Compliance für Ihr Unternehmen: regulatorische Anfordungen kennen und erfüllen.
Wir helfen Ihnen rechtliche und regulatorische Anforderungen an Ihr Unternehmen zu identifizieren und Maßnahmen zu treffen, um deren Einhaltung zu gewährleisten. Mit unseren Interims-Lösungen bieten wir darüberhinaus die Übernahme gesetzlicher Pflichtaufgaben.
Vorwort
"Compliance" wird in der öffentlichen Diskussion leider nur mit Großunternehmen in Verbindung gebracht. Dies ist jedoch ein Irrtum, der gerade Geschäftsführer kleinerer Unternehmen in die Haftung treiben kann. Sicher hängt das auch mit dem Begriff zusammen. Daher wollen wir Ihnen auf dieser Seite einen kleinen Überblick über das Thema Compliance verschaffen.
Das angloamerikanische Wort "Compliance" hat seinen Ursprung im Verb "to comply", was so viel wie "einhalten" oder "erfüllen" bedeutet. Compliance wird also meist mit "Einhaltung", "Erfüllung", "Regelkonformität" und "Regelbefolgung" übersetzt.
Der Begriff Compliance beschreibt also kurz gesagt die Einhaltung von Vorgaben. Diese können in Form von Gesetzen, Verordnungen, unternehmensinternen Regelungen (z.B. Prozessabläufe), Industrie-Standards, Normen (z.B. ISO), behördlichen Auflagen (z.B. Genehmigungen) oder Weisungen bestehen.
Die Unternehmens-Compliance zielt dementsprechend auf die Einhaltung und Konformität mit allen für das Unternehmen geltenden Vorgaben ab. Unternehmen bzw. ihre Geschäftsführer sind daher aufgefordert, Maßnahmen zu ergreifen um diese Einhaltung sicherzustellen.
Da ein Geschäftsführer selbstverständlich nicht jeden Bereich seiner Unternehmens direkt kontrollieren kann, ist der Einsatz eines Compliance-Management-Systems sinnvoll, welches die Begehung von Gesetzesverstößen durch Mitarbeiter der Gesellschaft verhindern bzw. aufdecken soll.
Beispiele für Vorgaben
Gesetze
Landesgesetzgebung, Bundesrecht, Europäische Verordnungen wie z.B. Gesellschaftsrecht, Handelsrecht (HGB). Bürgerliches Recht (BGB), Arbeitsrecht, Datenschutzrecht, Sozialrecht, Kartellrecht, Wettbewerbsrecht, Geldwäschegesetz, Steuerrecht, Produkthaftungsgesetz
Auflagen und Genehmigungen
z.B. Gewerbeanmeldung, Gewerbeerlaubnis, Führerschein, Meisterpflicht für Handwerksberufe, Registrierung/Zulassung für erlaubnispflichtige Tätigkeiten (z.B. RDG), Bedingungen, Kriterien und Auflagen für die Beantragung von Bundes- oder Landesfördermitteln
Normen & Standards
Internationale Standards und Normen wie z.B. Arbeitsschutz, Business Continuity Management, Datenschutz-Management, Energiemanagement, Umweltschutz, Nachhaltigkeit, Informationssicherheit, IT-Sicherheit, Qualitätsmanagement, Risikomanagement, Hygiene-Standards, uvm.
Themengebiete
Risiken und Haftung bei Non-Compliance
Zusammengefasst lässt sich sagen: Die Verantwortlichkeit für die Einhaltung von Gesetzen und Vorgaben in einem Unternehmen liegt in erster Linie bei der Geschäftsleitung. Allerding muss man auch hier differenzieren: der Gesetzgeber fordert von der Geschäftsführung lediglich die nötige Sorgfalt, sicherzustellen, dass keine Gesetzesbrüche begangen werden können. Das heißt konktret: die Geschäftsführung muss es schaffen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass alle gesetzlichen Vorgaben eingehalten werden.
Ordnungsrechtliche Verantwortlichkeit gem. § 30 OWiG
(1) Hat jemand
1. als vertretungsberechtigtes Organ einer juristischen Person oder als Mitglied eines solchen Organs,
(...)
4. als Generalbevollmächtigter oder in leitender Stellung als Prokurist oder Handlungsbevollmächtigter einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung oder
(...)
5. als sonstige Person, die für die Leitung des Betriebs oder Unternehmens einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung verantwortlich handelt, wozu auch die Überwachung der Geschäftsführung oder die sonstige Ausübung von Kontrollbefugnissen in leitender Stellung gehört,
eine Straftat oder Ordnungswidrigkeit begangen, durch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder die juristische Person oder die Personenvereinigung bereichert worden ist oder werden sollte, so kann gegen diese eine Geldbuße festgesetzt werden.
(2) Die Geldbuße beträgt
1. im Falle einer vorsätzlichen Straftat bis zu zehn Millionen Euro,
2. im Falle einer fahrlässigen Straftat bis zu fünf Millionen Euro.Im Falle einer Ordnungswidrigkeit bestimmt sich das Höchstmaß der Geldbuße nach dem für die Ordnungswidrigkeit angedrohten Höchstmaß der Geldbuße. Verweist das Gesetz auf diese Vorschrift, so verzehnfacht sich das Höchstmaß der Geldbuße nach Satz 2 für die im Gesetz bezeichneten Tatbestände. Satz 2 gilt auch im Falle einer Tat, die gleichzeitig Straftat und Ordnungswidrigkeit ist, wenn das für die Ordnungswidrigkeit angedrohte Höchstmaß der Geldbuße das Höchstmaß nach Satz 1 übersteigt.
Verletzung der Aufsichtspflicht im Betrieb oder Unternehmen gem. § 130 OWiG
(1) Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.
(2) Betrieb oder Unternehmen im Sinne des Absatzes 1 ist auch das öffentliche Unternehmen.
(3) Die Ordnungswidrigkeit kann, wenn die Pflichtverletzung mit Strafe bedroht ist, mit einer Geldbuße bis zu einer Million Euro geahndet werden. § 30 Absatz 2 Satz 3 ist anzuwenden. Ist die Pflichtverletzung mit Geldbuße bedroht, so bestimmt sich das Höchstmaß der Geldbuße wegen der Aufsichtspflichtverletzung nach dem für die Pflichtverletzung angedrohten Höchstmaß der Geldbuße. Satz 3 gilt auch im Falle einer Pflichtverletzung, die gleichzeitig mit Strafe und Geldbuße bedroht ist, wenn das für die Pflichtverletzung angedrohte Höchstmaß der Geldbuße das Höchstmaß nach Satz 1 übersteigt.
Strafrechtliche Haftung aus Garantenstellung gem. § 13 StGB
(1) Wer es unterläßt, einen Erfolg abzuwenden, der zum Tatbestand eines Strafgesetzes gehört, ist nach diesem Gesetz nur dann strafbar, wenn er rechtlich dafür einzustehen hat, daß der Erfolg nicht eintritt, und wenn das Unterlassen der Verwirklichung des gesetzlichen Tatbestandes durch ein Tun entspricht.
(2) Die Strafe kann nach § 49 Abs. 1 gemildert werden.
Rechtsgrundlagen
Compliance-Management ist nicht direkt vorgeschrieben. Allerdings ergibt sich die Erfordernis eines Systems zur Überwachung und Sicherstellung der Einhaltung von Gesetzen und Vorgaben aus folgenden Gesetzesgrundlagen:
Die "Sorgfaltspflicht" gem. § 43 GmbHG
(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.
Die "Sorgfaltspflicht" gem. § 93 AktG
(1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Über vertrauliche Angaben und Geheimnisse der Gesellschaft, namentlich Betriebs- oder Geschäftsgeheimnisse, die den Vorstandsmitgliedern durch ihre Tätigkeit im Vorstand bekanntgeworden sind, haben sie Stillschweigen zu bewahren.
(2) Vorstandsmitglieder, die ihre Pflichten verletzen, sind der Gesellschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet. Ist streitig, ob sie die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt haben, so trifft sie die Beweislast. Schließt die Gesellschaft eine Versicherung zur Absicherung eines Vorstandsmitglieds gegen Risiken aus dessen beruflicher Tätigkeit für die Gesellschaft ab, ist ein Selbstbehalt von mindestens 10 Prozent des Schadens bis mindestens zur Höhe des Eineinhalbfachen der festen jährlichen Vergütung des Vorstandsmitglieds vorzusehen.
Legalitätspflicht
Pflicht der Entscheidungsträger, ihre organschaftliche Tätigkeit im Einklang mit dem geltenden Recht auszuüben -> Gilt auch für ausländisches Recht, soweit anwendbar
Legalitätskontrollpflicht
Pflicht der Entscheidungsträger, für die Einhaltung des Rechts durch Dritte,
namentlich durch Unternehmensangehörige, zu sorgen
- Insbesondere Einhaltung der an die Gesellschaft als juristische Person
adressierten Gesetzesnormen - Die Legalitätspflicht der Leitungsorgane erschöpft sich nicht in eigener
Rechtstreue
Das Compliance-Management-System
Die einfachste und beste Methode, um Rechtsverstöße zu verhindern, ist die Einführung eines Compliance-Management-Systems. Dieses umfasst:
Prävention
Compliance-Verstöße lassen sich am Besten verhindern, indem Sie gar nicht erst entstehen. Setzen Sie daher auf Präventivmaßnahmen, um potentielle Compliance-Verstöße im Unternehmen zu vermeiden.
Beispielmaßnahmen:
- Schulung und Sensibilisierung der Mitarbeiter
- Unternehmensinterne Richtlinien
- Strukturiertes Informations- und Berichtswesen zur Dokumentation und Nachvollziehbarkeit
- Geschäftspartnerprüfungen vor Geschäftsabschluss
- Plausibilitätsprüfungen
- Nachweisprüfung (z.B. Protokolle, Zertifikate, etc.)
- Genehmigungsverfahren (z.B. Vieraugenprinzip)
- Funktionstrennung
- Automatisierte Prüf- und Freigabeprozesse mittels Software
- Etablierung eines HinweisgebersystemsRegelmäßige Wiederholung der Risikoanalyse
Kontrolle
Die fortlaufende Überwachung des Compliance-Managements sowie das Monitoring ausgewählter Risikobereiche werden im Zuge von Kontrollmaßnahmen durchgeführt . Dazu gehören u.A:
Beispielmaßnahmen:
- Regelmäßige Mitarbeitergespräche / Interviews
- Regelmäßige Prozessprüfungen
- Regelmäßige Dokumentations- und Dokumentenprüfung
- Regelmäßige Durchführung von Audits
- Regelmäßiger Austausch mit anderen Instanzen und Beauftragten (z.B. Interne Revision, Datenschutz, Qualitätsmanagement, IT-Sicherheit, etc.)
- Automatisierte Software-Prüfungen (z.B. Plausibilität, Risiko, etc.)
Reaktion
Kommt es entgegen aller getroffenen Sicherheitmaßnahmen doch zu einem Gesetzes- oder Regelverstoß, so müssen Sie reagieren. Dazu gehört die vollständige Untersuchung und Aufklärung des Vorfalls:
Beispielmaßnahmen:
- Mitarbeiterbefragung und Dokumentation
- Beweissicherung mittels Datensicherung und Informationssammlung
- Auswertung der gesammelten Informationen
- Auswirkungen und Konsequenzen feststellen und bewerten
- Sofortmaßnahmen festlegen z.B. Freistellung des betroffenen Mitarbeiters
- Benachrichtigung von Behörden, falls dies geboten ist
- Sanktionsmaßnahmen durchführen: Ermahnung, Abmahnung, Versetzung sowie Ausspruch der ordentlichen oder außerordentlichen Kündigung sowie Einleitung einer Strafanzeige
Compliance Werkzeuge & Tools
Die Risikoanalyse
Bevor Sie nun ein Compliance-Management-System aufbauen können, sollten Sie eine Risikoanalyse durchführen und prüfen, in welchen Themengebieten besondere Risiken entstehen können.
Internes Hinweisgeber- und Meldesystem etablieren
Hat ein Mitarbeiter Kenntnis über eine verbotene oder rechtswidrige Handlung oder Tätigkeit, die dem Unternehmen Schaden zufügen könnte, so sollte er die Möglichkeit haben, dies bei einer neutralen Stelle zu melden.
Hierzu ist die Etablierung eines internen Melde- oder Hinweisgebersystems erforderlich. Dies kann zum Beispiel mittels Bereitstellung einer gesonderten Telefonnummer (Whistleblowing Hotline) oder E-Mailadresse erfolgen, die idealerweise ein vom Unternehmen unabhängiger Dienstleister (z.B. externer Compliance Officer oder Anwaltskanzlei) betreut. Besonders wichtig ist für Whistleblower oft die Wahrung der Anonymität. Diese sollte gewährleistet sein, um die Hemmschwelle zur Meldung zu senken.
Krisen-Kommunikation vorbereiten
Kommt es tatsächlich zu einem Rechtsveroß innerhalb des Unternehmens und ist dieser von öffentlichem Interesse, sollte das Unternehmen auf diese Situation vorbereitet sein. Hierzu gehört eine schnelle Krisen-Kommunikationsstrategie. Besonders wichtig ist es, dass sich das Unternehmen selbst als primäre Informationsquelle positioniert. Dies verhindert, dass ein Informationsvakuum entsteht, welches durch andere Informationsquellen gefüllt wird. Sofern sich die Medien anderer Informationsquellen bedienen, besteht nämlich die Gefahr, dass die Berichterstattung fremdbestimmt wird. Aufgrund einer fehlerhaften Berichterstattung kann dem Unternehmen möglicherweise ein Schaden entstehen (z.B. Reputationsschäden).
Das Rechtskataster
Die Grundlage für gesetzes- und regelkonformes Verhalten ist das Wissen um dessen Existenz. Nur wer weiß, welche Anforderungen auf sein Unternehmen zutreffen, kann auch entsprechende Maßnahmen treffen, um deren Einhaltung zu gewährleisten. Eine Methode um dies sicherzustellen, ist das sogenannte "Rechtskataster". Dieses listet alle geltenden gesetzlichen und regulatorischen Anforderungen auf und soll eine stetig aktuelle Übersicht gewährleisten.
Beispiel
Gesetz/Verordnung | Geltungsbereich | Inkrafttreten | Letzte Änderung | Umsetzungsverantwortlicher | Status der Umsetzung |
---|---|---|---|---|---|
Mutterschutzgesetz (MuSchG) | Bund | 06.02.1952 | 01.01.2020 | Leiter Personalabteilung | OK |
Datenschutz-Grundverordnung (DSGVO) | EU | 27.04.2016 | 25.05.2018 | Geschäftsleitung/Datenschutzbeauftragter | OK |
Coronaschutzverordnung (CoronaSchVO) | Bund | 02.07.2020 | 15.07.2020 | Qualitätsmanagementbeauftragter | in Bearbeitung |
... | ... | ... | ... | ... | ... |
Vorteile & Chancen
Effizienzsteigerung
Porttitor at sem. Curabitur aliquet id posuere blandit curabitur arcu erat, accumsan id imperdiet et, porttitor. Quam id dui posuere blandit curabitur quam id dui arcu erat, accumsan id imperdiet et, porttitor id imperdiet.
Curabitur arcu erat, accumsan id imperdiet et, porttitor at sem. Curabitur aliquet quam id dui posuere blandit.
Accumsan id imperdiet et, porttitor at sem. Curabitur aliquet quam id dui posuere blandit curabitur quam id dui arcu erat, accumsan id imperdiet
Steigerung der Integrität
Curabitur arcu erat, accumsan id imperdiet et, porttitor at sem. Curabitur aliquet quam id dui posuere blandit.
Accumsan id imperdiet et, porttitor at sem. Curabitur aliquet quam id dui posuere blandit curabitur quam id dui arcu erat, accumsan id imperdiet.
Porttitor at sem. Curabitur aliquet id posuere blandit curabitur arcu erat, accumsan id imperdiet et, porttitor. Quam id dui posuere blandit curabitur quam id dui arcu erat, accumsan id imperdiet et, porttitor id imperdiet.
Steigerung der Unternehmenssicherheit
Accumsan id imperdiet et, porttitor at sem. Curabitur aliquet quam id dui posuere blandit curabitur quam id dui arcu erat, accumsan id imperdiet.
Porttitor at sem. Curabitur aliquet id posuere blandit curabitur arcu erat, accumsan id imperdiet et, porttitor. Quam id dui posuere blandit curabitur quam id dui arcu erat, accumsan id imperdiet et, porttitor id imperdiet.
Curabitur arcu erat, accumsan id imperdiet et, porttitor at sem. Curabitur aliquet quam id dui posuere blandit.
Der Compliance Officer / Manager
Der Compliance Officer ist für die Implementierung und Monitoring des Compliance-Management-Systems zuständig. Er stellt sicher, dass die Compliance Organisation gut aufgestellt und funktionsfähig ist. Insbesondere Präventionsmaßnahmen, wie z.B. Schulung und Sensibilisierung der Mitarbeiter gehören zu seinen Aufgaben. Auch die Durchführung von Compliance-Kontrollen sind möglich - z.B. in Zusammenarbeit mit einer internen oder externen Revision.
Es gibt in Deutschland keine Vorschriften im Hinblick auf die Ernennung und Bestellung von Compliance Officern. Die Benennung sollte aber auf jeden Fall schriftlich dokumentiert werden. Hierbei sollten die wesentlichen Aufgaben, die konkreten räumlichen Zuständigkeiten und die Berichtswege definiert werden. Es empfiehlt sich, dass der Compliance Offier direkt an die Unternehmensleitung bzw. an die oberste Führungsebene angebunden wird und direkt an diese berichtet.
Aufgaben und Pflichten eines Compliance Officers
Der Compliance Officer ist für die Implementierung und Monitoring des Compliance-Management-Systems zuständig. Er stellt sicher, dass die Compliance Organisation gut aufgestellt und funktionsfähig ist. Insbesondere Präventionsmaßnahmen, wie z.B. Schulung und Sensibilisierung der Mitarbeiter gehören zu seinen Aufgaben. Auch die Durchführung von Compliance-Kontrollen sind möglich - z.B. in Zusammenarbeit mit einer internen oder externen Revision.
Bestellung und Ernennung eines Compliance Officers
Es gibt in Deutschland keine Vorschriften im Hinblick auf die Ernennung und Bestellung von Compliance Officern. Die Benennung sollte aber auf jeden Fall schriftlich dokumentiert werden. Hierbei sollten die wesentlichen Aufgaben, die konkreten räumlichen Zuständigkeiten und die Berichtswege definiert werden. Es empfiehlt sich, dass der Compliance Offier direkt an die Unternehmensleitung bzw. an die oberste Führungsebene angebunden wird und direkt an diese berichtet. Der Compliance Offier kann sowohl intern benannt oder extern bestellt werden.
Vergleich: interner vs. externer Compliance Officer
Interner Compliance Officer
Vollzeitmitarbeiter für den Bereich Compliance sind gerade für kleine GmbHs oft nicht notwendig und nicht bezahlbar
Die Übertragung dieser Position auf einen Mitarbeiter mit einem eigentlich "anderen" Aufgabengebiet ist oft nicht zielführend
Interne Mitarbeiter verfügen oft über mehr Branchenkenntnisse und kennen die Unternehmensabläufe besser
Externer Compliance Officer
Neutrale Berater mit Blick von außen
Haben aufgrund der Tätigkeit für verschiedene Unternehmen meist mehr Berufserfahrung
Haftet im Zuge des Dienstleistungsvertrages als externer Dienstleister
Preislich gerade für kleinere GmbHs sehr interessant
Beratung & Kontakt
Wir freuen uns sehr über Ihr Interesse an einem Gespräch mit uns! Senden Sie uns einfach eine kurze Anfrage über uns Kontaktformular und wir melden uns umgehend bei Ihnen.