Nadine Jacobi

Das Compliance-Management-System (CMS) – mein Freund und Helfer

Das CMS ist das Fundament für die Arbeit des Compliance Officer. Welche Fragen vor der Konzeption zu klären sind und welche Rolle die Vereinigten Staaten und Großbritannien dabei spielen, erläutere ich in Teil 10 meines Blogs.

Behörden sehen Compliance Officer als verlängerten Arm des Gesetzgebers. Wir haben aber nicht nur die Aufgabe, das Unternehmen vor Rechtsverstößen von außen zu bewahren. Vielmehr soll der Compliance Officer Rechtsverstöße aus dem Unternehmen verhindern und im Fall der Fälle aufklären und sanktionieren.

Die interne Sicht von Top-Management und Belegschaft ist jedoch ganz anders: Ihrer Meinung nach sollen Compliance Officer das Unternehmen und seine Mitarbeiter ausschließlich vor Eingriffen von außen schützen und verteidigen. Schließlich sitzt der „Feind“ ja irgendwo da Draußen und niemals nebenan im Büro. Ein klassischer „Catch 22“.

„Rechts- oder Compliance-Abteilung? Wo ist denn da der Unterschied?“

Aber woher kommt diese Auffassung im eigenen Unternehmen? Kollegen und Top-Management können oft nicht zwischen der Aufgabe des Juristen in der Rechtsabteilung und der Rolle des Juristen in der Compliance Abteilung unterscheiden. Unternehmensanwalt ist schließlich Unternehmensanwalt. Dies ist niemals böswillig gemeint. Es fehlt häufig schlicht an Informationen, was die beiden Bereiche und ihre jeweiligen Aufgaben unterscheidet. Ist die Compliance-Abteilung in manchen Unternehmen noch unter der Rechtsabteilung aufgehängt, fällt die Unterscheidung für Kolleginnen und Kollegen noch schwerer.

Wichtig ist daher, als Compliance Officer von Tag 1 an die eigenen Aufgaben zu definieren. Erstellen Sie möglichst frühzeitig Ihre Stellen- und Funktionsbeschreibung und fixieren Sie ihre Zuständigkeiten auch im Hinblick auf die Aufgaben der Rechtsabteilung und Revisionsabteilung. Dazu zählt unter anderem, mit welchen Themen sich die Compliance-Abteilung befassen soll.

Ganz so einfach ist es nie

Klar dürfte sein, dass zu Ihren Aufgaben die Vermeidung von wirtschaftskriminellen Handlungen, wie beispielsweise Korruption, Betrug oder wettbewerbswidrigen Absprachen gehören. Aber schon beim Thema Kartellrecht kann es je nach Unternehmen unterschiedliche Zuständigkeiten geben. In manchen Unternehmen ist das Thema bei der Rechtsabteilung aufgehängt, in anderen in der Compliance Abteilung. Unterschiedliche Zuständigkeiten gibt es oftmals auch bei der Frage, welche Abteilung im Unternehmen Hinweisen aus dem internen Hinweisgebersystem nachgeht: die Revisionsabteilung oder die Compliance-Abteilung, für die beispielsweise ein Mitarbeiter mit forensischer Expertise eingestellt wurde? Klärungsbedarf gibt es darüber hinaus bei Fällen wegen sexueller Belästigung oder sonstiger Übergriffe. Spätestens seit der Me-too-Debatte ist dies in Unternehmen ein wichtiges Thema. Liegt hier die Zuständigkeit ausschließlich bei der Personalabteilung oder ist der Compliance Officer hinzuzuziehen?

Sorgen Sie für ein solides Fundament

Wenn Sie diese Fragen klären konnten geht es zunächst weiter, bevor die täglichen Compliance-Aufgaben Ihre Zeit und Energie absorbieren: Sichern Sie sich zum Beispiel frühzeitig einen festen Platz in Management- und Strategiemeetings, so dass Sie als Compliance Officer stets rechtzeitig alle notwendigen Informationen erhalten, die für Ihre Aufgaben von Bedeutung sind. Arbeiten Sie für ein international tätiges Unternehmen, ist es darüber hinaus wichtig, dass Sie von regionalen Compliance-Managern unterstützt werden, die zumindest im Wege einer „dotted line“ an Sie berichten.

All dies zusammen bildet das Fundament, auf dem Sie Ihr „Haus“ errichten können: das Compliance-Management-System. Das Compliance-Management-System (CMS) hat vereinfacht gesagt zwei Funktionen:

  1. Rechtsverstöße und potentielle Haftungsfälle für das Unternehmen vermeiden
  2. Möglichkeiten für die Unternehmensleitung schaffen, bei Verdachtsmomenten eingreifen zu können

Reguliert oder nicht reguliert? – das ist hier die Frage

In regulierten Branchen wie der Finanzwirtschaft ist die Einrichtung einer Compliance-Organisation auf Basis spezieller Rechtsgrundlagen geregelt. So enthält zum Beispiel §33 des Wertpapier-Handelsgesetzes (WpHG) die Verpflichtung, eine dauerhafte und wirksame Compliance-Funktion einzurichten. Ergänzt wird die Vorschrift durch § 25 a Abs. I KwG um die Pflicht, ein angemessenes und wirksames Risikomanagementsystem zu implementieren. Die beiden Rundschreiben der BaFin, „MaRisk“ und „MaComp“*, präzisieren diese Vorgaben durch Erläuterungen zu den Mindestanforderungen an das Risikomanagement und vor allem zu den Mindestanforderungen an die Compliance-Funktion. Für den regulierten Bereich ergeben sich hieraus die Anforderungen, welche ein CMS zu erfüllen hat.

Im nicht regulierten Bereich besteht Einigkeit in der herrschenden Literatur und Rechtsprechung, dass es eine Pflicht zur Vorhaltung einer angemessenen Compliance-Organisation gibt. Sie wird aus den §§ 76, 93 AktG (Leitungspflicht, Sorgfaltspflicht) hergeleitet. Offen bleibt hier aber, wie eine angemessene Compliance-Organisation auszusehen hat und welche konkreten Compliance-Maßnahmen das CMS eines Unternehmens beinhalten muss.

VerSanG stärkt Bedeutung des CMS zusätzlich

Diese Frage beschäftigt uns vor allem im Rahmen der aktuellen Diskussionen bei der Einführung des Verbandssanktionengesetzes, kurz VerSanG, zur Bekämpfung von Unternehmenskriminalität. Das Gesetz sieht unter anderem vor, dass Compliance-Maßnahmen sowohl bei der Höhe der Sanktion als auch der Auswahl der Art der Sanktion eine Rolle spielen. Ziel ist es, ein gesetzliches Anreizsystem für Unternehmen zu schaffen, in Compliance-Maßnahmen zu investieren und zur Schadenswiedergutmachung beizutragen.

Welche Maßnahmen muss ein effizientes CMS demnach enthalten, damit im Falle eines Verstoßes die Höhe der Sanktion gemildert oder es im besten Fall lediglich zu einer Verwarnung mit Verbandsgeldsanktionsvorbehalt kommen kann – unter Erteilung von Auflagen und Weisungen durch das Gericht? Fehlt ein Teil der als notwendig erachteten Compliance-Maßnahmen, kann das Gericht Unternehmen auch anweisen, präventive Compliance-Maßnahmen einzuführen. Sie sehen, das Thema der Konzeption, Implementierung und Optimierung eines CMS bekommt immer mehr Gewicht.

USA als Vorreiter

Das US-amerikanische Justizministerium begann bereits 1991 über die United Sentencing Guidelines damit, Ungleichheiten und Ungerechtigkeiten bei der Strafzumessung durch ein einheitliches Bewertungssystem zu vermeiden. Es handelt sich um unverbindliche Richtlinien, die seitdem von Richtern zur Bewertung bei der Strafzumessung herangezogen werden. Ab 2004 verlangte die mehrfach überarbeitete und verschärfte Guideline dann ein Compliance- und Ethik-Programm von Unternehmen. Ab 2010 wurden darüber hinaus die wesentlichen Elemente eines Compliance-Programms beschrieben. Auch das Departement of Justice (DOJ) hat ebenso wie anderen Behörden in den USA mehrere Guidelines zu den Inhalten eines effizienten CMS herausgegeben, zuletzt im April 2019. Sie nimmt ihre Bewertung anhand von drei Fragenkomplexen vor:

  1. Wurde das CMS gut konzeptioniert?
  2. Wurde das CMS effektiv implementiert?
  3. Funktioniert das CMS in der Praxis?

In Großbritannien beschreibt die Guidance zum UK Bribery Act die Elemente eines adäquaten Compliance-Programms und unterteilt die Liste in sechs Prinzipien.

Pflichtlektüre auch für national tätige Firmen

Aufgrund des langen Zeitraums, in dem sich die Behörden in den USA und UK mit der Bewertung von CMS beschäftigen, enthalten diese Guidelines geballtes Wissen. Dies mag für deutsche Unternehmen, die ausschließlich im Inland tätig sind, auf den ersten Blick abschreckend wirken und Befürchtungen wecken, welche strenge Regeln einzuhalten sind. Für Firmen, die aufgrund ihrer Listung an der Börse, ihrer weltweiten Standorte oder wegen sonstiger Berührungspunkte den Regelungen des FCPA oder UK Bribery Act unterliegen, sind sie aus meiner Sicht Pflichtlektüre. Für Compliance Officer, deren Unternehmen nicht zu dieser Gruppe gehören, können sich durch die Guidances gute Anregungen zu einzelnen Themen ihres CMS ergeben.

Aus meiner Sicht werden diese Anforderungen in der Welt der globalen Wirtschaft irgendwann ohnehin zu uns „hinüberschwappen“, so wie viele andere Regelungen aus den USA und UK auch. Die geplante Einführung des Gesetzes zur Unternehmenskriminalität zeigt bereits diese Tendenz, geht sie doch auf Initiativen internationaler Institutionen wie der OECD zurück. Letztere forderte konkret die Einführung eines Unternehmensstrafrechts auch in Deutschland. Damit soll Deutschland zu den Ländern aufschließen, die dies schon seit vielen Jahren umgesetzt haben.

Genug der Vorbereitung: Kommende Woche stelle ich ein CMS-Modell vor, das sich in der Praxis bereits bewährt hat. Bleiben Sie bis dahin gesund und compliant!

*Quelle: (09/17 (BA) „Mindestanforderungen an das Risikomanagement der Bundesanstalt für Finanzdienstleistungsaufsicht“ und MaComp (05/2018 (WA) „Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten“