2. Kapitel Grundlagen für Compliance › A. Deutschland › II. Grundsätze ordnungsgemäßer Compliance
II. Grundsätze ordnungsgemäßer Compliance
46
Die Ausführungen des vorausgegangenen Abschnitts haben zweierlei gezeigt: Erstens enthält das deutsche Recht in der Geschäftsleiterverantwortung und in den Vorschriften des Ordnungswidrigkeitenrechts allgemeine Quellen für eine Rechtspflicht zur Sicherstellung organisierter Rechtschaffenheit des Unternehmens im Geschäftsverkehr. Zweitens müssen diese allgemeinen Rechtsprinzipien anhand des Einzelfalles konkretisiert und in die Unternehmenspraxis umgesetzt werden. Dabei bieten vor allem die Erfahrungen in den USA, aber auch die Entwicklungen im Vereinigten Königreich reichhaltiges Anschauungsmaterial. Es stellt sich daher die Frage, ob sich mittlerweile eine gewisse Verkehrssitte oder „Best Practice“ herausgebildet hat, auf die ein Unternehmen zurückgreifen könnte und sollte, wenn es erstmalig eine Compliance-Organisation einrichtet oder seine bestehende Compliance-Organisation überprüft und fortentwickeln will. Wir meinen, dass diese Frage uneingeschränkt mit „Ja“ zu beantworten ist und wollen im Folgenden versuchen, wesentliche allgemeingültige Grundsätze ordnungsgemäßer Compliance, die im Ausgangspunkt für jedes Unternehmen bedeutsam sind, zusammenzustellen. Auch diese Grundsätze bedürfen selbstverständlich der weiteren Konkretisierung anhand der Umstände des Einzelfalles. Dafür eine Hilfestellung zu leisten, ist Anliegen der weiteren Kapitel dieses Handbuches.[1]
47
Die wesentlichen, unseres Erachtens allgemeingültigen Grundsätze ordnungsgemäßer Compliance sind folgende: Compliance als Leitungsaufgabe (Tone at the top), der Grundsatz der Risikoadäquanz, Compliance als Organisationsaufgabe, die Grundsätze der Ausdrücklichkeit und der Schriftlichkeit, Compliance als Schulungsaufgabe und der Grundsatz der angemessenen Überwachung und Kontrolle.
1. Compliance als Leitungsaufgabe
48
Wie dargelegt, sind die gesellschaftsrechtlichen und ordnungswidrigkeitenrechtlichen Organisationspflichten des Geschäftsleiters die wesentliche Rechtsquelle der Compliance. Daraus folgt von Rechts wegen, dass ein unveräußerlicher Kernbereich der Compliance in der Verantwortung des Geschäftsleiters bleiben muss und nicht delegiert werden darf. Compliance ist daher schon de jure eine Leitungsaufgabe.[2] De facto ist ein effektives Compliance-Programm schlechthin unmöglich, wenn Rechtschaffenheit im Geschäftsverkehr nicht von der Führungsmannschaft eines Unternehmens vorgelebt wird. Der richtige „tone at the top“[3] ist daher der erste und wichtigste Grundsatz ordnungsgemäßer Compliance. Die Geschäftsleitung muss sich ohne Wenn und Aber zu rechtmäßigem und rechtschaffenem Verhalten im Geschäftsverkehr bekennen. Sie muss klare Grenzen ziehen und unmissverständlich kommunizieren, dass das Unternehmen ausschließlich legale Geschäfte macht und auf solche Geschäfte verzichtet, die nur durch Rechtsbruch (bspw. Korruption) erlangt werden können.
49
Es liegt nahe, den tone at the top durch entsprechende Incentivierungen und De-Incentivierungen zu flankieren. In die variable Vergütung einer Führungskraft sollte mit einfließen, wie erfolgreich die Compliance-Bemühungen der betreffenden Person in ihrem Verantwortungsbereich waren. Auch Aufstiegsmöglichkeiten sollten mit Compliance verbunden werden. Wer sich Compliance-Verstöße zuschulden kommen lässt oder in wessen Verantwortungskreis erhebliche Compliance-Verstöße vorgefallen sind, dessen Aufstiegsmöglichkeiten im Unternehmen sollten begrenzt sein.
2. Grundsatz der Risikoadäquanz
50
Der zweite wesentliche Grundsatz ordnungsgemäßer Compliance neben der rechten Einstellung in der Geschäftsleitung lautet: Die Compliance-Bemühungen eines Unternehmens müssen in einem adäquaten Verhältnis zum Risikoprofil des Unternehmens stehen. Dazu ist in einem ersten Schritt eine umfassende Risikoanalyse erforderlich. Die Geschäftsleitung bzw. die von ihr beauftragten Personen müssen diejenigen Risikobereiche identifizieren, in denen das Unternehmen wesentlichen Gefahren rechtsuntreuen Verhaltens ausgesetzt ist. Wer bspw. in großem Umfang Geschäfte mit regierungsnahen Institutionen in traditionell korruptionsgefährdeten Ländern betreibt, wird um eine Anti-Korruptions-Compliance nicht herumkommen. Das 4. Kap. stellt die möglichen Bereiche umfassend dar. Aufgabe jedes einzelnen Unternehmens ist es, sich selbst einer kritischen Überprüfung zu unterziehen, welche dieser Bereiche für das Unternehmen einschlägig sind.
3. Compliance als Organisationsaufgabe
51
Sind die einschlägigen Risikobereiche eines Unternehmens identifiziert, müssen in einem nächsten Schritt diejenigen Organisationsmaßnahmen ergriffen werden, die sicherstellen sollen, dass in den identifizierten Risikobereichen Rechtsverstöße möglichst vermieden werden. Die Erfahrung hat gezeigt, dass es in der Regel nicht ausreicht, den Ressortzuständigen für einzelne Geschäftsbereiche Rechtstreue und Rechtschaffenheit besonders ans Herz zu legen. Vielmehr ist eine spezifische Compliance-Organisation erforderlich, an deren Spitze ein Compliance-Verantwortlicher für das gesamte Unternehmen steht, in der Regel Chief Compliance Officer genannt. Der Chief Compliance Officer muss eine möglichst kurze Berichtslinie zur Geschäftsleitung haben. Entweder sollte er direkt darunter oder mit nur einer weiteren Hierarchiestufe dazwischen angesiedelt sein. Vielfach ist der Chief Compliance Officer Jurist und als solcher in die Rechtsabteilung eines Unternehmens integriert. Andere Unternehmen setzen auf eine organisatorisch verselbstständigte Compliance-Abteilung außerhalb bzw. neben der Rechtsabteilung.[4] Das eine wie das andere Modell kann zweckmäßig sein. Einen eindeutigen Best Practice-Standard gibt es insoweit bislang nicht.
52
Der Chief Compliance Officer benötigt in der Regel einen organisatorischen Unterbau mit sachlichen und personellen Ressourcen. Dies müssen nicht notwendigerweise ausschließlich Vollzeitkräfte sein. Auch in einem mittelständischen Unternehmen empfiehlt es sich, die Compliance-Verantwortung nicht auf den Schultern einer einzelnen Person lasten zu lassen. Für Tochtergesellschaften und Niederlassungen sollten bestimmte Mitarbeiter – neben ihren sonstigen Aufgaben – zumindest auch für Compliance-Aufgaben mit zuständig sein.
53
Wesentlich ist dabei, dass ein zentrales Reporting zum Chief Compliance Officer des Unternehmens bzw. des Konzerns eingerichtet wird. Der Chief Compliance Officer muss also auf seine Compliance-Beauftragten in Tochtergesellschaften und Niederlassungen „durchregieren“ können. Wären die Compliance-Beauftragten ausschließlich dem jeweiligen lokalen Management unterstellt, wären Interessenkonflikte und eine wenig effektive Compliance-Arbeit nahezu zwangsläufig die Folge. Einzelheiten zur Ausgestaltung einer Compliance-Organisation finden sich im 3. Kap. Rn. 1 ff., 42 ff.
4. Grundsatz der Ausdrücklichkeit und der Schriftlichkeit
54
Es versteht sich von selbst, dass die wesentlichen Compliance-relevanten Informationen in einem Unternehmen schriftlich niedergelegt sein müssen und dass die wichtigsten Compliance-kritischen Situationen in diesen schriftlichen Unterlagen ausdrücklich adressiert werden müssen, um den Mitarbeitern konkrete Handreichungen für ihr tägliches Tun zu geben. So hat es sich eingebürgert, allgemeine und grundsätzliche Bekenntnisse des Unternehmens zur Rechtschaffenheit im Geschäftsverkehr