständischen Unternehmenskultur mittlerweile hohen Stellenwert. Dies kann bei Betrachtung der beispielsweise von der Europäischen Kommission in den letzten Jahren verhängten Geldbußen für Kartellverstöße nicht verwundern (siehe Übersicht auf nachfolgender Seite).

Konsequenzen fehlender Compliance-Vorkehrungen

Gleichwohl verzichten schätzungsweise 40 % der deutschen Unternehmen (u. a. viele kommunale Unternehmen) auf ein fundiertes Compliance-Management-System. Begründet wird dies häufig damit, dass die Implementierung eines solchen Systems zu aufwendig und teuer sowie kein Mehrwert zu erkennen sei. Denn ein Unternehmen wird für das Verhalten „schwarzer Schafe” in seinen Reihen auch im Falle eines fundierten Compliance-Management-Systems regelmäßig zur Haftung herangezogen. Verallgemeinernd lassen sich drei Typen von Unternehmen unterscheiden:

• Ein Unternehmen ohne jegliche Compliance-Vorkehrungen (nachfolgend als Unternehmen 1 bezeichnet).
• Ein Unternehmen, das ein individuell auf die im Vorfeld analysierten Risiken zugeschnittenes Compliance-Management-System aufweist (nachfolgend als Unternehmen 2 bezeichnet).
• Ein Unternehmen, das bestimmte Compliance-Vorkehrungen getroffen hat (z. B. Schaffung eines Compliance-Regelwerks), ohne zuvor eine fundierte Risikoanalyse durchgeführt zu haben (nachfolgend als Unternehmen 3 bezeichnet).

Je nach Unternehmenstyp gestaltet sich die Haftung für Compliance-Verstöße völlig unterschiedlich. Wesentliche Rechtsgrundlagen für die Haftung eines Unternehmens bei Compliance-Verstößen im deutschen Recht sind § 30 des Gesetzes über Ordnungswidrigkeiten – OWiG – (Haftung für das Fehlverhalten einer eigenen Leitungsperson) sowie § 130 OWiG (Haftung für die Verletzung einer Aufsichtspflicht im Unternehmen). Die Haftung für Aufsichtspflichtverletzungen setzt einen konkreten Verstoß gegen Compliance-Vorschriften durch einzelne Mitarbeiter voraus. Liegt ein solcher Verstoß nicht vor, kommt eine Haftung gemäß § 130 OWiG nicht in Betracht und es macht keinen Unterschied, ob ein Unternehmen angemessene Compliance-Vorkehrungen getroffen hat.

Anders sieht es jedoch in den Fällen aus, in denen ein Verstoß im Unternehmen festgestellt wurde. Zwar haftet im Falle der Beteiligung einer Leitungsperson bzw. eines Beauftragten an den Verstößen jedes Unternehmen – unabhängig von den konkreten Compliance-Vorkehrungen – gemäß § 30 OWiG (in Verbindung mit § 9 OWiG). Jedoch sind die vorgenannten Unternehmen 1 und 3, die entweder gar keine oder keine auf die individuell bestehenden Risiken zugeschnittenen Compliance-Vorkehrungen getroffen haben, bei Compliance-Verstößen zusätzlichen Risiken ausgesetzt, die das vorgenannte Unternehmen 2, das ein auf die individuell bestehenden Risiken zugeschnittenes Compliance-System etabliert hat, nicht tragen muss. Denn weder das Unternehmen 2 selbst noch seine Führungskräfte können im Gegensatz zu den beiden anderen Unternehmen für die Verletzung einer Aufsichtspflicht gemäß § 130 OWiG haftbar gemacht werden, da die erforderlichen Aufsichtsmaßnahmen durch die Implementierung eines auf die spezifischen Risiken zugeschnittenen Compliance-Systems erfüllt werden. Zudem könnte allein das Unternehmen 2 im Rahmen der Haftung für das Verhalten einer eigenen Leitungsperson (§ 30 OWiG) von der Reduzierung eines Bußgeldes profitieren. Denn auch ohne ausdrückliche gesetzliche Regelung steht es den zuständigen Behörden frei, individuell zugeschnittene Compliance-Vorkehrungen bußgeldmindernd in Ansatz zu bringen. Demnächst könnte eine solche Anerkennung von Compliance-Anstrengungen sogar Gesetzeskraft erlangen und damit verbindlich werden. Denn die Bundesregierung prüft derzeit, ob sie angemessene Compliance-Bemühungen im Unternehmen durch Vergünstigungen im Straf- bzw. Ordnungswidrigkeitenrecht fördern wird. Träte eine solche gesetzliche Anerkennung von Compliance-Bemühungen in Kraft, würde dies einen weiteren wichtigen (wirtschaftlichen) Mehrwert für die Implementierung angemessener Compliance-Management-Systeme darstellen.

Unternehmensspezifisches Zuschneiden von Compliance-Maßnahmen

Angesichts des Umstandes, dass standardisierte Compliance-Maßnahmen von Seiten der Rechtsprechung nicht als ausreichende Aufsichtsmaßnahmen betrachtet werden, stellt sich für Unternehmen naturgemäß die Frage, welchen Anforderungen ein angemessenes Compliance-Management-System entsprechen muss. Zum Leidwesen vieler Unternehmensleiter und -juristen gibt es im Gegensatz zu einigen ausländischen Regelwerken (so z. B. die US Sentencing Guidelines, die den US-amerikanischen Foreign Corrupt Practices Act konkretisieren, oder die Richtlinien des britischen Justizministeriums zur Konkretisierung des UK Bribery Act) im deutschen Recht mit Ausnahme der in § 130 Abs. 1 Satz 2 OWiG enthaltenen Bestimmung, dass zu den erforderlichen Aufsichtsmaßnahmen auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen gehört, keine gesetzliche Klarstellung der im Rahmen eines Compliance-Managements-Systems erforderlichen Maßnahmen. Allein die Vorgabe, dass ein angemessenes Compliance-Management-System die unternehmensindividuelle Risikolage berücksichtigen und in ihren Strukturen auch wiedergeben muss, hilft in der Praxis kaum weiter. Nicht zuletzt angesichts dieser gesetzlichen Unbestimmtheit gibt es ein weites Feld von Beratungsangeboten zur Zertifizierung von Compliance-Management-Systemen. Bislang hat sich kein derartiges Testat in der Rechtsprechungspraxis als sichere Exkulpationsmöglichkeit erwiesen. Als erster Ratgeber für Unternehmen bei der Konzeption eines angemessenen Compliance-Management-Systems kann die als Ergebnis des Initiativkreises „Bundesverwaltung und Wirtschaft: Gemeinsam gegen Korruption” veröffentlichte „Praktische Hilfestellung für Antikorruptionsmaßnahmen” (Leitfaden abrufbar auf der Internetseite des Bundesministeriums des Innern unter dem Link „Publikationen”) dienen. Auch wenn der Leitfaden originär nur für Compliance-Maßnahmen im Bereich Korruptionsprävention erstellt wurde, können die praktischen Hilfestellungen als erster Anknüpfungspunkt für Compliance-Management-Systeme im Allgemeinen dienen. Die dort als Hilfestellung aufgeführten fünf Schritte lauten wie folgt:

• 1. Schritt: „Tone from the Top” – klare und erkennbare Haltung der obersten Führungsebene zum Thema Antikorruption (bzw. zum Thema Compliance im Allgemeinen)
• 2. Schritt: Feststellen und analysieren unternehmens-/behördenbezogener Risiken (Risk Assessment)
• 3. Schritt: Implementierung risikominimierender/-absichernder Maßnahmen
• 4. Schritt: Regelmäßige Überprüfung der implementierten Maßnahmen
• 5. Schritt: Etablierung einer auf Antikorruption (bzw. Compliance im Allgemeinen) ausgerichteten Organisationskultur

Unternehmen sollten den Leitfaden – wie der Titel bereits vorgibt – als Hilfestellung und Ideengeber verwenden, gleichwohl bedarf es einer unternehmensindividuellen Risikoanalyse und Anpassung des Compliance-Management-Systems. Es empfiehlt sich, hierbei auf spezialisierte Berater zurückzugreifen.

Mehrwert für Unternehmen in verschiedenen Ausprägungen

Zusammenfassend lässt sich festhalten: Unternehmen – auch kommunale – kommen nicht umhin, sich intensiv mit dem Thema Compliance auseinanderzusetzen. In diesem Zusammenhang sollte nicht der Fehler begangen werden, auf standardisierte Compliance-„Baukastensysteme” zurückzugreifen, die die spezifische Geschäftstätigkeit und Risikolage des jeweiligen Unternehmens nicht ausreichend berücksichtigen. Auch wenn ein unternehmensindividuell ausgestaltetes Compliance-Management-System aufwendig ist und nicht unerhebliche Kosten verursacht, so generiert es erheblichen (wirtschaftlichen) Mehrwert für die Mitarbeiter und das Unternehmen selbst: Erstens werden Compliance-Verstöße im Unternehmen erheblich erschwert und die Mitarbeiter durch Schulungen, Beratungen und Hilfestellungen vor unbewusstem Fehlverhalten geschützt. Zweitens wird das Haftungspotenzial für das Unternehmen selbst und die Unternehmensleitung deutlich reduziert. Drittens lassen sich in der heutigen Zeit besonders hervorstechende Compliance-Bemühungen als Attraktivitätsfaktor bei Kunden und Lieferanten anführen.

Hinweis der Redaktion: Das Thema Compliance wird uns/Sie weiterhin beschäftigen. 2012 hatten wir ihm bereits einen eigenen Kongress gewidmet. In der Ausgabe 2014.12 sind wir speziell auf die Organisationspflicht und in der Ausgabe 2015.1 auf die persönliche Haftung eingegangen.