Compliance: Von der Reaktion zur Prävention
Praxistipp für den Mittelstand
Der Artikel zeigt zunächst auf, dass der Druck auf Unternehmen, Systeme zum Compliance-Management (CMS) einzuführen, stetig wächst. Daneben wird beschrieben, was bei der Einführung eines solchen vorbeugenden Systems zur Vermeidung von Rechtsverstößen grundsätzlich zu beachten ist. Schließlich wird auf die Möglichkeit der Prüfung eines CMS durch Wirtschaftsprüfer eingegangen.
Woher stammt die Pflicht zur Einführung eines CMS?
Der Trend der deutschen und europäischen Gesetzgebung, die Einrichtung von präventiven Systemen in Unternehmen vorzugeben, setzt sich ungebremst fort. Am Anfang standen – schon in der preußischen Gewerbeordnung von 1845 (!) – betriebliche Aufsichtspflichten, die auch heute noch eine wesentliche Rechtsgrundlage sind, um von „Betriebsinhabern“ und deren „Beauftragten“ die Verhinderung von Rechtsverstößen im Unternehmen durch entsprechende Aufsichtsmaßnahmen zu verlangen. Später traten Organpflichten in Aktiengesellschaften hinzu, die vom Vorstand fordern, das Unternehmen so zu strukturieren, dass geltendes Recht durchgängig beachtet wird. Ähnliche Pflichten treffen auch die Geschäftsführer von GmbHs. Verschiedene spektakuläre Fälle, wie das System der schwarzen Kassen bei Siemens, haben diese Vorgaben verstärkt in das öffentliche Bewusstsein gerückt.
Ähnliche Fälle gab und gibt es aber auch im Mittelstand, nur wurden diese weniger publik als im Falle börsennotierter Unternehmen. Gleichwohl hat diese Entwicklung dazu beigetragen, dass in vermehrtem Maße spezifisch zugeschnittene „Compliance Management Systeme“ (CMS) auch im Mittelstand eingeführt worden sind. Diese haben sich zunächst auf Korruptions-, Kartellrechts- und Außenwirtschaftsrisiken konzentriert.
Zwischenzeitlich fordert die Finanzverwaltung zur Vermeidung frühzeitiger Steuerhinterziehungsvorwürfe im Bereich der Umsatzsteuer ein „Tax Compliance Management System“. Die EU-Datenschutzgrundverordnung fordert vom verantwortlichen Unternehmen „geeignete technische und organisatorische Maßnahmen“, um die Einhaltung der Verordnung sicherzustellen. Die zivilrechtliche Produzentenhaftung verpflichtet zur Produktbeobachtung im Feld und gegebenenfalls zur Warnung von (End-) Kunden. Regelungen zur Gerätesicherheit und zur Sicherheit in der Informationstechnik enthalten vorbeugende Pflichten. Das neue Transparenzregister über die „hinter“ Gesellschaftsbeteiligungen stehenden wirtschaftlich Berechtigten erfordert, nach der Gesetzesbegründung des Geldwäschegesetzes, ein „effektives internes Überwachungs- und Meldewesen“ bei der Gesellschaft. Die Liste lässt sich nicht nur in Bezug auf deutsches und europäisches Recht fortführen, sondern auch Unternehmen mit ausländischen Tochterunternehmen können durch ausländische Rechtsvorschriften insgesamt zur Umsetzung spezifischer Organisationsmaßnahmen verpflichtet sein. Man kann dies dahingehend zusammenfassen, dass der „Flickenteppich“ der Compliance-bezogenen Organisationspflichten, die für bestimmte Bereiche bestimmte Vorsorgemaßnahmen fordern, immer dichter wird. Die Nachteile, wenn den einzelnen Vorgaben nicht nachgekommen wird, werden ebenso zunehmend größer: Der Entzug von Steuervorteilen (Vorsteuerabzug), Bußgelder in immer größerer Höhe, eine frühzeitig eintretende persönliche Haftung der Geschäftsführung, Aufnahme auf die sogenannte „schwarze Liste“ des Bundeskartellamts (Ausschluss von öffentlichen Vergabeverfahren) etc. Im letztgenannten Fall kann gerade durch eine „Selbstreinigung“ im Wege der Einführung eines CMS eine vorzeitige Wiederzulassung zu Vergabeverfahren erreicht werden.
Von der Reaktion zur Prävention
Anstatt zu hoffen, dass sich Risiken nicht realisieren, und diesen erst zu begegnen, wenn sie sich realisiert haben, wird demnach vermehrt eine Identifikation und Minimierung von Risiken im Vorfeld angestrebt. Präventive Systeme zur Vermeidung von Gesetzesverstößen (in bestimmten Bereichen) müssen deshalb Risiken angemessen identifizieren, bewerten und – durch entsprechende risikovermindernde Maßnahmen – steuern.
Am Anfang einer Compliance-Risikoanalyse steht somit die Ermittlung hoch bewerteter „Risikoherde“ im Unternehmen, und diese findet zumeist im Wege einer „Selbstbewertung“ der entsprechenden Mitarbeiter statt. In der Praxis wirft dies häufig das Problem auf, dass Unternehmensangehörige (natürlich) erklären, sie würden „nie jemanden bestechen“ oder „nie unerlaubt personenbezogene Daten erheben“, obwohl sie die einschlägigen gesetzlichen Regelungen (oder deren Auslegung) gar nicht im Detail kennen. Daher ist auch der Wert eines selbstgeschaffenen „Code of Conduct“, der eine Bekräftigung des Willens zu gesetzestreuem Verhalten enthält, als Risikosteuerungsinstrument begrenzt. Ähnlich kann sich ein „traditioneller“ Umgang mit umsatzsteuerlichen oder datenschutzrechtlichen Sachverhalten, der von den Beteiligten lange Zeit als unbedenklich „gelebt“ wurde, als schon immer rechtlich problematisch herausstellen.
Gute Compliance-Arbeit im Bereich der Risikoanalyse fußt daher auf einem fachkundigen Hinterfragen und einer rechtlichen Analyse der bestehenden betrieblichen Abläufe, wofür der Blick eines entsprechenden Fachmanns „von außen“ (mindestens) sehr hilfreich sein kann. Letztlich müssen übliche und typische Fallgestaltungen, wie sie sich im Rahmen einer Prozessaufnahme ergeben, wie auch besonders auffällige historische Einzelsachverhalte (kritische oder fragwürdige Vorfälle) daraufhin bewertet werden, ob sie als rechtlich unproblematisch, rechtlich zweifelhaft oder schlicht rechtswidrig einzustufen sind.
Das Unternehmen als Summe von steuerungsbedürftigen Prozessen
Im Bereich der darauf aufsetzenden Risikosteuerung wird das Unternehmen im Grundsatz als eine Summe unterschiedlichster betrieblicher formalisierter Prozesse begriffen. Dementsprechend können für jeden Prozess Ziele, Rollenbilder, Berechtigungskonzept, Prozessbeschreibung, Verhaltensvorgaben, Dokumentationsanforderungen und Kontrollen entworfen, umgesetzt und aktuell gehalten werden. Ziel ist es, die Prozesse und Kontrollen so zu strukturieren, dass „Fehler“ in Form von Fehlfunktionen des Prozesses, insbesondere auch Rechtsverstöße, wirksam vermieden werden. Damit wird letztlich die jedem Produktionsunternehmen bekannte „Null-Fehler-Strategie“ aus dem Qualitätsmanagement auch auf Prozesse in Bereichen wie Einkauf, Vertrieb, Finanzen und Controlling übertragen.
Definition von Fehlverhalten
Das Wichtigste bei der Implementierung eines CMS ist es, praktikabel zu definieren, welches Vorgehen bzw. Verhalten im konkreten Kontext der betrieblichen Praxis aus rechtlicher Sicht zulässig ist – und welches zu vermeiden ist, also einen (Verhaltens-) „Fehler“ darstellt. Dabei müssen Rechtsnormen, die teils schon für Experten, erst Recht aber für die Mitarbeiter nicht aus sich selbst heraus verständlich und überaus abstrakt sind, in konkret verständliche Handlungsgebote und -verbote übersetzt werden. Durch derartige Anweisungen wird das Risiko, dass sich Mitarbeiter des Unternehmens strafbar machen, wesentlich reduziert.
Allerdings ist es insbesondere bei einer nicht abschließend geklärten Rechtslage anspruchsvoll, solche „roten Linien“ zu ziehen, denn eine Vielzahl möglicher zukünftiger Fallgestaltungen müssen erfasst und nachvollziehbar in erlaubte und unerlaubte Fälle aufgeteilt werden. Geht es zum Beispiel um Geschenke an Dritte im Bereich der Korruption, so stellt sich die Frage, ob konkrete Beträge unternehmensweit definiert oder den Mitarbeitern lediglich „Faustregeln“ an die Hand gegeben werden, d. h. an ihren situationsabhängigen „gesunden Menschenverstand“ und ihr persönliches Beurteilungsvermögen appelliert wird. Hier gilt es, eine Balance zwischen Aufwand und Kosten einerseits sowie dem angestrebten Maß an Granularität und Risikoverringerung andererseits zu definieren und umzusetzen.
Ein wesentliches Ziel von CMS: Reduzierung von Manager-Haftung
Effektive und sauber dokumentierte Systeme können die Risiken, dass die oben beschriebenen Nachteile als Folge mangelhafter Compliance-Systeme eintreten, erheblich reduzieren. Ziel ist es, den Nachweis führen zu können, dass man zumutbare Anstrengungen unternommen hat, um das, was sich dann eventuell doch verwirklicht hat, von vornherein zu verhindern. Damit werden Gesetzesverstöße zu „Ausreißerfehlern“ von ansonsten zielgerichtet zur Vermeidung von Gesetzesverstößen – und den entsprechenden Nachteilen – aufgesetzten Prozessen.
Die in diesem Zusammenhang in der Presse weitreichend zitierte sogenannte „Neubürger-Entscheidung“ des Landgerichts München aus dem Jahr 2013 besagt in ihrem Kern lediglich, dass Heinz-Joachim Neubürger als Vorstand des börsennotierten Siemens-Konzerns ein „funktionierendes“ CMS hätte einrichten müssen. Denn trotz Anmahnungen aus dem Vorstand war es immer wieder zu Korruptionsfällen gekommen. Man konnte diese Fälle nicht mehr als „Ausreißer“ eines ansonsten funktionierenden Systems interpretieren. Wie genau ein „funktionierendes“ CMS beschaffen sein muss, sagt das Urteil nicht. Der Vorsitzende Richter, der die Neubürger-Entscheidung erließ, erklärte in einem Interview: „Aber als Richter kann ich Compliance Officern keine Ratschläge geben, wie in ihrem Unternehmen ein funktionierendes System auszusehen hat.“
Auch der Bundesgerichtshof hat im Mai 2017 ausdrücklich darauf hingewiesen, dass für die Bemessung einer Geldbuße von Bedeutung ist, inwieweit das Unternehmen seiner „Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss“. Was genau „effizient“ in diesem Kontext bedeutet, hat der Bundesgerichtshof nicht definiert. Wenn aber Straftaten verübt wurden und später eine Geldbuße verhängt wird, kann auch die spätere Aufarbeitung dieser Straftat bußgeldmindernd wirken, wenn das Unternehmen „entsprechende Regelungen optimiert und seine betriebsinternen Abläufe so gestaltet hat, dass vergleichbare Normverletzungen zukünftig jedenfalls deutlich erschwert werden“.
Im nicht veröffentlichten sogenannten „Weinmann-Urteil“ des Landesgerichts München gestand ein Vorstand der MAN, nicht genügend getan zu haben, um Schmiergeldzahlungen wirksam zu verhindern, und akzeptierte eine auf „Beihilfe zur Bestehung im geschäftlichen Verkehr durch Unterlassen“ lautende Entscheidung. Die Einzelheiten sind unbekannt und damit auch die vom Gericht inhaltlich angelegten Maßstäbe.
Dies illustriert die Crux bei der Strukturierung eines CMS: Gesetzliche Vorgaben gibt es nicht, die Gerichte haben bislang keine konkreten Kriterien definieren müssen und so behilft man sich mit einer „best practice“, die sich letztlich aus Quervergleichen mit anderen Unternehmen speist.
Aber auch ungeachtet der Frage, welche strukturellen Anforderungen im Rahmen der Einführung eines CMS im Einzelnen gelten, ist ein häufiger Grund für das „Versagen“ eines CMS in der Praxis schlicht die Definition einzelner Arbeitsanweisungen bzw. Prozessbeschreibungen. Wenn sich später herausstellt, dass die gezogenen „roten Linien“ eigentlich verbotenes Verhalten erlaubt bzw. nicht verboten haben, ist das CMS insoweit „mangelhaft“, als nicht die „erforderlichen Aufsichtsmaßnahmen“ getroffen wurden. Es gibt auch genügend Fälle aus der CMS-Praxis, in denen Mitarbeiter bewusst oder unbewusst „Lücken“ in den Anweisungen bzw. Prozessbeschreibungen genutzt und dadurch gegen Rechtsnormen verstoßen haben. Gerade dann ist es wichtig, nachweisen zu können, dass das Unternehmen dennoch alles Zumutbare getan hat, um zu einer möglichst präzisen Anweisung zu gelangen, und diese auch turnusmäßig sowie bei Vorliegen entsprechender Anlässe zu überprüfen.
Die Prüfung eines CMS durch Wirtschaftsprüfer
Für die Prüfung eines eingerichteten CMS durch einen Wirtschaftsprüfer wurde ein eigener Prüfungsstandard geschaffen (IDW PS 980). Dieser Prüfungsstandard definiert die Bestandteile eines CMS und enthält Vorgaben für die Prüfung der Konzeption, Wirksamkeit und Angemessenheit des CMS. Auch wenn der Standard branchenübergreifend anwendbar ist, so ist die Prüfung doch auf das Umfeld und die Anforderungen des jeweiligen Unternehmens im Einzelfall zuzuschneiden. Denn das, was im konkreten Unternehmen ein wesentliches Risiko darstellt, was diesbezüglich unternehmensintern vorzugeben ist und wie die Einhaltung kontrolliert werden sollte, kann nicht allgemeingültig festgelegt werden. Ein positives Prüfungsurteil über die Durchführung einer Prüfung nach IDW PS 980 liefert der Geschäftsführung die Gewissheit, ein CMS installiert zu haben, das mit hinreichender Sicherheit die bestehenden Überwachungspflichten erfüllt sowie Risiken rechtzeitig erkennt und Regelverstöße somit verhindert. Auch kann anhand des Prüfungsberichts aufgezeigt werden, dass den immer häufiger von Abnehmern von Produkten und Dienstleistungen in sogenannten „Compliance-Klauseln“ vorgeschriebenen Compliance-Pflichten genüge getan wurde. Eine vollumfängliche „Enthaftungsgarantie“ ist mit einem entsprechenden positiven Prüfungsbericht allerdings nicht verbunden.
PSP-Beratungsangebot:
PSP bietet maßgeschneiderte, auf die Bedürfnisse des Mittelstands zugeschnittene Projekte zur Risikobewertung sowie zur Einführung, Verbesserung oder Prüfung von Compliance-Systemen an.