Martin R. Schulz - Compliance Management im Unternehmen

79

Bei Durchführung der Schulungs- und Fortbildungsmaßnahmen ist einerseits auf Verständlichkeit und Praxisnähe zu achten, Juristen sind hier vor allem als „Übersetzer“ komplexer Rechtsthemen in alltagstaugliche und nachvollziehbare Zusammenhänge gefragt. Andererseits ist dringend anzuraten, Compliance nicht pauschal als Funktion der „Geschäftsverhinderung“ darzustellen. In Fällen, in denen Geschäfte und Transaktionen aus Compliance-Gründen nicht durchgeführt werden dürfen, müssen die Gründe daher nachvollziehbar und konsistent erklärt werden.312 Soweit sie möglich sollte ferner eine positive Vorstellung davon vermittelt werden, unter welchen Bedingungen ein abgelehntes Geschäft entweder in eingeschränktem Umfang oder nach inhaltlicher Änderung zulässig sein könnte.313

80

Aufgrund des oben beschriebenen komplexen und dynamischen regulatorischen Umfelds müssen die Schulungs- und Fortbildungsinhalte regelmäßig aktualisiert und fortlaufend an neue Rechtsentwicklungen angepasst werden. Nur so erhalten die Unternehmensangehörigen die Möglichkeit, sich regelmäßig auf ein geändertes rechtliches Umfeld einzustellen, um Compliance-Risiken erkennen und vermeiden zu können. Zur Erläuterung aktueller Compliance-Themen und der Klärung von Zweifelsfragen trägt ferner die Einrichtung einer Beratungsstelle („Compliance-Helpline“) bei, an die sich alle Unternehmensangehörigen in Compliance-Fragen wenden können.314

81

Um einen direkten Unternehmensbezug der Compliance-Schulungen und Fortbildungsformate zu gewährleisten, bietet sich die (selektive) Einbeziehung von Unternehmensangehörigen bei der Entwicklung und Durchführung von Schulungsmaßnahmen an.315 Diese aktive Einbeziehung, etwa durch Repräsentanten unterschiedlicher Unternehmenseinheiten, fördert die Attraktivität und Akzeptanz der Fortbildungsformate, da diese weniger als von „oben verordnet“ als vielmehr als „Eigenentwicklung“ wahrgenommen werden. Die gezielte Beteiligung ausgewählter Mitarbeiter und Führungskräfte an der Entwicklung und Durchführung von Compliance-Schulungen ist gleichzeitig ein wichtiger Beitrag zu Förderung der Compliance-Kultur.

82

Im Rahmen der Compliance-Strategie ist auch zu erwägen, positive Anreize für regeltreues und integres Verhalten zu schaffen.316 Hierfür gibt es zahlreiche Möglichkeiten, wie die Aufnahme von Compliance-Themen in Leistungs- und Zielvereinbarungen, die Nominierung ausgewählter Unternehmensangehöriger als sog. „Compliance-Botschafter“ oder die Gestaltung besonderer Workshops zu Compliance-Themen.317 Entscheidend ist, dass Mitarbeiter mit einem regelkonformen und integren Verhalten Karriere machen können318 und nicht etwa falsche Anreize bestehen, die Fälle von Non-Compliance begünstigen (etwa im Sinne unreflektierter finanzieller Zielvorgaben).319 Compliance-gerechte und integre Verhaltensweisen (sowie deren Wertschätzung durch die Unternehmensleitung) müssen darüber hinaus fester Bestandteil der Aus- und Fortbildung von Unternehmensangehörigen sein.320

83

Ein weiterer Erfolgsfaktor für funktionierendes Compliance Management ist die Integration von Compliance-Themen und Maßnahmen in die Geschäftsprozesse. In kleineren und mittelständischen Unternehmen ist diese Verankerung von essenzieller Bedeutung, da spezialisierte Funktionen zur Wahrnehmung von Compliance-Aufgaben wie Rechtsabteilung, Risikomanagement oder Revision häufig fehlen. Wie im Zusammenhang mit dem Risikomanagement (und dem GRC-Ansatz) ausgeführt,321 ist die proaktive Einbeziehung der operativen Einheiten (als sog. „first line of defense“) wichtig, da die dort tätigen Mitarbeiter als „Process Owner“ jeweils über umfangreiches Wissen über die spezifischen Compliance-Risiken verfügen. So kann es sich etwa zur Steuerung der Compliance-Risiken im operativen Betrieb empfehlen, durch spezifische Risikoanalysen und Kontrollen bestimmte Prozesse mit besonderen Compliance-Risiken (z.B. im Einkauf und Vertrieb) systematisch daraufhin zu untersuchen, inwieweit gegen bestehende Regeln verstoßen werden könnte (z.B. bei der Vergabe von Aufträgen im Einkaufsprozess).322 Je nach Untersuchungsergebnis können dann spezifische Maßnahmen zur Prävention von Fehlverhalten eingeführt werden, wie beispielsweise besondere Kontroll-, Dokumentations- oder Freigabeprozesse.323 Bei der Zusammenarbeit mit Lieferanten kann es sich anbieten, diese durch einen Auswahlprozess (unter Einbeziehung von Compliance- und Integritätsaspekten) zu selektieren und durch einen separaten Verhaltenskodex auf rechtskonformes Verhalten und bestimmte ethische Grundsätze zu verpflichten.324

84

Im Zusammenhang mit den Geschäftspartnern des Unternehmens empfiehlt sich die Durchführung einer sog. „Third Party Due Diligence“ vor Abschluss von Transaktionen.325 Dieses besondere Verfahren zur Einschätzung und Steuerung von Compliance-Risiken spielt angesichts der Integration vieler Unternehmen in komplexe Wertschöpfungsketten326 und damit verbundenen Verantwortungszuweisungen eine immer größere Rolle.

85

Wie gezeigt, gibt es für die Wahrnehmung von Compliance-Aufgaben kein einheitliches Modell, sondern – je nach Unternehmenssituation – viele unterschiedliche Gestaltungen, bei denen häufig andere Unternehmensfunktionen (z.B. Rechtsabteilung, Risikomanagement und interne Revision) oder Unternehmensbeauftragte (z.B. Datenschutzbeauftragte, Arbeitssicherheitsbeauftragte, Exportkontrollbeauftragte) bestimmte Compliance-Aufgaben (mit-)erfüllen.327 Im Hinblick auf die Wirksamkeit des Compliance Managements ist eine effiziente Koordination der verschiedenen Kompetenzen und Aktivitäten wichtig (sog. „Schnittstellenmanagement“).328 Dabei ist darauf zu achten, dass im Unternehmen vorhandene Erfahrungen und Kompetenzen zu Compliance-Fragen abteilungsübergreifend erfasst und integriert werden.329

86

Um sicherzustellen, dass die relevanten Compliance-Regeln und Prinzipien in allen Unternehmensbereichen und von allen Unternehmensangehörigen tatsächlich eingehalten werden, ist eine systematische Überwachung und Kontrolle unabdingbar – das Compliance-System ist nur so gut wie seine beste Kontrolle.330 Dabei ist zunächst zu beachten, dass die primäre Kontroll- und Überwachungspflicht grundsätzlich bei der Geschäftsleitung verbleibt, einzelne Kontroll- und Überwachungsaufgaben können aber an den Compliance Officer delegiert werden.331 Umfang und Ausgestaltung der erforderlichen Aufgaben und Maßnahmen richten sich wiederum nach den individuellen Besonderheiten des Unternehmens und dessen Compliance-Risiko-Struktur.332 Jedoch ist stets darauf zu achten, dass die entsprechenden Kontrollmaßnahmen regelkonform sind: Bei Kontrollen sind fast immer personenbezogene Daten betroffen, so dass beispielsweise die Vorgaben des Datenschutzrechts zu berücksichtigen sind.333

87

Auch die Aufdeckung und Aufklärung von Compliance-Verstößen ist ein wichtiges Element des Compliance Managements.334 Denn einerseits gibt es in jedem Unternehmen Fälle vorsätzlicher Regelverletzungen, andererseits kann auch die beste Schulung fahrlässige Regelverstöße nicht absolut ausschließen. Zur Aufdeckung von Regelverletzungen nutzen viele Unternehmen sog. Hinweisgebersysteme (durch den Einsatz von Ombudspersonen oder durch sog. „Whistleblowing-Systeme“).335 Dadurch sollen die Unternehmensangehörigen die Möglichkeit anonymer Hinweise auf Regelverstöße erhalten.336 Die Ausgestaltung im Einzelnen richtet sich nach den Besonderheiten des jeweiligen Unternehmens, in jedem Fall ist auch bei der Ausgestaltung von Hinweisgebersystemen die Einhaltung relevanter arbeitsrechtlicher und datenschutzrechtlicher Vorgaben zu beachten.337 In der Unternehmenspraxis existieren viele unterschiedliche Modelle von Hinweisgebersystemen, in mittelständischen und kleineren Unternehmen werden Compliance Officer oder Ombudsleute mit dieser Funktion betraut.338 Dies wird sich mit der Umsetzung der am 23.10.2019 verabschiedeten EU-Hinweisgeberrichtlinie339 in deutsches Recht und den damit verbundenen Anforderungen ändern.