Compliance-Management in Unternehmen: Ein vorprogrammiertes Chaos?

Eine völlige Überforderung?

 

Sich an rechtliche Rahmenbedingungen anzupassen, wird für Unternehmen immer herausfordernder. Vielleicht stehen ja auch Sie mit Ihrem Unternehmen vor dem Problem, im Compliance-Dschungel allmählich den Überblick zu verlieren. So geht es vielen. Die gute Nachricht ist jedoch, dass es mit den richtigen Maßnahmen und der passenden Unterstützung auch anders laufen kann.

 

Was ist Compliance-Management?

Einfach gesagt, bedeutet Compliance für ein Unternehmen das Bestreben, sich regelkonform zu verhalten. Die Regelkonformität bezieht sich dabei nicht nur auf Gesetze und Verordnungen, sondern auch auf interne Richtlinien. Die Aufgabe des Compliance-Managements besteht darin, die Einhaltung der Regeln im Unternehmen zu verankern und sicherzustellen. Das gilt für die Unternehmensleitung genauso wie für jeden einzelnen Mitarbeiter. Das Compliance-Management umfasst sämtliche Maßnahmen, die dazu beitragen, Haftungsrisiken durch Regelverstöße zu minimieren und rechtzeitig zu erkennen, sollten sie doch einmal auftreten. Je nach Sektor unterscheidet sich die Compliance-Problematik für jedes Unternehmen. Sich mit den entsprechenden Rechtsnormen zu beschäftigen, sollte jedoch in keiner Branche auf die leichte Schulter genommen werden.

 

Welche Konsequenzen Regelverstöße für Unternehmen haben können

Nicht immer bleibt es bei einem vergleichsweise harmlosen Bußgeld. Auch massive Schadensersatzklagen oder gravierende Reputationsschäden sollen durch Compliance-Maßnahmen vermieden werden. Im schlimmsten Fall können diese die Zukunft des Unternehmens ernsthaft gefährden. Der Ruf, ein rechtlich tadellos agierendes Unternehmen zu sein, hat sich in den letzten Jahren noch mehr zu einem festen Teil der Kundenanforderungen entwickelt. Besonders sensibel reagieren Kunden und Partner auf Verstöße in Bereichen wie Korruption, Kartellrecht, Umweltschutz, Arbeitssicherheit und Datenschutz.

 

Warum ist es für Unternehmen immer herausfordernder wird, sich rechtskonform aufzustellen

Der Compliance-Themenkomplex zerfällt in so viele Teilaspekte, dass sie in diesem Beitrag natürlich nicht alle Erwähnung finden können. Die wichtigste Compliance-Art ist wohl Law Compliance, wobei auch die Rechtskonformität bei finanziellen, steuerlichen, sozialen oder IT-Fragen eine kaum zu unterschätzende Rolle spielt. Ob Gesetzgeber, europäisches Recht oder andere interessierte Parteien: Alle wollen Einfluss nehmen und tragen zu der kaum überschaubare Menge an Regeln bei.

An einem besonders bekannten Beispiel lässt sich die Problematik gut greifen, nämlich an der Datenschutz-Grundverordnung (DSGVO), die seit 2016 in Kraft ist. Laut einer Umfrage des Digitalverbands Bitkom von 2021 mussten bereits neun von zehn Unternehmen aufgrund von Datenschutz-Anforderungen Projekte einstellen [1].

Zu den DSGVO-Herausforderungen gehört nicht nur komplexe Prüfprozesse für jede Datenschutz-Implementierung, sondern auch ständig neue Entscheidungen und Urteile von Aufsichtsbehörden und Gerichten überall in Europa. Daher dürfte es kaum verwundern, dass viele Unternehmen über mangelnde Planbarkeit klagen. Viele von ihnen würden sich über eindeutige und anwendungsorientierte Handreichungen seitens der Behörden freuen. In der Realität müssen sie sich jedoch je nach Bundesland mit teilweise sehr unterschiedlichen Auslegungen der Datenschutz-Verordnung auseinandersetzen.

Großunternehmen mit mindestens 500 Beschäftigten können die meisten Ressourcen mobilisieren, um mit diesen Herausforderungen umzugehen. Laut der Bitkom-Umfrage haben nur drei Prozent von ihnen die DSGVO erst zum Teil umgesetzt. Je kleiner ein Unternehmen jedoch ist, desto öfter hinkt es bei der Umsetzung hinterher. Bei Unternehmen mit 20 bis 99 Beschäftigten sind es noch immer stolze 33 Prozent. In vielen Betrieben fehlt es schlicht an den nötigen Ressourcen beziehungsweise Kapazitäten, um sämtliche Anforderung zu erfüllen. Für nicht wenige Unternehmen würde das in der Praxis bedeuten, ihr Kerngeschäft vernachlässigen zu müssen.

Eine Konsequenz daraus ist, dass insbesondere kleine und mittlere Unternehmen bislang eher wenig um das Compliance-Management gekümmert haben. Manche glauben noch immer, dass das Bemühen um interne Regelkonformität mit seinen Regeln, Schulungen und Kontrollen die Vertrauenskultur im Unternehmen zerstören würde. Die gegenwärtigen Entwicklungen machen es jedoch unwahrscheinlich, dass sich diese Denkweise noch lange halten wird. Im Gegenteil spricht vieles dafür, dass der wachsende Compliance-Druck in den nächsten Jahren nicht nur Großunternehmen, sondern auch immer mehr kleinere Unternehmen erfassen könnte. Bei ihnen fallen viele Faktoren besonders stark ins Gewicht, seien es Ermittlungen, Sanktionen oder eine immer genauer hinschauende Öffentlichkeit.

 

Warum Compliance-Maßnahmen weit mehr als nur ein störender Kostenfaktor sind

In der Wahrnehmung besonders vieler kleiner Unternehmen ist Compliance etwas, dessen Nutzen schwer zu greifen ist. Geht es Ihnen ähnlich? Dann könnte sich ein Blick auf eines der größten Compliance-Risiken lohnen: Cyber-Kriminalität. Ein nicht unerheblicher Anteil deutscher Unternehmen haben mit diesem facettenreichen Problem zu kämpfen, das zum Beispiel die Manipulation von Kontodaten, Daten-Spionage oder Betrugsfälle umfasst. Das Compliance-Management kann Cyber-Kriminalität natürlich nicht komplett verhindern. Sie bietet Mitarbeitern jedoch eine zuverlässige Handhabe, um Gefahren zu minimieren, die von dieser Gefahrenquelle ausgehen. Dazu gehört der Umgang mit betroffenen Rechnern und Programmen, aber auch die interne Kommunikation mit der IT-Abteilung. Mitarbeiter, die im Ernstfall genau wissen, was zu tun ist, stellen für das Unternehmen einen echten Wettbewerbsvorteil dar.

Damit Rechtsverstöße Folgen haben, spielen natürlich auch die Mitarbeiter eine entscheidende Rolle. Ihre Position wird durch das Hinweisgeberschutzgesetz (HinSchG) bedeutend gestärkt, das ab Juli 2023 in Kraft trifft [2]. Es bedeutet die Umsetzung von europäischem Recht beziehungsweise der EU-Whistleblower-Richtlinie. Diese Richtlinie schafft Rechtssicherheit für Hinweisgebende, die innerbetriebliche Missstände oder Straftatbestände melden, so wie beispielsweise Steuerhinterziehung oder Korruption. Sie müssen fortan keine Vergeltungsmaßnahmen oder Repressalien seitens des Arbeitgebers mehr fürchten. Das neue Gesetz bedeutet für Unternehmen wiederum einen Mehraufwand. Wichtiger ist jedoch die Bedeutung, die es auf lange Sicht für die Compliance-Thematik haben könnte. Mit ihm dürfte die Wahrscheinlichkeit zunehmen, dass Missstände bekannt werden – und damit auch der Druck auf Unternehmen steigen, sich regelkonform aufzustellen.

 

Ein Compliance-Management-System schafft Abhilfe

Damit die geltenden Normen auch tatsächlich im Betrieb umgesetzt werden, besteht die einfachste Möglichkeit darin, ein Compliance-Management-System (kurz CMS) zu etablieren. Im Optimalfall unterstützt ein solches System das Unternehmen dabei, für jeden Bereich die spezifischen Maßnahmen festzulegen. Es dient in erster Linie dazu, um den Compliance-Gedanken zu einem festen Bestandteil der Unternehmenskultur zu machen und im Kopf jedes Mitarbeiters zu verankern. Seine Bedeutung geht über die präventive Bedeutung jedoch weit hinaus, wie ein Urteil des Bundesgerichtshofs vom 9. Mai 2017 (1 StR 265/16) zeigt [3].

Das Urteil führt aus, dass ein im Kern funktionierendes CMS im Falle eines Regelverstoßes strafmildernd wirken kann. Diese strafmildernde Wirkung hat mit dem „Gesetz zur Stärkung der Integrität der Wirtschaft“ später auch eine rechtliche Verankerung gefunden. Übrigens: Die strafmildernde Wirkung kommt auch zum Tragen, wenn das CMS erst nachträglich im Unternehmen implementiert worden ist.

Die Vorteile eines Compliance-Management-Systems bestehen für Unternehmen unterschiedlicher Größe darin, Haftungsrisiken zu minimieren, die für Partnerschaften und Verträge relevant sind. Im schlimmsten Fall kann es sogar dazu kommen, dass wichtige Geschäftsabschlüsse nicht zustande kommen, weil Compliance-Vorgaben nicht erfüllt werden können. Zu ähnlichen Problemen kann es aber auch kommen, wenn Aufträge vergeben werden, denn ein funktionierendes CMS ist immer öfter ein fester Bestandteil von Ausschreibungen.

 

Ein starker Partner für Ihr Vorhaben

Angesichts der immer größeren Herausforderungen gehört immer mehr Mut dazu, sich bei rechtlichen Aspekten einfach darauf zu verlassen, dass alles schon irgendwie gutgehen wird. Wenn Sie nicht glauben, dass diese Sorglosigkeit für Ihr Unternehmen der richtige Weg ist, können Sie sich gerne an unsere Experten der Andrawas-Consulting Group wenden. Wir greifen Ihnen gerne unter die Arme, um mit Ihnen eine Lösung zu erarbeiten, die perfekt zu Ihnen und Ihrem Unternehmen passt.

Welches CMS eignet sich, damit Sie garantiert legal unterwegs sind? Welche Kompetenzen können Sie intern entwickeln? Welche Qualifizierungs- und Schulungsmaßnahmen sind dazu nötig? In welchem Fall lohnt es sich eher, auf externe Partner zu setzen? Wie lassen sich bindende Verpflichtungen in den Unternehmensalltag integrieren? Bei all diesen Fragen sind wir genau der richtigen Ansprechpartner. Kontaktieren Sie uns oder schauen Sie nach unseren Schulungsangeboten wie z.B. die Online-Schulung zum „Compliance Beauftragten“.

Quellen für Textanhang:
[1]https://www.bitkom.org/Presse/Presseinformation/Datenschutz-setzt-Unternehmen-unter-Dauerdruck
[2]https://www.integrityline.com/de/knowhow/blog
[3]https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=78723&pos=0&anz=1

Darüber hinausgehende Recherche-Quellen:
https://www.validatis.de/kyc-prozess/news-fachwissen/compliance-management/
https://www.anwalt.de/rechtstipps/was-ist-compliance-und-wieso-sie-fuer-unternehmen-immer-wichtiger-wird_168636.html
https://www.haufe.de/steuern/haufe-steuer-office-excellence/compliance-inhalte-herausforderungen-und-loesungsansaetze_idesk_PI25844_HI6708736.html