BGHSt 40, 8; KG, NStZ-RR 2013, 72. 239 BGH, NStZ 2013, 165. 240 BGH, Urt. v. 10.10.2012, 2 StR 591/11 („DTAG“), NStZ 2013, 165.
3. Kapitel Compliance Management als Schnittstellenaufgabe – Überlegungen und Anregungen zur erfolgreichen Zusammenarbeit mit anderen Unternehmensfunktionen
I. Einleitung
1
Im Reigen der Unternehmensfunktionen ist Compliance1 nach wie vor als eine Art Nachkömmling anzusehen. Alle auf Gewinnerzielung angelegten und im Wettbewerb tätigen Unternehmungen verfügen, ungeachtet ihrer Größe, schon immer zumindest über eine Unternehmensleitung und eine Finanzfunktion. Letztere hat ein mindestens in Grundzügen organisiertes Rechnungs- und Berichtswesen und ein Controlling. Ab einer bestimmten Unternehmensgröße und in Abhängigkeit vom Geschäftsmodell findet man auch weitere organisatorische Untergliederungen, etwa für den Einkauf, die Produktion, den Vertrieb und das Marketing. Hinzu gesellen sich dann typischerweise eine Personalabteilung, eine Rechtsabteilung, eine Innenrevision und manchmal auch eine eigene Unternehmenskommunikation.2 Oft haben sich die Mitarbeiter organisiert und einen oder mehrere Betriebsräte gebildet. Größere Unternehmen haben oft einen Beirat oder einen gesetzlich zu bildenden Aufsichts- oder Verwaltungsrat, der seinerseits mitbestimmt sein kann.
2
All diese angestammten unternehmensinternen „Stakeholder“ haben nun in den vergangenen Jahren den Aufstieg der Compliance als neuer Unternehmensfunktion miterlebt. Eine nicht abreißende Kette von medienintensiven Skandalen, behördlichen Untersuchungen, empfindlichen Sanktionen und Karrierebrüchen und die sich daraus ergebenden organisatorischen, prozessualen und personellen Konsequenzen haben Compliance eine kaum zu überschätzende Aufmerksamkeit beschert. Die Verstöße sind vielfältig und reichen, um nur einige Beispiele zu nennen, von Preisabsprache-Kartellen über vielfältige Korruptionstatbestände, Geldwäsche, Embargoverletzungen, massenhafte Softwaremanipulation zur Umgehung von Umweltnormen oder Verstöße gegen Datenschutzregeln.3 Viele Unternehmen haben daher in den vergangenen Jahren Compliance-Abteilungen aufgebaut oder ausgebaut und Compliance-Management-Systeme aus der Taufe gehoben. Trotz eines phasenweise als „Compliance-Hype“ kritisierten Überziehens mancher Entwicklungen oder Maßnahmen ist es offenkundig, dass es sich bei Compliance nicht um eine Modeerscheinung handelt, eine jener Initiativen also, mit denen die Unternehmenszentrale mehr oder weniger regelmäßig den Gesamtkosmos des Unternehmens beglückt, nur um sie nach einigen Quartalen auslaufen und einen stillen, meist wenig betrauerten Tod sterben zu lassen. Compliance hat sich zumindest in der westlichen Wirtschaftshemisphäre fest etabliert und sie wird uns weiterhin begleiten. Legislatorische Maßnahmen, wie etwa das im Sommer 2020 ins Gesetzgebungsverfahren eingebrachte deutsche „Verbandssanktionengesetz“4 werden diese Entwicklung weiter stärken und auch hierzulande vollends unumkehrbar machen.
II. Unternehmensfunktionen und ihre Interaktion im Sinne der Compliance
3
Dieses Kapitel befasst sich daher aus Praktikersicht mit Fragen nach einer sinnvollen, effektiven und wertbildenden Interaktion dieser „neuen Unternehmensfunktion“ mit ihren angestammten Nachbarinnen. Wie können diese zur Compliance des Unternehmens beitragen? Was kann Compliance von Unternehmensorganen und Nachbarfunktionen lernen, was kann sie von ihnen erwarten? Wie kann eine sinnvolle und nachhaltige Zusammenarbeit gelingen? Und wie kann Compliance den mittlerweile als Substrat sinnvoller Compliance-Risikosteuerung weithin akzeptierten Dreischritt aus präventiver Schadensabwendung, Ermittlung von Verstößen und korrektiver Reaktion von Fehlverhalten5 im Zusammenwirken mit anderen Unternehmensfunktionen am besten erfüllen und meistern? Im Folgenden werden daher die für den Gedanken der Compliance besonders wichtigen Unternehmensorgane und Unternehmensfunktionen analysiert, um das Management an der „Schnittstelle Compliance“6 verbessern zu helfen.
1. Geschäftsleitung
4
Der Vorstandsvorsitzende eines großen, international operierenden Unternehmens hat auf die Frage seines künftigen Leiters Compliance,7 was denn nun von ihm erwartet und woran er gemessen werde, wie folgt geantwortet: „Keine Rechtsverstöße und unfallfreies Fahren!“ Dieser knappe Befehl bringt die Erwartung der Geschäftsleitung an Compliance in verallgemeinerungsfähiger Weise auf den Punkt. Die Compliance-Funktion soll also Regelverstöße verhüten und „Unfälle“ vermeiden. Dabei muss allerdings von vornherein betont werden, dass Compliance nur gelingen kann, wenn sie vom Unternehmensganzen akzeptiert und gelebt wird. Außerdem, und das ist an dieser Stelle maßgeblich, liegt die Letztverantwortung für Compliance bei der Unternehmensleitung. Sie ist Ausdruck ihrer Leitungspflicht und mithin „Chefsache“.8 Compliance kann daher nicht auf mehr oder minder bequeme Weise „wegdelegiert“ und schon gar nicht ignoriert werden.9
5
Die Geschäftsleitung und insbesondere ihr Vorsitzender müssen also im Rahmen eben dieser grundlegenden Leitungspflicht das Thema Compliance aktiv angehen und vorantreiben: In Abhängigkeit von Geschäftsmodell, Branche, Internationalität, Risikoprofil und Unternehmenskultur muss ein an diese Kriterien angepasstes Compliance-Management-System (CMS) entstehen,10 will sich das Top-Management im Falle eines Compliance-Verstoßes nicht dem Vorwurf eines Organisationsversagens aussetzen. An der Entwicklung, Begleitung und Justierung dieses Compliance-Management-Systems muss die gesamte Unternehmensleitung tatkräftig und nachhaltig mitwirken und ihr gesamtes Gewicht an Unternehmens- und Branchenkenntnis in die Waagschale werfen. Je mehr sie dabei aktiv mitsteuert und sich nicht nur auf Unternehmensberatungen oder andere Externe verlässt, umso höher ist auch die Chance, sich nicht einen fehlgerichteten oder falsch dimensionierten Fremdkörper überstülpen zu lassen.
6
Diese Aufgabe ist nicht einfach und sie birgt auch insofern Konfliktpotenzial, als sie dazu führen kann und wird, die Unternehmensleitung mit Versäumnissen oder Unebenheiten aus der Vergangenheit zu konfrontieren. Auch ist die Befassung mit komplizierten Rechtsfragen und anspruchsvollen Schulungs-, Hinweisgeber- und Reaktionsprozessen nicht jedermanns Sache. Und dennoch: Compliance ist nun tatsächlich alternativlos. Auch wenn die Unternehmensleitung der Auffassung ist, bisher sei doch immer alles gutgegangen und man könne (und wolle?) ja auch nicht immer alles wissen, sollte sie allerspätestens jetzt „die Flucht nach vorn“ ergreifen und Compliance aktiv annehmen, statt sich von ihr fernzuhalten.
7
Das alles nimmt Zeit, Aufmerksamkeit und Geld in Anspruch. Wer nun nur eindimensional-kurzfristig fragt oder – schlimmer noch – das gerade inthronisierte, oft noch etwas unsichere Compliance-Team anherrscht: „Was bringt uns das?“, wird im Allgemeinen keine für ihn befriedigende Antwort erhalten, zumal ja gerade die vorsorgende, schulende und den Eintritt von Compliance-Risiken minimierende Compliance-Arbeit häufig wenig spektakulär ist, kaum nach außen hin sichtbar wird und sich oft auch hinsichtlich ihres Wertbeitrags mit herkömmlichen Mitteln nur schwer quantifizieren lässt.
8
Was, also, bringt das? Die in Compliance-Schulungen gern landauf, landab gezeigten „Schockfotos“ mit gewaltigen Strafzahlungen, Schadensersatzsummen und Unternehmenslenkern hinter Gittern sind notwendig und entfalten auch einen gewissen pädagogischen Effekt. Sie erreichen aber beileibe nicht jeden. Manch einer lässt sich dadurch nicht beeindrucken und lernt tatsächlich nur aus eigenem, höchstpersönlich erlittenem Schaden. Auch greifen die Versuche, die Kosten von Non-Compliance nur im Wege spektakulärer Sanktionen zu illustrieren, zu kurz. Nicht alle Bußgelder sind drakonisch, nicht überall droht eine Gewinnabschöpfung oder gar der Ausschluss von künftigen Bieterverfahren. Oft liegen die – diffusen – Kosten von Compliance-Verstößen woanders: Derartige Verstöße und die in ihrer Folge unternommenen internen und externen Untersuchungen und Reaktionsmaßnahmen können ganze Unternehmensteile über Wochen und