Best Practice,  Compliance,  How To

Wer lange fragt, geht weit irr – begründete Angst vor dem Unbekannten?

Während für viele Unternehmen und Unternehmensjuristen das Thema „Compliance“ bereits eine Selbstverständlichkeit ist und der Mehrwert bekannt sowie verstanden wird, werden vor allem kleinere Unternehmen und Organisationen in den nächsten Jahren mit der „großen Unbekannten“ konfrontiert. Mit Umsetzung der „Whistleblowing-Richtlinie“ erfolgt in diesen Fällen der verpflichtende Sprung ins kalte Wasser. Nachstehend beantworten wir 15 Fragen, um den Einstieg in die Thematik zu erleichtern.

Compliance auf dem Vormarsch…

„Zu viel Angst versaut die Zukunft, zu wenig Angst die Realität“ (Mario Sixtus) – Angstthema „Compliance“?

Vermehrt werde ich von Kollegen aus dem Unternehmensjuristen-Kreis mit Fragen zur effektiven Umsetzung der Vorgaben der oben genannten Whistleblowing-Richtlinie konfrontiert. Insbesondere die Unternehmensjuristen müssen sich mit dem Thema auseinandersetzen – oft ohne über die entsprechenden Kenntnisse und Erfahrungen zu verfügen.

Mag zwar ein Compliance-Officer oftmals ein Jurist sein, ist aber nicht jeder Jurist zugleich auch ein Compliance-Officer.

Bei der Entwicklung und Implementierung von Compliance-Strukturen habe ich (wie schon in einem vorangegangenen Artikel ausgeführt; zur Vertiefung einfach nachlesen) auf die Grundsätze unterschiedlicher Standards und Normen vertraut. Zum Zeitpunkt der Entwicklung des CMS hatte ich – vorteilhafterweise – zuvor eine entsprechende Ausbildung absolviert und war in der Rechtsabteilung eines SIEMENS-Unternehmens tätigt. Das Thema traf mich daher nicht unvorbereitet.

FAQs

Aller Anfang ist…leichter, wenn man grundsätzliche Fragen schon beantwortet erhält; insbesondere vor der anstehenden – verpflichtenden – Implementierung interner Meldekanäle UND Compliance-Strukturen. Aus diesem Grund habe ich mich dazu entschlossen, einige Fragen im Rahmen von FAQs als aktuelles Thema auf www.2imRecht.at zu verarbeiten.

…das darf in diesem Zusammenhang jedoch keinesfalls als „Lückenfüller im Sommerloch“ verstanden werden 😊 vielmehr gilt: „Dem guten Frager ist schon halb geantwortet“ (Friedrich Nietzsche) … in diesem Sinne:

Frage 1: Was versteht man unter „Compliance“?

Das Wort bzw. das Thema leitet sich von „to comply with“ ab und beschreibt unmissverständlich das Verhalten von Menschen in (und auch außerhalb von) Organisationen in Übereinstimmung mit rechtlichen sowie organisationsinternen Vorgaben.

Bedauerlicherweise wird „Compliance“ immer mit hohem bürokratischem Aufwand und einer „Verhinderer-Mentalität“ gleichgesetzt. Ziel ist jedoch das erfolgreiche Wirtschaften und Ermöglichen von Rechtsgeschäften. Nur wer darauf vertrauen kann, dass Business rechtskonform und unter Einhaltung entsprechender rechtlicher sowie moralischer/ethischer Standards passiert, wird am Ende erfolgreich sein.

„Compliance“ ist daher mehr als nur die Summe von Regeln und Vorgaben.

Frage 2: Wer ist eigentlich dafür verantwortlich?

Compliance wird Unternehmensjuristen gerne als „ureigenste“ Aufgabe übertragen…zusätzlich zu den anderen Aufgaben, die der Jurist im Unternehmen noch so zu erledigen hat. Das mag für viele richtig und logisch sein („der Jurist als Tausendsassa„), jedoch liegt die eigentliche Verantwortung (und das ganz ohne Zweifel) bei der jeweiligen Geschäftsführung (und hier kommt es NICHT auf eine zugewiesene Ressortverteilung an; Compliance ist als Verpflichtung eines jeden Geschäftsführers zu verstehen).

Der Geschäftsführer als oberster Compliance-Officer? Ja! Die Unternehmensführung muss entsprechende Maßnahmen setzen und eine effektive Organisation implementieren, die rechtskonformes Handeln (sowohl für Mitarbeiter als auch für andere Stakeholder, wie zB Lieferanten) ermöglicht. Wer, wenn nicht die Geschäftsführung, hat Interesse an regelkonformen Verhalten in der Organisation (Haftungen lassen grüßen). Compliance funktioniert daher bzw. generell nur, wenn die Unternehmensführung das Thema auch als notwendig erkennt und mit gutem Vorbild voranschreitet („tone from the top“).

Frage 3: Wozu „Compliance“ – freiwilliger Mehraufwand oder unfreiwilliges Muss?

Viele Kollegen scheitern bei der Entwicklung und Implementierung von Compliance an ihrer eigenen Geschäftsführung (ich zum Glück nicht – in meinem Fall erfolgte der Auftrag zu „Compliance“ direkt von der Geschäftsführung). Der Umstand, dass Compliance (scheinbar) nicht gesetzlich verpflichtend ist, wird oft als „Totschlag“-Argument vorgeschoben. Tatsächlich gibt es (derzeit) noch keine ausformulierte Verpflichtung zur Implementierung effektiver Compliance-Strukturen bzw. einer entsprechenden Compliance-Organisation. ABER…entsprechende Verpflichtungen lassen sich bereits jetzt aus bestehenden Bestimmungen ableiten (zB § 22 GmbHG, § 25 GmbHG; § 82 AktG, § 84 AktG). Diese genannten Gesetzesbestimmungen weisen die Unternehmensführung an, dass sie in der Ausübung ihrer Tätigkeit „die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden“ und „interne Kontrollsysteme“ zu implementieren haben.

Als Compliance-Officer wird man natürlich nicht müde, auf die Entscheidung des OGH zu verweisen, in dem dieser die Verpflichtung zum Aufbau einer adäquaten Organisation erkannte (siehe OGH, 3 Ob 34/97i).

In Zukunft wird es jedoch eine gesetzliche Verpflichtung geben! Die Whistleblowing-Richtlinie sieht Compliance-Maßnahmen (interner Meldekanal und Organisation zur Bearbeitung der Meldungen) zwingend vor. Das ist das Ende des „Totschlag“-Arguments.

Frage 4: Gibt es konkrete Standards im Bereich „Compliance“?

Ja, die gibt es. Diese helfen bei der Gestaltung und Aufrechterhaltung eines effektiven CMS (Compliance Management Systemen). Ich selbst habe mich – wie oben bereits angeführt – an diesen orientiert und die Organisation mit der Geschäftsführung auf Basis bekannter Standards und Normen entwickelt sowie implementiert. Insbesondere – jedoch nicht ausschließlich – sollte man die ISO 19600:2014 12 15 (Compliance Management System), die ISO 37001:2016 10 15 (Anti-Bribery Management System), die ON-Regel 192050:2013 02 01 (Compliance Management Systeme (CMS) – Anforderungen und Anleitung zur Anwendung), den FCPA Guide (Forreign Corruption Practices Act), den OECD Leitfaden, den UK Bribery Act 2010-Guidance, beachten.

Zu diesen Standards und Normen gesellen sich in Zukunft die Vorgaben der „Whistleblowing-Richtlinie“ sowie deren nationalgesetzlicher Umsetzung. Der Text der Richtlinie gibt Aufschluss über ein Mindestmaß entsprechender Compliance-Aufgaben bzw. -Strukturen.

Frage 5: Wann ist „Compliance“ effektiv?

Das Institut der Wirtschaftsprüfer in Deutschland hat in seinem Standard IDW PS 980 eine passende Definition gefunden und gibt uns einen Leitfaden zur Einführung effektiver Compliance.

Wir benötigen ein CMS – ein Compliance Management System. Unter einem CMS versteht man „sämtliche auf der Grundlage der definierten Unternehmensziele eingeführten Grundsätze und Maßnahmen eines Unternehmens, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und Mitarbeiter sowie ggf von Dritten abzielen.“ (Zitat aus IDW PS 980, Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen)

vorbeugen – erkennen – reagieren

Ein effektives (wirksames) Compliance-System liegt insbesondere (basierend auf den oben genannten Standards) vor, wenn ein Unternehmen die drei Grundfunktionen „vorbeugen“, „erkennen“ und „reagieren“ implementiert, mit Leben füllt und im täglichen Handeln anwendet. Voraussetzung ist jedoch, dass das Unternehmen bzw, die Organisation seine Risiken identifiziert und die erforderlichen/relevanten gesetzlichen Vorschriften kennt.

Präventive Maßnahmen („vorbeugen“) umfassen insbesondere die Erstellung unternehmensinterner Richtlinien, Compliance-Schulungen, Kommunikationsaktivitäten im Zusammenhang mit Compliance etc. Die Einführung von Kontrollmechanismen, Hinweisgebersystem, Risk-Assessments, Revisionen etc. führen zu einem raschen Erkennen von Risiken. Festgestellte Verstöße und Risiken sind zu sanktionieren bzw. zu behandeln. Jedes regelwidrige Verhalten bzw. jedes festgestellte Risiko muss zu einer entsprechenden Maßnahme führen, ansonsten das Vertrauen in die Wirksamkeit einer Compliance-Organisation schwindet oder überhaupt verloren geht.

Frage 6: Wieviele „Gesichter“ hat Compliance?

Compliance ist – wie oben bereits ausgeführt – keinesfalls ein „notwendiges“ oder „verpflichtendes“ Übel. Vielmehr verbindet Compliance Schutz- (das Unternehmen und seine Organe/Mitarbeiter sollen durch entsprechende Vorkehrungen von Nachteilen jeglicher Art bewahrt werden), Beratungs-/Schulungs- (die Compliance-Organisation sensibilisiert und klärt auf), Monitoring-/Überwachungs- und Marketingfunktionen (Compliance ist ein Wettbewerbsvorteil) in einem.

Ein effektives CMS muss daher als Chance verstanden werden.

Frage 7: Was ist die Rolle des „Compliance Officers“?

Der „Compliance Officer“ ist die beratende, vorbereitende und ausführende Institution im Unternehmen. Gemäß einer Definition der Ethics and Compliance Officer Association (ECOA) versteht man unter dieser Funktion: „Compliance Officer is tasked with integrating their organizations ethics and values initiatives, compliance activities, and business conduct practices into decision-making processes at all levels of the organization“.

Konkret unterstützt diese Funktion also die Unternehmensführung bei der Entwicklung, Implementierung, Überwachung und Weiterentwicklung der Compliance-Strukturen/der Compliance-Organisation. (vgl. Transparency International – Austrian Chapter; Verein zur Korruptionsbekämpfung, Das ABC der Antikorruption, 2013, 17)

Ausbildung? Ich selbst absolvierte die Ausbildung zum „Corporate Compliance Officer“ über Business Circle (großartig!) bzw. empfehle ich auch die Ausbildung über das ARS (welche gerade von zwei Kolleginnen besucht wurde). So oder so erweist sich eine Ausbildung/Vertiefung in diesem Bereich als gewinnbringend. Dieser Hinweis erfolgt übrigens aus Überzeugung…

Frage 8: Was ist ein „Code of Conduct“? Notwendig?

Der „Code of Conduct“ ist ein Verhaltenskodex des Unternehmens und stellt quasi die moralische/ethische Verfassung der Organisation dar.

Mit diesem Dokument wird durch die Geschäftsleitung verdeutlicht, welches Verhalten von Mitarbeitern und Dritten (zB Lieferanten) erwartet wird. Dieses Dokument fasst (in der Regel) prägnant und allgemeinverständlich alle wesentlichen Verhaltenshinweise zusammen. (vgl. Walter in Lexisnexis, Compliance Solutions 2018, 2018, 14) Der „Code of Conduct“ ist keinesfalls dazu gedacht, das gesamte Regelwerk eines Unternehmens abzubilden. Es bedarf natürlich weiterer konkreter Richtlinien (zB Anti-Korruptions-Richtlinie, etc.).

Frage 9: Wie gestaltet man einen „Code of Conduct“?

Da es sich – wie oben angeführt – um die moralische/ethische Verfassung des Unternehmens handelt, empfehle ich ein Vorwort der Geschäftsleitung, mit dem sich diese zu den Werten und Regeln (zur Compliance) bekennt. Dadurch wird dem Erfordernis „tone from the top“ wirksam Rechnung getragen. Der Code of Conduct soll zudem die wesentlichen Themenbereiche sowie die Erwartung zur Einhaltung der Vorgaben enthalten. Aus eigener Erfahrung erachte ich es als notwendig, dass das Dokument auch gleich jene Konsequenzen/Sanktionen beinhaltet, die bei Nichteinhaltung der Vorgaben zu erwarten sind. Wichtig ist zudem, dass das Dokument auch entsprechende Informationen darüber enthält, wer in Compliance-Angelegenheiten der Ansprechpartner ist.

Frage 10: Was versteht man unter „Whistleblowing“?

„Whistleblowing“ bedeutet im Sprachgebrauch „einen Hinweis geben“/“Missstände aufzeigen“. (vgl. Rapberger in Sartor/Freiler-Waldburger, Praxisleitfaden Compliance, 2015, 128)

Unter „Whistleblower“ werden Personen verstanden, die einen Gesetzes- oder Regelverstoß bzw. Risiken in der Organisation aufdecken und diese auch (hoffentlich in der Organisation) melden.

Frage 11: Gibt es eine gesetzliche Verpflichtung zur Installation eines internen Hinweisgebersystems?

Nein, derzeit gibt es in Österreich noch keine gesetzliche Verpflichtung. Mit Erlass der Whistleblowing-Richtlinie hat das EU-Parlament jedoch eine entsprechende Verpflichtung geschaffen. Klar ist, dass Unternehmen in Zukunft verpflichtet werden, entsprechende Hinweisgebersysteme und ein effektives CMS einzurichten.

Es gab/gibt aber schon im Deutschen Corporate Governance Kodex, in der Fassung vom 07.02.2017 (dessen Anforderungen durchaus auch für Österreich Anwendung finden) die unmissverständliche Empfehlung zur entsprechenden Ausgestaltung eines CMS im Unternehmen: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch Konzernunternehmen hin (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigen soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützte Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.“ (siehe Punkt 4.1.3 in Deutscher Corporate Governance Kodex, 2017, 6).

Seit Dezember 2019 gibt es eine neue – aktuelle – Fassung und wird zB in Grundsatz 5 auf die Notwendigkeit von Compliance verwiesen: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der internen Richtlinien zu sorgen und wirkt auf deren Beachtung im Unternehmen hin.“

In diesem Zusammenhang sei gesagt, dass Hinweisgebersysteme (auch ohne gesetzlicher Verpflichtung) als wichtige Maßnahme und wichtiges Instrument eines CMS gelten.

Frage 12: Was sieht die EU-Richtline zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden („Whistleblowing-Richtlinie“) konkret vor?

Der Zweck der Whistleblower-Richtlinie liegt im Schutz von Hinweisgebern. Diesen soll es (so sie Fehlverhalten in einer Organisation festgestellt haben) leichter und sicherer möglich gemacht werden, diese Unregelmäßigkeiten zu melden, ohne dass diese persönliche Nachteile befürchten müssen. Der Hinweisgeber wird durch ein umfassendes Verbot von Repressalien (Nachteilen) geschützt.

Frage 13: Welche Nachteile sind im Zusammenhang mit dem qualifizierten Melden von Missständen durch die Whistleblower-Richtlinie verboten?

Insbesondere – jedoch nicht ausschließlich – sind etwa Suspendierungen, Entlassungen, Gehaltsminderungen oder die Ausstellung eines nachteiligen Arbeitszeugnisses verboten. Zudem kommt der Hinweisgeber in einem etwaigen Gerichtsverfahren in den Genuss der „Beweislastumkehr“. dh es muss das Unternehmen beweisen, dass es sich bei der möglicherweise gesetzten Maßnahme um keine Vergeltungsmaßnahme handelt.

Frage 14: Welche Anforderungen hat die Whistleblowing-Richtlinie an ein internes Hinweisgeber-System?

  • Meldungen müssen schriftlich und mündlich möglich sein; dem Wunsch nach einem persönlichen Vorsprechen muss man entsprechen können
  • Unternehmen müssen eine zur Entgegennahme und Bearbeitung von Hinweisen zuständige Person oder Abteilung bestimmen
  • Die eingelangten Hinweise müssen sorgfältig untersucht werden, wobei der Kontakt mit dem Whistleblower zu suchen ist (zB Bestätigung des Empfangs der Meldung binnen 7 Tagen)
  • Das Hinweisgebersystem muss Vertraulichkeit gewährleisten (insbesondere im Hinblick auf die Identität des Whistleblowers; daher ist der Zugang zu den Informationen nur für autorisierte Personen einzuräumen)
  • Rückmeldung an den Whistleblower innerhalb von drei Monaten (max. jedoch 6 Monaten)

Bei der Auswahl von Meldekanälen sollte man sich Zeit lassen und abwägen.

Frage 15: Was versteht man unter „need-to-know“?

Das need-to-know-Prinzip schränkt die Verarbeitung von geheimen/vertraulichen Informationen auf jene Personen ein (zB Compliance-Officer), die diese Informationen zur Erfüllung ihrer Aufgaben zwingend benötigen. Das schließt eine Bearbeitung durch unbefugte Dritte in jedem Fall aus und führt daher zu mehr Sicherheit und Vertraulichkeit im Umgang mit entsprechenden Informationen/Hinweisen. In diesem Zusammenhang darf auch auf die Vorgaben aus dem Datenschutz verwiesen werden – dieses Prinzip kennen wir schon aus der Umsetzung der DSGVO im Unternehmen.

Zusammenfassung

Compliance ist keine Bürde sondern darf und muss als Chance verstanden werden. Unternehmen werden in Zukunft zur Einführung von internen Hinweisgebersystem und entsprechender Compliance-Maßnahmen verpflichtet. Es wird nicht ausreichen, den Fokus nur auf den Meldekanal zu legen und Compliance als Thema auszuklammern. Dadurch werden die kommenden gesetzlichen Verpflichtungen keinesfalls erfüllt.

Bei der Auswahl von (digitalen) Hinweisgebersystemen ist daher auf einfache und sichere Systeme zu achten, die Unternehmen bei der Umsetzung der Whistleblowing-Richtlinie unterstützen.

Gefällt Ihnen der Artikel? Dann bitte teilen!

Eine Antwort schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert