Compliance kurz erklärt
Mängel in der Organisation eines Unternehmens können Haftungsfolgen für die für die Organisation eines Unternehmens verantwortlichen Personen haben. Der vorliegende Beitrag soll näher bringen, was unter Compliance verstanden wird.
Das allgemeine Verständnis von Compliance vermittelt möglicherweise zunächst den Eindruck, es handle sich bloss um eine Modeerscheinung. Wie kaum ein anderes rechtliches Thema polarisiert Compliance. Während sie die einen für unverzichtbar ansehen, wird sie von den anderen für das grösste Hindernis unternehmerischen Handelns gehalten. Der Begriff «Compliance» wird in sehr unterschiedlicher Weise benützt. Er stammt aus der angloamerikanischen Rechtssprache und bedeutet so viel wie «Handeln in Übereinstimmung mit bestehenden Regeln». In einer allgemeinen Definition steht Compliance somit für die Einhaltung gesetzlicher Bestimmungen, regulatorischer Standards sowie selbstverpflichtender Normen (z. B. Code of Conduct, interne Weisungen etc.). Für die konkrete Ausgestaltung der Compliance in einem Unternehmen bestehen keine gesetzlichen Vorgaben. Zwar legen einzelne gesetzliche Bestimmungen durchaus den Schluss nahe, dass zumindest in einem gewissen Umfang Compliance rechtlich gefordert wird, doch findet sich keine eigenständige und umfassende Verpflichtung zu Compliance. Grundsätzlich herrscht aber darüber Einigkeit, dass das Unternehmen verpflichtet ist, erforderliche, zumutbare und angemessene Massnahmen zu ergreifen, um drohende Schäden frühzeitig zu erkennen und sie abzuwenden. Eine Verpflichtung zu Compliance ergibt sich demnach faktisch für jedes Unternehmen, das sich an geltendes Recht halten will.
Ordnungsgemässe Compliance
Folgende Grundelemente können als für eine ordnungsgemässe Compliance zentral betrachtet werden: Die Unternehmensführung muss einen Verhaltenskodex erlassen und diesen auch vorleben (sog. Tone from the Top oder Tone at the Top). Die Compliance-Bemühungen müssen in einem angemessenen Verhältnis zu den Risiken des Unternehmens stehen (Grundsatz der Risikoadäquanz). Es müssen diejenigen organisatorischen Mass-nahmen ergriffen werden, die in den identifizierten Risikobereichen Rechtsverstösse zu vermeiden helfen (Compliance-Organisation), wobei die genaue Ausgestaltung der Organisation von verschiedenen Faktoren abhängt, wie beispielsweise Grösse, Geschäftstätigkeit etc. Gewünschte bzw. ausdrücklich untersagte Verhaltensweisen sowie konkrete Handlungsanweisungen müssen definiert und für die Mitarbeiter festgehalten werden (Compliance-Vorgaben). Die aus der Risikoanalyse abgeleiteten, untersagten bzw. gewünschten Verhaltensweisen müssen den betroffenen Mitarbeitern des Unternehmens systematisch und regelmässig vermittelt werden (Schulung). Sämtliche Compliance-Massnahmen führen nicht zum gewünschten Ergebnis, solange deren Durchsetzung nicht überwacht wird (Überwachung und Kontrolle). Zudem sollte eine Stelle geschaffen werden, an welche Mitarbeiter anonym Fehlverhalten und andere Missstände melden können (unabhängige Meldestelle oder sog. Whistleblowing Hotline). Damit wird unternehmensintern sichergestellt, dass gravierende und für das Unternehmen bedeutende Missstände nicht aufgrund persönlicher Abhängigkeiten und Ängste von Mitarbeitern verschwiegen bleiben.
Die konkrete Umsetzung
Auch kleinere Unternehmen sehen sich immer öfter aus faktischen Gründen und durchaus auch gegen ihren Willen nationalen Gesetzen und Regelwerken internationaler Organisatio-nen verpflichtet. Diverse Gesetze oder Regelwerke sind für sie oft direkt anwendbar und indirekt werden sie häufig als Zulieferer, Kreditnehmer oder Bieter in öffentlichen Beschaffungsverfahren und in vielen anderen Konstellationen auf diverse Regelwerke verpflichtet bzw. danach beurteilt. Oft sind derartige Klauseln standardisierte Bestandteile von Verträgen.
Es gilt nun, den goldenen Mittelweg zwischen der Schaffung eines kostspieligen Compliance-Apparates und einer ungenügenden Umsetzung der allgemeinen Compliance-Anforderungen zu finden. Die Gefahr ist dabei gross, lediglich ungenügende Compliance-Anstrengungen zu unternehmen. Mit einer reinen «Feigenblatt-Compliance» werden aber nur Kosten für etwas verursacht, das hinterher den angestrebten Schutz nicht bietet. Als Faustregel kann gelten, dass eine Compliance-Regelung so knapp wie möglich und verständlich ausfallen sollte, bietet eine derart gestaltete Regelung doch am ehesten Gewähr dafür, dass ihr auch nachgelebt wird. Compliance kann sich ebenso wenig darin erschöpfen, umfassende Regelwerke zu verfassen und diese zu verteilen, wie es damit getan ist, schlicht Checklisten abzuhaken. Für die Wahrnehmung der Compliance-Verantwortung im Unternehmen bieten sich verschiedene Ausgestaltungsmöglichkeiten. So besteht insbesondere – wie bei diversen anderen Unternehmensfunktionen auch – die Möglichkeit, gewisse Compliance-Aufgaben durch externe Dienstleister wahrnehmen zu lassen (Outsourcing). Dabei können sowohl kontinuierliche Tätigkeitsbereiche, wie z. B. Compliance-Beratung im Tagesgeschäft oder die Wahrnehmung der Funktion als unabhängige Meldestelle, als auch projektbezogene Aufgaben, wie z. B. Erstellung von Compliance-Richtlinien, Durchführung von Schulungen, Auditierung und Kontrolle von Compliance-Massnahmen, durch externe Spezialisten wahrgenommen werden.
Die präventive Wirkung von Compliance im Hinblick auf die Vermeidung von zivilrechtlichen und strafrechtlichen Risiken ist nur dann gegeben, wenn sämtliche der vorstehend genannten Punkte lückenlos umgesetzt sind. Compliance sollte somit nicht nur als notwendiges Übel, sondern auch als Chance verstanden werden. Sie bedeutet in erster Linie Schadensprävention, können doch damit durch Rechtsverstösse verursachte Kosten vermieden werden. Compliance hilft aber auch dabei, die Prozesse im Unternehmen zu verbessern sowie die Beständigkeit des Geschäftsmodells zu gewährleisten und kann damit auch zu Wettbewerbsvorteilen führen.