_grundlagen der compliance: risiken entdecken und vertrauen stärken
Wie kann man sicherstellen, dass Gesetze und Bestimmungen in einem Unternehmen umgesetzt werden? In komplexen Systemen lässt sich diese Frage nicht ganz einfach beantworten. Compliance versucht es mit drei Schlagworten: Prevent, Detect, Respond. Durch die Einrichtung eines neutralen Beschwerdesystems, sollen erstens Verfehlungen entdeckt, zweitens die Akteure zur Regeltreue motiviert und drittens prozessual transparente Sanktionen definiert werden.
Compliance in aller Munde
Aktuell befassen sich gleich vier neue Gesetze mit Compliance:
1. Zum einen ist die Datenschutzgrundverordnung (DSGV) zu nennen, nach der nun europaweit einheitliche geregelt ist, wie mit personenbezogenen Daten umzugehen ist. Damit es nicht nur bei einer Zielvorgabe bleibt, sind Maßnahmen wichtig, welche Risiken identifizieren und die Umsetzung voranbringt.
2. Analoges gilt für das Lieferkettensorgfaltspflichtengesetz (LfKG), wonach deutsche Unternehmen haftbar sind für Menschen- und Umweltrechtsverstöße bei ihren Zulieferern. Auch hier ist die Aufdeckung von Risiken sowie ein Hinweisgebersystem unerlässlich.
3. Im Rahmen des Geldwäschegesetzes (GwG) werden Sorgfaltspflichten im Umgang mit Risikostaaten sowie mit verdächtigen Transaktionen verschärft. Verpflichtet sind nicht nur Akteur/innen, die direkt an Transaktionen beteiligt sind, sondern u.a. auch Rechtsanwälte, Steuerberater und Wirtschaftsprüfer. Der Bezug auf Sorgfaltspflichten (Due Diligence) und der damit verbundenen Einschätzung von Risiken ist nichts anderes als ein Compliance-Mechanismus.
4. Schließlich macht das 2023 kommende Hinweisgeberschutzgesetz (HinSchG) noch einmal explizit, dass die Einrichtung eines anonymen „Kummerkastens“ effektiv dazu beitragen kann und soll, Regelverletzungen in Unternehmen aufzudecken. Sie dient der Umsetzung der EU-Whistleblower-Richtlinie.
Was ist RisikoAnalyse (Due Diligence)?
Risikoanalyse ist ein Regelprozess, der einer kontinuierlichen Weiterentwicklung bedarf. Regelprozess meint, dass die Analyse nicht einmalig und statisch ist, sondern dass nach vorher definierten Zielvorgaben ein strukturierter Prozess eingeleitet wird.
Mit einer einmaligen Analyse ist es nicht getan, da sich die Risiken sowie die Ausgangsbedingungen fortlaufend ändern. Nötig wird daher:
Erstens ein normativer Rahmen, d.i. ein klares Bild von den schützenswerten Gütern.
Zweitens lassen sich dann Risiken in den spezifischen Bereichen identifizieren, welche die definierten Normen bedrohen.
Drittens können gefundene Risiken bewertet werden, und zwar danach wie schwer oder irreparabel der Schaden sein könnte, wie wahrscheinlich der Schadenseintritt ist, wie nah am Kernbereich der Schaden eintreten könnte, wer die Betroffenen sind sowie wie hoch die eigene Beeinflussbarkeit ist.
Für die Risikoanalyse ist also zunächst erforderlich, sich ein klares Bild von dem eigenen Geschäft und seinen Geschäftspartnern zu machen und zweitens Werte festzulegen (Code of Conduct).
Code of Conduct (CoC)
Der Code of Conduct oder auch Mission Statement ist die Zielvorgabe, oder gewissermaßen die Schublade in der man nach möglichen Risiken sucht. Am Beispiel des Lieferkettensorgfaltspflichtengesetz wird dies deutlich. Dieses Gesetz hat es sich zur Aufgabe gemacht Verstöße gegen Menschenrechte sowie Umweltverschmutzung zu vermeiden. Dies bleibt nicht abstrakt, sondern wird konkret ausgefüllt. Vermieden werden soll Kinderarbeit, Zwangsarbeit, Diskriminierung, Verstöße gegen die Meinungsfreiheit und gegen politische Rechte, Gewalt und Beeinflussung der körperlichen Unversehrtheit u.a. Im Umweltbereich sollen Luft-, Boden-, Lärm- Verschmutzung vermieden werden. Die Energie-Verschwendung soll reduziert werden etc.
In diesem Werterahmen kann nun gezielt nach Risiken gesucht werden. Wie der Mechanismus funktioniert, soll im Folgenden an einem einfachen Beispiel aus der Nahrungsmittelindustrie verdeutlicht werden: Wenn ein Unternehmen beispielsweise einen Erdnussriegel herstellen möchte, so könnten die Risiken wie folgt gefasst werden:
- Erstens ist klar, dass Erdnüsse ein Landwirtschaftsprodukt ist, welches in warmen Ländern wie beispielsweise im Iran oder der USA produziert wird.
- Zweitens ist deutlich, dass Erdnüsse viel Wasser brauchen und eventuell Pestizide eingesetzt werden.
- In der Landwirtschaft könnten auch Risiken für die Angestellten bestehen. Im Iran könnte das Risiko der Ausbeutung von pakistanischen Flüchtlingen bestehen.
- Allgemein könnten Risiken im Bereich geringer Löhne sowie mangelnder Schutzkleidung bestehen.
Aus einem abstrakten Werterahmen lassen sich also konkrete Handlungsfelder ausmachen.
Complaining: Hinweisgeber System
Sind Risiken und damit Handlungsfelder definiert geht es darum Schäden zu verhindern (Prevent), Missstände aufzudecken (detect) oder zu beseitigen (respond). Ein wichtiges Instrument zur Vorsorge und Abhilfe kann ein Hinweisgeber-System sein. Die Implementierung eines anonymen „Kummerkastens“ soll für Transparenz sorgen und Betroffenen oder Informanten ermöglichen sich effektiv zu beschweren. Im Ergebnis soll ein solcher Mechanismus einerseits dafür sorgen, dass Missstände entdeckt und proaktiv adressiert werden. Andererseits könnten durch dieses Check and Balance auch Führungskräfte profitieren, indem das Vertrauen in ihre Kompetenz gestärkt wird.
Neben den herkömmlichen Beschwerdemechanismen wie der Einrichtung einer Hotline oder eines Kontaktformulars auf einer Webseite, könnte auch eine neutrale und/oder externe Ombudsperson, ein Schiedsgremium oder ein/e Compliance-Beauftragte/r helfen die im Sinne der Unternehmensleitung vorgesetzten Ziele zu erreichen.
Kontakt:
Dr. Thomas Wülfing, Fachanwalt für Handels- und Gesellschaftsrecht.
Dr. Benjamin Knebel, Anwalt für Wirtschaftsstrafrecht und Experte für die Implementiertung von Compliance Managementsystemen.