Compliance im Mittelstand Notwendigkeit oder Modeerscheinung?

Compliance, was ist das? Eine Modeerscheinung oder eine Notwendigkeit?

Der nachfolgende Artikel klärt auf und gibt erste Tipps

Aktuell ist der Begriff Compliance in aller Munde. Zumeist bringt man ihn mit Unternehmen die mehrere 1.000 Mitarbeiter beschäftigen, in Verbindung. Regelmäßig findet man in der Post eine Vielzahl von Werbebriefen und Broschüren großer Beratungsunternehmen – nicht nur die großen Wirtschaftsprüfungsgesellschaften, sondern auch Unternehmensberatungsgesellschaft, die die Begrifflichkeit offenbar als neues Marketinginstrument nutzen. Doch was versteht man unter dem Begriff „Compliance“? Ist es tatsächlich ein anderes Wort für „das Einhalten gesetzlicher Vorgaben“?
Die Übersetzung des Begriffs „Compliance“ hat keine andere Bedeutung als „Regelbefolgung“.

Wie sich unschwer erkennen lässt, lässt sich die Herkunft des Wortes in dem englischsprachigen Bereich ansiedeln. Im angloamerikanischen Rechtsraum existieren die Begrifflichkeit und die sich hieraus ableitenden Verhaltensweisen bzw. Prozessvorschriften seit vielen Jahren, während man sich insbesondere in Deutschland zu Beginn die Frage stellte, ob es sich um eine neue Erkrankung handele und ob Compliance wehtue. Mit anderen Worten belächelte man in Deutschland jene Verhaltensweisen, die wir heutzutage unter dem Begriff „Compliance“ verstehen, denn sowohl im deutschen, juristischen wie auch betriebswirtschaftlichen Rechtsraum blieb dieser Bereich unbeachtet und war der Wirtschaft eher fremd.
Unter dem Compliance-Begriff wird einerseits die Einhaltung von Gesetzen, Regeln und den dazu erlassenen Richtlinien, Verhaltensnormen und freiwilligen Policies verstanden; darüber hinaus ist hierunter aber auch die Übereinstimmung des unternehmerischen Geschäftsgebarens des mit allen gesellschaftlichen Richtlinien und Wertvorstellungen und damit die Summe all jener Maßnahmen zu verstehen, die das rechtmäßige Verhalten eines Unternehmens, seiner Leitungs- und Aufsichtsorgane und seiner Mitarbeiter sicherstellen soll.

Lässt sich nun hieraus ableiten, dass jedes Unternehmen eine eigene Compliancestruktur benötigt? Muss ein jedes Unternehmen ein aufwändiges und sehr kostspieliges System installieren, um den oben beschriebenen Vorschriften zu genügen?

Im Grunde genommen verbirgt sich hinter dem Begriff Compliance und der oben wiedergegebenen Definition des Begriffs nichts anderes, als die originäre Organisationspflicht, die jedem Unternehmer – bei einer Kapitalgesellschaft ihren Organen – obliegt.

Ihnen als Unternehmer oder Organ Ihrer Gesellschaft obliegt die Pflicht, das Unternehmen so zu organisieren, dass straf– und haftungsrechtliche Risiken vermieden werden können. Was im Einzelfall zu einer solchen Organisation erforderlich ist, lässt sich nicht pauschal beantworten, denn ein bereits entwickeltes, allgemein gültiges System, das man pauschal übernehmen kann und nur noch auf das eigene Unternehmen anpassen könnte, existiert nicht.

Vielmehr ist ein Compliance-System so einzurichten, dass es den individuellen Gegebenheiten des Unternehmens entspricht. Dies macht es erforderlich, dass das System für jedes Unternehmen entwickelt werden muss.

Vor diesem Hintergrund ist zu Beginn der Einrichtung eines Compliance-Systems im Unternehmen eine Due Diligence oder ein Risk Assessment durchzuführen. Die bei einer solchen Risikobestandsaufnahme gewonnenen Erkenntnisse sind zu strukturieren und organisatorisch sodann umzusetzen.
Hiermit aber nicht genug, denn darüber hinaus ist zwingend erforderlich, dass sich das Management eines Unternehmens dazu bekennt, dass Straftaten (Umwelt – oder Kartellverstöße oder Korruptionsdelikte) kein Mittel zur Erreichung des Geschäftszwecks sind. Vielmehr ist eine Erklärung des Managements dahingehend erforderlich, dass durch vorgenannte Verhaltensweisen Strafen, Umsatzeinbußen und Imageverlust für das Unternehmen einhergehen können, was zwingend zu vermeiden ist.

In einem weiteren Schritt sind die Maßnahmen, die für die Einrichtung eines Compliance-Systems erforderlich sind, im Unternehmen bekannt zu machen. Dies erfolgt am günstigsten durch Schulungen der einzelnen Mitarbeiter.

Die eingerichteten Compliance-Maßnahmen wären sodann zu dokumentieren, um für einen Schadensfall den Nachweis erbringen zu können, dass der Unternehmer/das Unternehmensorgan seinen Organisationspflichten genüge getan hat.

Ziel eines Compliance-Systems sollte sein, die Risikostrategie eines Unternehmens dahingehend auszulegen, dass Risiken vermieden, verringert, verlagert und selbst getragen werden. Um dieses Ziel zu erreichen, bedarf es eines Risikoprüfungssystems, eines Systems zur Überwachung des Risikos sowie eines Risikobewältigungssystems.
Gewiss ist die Einrichtung einer solchen Struktur mit einem erheblichen Arbeitsaufwand verbunden. Ebenso besteht eine grundsätzliche Unsicherheit dahingehend, wie ein solches System tatsächlich einzurichten ist, denn der Risikobegriff ist gesetzlich nicht definiert. Vielmehr besteht die Erforderlichkeit, sich an z.B. dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich zu orientieren. Eine weitere Orientierung könnte der deutsche Governance Kodex vom 12. Juni 2006 bieten.
Um den organisatorischen Aufwand einerseits und die Flexibilität, die gerade den Mittelstand auszeichnet, andererseits nicht über zu strapazieren, sollten zur Vermeidung von straf– und haftungsrechtlichen Risiken unternehmensinterne Prozesse dergestalt eingeführt werden, wo dies gesetzlich verlangt wird und bei einem Verstoß, d.h. bei einem Versäumnis, diese direkt unter Strafe gestellt wird. Als Stichworte sei insofern das so genannte Unternehmensstrafrecht genannt. Hierzu gehören insbesondere die Bereiche Korruption, Kartellrecht, Außenwirtschaftsrecht und Umweltstrafrecht.

Vor diesem Hintergrund erscheint es als dringend empfehlenswert, in den vorgenannten Bereichen ein System aufzubauen, das etwaige Risiken identifiziert. Ob die Einrichtung eines betriebswirtschaftlich umfassenden Risikomanagementsystems ebenfalls umgesetzt werden sollte, sollte wegen des erheblichen Aufwandes und der damit verbundenen Kosten vom Einzelfall, d.h. vom individuellen Risikopotenzial des Unternehmens, abhängig gemacht werden.

Düsseldorf, im März 2017

Marc H. Dieluweit
-Rechtsanwalt-