17.10.2011
[] Zum 1. Juli 2011 ist der UK Bribery Act 2010 („Bribery Act"), das wohl schärfste Antikorruptionsgesetz der Welt, in Kraft getreten. Aufgrund des weiten exterritorialen Anwendungsbereichs des Bribery Acts sind auch deutsche Unternehmen aufgefordert, ihr Compliance-Management zu überprüfen und gegebenenfalls an die Anforderungen des Bribery Acts anzupassen.
Der Bribery Act enthält Regelungen zur Haftung von natürlichen Personen und einen gesonderten Haftungstatbestand für Unternehmen. Nach dem Bribery Act kann ein Unternehmen mit einer Geldbuße in unbegrenzter Höhe belegt werden, wenn es eine aktive Bestechung einer mit ihr assoziierten Person (associated person) nicht verhindert hat. Der Begriff der assoziierten Person wird sehr weit ausgelegt und beschränkt sich nicht nur auf Mitarbeiter des Unternehmens. Grundsätzlich kann jede natürliche oder juristische Person, die Dienste für oder im Namen des Unternehmens erbringt, zum Kreis der assoziierten Personen gehören. Für eine Haftung ist es ausreichend, wenn das Unternehmen zumindest auch eine geschäftliche Beziehung zu Großbritannien hat. Nach dem Wortlaut des Bribery Acts ist es dagegen nicht erforderlich, dass die Bestechung selbst einen Bezug zu Großbritannien aufweist.
Als einzige Entlastungsmöglichkeit für das Unternehmen sieht der Bribery Act vor, dass das Unternehmen angemessene Maßnahmen („adequate procedures") zur Korruptionsprävention getroffen hat. Das Unternehmen muss nachweisen, dass es sich bei dem Bestechungsfall um einen Ausreißer handelt, der trotz eines angemessenen und effektiven Compliance-Managements im Unternehmen nicht verhindert werden konnte. Aus diesem Anlass soll kurz erörtert werden, was sich hinter dem Begriff Compliance verbirgt, wen sie betrifft und welche grundsätzlichen Schritte zur Errichtung eines effektiven Compliance-Managements erforderlich sind.
Was ist Compliance?
Der Begriff Compliance wurde aus der angelsächsischen Rechtsterminologie in das deutsche Wirtschaftsrecht übernommen. Compliance bedeutet nicht mehr und nicht weniger als die Einhaltung von gesetzlichen Pflichten (Zivilrecht, Strafrecht, Öffentliches Recht), vertraglichen Pflichten (sämtliche Verträge mit Dritten, Gesellschaftsverträge) und unternehmensinternen Richtlinien. Unter dem Schlagwort Compliance wird im Schwerpunkt die Frage diskutiert, wie die Einhaltung dieser Regelungen im Unternehmen in angemessener und effektiver Weise sichergestellt werden kann.
Compliance betrifft somit nicht nur Fälle von Korruption. Neben dem Korruptionsrecht spielt das Kartellrecht aufgrund der hohen Strafen für die Unternehmen eine herausgehobene Rolle in der Compliance Diskussion. So haben beispielsweise die Europäische Kommission und das Bundeskartellamt allein im Jahr 2010 wegen Kartellrechtsverstößen Bußgelder gegen Unternehmen in Höhe von EUR 3 Mrd. bzw. EUR 265 Mio. verhängt. Aber auch in anderen Bereichen wie zum Beispiel IT-Sicherheit/ Datenschutz, Arbeitsrecht, Insolvenzrecht, Gesellschaftsrecht und Steuerrecht können Rechtsverstöße zu enormen Schäden für das Unternehmen und die Mitarbeiter führen. Hinzu kommen je nach Tätigkeitsgebiet des Unternehmens Bereiche wie Börsen- und Kapitalmarktrecht, Produkthaftung, Lebensmittel- oder Medizinrecht.
Compliance erfüllt keinen Selbstzweck, sondern dient der Vermeidung von Schäden für das Unternehmen und seine Mitarbeiter.
Wen betrifft Compliance?
Compliance betrifft nicht nur Konzerne und börsennotierte Unternehmen, sondern sämtliche Teilnehmer am Wirtschaftsverkehr und somit auch den Mittelstand, kleine Unternehmen und Unternehmen der öffentlichen Hand. In Deutschland gibt es keine gesonderte ausdrückliche gesetzliche Verpflichtung für ein Unternehmen, ein Compliance-Management einzurichten. Aufgrund der hohen – teilweise existenzgefährdenden – Sanktionen von Rechtsverstößen, kann es sich jedoch kein Unternehmen leisten, gänzlich auf ein Compliance-Management zu verzichten. Konzerne und Großunternehmen haben nicht nur eigene Compliance-Standards entwickelt, sondern prüfen auch die Compliance-Standards ihrer Vertragspartner (z. B. von Zulieferunternehmen). Dies wird sich durch den Bribery Act und die weitgehende Haftung für assoziierte Personen noch verstärken.
Was ist zu tun?
Der erste und entscheidende Schritt Schäden wegen Compliance-Verstößen zu vermeiden, ist die Identifikation und Bewertung der wesentlichen Risiken für das Unternehmen und die Mitarbeiter. Bei der Risikoanalyse sind die Risiken in Bezug auf ihre Eintrittswahrscheinlichkeit und ihre möglichen Folgen zu bewerten. Im Zusammenspiel mit der Identifizierung der Risiken sind die Ziele des Compliance-Managements festzulegen. Die Risikoanalyse sollte unter Einbeziehung von Experten aus den jeweiligen Rechtsgebieten erfolgen. Für die Identifizierung und Bewertung von Risiken ist es meist zweckmäßig, Mitarbeiterbefragungen und/oder unternehmensinterne Audits durchzuführen.
In einem zweiten Schritt sind anhand der ermittelten Risiken und festgelegten Compliance-Ziele eine effiziente Compliance-Organisation und ein Compliance-Programm zu erstellen und zu implementieren. Das Programm und die Organisation sind auf die individuellen Risiken und Ziele des Unternehmens zuzuschneiden und können auf bestimmte Rechtsgebiete, Länder oder Betriebseinheiten (z.B. Einkauf oder Vertrieb) fokussiert werden.
Eine für alle Unternehmen passende Compliance-Organisation gibt es nicht. Jedoch sind bestimmte Grundelemente für den Erfolg eines jeden Compliance-Managements unverzichtbar: Entscheidend für die Wirksamkeit eines Compliance-Managements ist die Compliance-Kultur in einem Unternehmen. Der wesentliche Einflussfaktor ist hier die Grundeinstellung und die Verhaltensweisen des Managements („Tone from the Top"). Wesentlicher Bestandteil eines Compliance-Management-Systems ist ferner eine effektive Kommunikation. Die Mitarbeiter müssen über die Risiken von Verstößen und über das Compliance-Management-System informiert sein sowie die Verantwortlichkeiten kennen. Mit welchen Mitteln (Mitarbeiterschulungen, Online-Trainingsprogramme, Leitfäden etc.) die Informationsvermittlung am effizientesten erfolgt, ist vom Einzelfall abhängig. Ferner müssen die Berichtswege für Compliance-Risiken und für Hinweise auf Regelverstöße festgelegt werden. Jedenfalls bei größeren Unternehmen gehört die Einrichtung einer Whistleblower-Hotline als Kommunikationsweg zur Standardeinrichtung eines effektiven Compliance-Managements. Die Grundprinzipien eines Compliance-Managements sind in einer Vielzahl von Publikationen erörtert und beschrieben. Hier soll lediglich auf den im April 2011 veröffentlichten Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW) zur Überprüfung von Compliance-Management-Systemen (IDW PS 980) und auf die Leitlinien des englischen Justizministeriums zum Bribery Act (abrufbar unter: www.justice.gov.uk/ guidance/docs/bribery-act-2010-guidance.pdf) verwiesen werden.
Schließlich ist in einem dritten Schritt das Compliance-Management zu überwachen und laufend auf Angemessenheit und Wirksamkeit zu überprüfen. Voraussetzung hierfür ist eine ausreichende Dokumentation sowie die Berichterstattung von Schwachstellen und Verstößen. Das Management des Unternehmens trägt die Verantwortung für die Compliance-Überwachung und die ständige Verbesserung des Compliance-Managements.
Fazit
Compliance ist keine Modeerscheinung. Ein effizientes Compliance-Management führt zur Risikominimierung und kann dazu beitragen, erhebliche Schäden von dem Unternehmen und seinen Mitarbeiter abzuwenden. Der wesentliche Schritt zu Einführung eines effektiven Compliance-Managements ist die Identifizierung und Bewertung der Risiken.
Der Bribery Act wird die Tendenz verstärken, dass internationale Unternehmen von ihren Geschäftspartnern den Nachweis über Compliance Maßnahmen in deren Unternehmen verlangen. Ein Compliance-Management dient daher nicht nur zur Verhinderung von Risiken, sondern es kann auch als Marketing Instrument eingesetzt werden.
