Vgl. Schettgen/Süße Compliance Officer, 2013, S. 196 ff.
Anonyme Meldungen sollten jedoch die Ausnahme bleiben, da sie es u.U. erschweren, allen vorgebrachten Punkten im Detail und sachgemäß nachzugehen.
Sehr empfehlenswert ist ein eigenes „Compliance-Telefon“, auf dem auch Nachrichten hinterlassen werden können, die nur der Vertrauensperson zugänglich sind.
Dies ist erfahrungsgemäß selten der Fall.
Auch dies sollte in der Richtlinie ausdrücklich erwähnt werden, da die Angst vor disziplinarischen Maßnahmen oder arbeitsrechtlichen Sanktionen häufig dazu führt, dass Mitarbeiter über Regelverstöße oder Fehlverhalten schweigen.
Dabei wird es sich i.d.R. um Quartalsberichte handeln.
Insbesondere für anonyme Meldungen empfiehlt sich die Einrichtung einer Hotline.
Falls derartige Trainingsmaßnahmen von der Geschäftsleitung aus unterschiedlichen Gründen nicht gewünscht sind, können alternativ bspw. „Compliance Updates“ in Vorstands- oder Geschäftsleitersitzungen gegeben werden.
Dazu gehören Ausführungen zur Business Judgement Rule ebenso wie zu den maßgeblichen Anspruchsgrundlagen gegen Vorstandsmitglieder und Geschäftsführer (§§ 93 Abs. 2 S. 1 AktG, 43 Abs. 2 GmbHG sowie 34 Abs. 2 S. 1 GenG).
Hauschka/Moosmayer/Lösler/Bürkle § 49 Rn. 6 ff.
Studien haben ergeben, dass etwa 35 % von Investmententscheidungen über die Faktoren Reputation und Image eines Unternehmens getroffen werden. Unternehmen mit hoher Reputation profitieren darüber hinaus durchschnittlich von einem Anstieg des Aktienkurses von 20,1 % pro Jahr, wogegen die zehn Unternehmen mit der schlechtesten Reputation einen Verfall ihrer Aktien von durchschnittlich 1,9 % pro Jahr hinnehmen mussten.
Vgl. hierzu Schierenbeck/Grüter/Kunz Management von Reputationsrisiken in Banken, Abteilung Bankmanagement und Controlling, Wirtschaftswissenschaftliches Zentrum (WWZ) der Universität Basel, Juni 2004, S. 2.
So sollte die Compliance-Abteilung einen guten Einblick in die IT eines Unternehmens haben und deshalb regelmäßig um Auskunft über neue Systeme, Outsourcing-Prozesse und Datenverarbeitungsprozesse ersuchen.
Diese Erfahrung hat die Verfasserin bspw. bei der französischen Datenschutzbehörde CNIL gemacht.
3. Kapitel Compliance-Organisation in der Praxis › A. Compliance-Programm und praktische Umsetzung › V. Compliance-Programm als dynamisches Strategieelement
1. Risiko „Restrisiko“
99
Selbst die effizienteste Compliance-Struktur wird, trotz regelmäßiger Trainings, Kontrollen und sonstiger flankierender Maßnahmen, nicht dazu führen können, jegliches Restrisiko bezüglich mangelnder Compliance auszuschließen. Es wird stets Risiken geben, die aus den unterschiedlichsten Gründen nicht vorhersehbar und nicht einschätzbar sind. Dies gilt bspw. für neue Geschäftsgebiete in entfernten Ländern, für neue Technologien, bestimmte Umweltrisiken, aber nicht zuletzt auch für den Faktor Mensch. Mitarbeiter und Geschäftsführungsorgane mögen noch so oft in Compliance-Themen geschult worden sein, dennoch werden sie unter gewissen Umständen nicht das notwendige Bewusstsein für die Vermeidung oder Minimierung von Risiken aufbringen können. Das mag an persönlichen Nöten, zu großem Leistungsdruck, Zeitmangel oder schlicht an der Unfähigkeit liegen, ein Compliance-Risiko richtig einzuschätzen. Überdies gibt es natürlich auch einen kleinen Prozentsatz Unbelehrbarer oder auch Mitarbeiter mit einer gewissen kriminellen Energie. In diesen Fällen laufen Präventivmaßnahmen wie Compliance-Schulungen und sonstige Schritte zur Entwicklung und Aufrechterhaltung einer nachhaltigen Compliance-Kultur natürlich ins Leere.
100
Die Compliance-Verantwortlichen sollten stets bestrebt sein, die Optimierung des Compliance-Programms dergestalt voranzutreiben, dass es von der Geschäftsleitung und der Belegschaft als Teil des strategischen Managements begriffen wird. Diese Bestrebung und ihre damit verbundenen Vorteile für das Unternehmen sollten der Geschäftsleitung auch immer wieder verdeutlicht werden. Jegliche Neuerung einer Unternehmensstrategie sollte deshalb von Compliance begleitet und als integraler Bestandteil für künftige Entwicklungen gesehen werden. Dass diese Bemühungen von der Geschäftsleitung oft nicht erkannt oder unterstützt werden, liegt in der immer noch mangelnden Bereitschaft und Fähigkeit der ein oder anderen Unternehmensleitung, ein funktionierendes Compliance-System als strategischen Wettbewerbsvorteil und tatsächlichen Vermögenswert und nicht als Bürde zu sehen. Allerdings wachsen auch in diesem Bereich das Bewusstsein und die Erkenntnis, dass Compliance als wesentlicher Bestandteil des strategischen Managements im globalen Unternehmen nicht mehr wegzudenken ist.
2. Notfallstrategie
101
Um in Krisenfällen Schaden vom Unternehmen abzuwenden bzw. um diesen so weit wie nur möglich in Grenzen zu halten, sollten die Compliance-Verantwortlichen gemeinsam mit der Unternehmensleitung eine Reaktionsstrategie erarbeiten, die in Notfällen eingesetzt werden kann. Es muss also für den Notfall ein effektives Krisenmanagement für unvorhergesehene Ereignisse etabliert werden. Der Umgang mit den Mitarbeitern, den Behörden, insbesondere der Polizei, sowie der Öffentlichkeit und den Medien muss geplant und klar definiert werden. Hierfür sind interne Ansprechpartner zu benennen, die entsprechend geschult werden, um die möglichen Risiken zu erkennen und im Einzelfall abwägen zu können, ob und ggf. inwieweit die Verhältnismäßigkeit zwischen der notwendigen Offenheit gegenüber der Allgemeinheit einerseits und möglicher Geheimhaltungspflichten des Unternehmens andererseits gewahrt werden kann.
102
Besonders bedeutsam in diesem Zusammenhang ist die Vermeidung von möglichen Reputationsschäden für das Unternehmen. Deshalb sollte eine klare Krisenkommunikationsstrategie für den Umgang mit Unternehmensangehörigen sowie für die allgemeine Öffentlichkeit,