COMPLIANCE MANAGEMENT – NICHT OPTIONAL, SONDERN UNVERZICHTBAR FÜR UNTERNEHMEN: RALF KITTELBERGER IM INTERVIEW MIT STEPHAN MAUER

In vielen Unternehmen wird das Thema Compliance nach wie vor nachlässig gehandhabt. Dabei ist Compliance heute für Unternehmen keine bloße Option, sondern eine Pflicht, um insbesondere strafrechtliche Verstöße, Bußgelder und Schadensersatzansprüche Dritter erfolgreich vermeiden zu können. Warum ein funktionierendes Compliance-Management gerade vor dem Hintergrund schon in Kraft getretener Richtlinien und in Kürze anstehender Gesetzesvorhaben unabdingbar ist, beantwortet Stephan Mauer, Diplom-Kaufmann, Wirtschaftsprüfer, Steuerberater, Geschäftsführer der Mauer Unternehmensberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft in Reutlingen

Stephan Mauer: Der Reflex vieler Unternehmen ist natürlich nachvollziehbar, in unsicheren bzw. krisengebeutelten Zeiten zunächst einmal alle nicht dringenden Investitionsprojekte auf Eis zu legen. Prinzipiell gilt Ähnliches für die Identifikation von Einsparpotentialen, die möglicherweise auch den Compliance-Bereich treffen können. Gleichwohl sollte sorgsam überlegt werden, ob die in den letzten Jahren aufgebauten Compliance Management Systeme (CMS) nunmehr zurückgefahren werden sollten. Ich meine, Compliance gerade jetzt zu vernachlässigen, wäre das falsche Signal. Im Gegenteil, mehrere große Themen betreffen aktuell und in nächster Zukunft das Compliance-Management von Organisationen:

1. Das „Gesetz zur Stärkung der Integrität in der Wirtschaft“, vielfach auch als „Unternehmensstrafrecht“ tituliert, wird mit sehr hoher Wahrscheinlichkeit Ende der Legislaturperiode noch von der großen Koalition verabschiedet werden. Dieses Gesetz wird signifikant höhere Bußgelder für Compliance-Verstöße zur Folge haben. Strafmildernd wird ein bestehendes oder sich im Aufbau befindliches CMS berücksichtigt werden können, ebenso wie die Vornahme interner Untersuchungen. Daneben ist es Richtern auch gestattet, Auflagen und ein sog. Monitoring zu verhängen. Dies hat weitreichende Folgen für betroffene Unternehmen.

2. Die Umsetzung der EU-Whistleblower-Richtlinie in nationales Recht steht vor der Tür. Bis zum 17.12.2021 ist diese in deutsches Recht umzusetzen. Wer nicht über ein Mindestmaß an Compliance-Management im Unternehmen verfügt, wird böse Erfahrungen machen, da Unternehmen ohne entsprechende kulturelle Voraussetzungen im Unternehmen und entsprechende Schulungen der Mitarbeiter Gefahr laufen, dass Hinweisgeber zukünftig ohne arbeits- und strafrechtliche Folgen mit Interna an die Öffentlichkeit gehen können.

3. Die Corona-Krise selbst generiert neue Compliance-Risiken. Zu denken ist neben insolvenzrechtlichen Risiken auch an Risiken durch Vertragsverletzungen wie etwa durch Covenants-Brüche, die Sonderkündigungsrechte bei Banken auslösen oder innerhalb der Supply-Chain. Hinzu kommen auch mögliche Rückforderungs- und Schadensersatzansprüche für durch zu Unrecht in Anspruch genommene staatliche Hilfen. Viele Unternehmen überdenken als Folge der Corona-Krise ihre Lagerhaltungs- und Beschaffungsstrategien sowie ihre Logistik mit vielfältigen Auswirkungen auf die Trade-Compliance, aber auch hinsichtlich steigender Risiken aus kartellrechtlichen Verstößen.

Stephan Mauer: Kriminelle Machenschaften in Unternehmen werden künftig härter bestraft.
Am 16.06.2020 hat das gemeinsame Vorhaben von Union und SPD eine wichtige Hürde genommen. Die Bundesregierung brachte das „Gesetz zur Stärkung der Integrität in der Wirtschaft“, das vom Bundesjustizministerium (BMJV) vorgelegt wurde, auf den Weg. Noch muss der Bundestag das Gesetz verabschieden, doch es ist klar, dass illegale Geschäfte für Unternehmen künftig erhebliche Strafzahlungen nach sich ziehen werden. Der Bundesrat selbst hat den Regierungsentwurf in seiner Sitzung vom 18.09.2020 grundsätzlich begrüßt und lediglich in einigen Punkten einen Änderungsbedarf angemahnt.

Der Sanktionsrahmen, bislang bei EUR 10 Mio. gedeckelt, wird abhängig vom Unternehmensumsatz ausgeweitet. Angelehnt an die kartellrechtlichen Sanktionen, sollen Konzerne mit einem globalen Umsatz von mehr als EUR 100 Mio. im Fall einer vorsätzlichen Straftat bis zu 10% des Jahresumsatzes an die Staatskasse zahlen. Kleinere Unternehmen sollen bei vorsätzlichen Straftaten bis zu EUR 10 Mio. zahlen, für die fahrlässige Begehung sind bis zu EUR 5 Mio. fällig. Zudem drohen zusätzliche Vermögensabschöpfungen.

Gleichzeitig soll den Unternehmen die Möglichkeit geschaffen werden, durch interne Untersuchungen eine Sanktionsmilderung zu erreichen, d.h. konkret eine Halbierung der Höchststrafe sowie einen Wegfall der Mindeststrafe.

Nach Angaben des Bundeskriminalamts machen Wirtschaftsdelikte wie Betrug und Untreue zwar nur 1% aller Fälle in der Kriminalstatistik aus. Mit EUR 3,4 Milliarden im Jahr 2018 stehen sie aber für einen vergleichsweise hohen Schaden – und die Dunkelziffer dürfte noch deutlich darüber liegen.

Der große Unterschied zum alten Recht: Künftig müssen Staatsanwaltschaften nicht nur gegen verantwortliche Manager und Beschäftigte, sondern stets auch gegen das Unternehmen ermitteln. Von fundamentaler Bedeutung ist, dass die Staatsanwaltschaft künftig im Rahmen des Legalitäts-Prinzips ermitteln muss und kein Ermessensspielraum mehr besteht. Dies hat zur Folge, dass im Prinzip jeder bekannt gewordene Verstoß durch die Staatsanwaltschaft verfolgt werden wird. Unternehmen sind daher gut beraten, ihre Systeme noch einmal gründlich zu überprüfen, ob sie Compliance-Verstöße weiterhin nur im Zweifel als „Kavaliersdelikt“ betrachten.

Stephan Mauer: Der Gesetzesentwurf begibt sich in ein rechtspolitisches Minenfeld, da der Entwurf compliance-bezogen neben dem Wirtschaftsstrafrecht auch stark in das Arbeitsrecht und die Unternehmensvorgaben zur Compliance eingreift. Erstmals wird hierzulande ein Rechtsrahmen für unternehmensinterne Untersuchungen („Internal Investigations“) vorgegeben, z.B. ob die Ergebnisse von Mitarbeiterbefragungen, für die Anwaltskanzleien und Wirtschaftsprüfer beauftragt werden, gegen das Unternehmen in Strafverfahren verwendet werden können. Zugleich setzt das Gesetz für die Unternehmen Anreize, selbst bei der Aufklärung von Straftaten mitzuhelfen. Dies wiederum kollidiert mit Rechten von Mitarbeitern, insbesondere, weil diese sich nicht selbst einer Straftat bezichtigen müssen. Nach Ansicht des BMJV sollen künftig, wenn interne Untersuchungen zu einer Sanktionsmilderung führen sollten, Mitarbeiterbefragungen fair und transparent erfolgen. Diesbezüglich besteht naturgemäß viel Unsicherheit, auch im Hinblick auf die Rolle eines Betriebsrats.

Stephan Mauer: Die Zertifizierbarkeit von CMS wird stärker in den Fokus rücken. Die derzeitige DIN ISO 19600, die als sog. B-Standard noch nicht zertifizierungsfähig ist, wird bereits im 1. Quartal 2021 durch einen voll zertifizierungsfähigen Standard, den DIN ISO 37301, ersetzt werden. Damit sollten sich Unternehmen unbedingt auseinandersetzen. Die DIN ISO 37301 wird eine sog. Level-A-Norm darstellen, durch welche eine direkte Zertifizierung möglich sein wird. Es wird Unternehmen ermöglicht, die Wirksamkeit ihres eigenen Compliance-Managements-Systems aus der eigenen Perspektive überprüfen zulassen und dieses durch eine Zertifizierung nachzuweisen. Es ist hierbei zu berücksichtigen, dass die DIN ISO 37031 keine Empfehlungen enthält, sondern vielmehr Richtlinien i.S.v. „Soll“- und „Muss“-Bestimmungen für ein wirksames Compliance-Management-System innerhalb des Unternehmens.

Es ist nicht leicht, die sehr generischen Vorgaben der Standards in die konkrete Organisation umzusetzen, daher sollte man sich dazu regelmäßig von Profis helfen lassen.

Durch die Zertifizierung kann zumindest das Vertrauen zwischen Geschäftspartnern gestärkt werden. Im Falle eines Gerichtsverfahrens kann die Implementierung und Zertifizierung als Beleg für die Einhaltung der unternehmerischen Sorgfaltspflicht dienen. Richter werden sich freilich immer ihr eigenes Bild von der Güte eines CMS machen.

Auch das Institut der Wirtschaftsprüfer (IDW) überarbeitet derzeit den IDW PS 980, der von Wirtschaftsprüfern zur Prüfung von Compliance-Management-Systemen genutzt wird. Es handelt sich dabei jedoch um eine Prüfung und nicht um eine Zertifizierung. Die Denkweise und Struktur des IDW PS 980 und der DIN ISO decken sich weitestgehend, insoweit lohnt es sich sicherlich, ggf. sein zertifiziertes System oder im Vorgriff auf eine Zertifizierung nochmals kritisch von einem Wirtschaftsprüfer unter die Lupe nehmen zu lassen.

Ein weiteres Risiko bezüglich der Erwartungshaltung an zertifizierte CMS könnte in der Überwindung bestehender fachlicher Grenzen innerhalb von Compliance-Organisationen zu sehen sein. Vor dem Hintergrund der Dominanz technischer und IT-getriebener Wertschöpfungs- und Kommunikationsprozesse in vielen Unternehmen und Branchen sind faktisch viele CMS überfordert.

Woher soll ein Compliance-Beauftragter wissen, ob etwa eine bestimmte Softwareentwicklung bei Abnahme einer unter großem zeitlichem Druck durchgeführten Entwicklung bei der Markteinführung tatsächlich compliant ist? Oder, ob bei einer Produktentwicklung alle zu beachtenden gesetzlichen Vorschriften und internen Richtlinien einschließlich der Environment, Health and Safety-Compliance vollständig abgebildet und anschließend compliant gesteuert wurden? Der Trend kann nur in den Aufbau von interdisziplinären Teams aus Juristen, Ingenieuren/IT-Experten und Betriebswirten und von Compliance-Strukturen gehen. Jede einzelne Disziplin hat außerhalb eines gut organisierten Know How-Verbundes nur einen eingeschränkten Wirkungsgrad.

Die Empfehlung lautet daher im Kontext von Zertifizierungen und Prüfungen, auch technische Aspekte mit zu berücksichtigen.