Compliance ist keine Kür, sondern Pflicht

Seit dem Siemens-Korruptionsskandal im Jahr 2006 ist gegen zahlreiche Unternehmen aller Branchen und Größen wegen Wirtschaftsstraftaten ermittelt worden. Kaum eine Woche vergeht ohne eine neue Meldung über Korruption, Kartellverstöße, Wirtschaftsspionage, Zinsmanipulationen und andere Betrügereien. Scheinbar bürgernahe Vereine wie der ADAC wurden genauso erschüttert wie die Fifa, aber auch gemeinnützige Organisationen wie das DRK. Bußgelder und Strafzahlungen wurden immer höher, während die Reputation den Bach hinunterging.

Aus diesem Grund haben eine ganze Reihe von Unternehmen Compliance-Organisationen aufgebaut, Compliance- Beauftragte benannt, Richtlinien verabschiedet und ihre Mitarbeiter(innen) geschult. Manche von ihnen taten dies, nachdem sie im Mittelpunkt von Korrup­tions- und anderen Skandalen standen und unter dem Druck der Ermittlungsbehörden und der Öffentlichkeit handeln mussten, andere, weil sie gar nicht erst in diese Situation kommen wollten.

Auch die öffentliche Wahrnehmung hat sich in den letzten Jahren spürbar gewandelt. Steuerhinterziehung mag vor 20 Jahren noch ein Kavaliersdelikt gewesen sein und Bestechung, zumal im Ausland, ein legitimes Mittel, um an Aufträge zu kommen. Das ist heute anders. Die Bußgelder und Strafen sind höher, der Verfolgungsdruck ist größer. Vor allem aber leidet das Ansehen. Ein schlechter Ruf nimmt unmittelbar Einfluss auf den Wert der Marke und damit auf das Unternehmen als Ganzes. Hier erkennen wir einen deut­lichen Wandel im gesellschaftlichen Bewusstsein. Für Manager(innen) steht häufig im Vordergrund, dass sie für Fehlverhalten ihrer Mitarbeiter(innen) persönlich haftbar ge­macht werden können. Sie beklagen, dass sie Geschäfte an Wettbewerber verlieren, die es mit der Compliance weniger genau nehmen. Mitarbeitende hingegen sind genervt von Schulungen, und sie beschweren sich über den bürokratischen Aufwand, den es heutzutage bedeutet, eine neue Geschäftsbeziehung aufzunehmen.

Dort aber, wo Compliance vom Management ernst genommen wird, wo sich das unternehmerische Handeln an Werten orientiert, kann Compliance ein wertvolles Führungsinstrument sein. Menschen sind kreativer, effektiver - und am Ende produktiver, wenn sie in einem Umfeld arbeiten, das ihren eigenen Werten und Idealen entspricht. Ein Management, das Compliance in diesem Sinne versteht und als Führungsinstrument einsetzt, wird sich über Haftungsvermeidung nur noch wenig Gedanken machen müssen.

Unternehmenswerte bilden die Compliance-Kultur

Gute Compliance gründet auf Werten. Sie füllen den formalen Geltungsanspruch von Recht und Gesetz mit Leben. Werte haben für Unternehmen im sozialen und caritativen Bereich besondere Bedeutung. Mitarbeiter(innen) sollen sich an ihnen orientieren, um ethisch entscheiden und handeln zu können. Zugleich ist Wertegebundenheit eine große Herausforderung: Der hohe Anspruch will in der Wirklichkeit auch erfüllt sein.

Werte zu leben heißt, sich innerlich darauf auszurichten, Regeln einzuhalten. Hier geht es nicht darum, formalen Ansprüchen zu genügen, sondern vielmehr, das tatsächliche Verhalten daran zu orientieren, was in Gesetzen und unternehmensinternen Regeln niedergelegt ist. Dabei müssen Unternehmer(innen) im täglichen Geschäft konkrete Entscheidungen an Normen messen, sich also fragen: Wie machen wir unser Geschäft? Und machen wir das, was wir tun, eigentlich richtig?

Die Unternehmen der Caritas sind an Werten ausgerichtet: Gerechtigkeit, Barmherzigkeit, Frieden, Treue, aber auch Wirtschaftlichkeit, Nachhaltigkeit, Legalität und Transparenz. Jeder dieser Werte für sich genommen mag ungeteilte Zustimmung finden. Im Geschäftsalltag wird es aber immer wieder vorkommen, dass diese Werte miteinander in Konflikt geraten. Das macht es erforderlich, abzuwägen. Für eine Ärztin oder einen Arzt in einem Krankenhaus der Caritas wäre es Ausdruck von Barmherzigkeit, einen Flüchtling auch ohne Krankenschein medizinisch zu versorgen. Eine solche Behandlung allerdings stünde im Widerspruch zum Prinzip der Wirtschaftlichkeit. Sie könnte gegen geltende Gesetze und damit gegen das Legalitätsprinzip verstoßen. Gute Werte allein reichen demnach nicht aus.

Die Unternehmensleitung muss den Mitarbeiter(inne)n dabei helfen, mit derartigen Interessenkonflikten angemessen und im Ergebnis richtig umzugehen. Dies gilt in besonderem Maße für Konflikte zwischen Unternehmenswerten und individuellen Zielen. Durch klare Verhaltensregeln und praxisorientiertes Verhaltenstraining, aber auch durch geeignete und angemessene Kontrollen wird eine verantwortlich handelnde Unternehmensleitung dafür sorgen, dass Mitarbeiter(innen) sich rechtlich und ethisch korrekt verhalten. Ein Wert ist nichts, was man ein für alle Mal hat. Seine Anwendung erfordert Übung, Austausch und Unterstützung.² Solchermaßen gelebte Unternehmenswerte bilden die Compliance-Kultur eines Unternehmens.

Die Geschäftsleitung haftet

Compliance im Unternehmen ist keine Kür, sie ist Pflicht für jede Unternehmensleitung. Jede(r) ist zunächst für eigenes Fehlverhalten verantwortlich und muss für die Folgen einstehen. Wer Strafgesetze verletzt, wird verfolgt und entsprechend verurteilt. Wer seinen vertraglichen Verpflichtungen nicht nachkommt, haftet auf Schadenersatz. Geschäftsleiter(innen) "haften" darüber hinaus aber auch für fremdes Fehlverhalten, wie ein bemerkenswertes Urteil zeigt. Im Jahre 2013 verurteilte erstmals ein Zivilgericht³ einen Geschäftsleiter zu Schadenersatz, weil in dem ihm anvertrauten Unternehmen Gesetze verletzt wurden, welche Korruption verhindern sollen. Diese Entscheidung enthält eine ganze Reihe von klaren Botschaften an Geschäftsleiter(innen) und Aufsichtsrät(inn)e(n), sowohl zu den rechtlichen Grundlagen ihrer Verantwortung als auch zu den Anforderungen an ein wirksames Compliance-System.

Der Vorstand ist nämlich verpflichtet, eine auf Schadensprävention und Risikokontrolle angelegte Unternehmensorganisation zu schaffen. Auch die Verletzung von Strafgesetzen durch Mitarbeiter(in­nen) des Unternehmens zählt zu den Risiken, die es zu kontrollieren gilt. Nach den Erfahrungen der letzten Jahre steht heute außer Frage, dass die aus solchen Verstößen resultierenden Schäden erheblich sein können. Der Vorstand muss folglich sein Unternehmen so aufstellen, dass zwingendes Gesetzesrecht nicht verletzt wird (Legalitätspflicht). Zudem muss er sich vergewissern, dass die von ihm getroffenen Vorkehrungen auch eingehalten werden (Legalitätskontrollpflicht). Das ist Compliance.

Die Rechtsprechung formuliert An­haltspunkte, wie und in welchem?Umfang Compliance angemessen umgesetzt wird. Dies umfasst eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation. Die Gefährdungslage bestimmt sich nach Art, Größe und Organisation des Unternehmens, dem regulatorischen Umfeld sowie Verdachtsfällen aus der Vergangenheit. Auch Art und Volumen der angebotenen Leistungen, die Kundenstruktur und der Organisations- und Entwicklungsstand der IT- und der Controlling-Systeme fließen mit ein. Ergibt sich daraus die Möglichkeit einer Gefahr für Regelverstöße, muss die Geschäftsleitung ein Compliance-System einrichten. Was dazu konkret erforderlich ist, leitet sich aus einer individuellen Risikoanalyse ab. Diese umfasst die Identifikation von Risiken und die Bewertung ihrer Bedeutung. Die erkannten Risiken müssen durch konkrete Vorkehrungen begrenzt werden (siehe dazu auch den Titelbeitrag von Michael Stahl und Marco Welz in diesem Heft, S. 12ff.).

Die Geschäftsleitung ist nicht nur ­verpflichtet, ein funktionierendes Compliance-System zu schaffen, sie muss auch fortlaufend dessen Effizienz überwachen. Dazu gehört, dass bekanntgewordene Vorfälle verfolgt und personelle Konsequenzen gezogen werden. Solche Aufgaben können von der Geschäftsleitung an eine(n) Mitarbeiter(in) im Unternehmen delegiert werden. Diese(r) Mitarbeitende muss unabhängig sein. Allerdings bedarf eine wirksame Compliance-Funktion angemessener Mittel für ihre Aufgabenerfüllung.

Mangelhaftes System bedeutet Pflichtverletzung

Dreh- und Angelpunkt des Urteils ist der folgende Leitsatz: Wenn Mitarbeite­r(innen) eines Unternehmens gegen zwingende gesetzliche Vorschriften verstoßen haben, ist der Vorstand zum Ersatz des daraus entstehenden Schadens verpflichtet - es sei denn, er hat ein funktionierendes Compliance-System mit effektiven Kontrollen eingerichtet. Ein mangelhaftes Compliance-System und unzureichende Überwachung bedeuten eine Pflichtverletzung des Vorstandes und gegebenenfalls des Aufsichtsrates.

Die Anforderungen, welche die Rechtsprechung an ein effektives Compliance-System stellt, entsprechen den gesetzlichen und vertraglichen Anforderungen in anderen Bereichen wie Arbeitssicherheit, Umweltschutz oder Qualitätsmanagement. Zu Recht verlangt die Unternehmensleitung von ihren Arbeitnehmer(in­ne)n, dass sie höchste Qualitätsstandards erfüllen und in einer komplexen und vernetzten Geschäftswelt vielfältige Aufgaben wahrnehmen. Das Gleiche muss für die Unternehmensleitung selbst gelten.

Geschäftsleiter(innen) und Aufsichtsorgane sind gut beraten, das Risiko einer zivilrechtlichen Haftung bei Compliance-Verstößen ernst zu nehmen. Denn dieses ist deutlich größer als das Risiko einer strafrechtlichen Verurteilung. Es gibt viele gute Gründe für Compliance. Persönliche Haftung zu vermeiden ist nur einer - allerdings einer, der von verantwortlichen Unternehmenslenker(inne)n ernst ge­nommen werden sollte: Sie tragen Verantwortung nicht nur für den wirtschaftlichen Erfolg, sondern auch dafür, wie dieser erreicht wird.

Anmerkungen
1. Überarbeitete Fassung eines Vortrags auf der Tagung "Caritas im Gespräch mit Wirtschaftsprüfer(inne)n" vom 26. November 2015 in Fulda.
2. DCV-Präsident Peter Neher, Vortrag auf dem DICO-Forum Compliance am 23. Juni 2015 in Essen.
3. Urteil LG München I vom 10. Dezember 2013 - Az. 5HKO 1387/10 (sogenannte "Neubürger-Entscheidung").