Compliance: Was Compliance-Kontrolle für den Mittelstand kostet

Sämtliche relevanten Gesetze, Regeln und Vorschriften zu kennen und einzuhalten, ist schon heute für mittelständische Unternehmen nicht leicht. Das Verbandsstrafgesetzbuch dürfte den Druck dieser Verantwortung weiter erhöhen. Compliance Management und Rechtssicherheit sind aber durchaus finanzierbar.

Unsere Mitarbeiter wissen, was erlaubt ist

Von Sabine Wagner

Das englische Wort „Compliance“ steht für das Einhalten und Befolgen von Gesetzen, Regeln und – sofern es sie gibt – unternehmensinternen Standards. Großkonzerne, aber auch vereinzelt mittelständische Betriebe haben in den letzten Jahren unternehmensintern Compliance-Strukturen und Kontrollmechanismen geschaffen, um ihr Unternehmen rechtssicher zu machen und dies im Bedarfsfall (also bei Ermittlungs-, Ordnungswidrigkeiten- oder Gerichtsverfahren) auch nachweisen zu können. Sollte das von den SPD-regierten Ländern vorgeschlagene „Verbandsstrafgesetzbuch“ Wirklichkeit werden, dann wird Compliance flächendeckend auch für den Mittelstand ein vordringliches Thema.

Straftaten mit unternehmerischem Bezug

Der Geltungsbereich des „Gesetzes zur Einführung der strafrechtlichen Verantwortlichkeit von Unternehmen und sonstigen Verbänden“ umfasst die Gesellschaftsformen AG, GmbH, GmbH & Co KG, KG und OHG. (Die Einbeziehung von Einzelkaufleuten machte keinen Sinn, da Personen bereits heute strafrechtlich belangt werden können.) Das vorgeschlagene Verbandsstrafgesetzbuch will zukünftig nicht nur Personen strafrechtlich belangen, sondern in den beiden nachstehenden Fällen auch Unternehmen:

  1. Mitarbeiter in einer leitenden Position handeln durch Tun oder Unterlassen Strafgesetzen mit unternehmerischem Bezug zuwider.
  2. Mitarbeiter begehen solche Straftaten mit unternehmerischem Bezug und die Geschäftsführung kann nicht nachweisen, dass eine ausreichende Compliance-Struktur einschließlich Kontrollmechanismen im Unternehmen errichtet wurde.

Der Entwurf enthält hierfür einen Katalog an Sanktionen, angefangen von der Verwarnung über den Ausschluss von öffentlichen Aufträgen und Subventionen bis hin zu empfindlichen Geldbußen (bis zu 10 % des Umsatzes). Bei wiederholter illegaler Geschäftstätigkeit kann das Unternehmen sogar gelöscht werden.

Compliance ist Informationsmanagement

Gegenwärtig werden nur die jeweils verantwortlichen Personen strafrechtlich verfolgt, nicht aber das Unternehmen. Ein Beispiel aus meiner Zeit als Unternehmensjuristin in einem Chemieunternehmen: Dort hatten wir ein jahrelanges Ermittlungsverfahren u.a. wegen Gewässerverunreinigung. Beschuldigte waren damals sämtliche leitenden Angestellten, die organisatorisch für die Produktion, aber auch für die Vermarktung des Produkts verantwortlich waren, einschließlich des zuständigen Vorstands. Die Frage, ob ein Organisationsverschulden vorlag, stand mit im Fokus und hatte zur Folge, dass umgehend unternehmensintern Überlegungen angestellt wurden, wie das Unternehmen zukünftig rechtssicher gemacht werden könne.

Es ging also genau darum: wie sichergestellt werden kann,

  • dass das Unternehmen die einzuhaltenden Gesetze und Regeln sowie unternehmensinternen Standards vollständig kennt,
  • dass die Mitarbeiter, die Kenntnis von diesen Gesetzen etc. haben müssen, diese ebenso kennen wie deren Aktualisierungen oder sonstigen Änderungen,
  • dass eine dazugehörige Dokumentation vorliegt, um bei einem zukünftigen Strafvorwurf sofort belegen zu können, dass es Organisationsstrukturen und damit einhergehende Kontrollmechanismen gibt, die belegen, dass das Unternehmen alles getan hat, um die Begehung der Straftat auszuschließen.

Zur Lösung des Compliance-Problems entschied sich das Chemieunternehmen für ein EDV-gestütztes Managementsystem (Dialogsystem „Recht im Betrieb“ von Rack Rechtsanwälte). Es ermittelt unternehmensbezogen die einschlägigen Gesetze, Verordnungen und sonstigen Regelwerke. Dabei bricht es die zutreffenden Paragrafen auf ihre Pflichten herunter und ordnet die Einzelpflichten einer verantwortlichen Person zu (sowie einer weiteren Person, die die Einhaltung der Pflichten kontrolliert). Da Gesetze nicht statisch sind, erfolgt regelmäßig eine Aktualisierung durch das System.

Pflichtenlösung bis zur Kontrolle

 verweis=http://www.rack-rechtsanwaelte.de/seiten/dialogsystem/dialogsystem.htm

Das Dialogsystem unterscheidet zwischen straf­bewehrten Pflichten einer­seits und Pflichten, die straf­rechtlich nicht relevant sind, andererseits. Mit Blick auf das vorge­schlagene Verbands­strafgesetzbuch würde die Ab­arbeitung der straf­bewehrten Pflichten bereits ausreichen.

Die Kosten sind durchaus fair. Für viele Unter­nehmen ist zudem interessant, dass ein Mitarbeiter von Rack Rechts­anwälte das System in Unter­nehmen zum Laufen bringt (zu ebenfalls moderaten Stunden­sätzen) und parallel dazu ein Mit­arbeiter geschult wird, der künftig die weitere Daten­pflege übernimmt.

Die Erfahrungen aus der Praxis haben gezeigt, dass sich die Investition durchaus rentiert. Zum einen wird auf diese Weise sichergestellt, dass das Compliance-System kurzfristig etabliert wird und nicht immer wieder anderen unternehmens­internen Prioritäten zum Opfer fällt. Zum anderen sind die Rack-Mitarbeiter beeindruckend gewandt im Umgang mit dem Dialog­system und benötigen nur einen Bruch­teil der Zeit, die jemand aufwenden müsste, der sich erst damit vertraut machen muss und noch andere Aufgaben hat.

Fazit: Risiken gibt es in jeder Unternehmensgröße

Rechtsanwalt Dr. Manfred Rack hat in der Zeitschrift Compliance-Berater (3/2014, S. 54–61: Kosten, Aufwand, Messbarkeit und Effizienz von Compliance) den finanziellen Aufwand für die erstmalige Errichtung einer Compliance-Struktur einschließlich Kontrollmechanismen dargestellt; seiner Berechnung zufolge liegt er bei 2,9 % des Jahresumsatzes.

Compliance-relevante Themen sind im Übrigen keineswegs nur Schlagzeilenprobleme wie Schwarze Kassen, Schmiergelder, Kartellverstöße oder Steuervergehen. Je nach Unternehmen stehen z.B. Brandschutz, Arbeitsschutzvorschriften, Datenschutzrecht, Exportkontrolle, Einhaltung von Genehmigungen inklusive deren Auflagen oder die Produktsicherheit im Vordergrund. Vor der Errichtung einer Compliance-Struktur empfiehlt es sich deshalb, eine unternehmensbezogene Risikoanalyse zu machen. Es gilt: Die Risiken sind entscheidend, nicht die Anzahl der Mitarbeiter.

Um Risiken von Personen und Unternehmen zulasten des Unternehmens weitestgehend auszuschließen, ist es zukünftig wichtig, dass auch der Mittelstand einen gewissen Compliance-Aufwand betreibt.

Nützliche Links