22
Auch sollte zwischen dem Aufsichtsrat und dem (Chief) Compliance Officer ein reger und vertrauensvoller Austausch stattfinden. Der (Chief) Compliance Officer sollte regelmäßiger Teilnehmer an Aufsichtsratssitzungen sein und dort jedes Mal zumindest kurz vortragen. Auch sollte er Gelegenheit haben, zumindest als Zuhörer auch an jenen Tagesordnungspunkten teilzunehmen, die vielleicht nicht zum Kern der ‚Legal Compliance‘ gehören, aber Berührungspunkte dazu aufweisen, wie etwa die finanzielle Risikosteuerung.18 Ist ein Prüfungsausschuss gebildet, so gilt das soeben Gesagte in besonderem Maße: Prüfungsausschuss und Chief Compliance Officer müssen in engem Austausch stehen.
23
Liegen Compliance-Verstöße vor, so muss zu diesen intensiver berichtet werden – und zwar, wenn dies wegen der Sachnähe geboten erscheint, auch gemeinsam durch den Chief Compliance Officer und den mit dem Fall befassten, spezialisierten Compliance-Mitarbeiter. Unter Umständen kann sich die grundsätzliche Aufsichtspflicht des Aufsichtsrats dann auch zu einer eigenen Aufklärungspflicht verdichten.19
24
Um die Compliance-Berichterstattung vor dem Aufsichtsrat nicht zu einem leeren Ritual gefälliger Grafiken und inhaltsarmer Power Point Präsentationen erstarren zu lassen, ist es notwendig, Vertrauen aufzubauen und zu pflegen und Zeit und Geduld in die gemeinsame Aufgabe zu investieren. Das gelingt nur dann, wenn der Aufsichtsrat die Compliance-Thematik insgesamt nicht als eine Störung der – oft langjährigen, gut eingespielten und bisweilen erstaunlich wenig zeitintensiven – Sitzungen begreift, sondern der neuen Funktion und ihren manchmal vielleicht noch nicht ganz sattelfesten Mitarbeitern Interesse, Respekt und eine grundsätzliche Anerkennung entgegenbringt.
25
Dann kann günstigenfalls im Lauf der Zeit eine Atmosphäre entstehen, in der das so notwendige Nachfragen, Nachhaken und Nachbohren in Aufsichtsratssitzungen und die offene Diskussion eben nicht peinliche Abweichung von einem sorgsam durchchoreografierten Präsentationsweg verstanden wird, sondern als das, was es sein soll: Das Zurkenntnisnehmen der schwierigen Unternehmensrealität und das ehrliche, gemeinsame Ringen um ein sauberes Wirtschaften im Einklang mit den Regeln und in Fairness zu den Mitarbeitern, den Vertragspartnern und anderen Stakeholdern. Wenn dies gelingt, wird man dann auch einen Umgang mit anderen schwierigen Themen finden, der Frage etwa, ob es eine, wie auch immer geartete, formale Berichtslinie zwischen dem Chief Compliance Officer und dem Aufsichtsrat oder dem AR-Vorsitzenden geben sollte und ob dem CCO das Recht gegeben werden soll, direkt, also unter Umgehung der Geschäftsleitung, mit dem Aufsichtsrat oder dessen Vorsitzenden zu kommunizieren oder im Aufsichtsrat in Abwesenheit der Geschäftsleitung vorzutragen.
26
Schließlich gilt auch für den Aufsichtsrat: Je mehr er – wie die Geschäftsleitung – die Unabhängigkeit von Compliance respektiert, ihr Gelegenheit zum Vortrag und zum Vorbringen von Beobachtungen, Ideen und Anregungen gibt und ihr den Rücken stärkt, umso mehr wird er seiner Aufgabe gerecht, im Rahmen des langfristigen Risikomanagements des Unternehmens Rat zu geben und Aufsicht zu sein.
3. Rechtsabteilung
27
„Compliance, warum Compliance ...“, mögen sich manche fragen: „ ... Haben wir dafür nicht eine Rechtsabteilung?“ Das ist ein im Kern verständlicher Einwand: Man kann natürlich Schulungen und andere vorbeugende Maßnahmen zur Einhaltung von Gesetzen, unternehmensinternen Richtlinien und anderen Regeln als Aufgabe der Rechtsabteilung ansehen. In manchen Unternehmen wurde und wird dies auch so gehandhabt. Doch wie verhält es sich mit der Prüfung von Zulieferern, Distributoren oder Joint-Venture-Partnern in aller Welt, dem Nachvollziehen von Zahlungsflüssen und Buchungsvorgängen, dem Aufspüren von Regelverstößen oder mit deren Aufklärung und Ahndung, geschweige denn mit der Implementierung von Maßnahmen und Prozessen, um eine Wiederholungsgefahr zumindest systemischer Art so weit wie möglich auszuschließen?
28
Bei ehrlicher Betrachtung wird man anerkennen müssen, dass diese Leistungen von einer traditionell aufgestellten und ausgerüsteten Rechtsabteilung typischerweise nicht erbracht werden konnten und auch heute nicht können. Eine Bündelung von regulatorischem Spezial-Know-how, vertieftem Wissen um die Vernetzung zwischen Rechtsregeln, Unternehmensabläufen, Geldflüssen und IT-Forensik und das damit einhergehende Projekt- und Prozessmanagement wird man kaum in einer klassischen Rechtsabteilung finden; dies sind im Übrigen auch weder Ausbildungsschwerpunkte eines Unternehmensjuristen, noch entsprechen sie seinem typischen beruflichen Selbstbild.20
29
Das heißt umgekehrt aber nicht, dass die Rechtsabteilung eines Unternehmens unverbunden neben der, wie auch immer ausgestalteten, Compliance-Funktion stünde. Im Gegenteil: Rechtsregeln aller Art und die Subsumtion realer Unternehmenssachverhalte unter eine Vielzahl internationaler, nationaler, externer, interner, gesetzlicher oder technischer Normen verbinden Recht und Compliance. So ist es naheliegend, dass etwa ein überwiegend mit Unternehmenskäufen oder Wettbewerbsrecht befasster Unternehmensjurist auch Schulungen zum regelkonformen Verhalten mit Wettbewerbern oder zum Umgang mit Betriebsgeheimnissen oder nachvertraglichen Wettbewerbsverboten anbietet. Auch kann er z.B. bei der Erstellung einer Richtlinie für die Einkaufsabteilung mitwirken. Der eine oder andere Unternehmensjurist mag auch im Rahmen von unternehmensinternen Untersuchungen, Mitarbeiterbefragungen oder gar Amnestieprogrammen seine fachlichen Stärken, Spezialkenntnisse und juristischen Tugenden ausspielen können. Jedoch werden diese Fähigkeiten allein, zumindest in einem global operierenden Unternehmen und zumal in einer regulierten Industrie oder in einem oligopolistischen Markt, nicht ausreichen. Zur juristischen Expertise müssen sich eben die oben genannten spezifischen Compliance-Kompetenzen gesellen, die finanzielles, informationstechnologisches und forensisches Knowhow – und oft auch eine etwas weniger juristische „Denke“ – erfordern.
30
Man könnte natürlich den Bereich Recht entsprechend „aufrüsten“ und etwa eine Spezialabteilung Compliance schaffen oder angliedern, ähnlich wie das viele Rechtsabteilungen zum Beispiel für M&A, Großprojekte, Unternehmensfinanzierung oder Patente und Marken getan haben. Zwingend ist das jedoch nicht.
31
Manches spricht hingegen eher für eine Trennung von Recht und Compliance, etwa um mögliche Interessenkonflikte schon organisatorisch vermeiden zu helfen.21
32
Auch eine „budgetäre Logik“ könnte eher für ein Nebeneinander als für eine Integration von Compliance und Rechtsfunktion sprechen: Rechtsabteilungen stehen unter erheblichem Kostendruck und werden gern kurz gehalten, zumal der Wertbeitrag vorsorgender Rechtspflege oft wenig anschaulich ist und sich nur schwer quantifizieren lässt. Jede neue Mitarbeiterstelle, jeder Fortschritt bei der Ausstattung mit Computern, Dokumenten-Software und anderen IT-Arbeitsmitteln muss mühsam erkämpft werden. Compliance profitiert demgegenüber – zumindest noch – oft vom Rückenwind des ebenso Neuen wie Unvermeidlichen: Kaum ein Unternehmen, das aufgrund seiner Eigentümerstruktur, seiner Erzeugnisse und Dienstleistungen oder auch aufgrund seines bekannten Namens in der Öffentlichkeit steht, kann es sich leisten, auf die Frage: „Haben Sie eine dem heutigen Standard entsprechende Compliance-Organisation?“ eine ausweichende oder unbefriedigende Antwort zu geben. Mit anderen Worten: Der Weg zu einer personell und materiell schlagkräftigen Compliance-Organisation dürfte sich mit dem Ansatz „getrennt marschieren,