Hauschka/Moosmayer/Lösler/Pauthner/Stephan Corporate Compliance, § 16 Rn. 83.
Hauschka/Moosmayer/Lösler/Pauthner/Stephan Corporate Compliance, § 16 Rn. 111 ff.
Wiedmann/Greubel CCZ 2019, 88, 89, 92; Hopson/Graham Koehler CCZ 2008, 208, 213.
2. Kapitel Grundprinzipien eines Compliance Management Systems › II. Der Weg zu einem effektiven Compliance Management System › 3. Richtlinien und Kontrollen
3. Richtlinien und Kontrollen
84
Der Verhaltenskodex (Code of Conduct oder Code of Ethics) enthält die richtungsweisenden Vorgaben.[1] Kurz gesprochen, enthält er unter anderem das Verbot, Geschäftspartner oder Amtsträger zu bestechen oder sich wettbewerbswidriger Mittel zu bedienen, um den Umsatz zu steigern und den Schutz von Daten von Mitarbeitern und Kunden zu gewährleisten.[2] Ist das Verbot von Bestechung häufig auch in der Laiensphäre in der Regel nachvollziehbar, sind die Verbote im Bereich des Kartell- und Wettbewerbsrechts nicht ohne weiteres verständlich. Gleiches gilt für andere komplexe Materien, wie den Datenschutz. Steht auf Basis der Risikoanalyse fest, welche Risikobereiche im Unternehmen bestehen, bedarf es Richtlinien und Vorgaben, wie die Prozesse rund um die identifizierten Risiken zu steuern sind.[3]
a) Grundsätze der Ausarbeitung von Richtlinien
85
Um die entsprechenden Vorgaben zu entwickeln, verwenden Unternehmen häufig eine Mischung aus normativ geprägten und prozessorientierten Vorgaben. Normative Vorgaben funktionieren ähnlich wie Gesetze und stellen allgemeine Verbote oder Gebote auf. Ähnlich einem Gesetz, muss der Mitarbeiter diese abstrakten Vorgaben in der konkreten Situation selbst interpretieren und anwenden. Weil hierdurch das Risiko entsteht, dass nicht jeder Mitarbeiter die entsprechenden Vorgaben in der einzelnen Situation richtig versteht, gehen Unternehmen zunehmend dazu über, Richtlinien prozessorientiert auszurichten. Das bedeutet, dass sie aufbauend auf den im Rahmen der Risikoanalyse identifizierten Risikoszenarien Prozesse niederlegen, die Vorgaben enthalten, wie mit Compliance-relevanten Situationen umzugehen ist. Praktische Beispiele sind hierbei vor allem die Prüfung von Geschäftspartnern oder Prozessen rund um das Thema Wettbewerberkontakte, etwa bei Verbandstreffen, oder Sanktionsprüfungen.[4] Mit Blick auf die zunehmende Digitalisierung der Compliance-Arbeit, haben Compliance-Organisationen durch diesen Ansatz weitere Möglichkeiten der Kontrolle.[5] Die einmal definierten Prozesse lassen sich mittlerweile recht einfach digitalisieren.[6] Dies erlaubt es den Unternehmen nicht nur rückblickend, manuelle Kontrollen auszuführen, sondern diese digital und präventiv zu steuern. So wird ein Geschäftspartner zum Beispiel nur dann freigegeben, wenn der Vertriebsmitarbeiter die notwendige Prüfung erfolgreich abgeschlossen hat. Anderenfalls können Zahlungen an diesen Geschäftspartner nicht ausgelöst werden. Unternehmen können zudem Mitarbeitern über Apps bestimmte Prozesse an die Hand geben, um sicherzustellen, dass es beispielsweise im Zusammenhang mit Verbandstreffen nicht zu wettbewerbswidrigen Absprachen kommt.
b) Anzahl und inhaltliche Ausgestaltung der Richtlinien
86
Wie viele einzelne Richtlinien und Prozesse Unternehmen einführen, liegt im Ermessen der Geschäftsleitung bzw. Compliance-Organisation. Wichtig ist, dass die implementierten Richtlinien die wesentlichen Risiken, die im Rahmen der Risikoanalyse erfasst wurden, abdecken. Zu den wesentlichen Richtlinien gehören: Anti-Korruptionsrichtlinien, Kartellrichtlinien, Geldwäscherichtlinien, Richtlinien zu Exportkontrolle und Sanktionen, Datenschutzrichtlinien und Richtlinien zu Interessenkonflikten. Als Unterfall zur Anti-Korruptionsrichtlinie haben viele Unternehmen eine gesonderte Richtlinie zur Prüfung von Drittparteien (Third Party Due Diligence)[7].
87
Die Richtlinien und Handlungsanweisungen sollten derart ausgestaltet sein, dass die Anwender in den einzelnen Abteilungen wissen, welche Schritte sie unternehmen dürfen oder müssen, um die Risiken zu reduzieren. Hilfreich ist es, wenn die Compliance-Organisation nach Fertigstellung einer Richtlinie oder eines Prozesses diese oder diesen zunächst selbst durchspielt, um zu evaluieren, ob die Anwender damit zurechtkommen werden. Die operativen Einheiten sind im „Modell der drei Verteidigungslinien“ („Three Lines of Defense“-Modell)[8] die sogenannte 1st line of defense.[9] Die zuständigen Abteilungsleiter, etwa im Vertrieb, sind für die Risiken innerhalb ihres Zuständigkeitsbereichs verantwortlich („risk owner“).[10] Es ist ihre Aufgabe dafür Sorge zu tragen, dass sich die geschäftsinhärenten Risiken nicht realisieren. Tragen die einzelnen Abteilungen das Risiko, so ist es gleichzeitig Aufgabe der Compliance-Organisation, den Mitarbeitern verständliche Anweisungen an die Hand zu geben, um in ihrem jeweiligen Zuständigkeitsbereich die Risiken zu minimieren.
c) Implementierung der Richtlinien
88
Im Rahmen der Implementierung von Richtlinien und Prozessen im internationalen Kontext sollten Compliance-Organisationen berücksichtigen, welche lokalen Vorgaben es gibt, damit die Richtlinien rechtlich wirksam werden können. Die rechtliche Landschaft ist insofern sehr divers. Einige Länder verlangen, dass die Richtlinien übersetzt und an die lokale Gesetzgebung angepasst werden. In anderen Ländern muss vor Verabschiedung der Richtlinie der Betriebsrat eingebunden werden oder die Richtlinie ist durch die Geschäftsleitung selbst zu unterzeichnen.[11] Der letzte Aspekt bei der Implementierung von Richtlinien ist deren Verteilung im Unternehmen. Internationale Behörden erwarten zunehmend, dass die Verteilung von Richtlinien dokumentiert ist.[12] Daher reicht es häufig nicht mehr aus, diese schlicht per E-Mail an alle Mitarbeiter zu verteilen. Auch hier stehen mittlerweile technische Möglichkeiten zur Verfügung, damit die betreffenden Mitarbeiter digital bestätigen können, dass sie die auf sie anwendbaren Richtlinien erhalten und gelesen haben.
Anmerkungen
ISO 19600, 5.1 Leadership and commitment, S. 49 ff.
ISO 37001:2016 (E), 5.2 Anti-Bribery-Policy, S. 9; ICC, The ICC Antitrust Compliance Toolkit, April 2013, 1. c. Code of Conduct, S. 6 ff.; vgl. auch in Art. 40 DSGVO sowie dazu ausführlich Reifert ZD 2019, 305.
ISO 19600, 5.2.2 Development, S. 58 f.; US DOJ, Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations, Juli 2019, 1. Design and Comprehensiveness, S. 4 f.
Vgl. Rotsch/Moosmayer Criminal Compliance, § 34 Rn. 60.
Hauschka/Moosmayer/Lösler/Schlaghecke Corporate Compliance, § 43 Rn. 69.