Über uns

Compliance bedeutet, dass sich ein Unternehmen an die geltenden Regeln und Gesetze hält – sowohl an landesspezifische Gesetze als auch Vorgaben von Regulierungsbehörden und interne Weisungen innerhalb des Unternehmens.

Compliance ist ein in der Betriebswirtschaft, der Rechtswissenschaft, Gesetzgebung und Rechtsprechung gebrauchter Begriff. Er bedeutet die Regelkonformität eines Unternehmens und auch staatlicher Stellen, also die Einhaltung der Gesetze oder anderer bindender oder freiwilliger Rechtsvorschriften. Mit der zunehmenden Zahl der rechtlichen Regelungen, die Unternehmen zu befolgen haben, wächst auch die Relevanz von Compliance stetig. Eine neue Dynamik in der Compliance-Diskussion ist durch das Hinweisgeberschutzgesetz ausgelöst worden, das den betroffenen Unternehmen noch einmal die Notwendigkeit einer effektiven und effizienten Compliance-Struktur verdeutlicht hat. Sofern das Verbandssanktionengesetz umgesetzt wird, wird sich für Unternehmen auch hieraus die Notwendigkeit ergeben, für eine wirksame Compliance-Struktur zu sorgen.

Compliance gewinnt immer mehr an Bedeutung. Gesetzesverstöße wie Umweltsünden, sexuelle Belästigung, Korruption oder Steuertricks rufen in der Öffentlichkeit immer häufiger Reaktionen hervor. Auch Staatsanwaltschaften schauen bei Wirtschaftskriminalität immer genauer hin. Zudem gibt es Behörden, die spezielle Abteilungen für die Entgegennahme von Hinweisen über Regelverstöße einrichten. So wird es (ehemaligen) Mitarbeitenden leichter gemacht, Beobachtungen über Regelverstöße an außenstehende zu melden. Compliance ist für Unternehmen und Behörden daher nicht länger nur eine Option, sie wird gefordert. Bei Verstößen drohen CEOs, Geschäftsführern und Vorständen Strafverfolgung und Bußgelder.

Unter Compliance-Management versteht man die Einrichtung einer Compliance-Struktur in Organisationen, welche die Einhaltung der relevanten Regeln in dieser Organisation sicherstellen soll. Zur Compliance Struktur gehören etwa besondere Prüfprozesse im Rahmen eines internen Kontrollsystems, die Schulung der Mitarbeiter und dementsprechende Weisungen. Nach dem Hinweisgeberschutzgesetz besteht zudem für Unternehmen einer bestimmten Größe die Pflicht, ein Hinweisgebersystem einzurichten, das Hinweisgebern anonyme Meldungen über Rechtsverstöße ermöglicht.

Folgende Schritte empfehlen wir unseren Mandanten:

1. Statusanalyse und Risikoanalyse des Mandanten .
2. Auswertung Risikoanalyse
3. Analyse der Risikosituation und Ist-Soll Vergleich
4. Vorschläge zu konkreten Maßnahmen, um Compliance Struktur zu verbessern
5. Umsetzung einzelner Vorschläge (z.B. Schulungen, Informationen an Beschäftigte, Verabschiedung neuer Compliance Leitlinien)
6. Regelmäßige Überwachung der bestehenden Struktur und Abgleich mit der Risikostruktur

Der Compliance Manager ist verantwortlich für die Organisation und Struktur des in einer Organisation bestehenden Compliance-Systems. Er überwacht also die Einhaltung der Rechtsordnung und sonstiger in der Organisation geltenden verbindlichen Vorschriften, wozu auch interne Richtlinien zählen.

Compliance Rechtsanwälte empfiehlt folgende drei Überwachungsmechanismen:

Internes Kontrollsystem (IKS)

• Sicherung von Effizienz und Ordnungsmäßigkeit durch Regelungen und Risikosteuerungsmaßnahmen. Qualität basiert auf Risikoanalysen und regelmäßiger Optimierung
• Umsetzungsstrategie beinhaltet klare Verantwortlichkeiten, Einbindung aller Beteiligten, Risikoanalysen und kontinuierliche Überwachung. Vorteile sind die Vorbeugung von Haftungsrisiken, gesteigerte Prozesssicherheit, Effizienz und Transparenz durch effektive Kontrollen

Regelmäßige interne Compliance-Audits

• Regelmäßige Prüfung der Compliance-Organisation
• Ziel und Umsetzungsstrategie: Überprüfung der Konformität, Identifikation von Red Flags und frühzeitige Risikofrüherkennung. Strategie erfordert Fachkompetenzüberprüfung und Entscheidung über den durchführenden Bereich. Vorteile: Schadensprävention, Transparenz, Möglichkeit zur Integration neuer Geschäftseinheiten, zusätzliche Ressourcen oder Outsourcing können erforderlich sein

Externe Compliance-Managementsystem-Audits

• Externe CMS-Audits: Prüfung der Einhaltung von Regelungen wie IDW PS 980
• Ziel und Umsetzungsstrategie: Identifikation von Schwachstellen, Behebung im Compliance-Management, Überprüfung der Compliance-Vorgaben. Interne Revision kann diese Aufgaben übernehmen. Strategie erfordert klare Zuständigkeiten, Unabhängigkeit, Identifikation von Revisionsfeldern und Prüfungsplanerstellung

Eine Compliance-Struktur in Organisationen ist aus drei Gründen von zentraler Bedeutung: Zum einen minimiert die Organisation damit die Wahrscheinlichkeit von Rechtsverstößen und verhindert so die eigene straf- oder ordnungswidrigkeitenrechtliche Sanktionierung bzw. zivilrechtliche Haftung. Zum anderen ist eine funktionierende Compliance-Struktur für potentielle Vertragspartner eines Unternehmens mittlerweile ein wesentliches Kriterium für die Eingehung von Vertragsbeziehungen. Zudem erhöht ein funktionierendes Compliance-System die Reputation des Unternehmens bzw. das Vertrauen in öffentliche Stellen.

Compliance Officer ist ein anderer Begriff für Compliance Manager. Ein Compliance Manager ist verantwortlich für die Organisation und Struktur der im Unternehmen bestehenden Compliance-Organisation. Der Compliance Manager überwacht die Einhaltung der Rechtsordnung und der sonstigen im Unternehmen verbindlichen Vorschriften, wozu auch interne Vorgaben und Richtlinien zählen.

Compliance-Richtlinien sind in einer Organisation bestehende und zu beachtende Regelungen, die sich diese Organisation selbst gibt. Diese können entweder der Verhinderung von Verstößen gegen gesetzliche Vorschriften dienen, oder eigene, gesetzlich nicht vorgeschriebene ethische Standards oder Anforderungen vorschreiben.

Eine Compliance-Kultur wird maßgeblich durch folgende Aspekte geprägt:

Tone from the Top

• „Tone from the Top“: klare Leitlinien zu den für das Unternehmen relevanten Risikobereichen von der Führungsebene
• „Tone from the Top“ im Alltag integrieren
• Umsetzungsstrategie: Schaffung einer Compliance-Funktion, Identifizierung von Zielgruppen, Festlegung von Inhalten und Maßnahmen

Transparenz

• Transparenz ist entscheidend für effektive Compliance, gerade offener Umgang mit Risiken und Etablierung klarer Prozesse
• Ein Compliance Management System ohne ausreichende Transparenz ist undenkbar, dies erfordert organisatorische Maßnahmen und risikobasierte Einbindung

Verhaltenskodex

• Verhaltenskodex: Definiert Verhaltensweisen und Regeln für Compliance-Kultur
• Umsetzungsstrategie: Zusammenarbeit, klare Formulierung, Übersetzungen, ggf. Einbindung von Personalvertretern

Digital Compliance oder auch IT-Compliance umfasst zum einen das rechtskonforme Verhalten innerhalb eines Unternehmens bezüglich aller Vorgänge im IT-Bereich, zum anderen die Nutzung der Digitalisierung zur Einrichtung eines verbesserten Compliance Systems. Die sich durch Künstliche Intelligenz (KI) ergebenden Funktionen wie etwa intelligente Dokumentenanalyse können gewinnbringend bei der Fortentwicklung eines Compliance Systems genutzt werden.

Compliance Beauftragter ist ein anderer Begriff für Compliance Manager oder Compliance Officer. Er ist verantwortlich für die Organisation und Struktur der in einer Organisation bestehenden Compliance Organisation. Er überwacht also die Einhaltung der Rechtsordnung und sonstiger verbindlicher Rechtsvorschriften, wozu auch interne Richtlinien zählen.

Compliance als Block der Einführungsveranstaltung für neue Mitarbeiter

• Vermittlung durch den Compliance-Beauftragten bei Neueinstellungen
• Direkte Integration in Einführungsveranstaltung, emotionale Vermittlung
• Gefahr, dass das Thema unter anderen Themenblöcken „untergeht“

Interne Veröffentlichungsmöglichkeiten

• Intranet, Mitarbeiterzeitung, Aushänge für Basisinformationen und Aktualisierungen
• Schnelle Erstellung für Artikel und Aushänge möglich
• Pflegeintensität des Intranets, Aushänge können übersehen werden

Schulungen

• Eine oder mehrere Schulungen für die Belegschaft
• Spezielle Schulungen für „Risiko-Abteilungen“
• Schulungen via E-Learning oder persönlich vor Ort

Compliance Schulung bedeutet die Unterrichtung der Mitarbeiter über generelle oder branchenspezifische gesetzliche und unternehmensinterne Anforderungen und Maßnahmen zur Einhaltung dieser Vorgaben. Darüber hinaus sollen die Mitarbeiter für Compliance-Themen sensibilisiert und ein Problembewusstsein geschaffen werden, um selbst potentielle Rechtsverstöße im Unternehmen erkennen zu können.

Die Vorgaben an die konkrete Compliance-Struktur werden stark durch die Rechtsprechung bestimmt. Ein prominentes Urteil hierzu stammt vom OLG Nürnberg (OLG Nürnberg, Urteil v. 30.3.2022 – 12 U 1520/19). Die Kernaussagen dieses Urteils lauten:

„Der Geschäftsführer einer GmbH hat in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden, § 43 Abs. 1 GmbHG. Die Sorgfalt eines ordentlichen Geschäftsführers gebietet hierbei … eine interne Organisationsstruktur der Gesellschaft zu schaffen, die die Rechtmäßigkeit und Effizienz ihres Handelns gewährleistet.

…. Dies erfordert ggf. ein Überwachungssystem, mit dem Risiken für Unternehmensfortbestand erfasst und kontrolliert werden können (vgl. BGH, Urteil vom 20. 02. 1995 – II ZR 9/94, ZIP 1995, 560, Rn. 7 bei juris; Beurskens in: Noack/Servatius/Haas, GmbHG, 23. Aufl., § 43 Rn. 29, § 37 Rn. 11).

Aus der Legalitätspflicht folgt die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern.

Dabei ist der Geschäftsführer nicht nur verpflichtet, den Geschäftsgang so zu überwachen oder überwachen zu lassen, dass er unter normalen Umständen mit einer ordnungsgemäßen Erledigung der Geschäfte rechnen kann; er muss vielmehr weitergehend sofort eingreifen, wenn sich Anhaltspunkte für ein Fehlverhalten zeigen. …

Eine Pflichtverletzung liegt jedoch schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Diesbezüglichen Verdachtsmomenten muss der Geschäftsführer unverzüglich nachgehen; weiterhin muss der Geschäftsführer geeignete organisatorische Vorkehrungen treffen, um Pflichtverletzungen von Unternehmensangehörigen hintanzuhalten.”

Zwecks Überwachung und Einhaltung der Sorgfaltspflichten müssen betroffene Unternehmen ein angemessenes und wirksames Risikomanagement einrichten, welches durch angemessene Maßnahmen zu verankern ist. Dies betrifft menschenrechtliche und umweltbezogene Risiken, die durch deutsche Unternehmen hervorgerufen werden oder durch ihre Handlungen zu der Entstehung oder Verstärkung des Risikos beitragen können. Hierbei müssen von den Unternehmen jedoch auch stets die Risiken berücksichtigt werden, die beim Zulieferer liegen können. Um Risiken
frühzeitig zu erkennen und zu beheben, müssen adäquate Präventions- und Abhilfemaßnahmen ergriffen und Beschwerdeverfahren eingerichtet werden. Sofern im Rahmen der Risikoanalyse ein Risiko festgestellt wird, muss eine entsprechende Grundsatzerklärung entwickelt werden, welche die Selbstverpflichtung und das Engagement des Unternehmens zur Achtung der Menschenrechte und der umweltbezogenen Pflichten zum Ausdruck bringt. Sollte es trotzdem zu einer Verletzung einer menschenrechts- oder umweltbezogenen Pflicht im eigenen Geschäftsbereich oder
bei einem unmittelbaren Zulieferer kommen, muss unverzüglich eine angemessene Abhilfemaßnahme ergriffen werden, um diese Verletzung zu beenden oder das Ausmaß der Verletzung zu minimieren.

Damit im Rahmen von internen Untersuchungen schnelles Handeln gewährleistet ist, sollten Sie bereits im Vorfeld die essenziellen Voraussetzungen für die Einleitung einer internen Untersuchung sowie die Vorgehensweise bei der konkreten Durchführung im Rahmen einer Betriebsvereinbarung regeln. Sie sollten Ihren Betriebsrat daher auch im Hinblick auf interne Untersuchung frühzeitig ins Boot holen. Eine mit dem Betriebsrat zuvor abgeschlossene Betriebsvereinbarung erleichtert die Durchführung der internen Untersuchung sowie die Bearbeitung der eingehenden plausibel erscheinenden Hinweise.

Sofern diese Hinweise notwendig sind, um einen Verstoß oder einen Missstand im Unternehmen aufzudecken, dürfen auch Geschäftsgeheimnisse und vertrauliche Informationen über das Hinweisgebersystem gemeldet werden. Verschlusssachen dürfen hingegen nicht weitergegeben und somit auch nicht über das Hinweisgebersystem gemeldet werden.

Unsere angestellten Experten für Investigations- und eDiscovery unterstützen Ihr Unternehmen auch im Fall von internen Untersuchungen. Dieser Support kann zum Beispiel die Sicherung und ein strukturierter Review von E-Mails zur Sachverhaltsaufklärung sein. Bei Bedarf vermitteln wir auch angesehene Experten aus unserem Netzwerk.

Grundsätzlich sind Unternehmen nicht verpflichtet, nach der internen Aufklärung einer Straftat den Vorgang bei den zuständigen Behörden zu melden. Vor der Erstattung einer Strafanzeige sollten Sie daher stets die Umstände des Einzelfalls berücksichtigen und das Für und Wider im Einzelfall abwägen. Dabei sollte Sie sich folgende Fragen stellen: Handelt es sich um einen Einzeltäter oder um ein systematisches Problem? Haben Sie alles getan haben, um einen solchen Vorfall zu verhindern? Sind staatsanwaltschaftliche Ermittlungen zu erwarten?

Ja, ein wesentlicher Vorteil einer externen Ombudsperson ist der größtmögliche Schutz des Hinweisgebers sowie die auf Wunsch gewährleistet Anonymität. Hinweisgeber wenden sich in der Regel eher an eine externe Vertrauensstelle als an die interne Rechtsabteilung. Die Einschaltung eines Ombudsmannes als Meldekanal ist daher in jedem Fall eine gute Lösung für Unternehmen. Auf diese Weise können Sie die Gefahr ausräumen, dass sich die Hinweisgeber mangels externer Vertrauensperson gar nicht beim Unternehmen, sondern unmittelbar in der Öffentlichkeit zu Wort melden.

Mit dem Lieferkettengesetz sollen die bislang freiwilligen Maßnahmen nach dem „Nationalen Aktionsplan für Menschenrechte“, der auf den Leitprinzipien der Vereinten Nationen für Wirtschaft und Menschenrechte beruht, künftig verpflichtend von den Unternehmen umzusetzen sein.

Somit normiert das Lieferkettengesetz die Pflicht für große Unternehmen sich mit den Produktionsbedingungen und Produktionsstandards entlang der Lieferkette auseinanderzusetzen und das über die eigenen Landesgrenzen hinaus. Denn bezieht ein großes deutsches Unternehmen Produkte oder auch nur Bestandteile von Produkten aus dem Ausland, ist das Unternehmen zukünftig verpflichtet, sicherzustellen, dass auch beim ausländischen Zulieferer Menschenrechts- und Umweltstandards eingehalten werden. Größere Unternehmen sollen ihren Einfluss somit nutzen und die Arbeitsbedingungen bei ausländischen Fabriken und Herstellern verbessern und so zur Schaffung eines menschenwürdigen Arbeitsklimas und umweltverträglicher Produktionsweisen beitragen.

Zwecks Überwachung und Einhaltung der Sorgfaltspflichten müssen betroffene Unternehmen ein angemessenes und wirksames Risikomanagement einrichten, welches durch angemessene Maßnahmen zu verankern ist. Dies betrifft menschenrechtliche und umweltbezogene Risiken, die von deutschen Unternehmen hervorgerufen werden oder durch ihre Handlungen zu der Entstehung oder Verstärkung des Risikos beitragen können.

Hierbei müssen von den Unternehmen jedoch auch stets die Risiken berücksichtigt werden, die beim Zulieferer liegen können. Um Risiken
frühzeitig zu erkennen und zu beheben, müssen adäquate Präventions- und Abhilfemaßnahmen ergriffen und Beschwerdeverfahren eingerichtet werden. Sofern im Rahmen der Risikoanalyse ein Risiko festgestellt wird, muss eine entsprechende Grundsatzerklärung entwickelt werden, welche die Selbstverpflichtung und das Engagement des Unternehmens zur Achtung der Menschenrechte und der umweltbezogenen Pflichten zum Ausdruck bringt.

Sollte es trotzdem zu einer Verletzung einer menschenrechts- oder umweltbezogenen Pflicht im eigenen Geschäftsbereich oder
bei einem unmittelbaren Zulieferer kommen, muss unverzüglich eine angemessene Abhilfemaßnahme ergriffen werden, um diese Verletzung zu beenden oder das Ausmaß der Verletzung zu minimieren.

Die Umsetzung der Sorgfaltspflichten durch die Unternehmen im eigenen Geschäftsbereich (insbesondere gegenüber Führungskräften und Mitarbeitenden) und gegenüber Zulieferern macht Maßnahmen notwendig, die sich nicht unmittelbar aus dem LkSG ergeben. Um die Beschäftigten an die Einhaltung der Sorgfaltspflichten zu binden, ist bspw. an den Erlass unternehmensinterner Regelungen, die Einführung einer Betriebsvereinbarung und die Änderung von Arbeitsverträgen und Stellenbeschreibungen sowie die Erstellung von Schulungsunterlagen und die Durchführung von Trainings zu denken.

Ob ein Unternehmen seinen (Sorgfalts-)Pflichten in angemessener Weise nachkommt, wird von den zuständigen Behörden geprüft. Sollte das Unternehmen den Sorgfaltspflichten sowie der entsprechenden Dokumentation nicht angemessen nachkommen, kann die zuständige Behörde eine Nachbesserung innerhalb einer angemessenen Frist verlangen. Sollte das Unternehmen dem dennoch nicht nachkommen, stellt dies eine Ordnungswidrigkeit dar, welche die Behörde mit einem Bußgeld von bis zu 800.000 EUR ahnden kann. In bestimmten Fällen kann die zuständige Behörde jedoch eine Geldbuße in Höhe von bis zu 8 Mio. EUR festsetzen.

Eine Verschärfung sieht das Lieferkettengesetz für juristische Personen oder Personenvereinigungen mit einem durchschnittlichen Jahresumsatz von mehr als 400 Mio. EUR vor, hier kann die Geldbuße bis zu 2 % des weltweiten Konzernumsatzes betragen.

Unternehmen und staatliche Stellen sind zum Zweck der Korruptionsprävention aufgefordert, ein Compliance System einzurichten. Außerdem sind sie aufgrund des Hinweisgeberschutzgesetzes verpflichtet, ein Hinweisgebersystem einzurichten. Über dieses Hinweisgebersystem können Hinweisgeber Rechtsverstöße wie etwa Korruption im Unternehmen oder der öffentlichen Verwaltung melden, namentlich oder anonym. Um interne Ressourcen zu schonen, dürfen Organisationen das Hinweisgebersystem auch extern betreiben lassen.