Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 HandelsblattJournal
3MEINUNGSBILD
Kultur- und wertebasierte Compliance durch Standards und Normierung – ein Widerspruch?Ein Plädoyer für den individuellen Weg
von Ulrich Rothfuchs
In Deutschland kann glücklicherweise (noch) jedes Unternehmen individuell selbst ent-scheiden, welche organisatorischen Maßnah-
men es für angemessen erachtet, um Compli-ance-Verstöße zu vermeiden. In Anbetracht der gerade wieder einmal besonders festzustellenden Motivation des Gesetzgebers, aktiv in die Organi-sation von Unternehmen einzugreifen, ist das für die unternehmerische Freiheit eigentlich ein pa-radiesischer Zustand.
Auch die Diskussion über ein Verbandsstrafrecht ändert daran nichts. Nach der aktuellen Ent-wurfsfassung soll es keine Vorgaben zu bestimm-ten Organisationsmaßnahmen geben. Vor diesem Hintergrund ist es schwer verständlich, mit wel-cher Dynamik sich Unternehmensjuristen, Com-pliance-Verantwortliche, Berater und neuerdings auch untereinander konkurrierende Berufsver-bände und Lehrstühle daranmachen, Standards und Best-Practice-Modelle für Compliance-Ma-nagement-Systeme zu entwickeln.
Auf Branchentreffs wird keine Gelegenheit aus-gelassen, Vorschläge zu Inhalten repressiver Un-ternehmensrichtlinien und Kontrollprozesse zu diskutieren. Dabei werden alle Bereiche unter-nehmerischen Handelns von der Annahme ei-
ner Tasse Kaffee beim Vertriebsgespräch bis hin zur Transaktionsabwicklung auf den Caymans einbezogen.
Austausch unter Kollegen kann eine gute Sache sein. Wenn sich jedoch aus dem Austausch Stan-dards oder Best-Practice-Modelle entwickeln, kommt kein Unternehmer im Rahmen seiner Or-ganisationspflicht mehr daran vorbei.
So hätten dann Unternehmensvertreter der eige-nen unternehmerischen Freiheit beim Umgang mit Compliance einen Bärendienst erwiesen.
Der Bundesverband der Unternehmensjuristen BUJ geht noch einen Schritt weiter, indem er dazu auffordert, die Grundelemente eines Compliance-Management-Systems gesetzlich zu definieren. Wie ist dieser Hang zu Standards und Reglemen-tierung zu erklären?
Skandal als Triebfeder einer StandardisierungIn Deutschland brachte der Siemens Skandal ab 2006 richtig Dynamik in die Entwicklung der Compliance Diskussion und das nicht nur inner-halb der eigenen Unternehmensgrenzen. Auf-grund veränderter Verfolgungspraxis der Staats-anwaltschaften gerieten viele namhafte deutsche Unternehmen in den Sog von Ermittlungen. Die überzogenen organisatorischen Maßnahmen der
ums Überleben kämpfenden Siemens AG dienten anderen Unternehmen als eine Art Masterplan. So schossen innerhalb kurzer Zeit Compliance-Organisationen in der deutschen Industrieland-schaft wie Pilze aus dem Boden. Viele Unter-nehmen haben dabei mit völlig unangebrachter Personalausstattung und einer Flut von kleintei-ligen und unsinnigen Regelwerken das vernünfti-ge Maß verloren. Es ist nicht verwunderlich, dass Kritiker von „schwarzen Löchern“ in den Unter-nehmensorganisationen sprachen.
Eines ist all diesen Unternehmen gemeinsam: Sie haben unter dem Druck von außen einen Pro-zess der Krisenbewältigung eingeleitet und kom-munizieren ihre weitreichenden und mit großem Finanzaufwand eingeführten Organisations-maßnahmen nach außen hin als eine Standard setzende Leistung.
Aber kann es richtig und vernünftig sein, dass die Resozialisierungsmaßnahmen unter Beobach-tung stehender Unternehmen zum Modell für die ganze deutsche Wirtschaft gemacht werden?
Compliance Beratung als lukrativer WirtschaftszweigAuf diesen Zug springen viele am Markt tätige Be-ratungsfirmen auf. Wesentliche Grundlage für de-ren Beratungsleistungen sind auch hier wieder
„ Compliance kann nur
dann effektiv sein, wenn sie
in die eigene, individuelle
Unternehmenskultur
eingebunden ist.“
Ulrich Rothfuchs, General Counsel & Chief Compliance Officer, DEKRA SE
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015HandelsblattJournal
MEINUNGSBILD4
Standards und vermeintlich in der Wirtschaft feststellbare Best-Practice-Ansätze. Schaut man ins Impressum einiger dieser Firmen, findet man die Kollegen aus den Skandalunternehmen der ersten Stunde wieder. Man sieht sich um, was in der Wirtschaft so gemacht wird und bastelt dar-aus ein Beratungskonzept.
Das jüngste Beispiel hat mit der Norm ISO19600 zu tun, die kein Standard ist, sondern lediglich eine Empfehlung. Sie gibt einen Überblick über all das, was für ein Management System nutzbrin-gend sein kann. ISO19600 ist eine Zusammenstel-lung verschiedener, allgemeiner Compliance An-sätze und Management Prinzipen, jedoch kein Leitfaden für eine vergleichbare Zertifizierung.
Man muss kein Prophet sein um vorauszusagen, dass Beratungsunternehmen dennoch versuchen werden, die ISO19600 als Blaupause für eine rechtssichere Compliance-Organisation mit straf- und zivilrechtlichen Privilegien zu verkaufen.
Dies entspricht vielleicht dem Interesse einiger verunsicherter Unternehmen oder auch dem von Kollegen, die unvorbereitet zum Compliance Verantwortlichen gemacht wurden und nun mit schablonenhaften juristischem Denken verzwei-felt nach der herrschenden Meinung suchen.
Ob jedoch mit einem solchen Baukastensys-tem Menschen nachhaltig zu integrem Verhalten motiviert werden können, halte ich für höchst zweifelhaft.
Der Königsweg lautet IndividualitätWeshalb sich Unternehmer in ihrer Entschei-dungsfreiheit durch Übernahme vermeintlicher Standards selbst beschränken sollen, ist insbe-sondere dann nicht nachvollziehbar, wenn man sich die eigentlichen Erfolgsgaranten von Compli-ance vor Augen führt. Compliance kann nur dann effektiv sein, wenn sie in die eigene, individuelle Unternehmenskultur eingebunden ist. Einen all-gemeingültigen Standard hierfür gibt es nicht.
Integrität ist eine Wertehaltung von Menschen und nicht von Organisationsmodellen. Die Ent-wicklung eines Compliance-Wertebewusstseins aller Mitarbeiter erfordert Zeit und Augenmaß. Standardisierte Prozessabläufe dürfen hierbei kein Selbstzweck sein. Compliance ist Führungs-aufgabe. Hierbei muss jedes Unternehmen sei-nen eigenen, individuellen Weg finden und kon-sequent gehen.
Umso kritischer ist deshalb der Versuch zu be-werten, zertifizierte Compliance-Management-Systeme als wesentliche Voraussetzung für eine Haftungsreduzierung bei der Bemessung von Sanktionen zu etablieren. Hierauf kann man mit den Worten des Philosophen Peter Sloter-dijk antworten: „Nur Individuen können weise sein, Organisationen sind im günstigsten Fall gut konzipiert.“
von Dr. Angela Spanaus
Das Wort „Whistleblower“ hätte auch zum „Wort des Jahres 2013“ erklärt werden können. Seine Verwendung in den Me-
dien stieg seit den Enthüllungen von Ed-ward Snowden rasant an. Zuvor war es nahezu unbekannt, zu-mal es zum englischen „Whist-leblower“ (abgeleitet von: „to blow the whistle“, „in die Pfeife blasen“) kein wirklich treffendes deut-sches Äquivalent gibt. Im Englischen hat „to blow the whistle“ die übertrage-ne Bedeutung: „Aufdecken von Fehlverhal-ten“. Im Deutschen kann man jemanden „ver-pfeifen“. Das ist allerdings im Gegensatz zum englischen Begriff vollkommen negativ be-setzt. Möchte man die eher positive Konnota-tion wiedergeben, wäre der „Whistleblower“ zu übersetzen mit: „Skandalaufdecker“ oder „Hinweisgeber“.
Der Whistleblower ist eine Person, die – allge-mein gesprochen – wichtige Informationen aus einem geheimen oder geschützten Zusammen-hang an die Öffentlichkeit bringt. Er handelt per definitionem uneigennützig; sein Anliegen ist, erkannte Missstände für die Allgemeinheit transparent zu machen. Er ist oft die einzige Quelle für Journalisten, die politische Affären oder Wirtschaftsskandale aufdecken wollen. Der Whistleblower als Informant muss für sich selbst eher mit negativen Auswirkungen rech-nen. Bei sehr brisanten Themen kann sogar sein Leben durch die Weitergabe der Informationen in Gefahr geraten.
Die Öffentlichkeit sieht den Whistleblower des-halb oftmals als Helden. Der demokratische
Rechtsstaat ist in der Tat darauf angewiesen, dass es Menschen gibt, die den Mut aufbringen, ihre Insiderkenntnisse über Missstände an die richtigen Adressaten weiterzugeben.
Diese positive Sicht bezieht sich aber meis-tens auf das „externe“ Whistleblowing. Ed-
ward Snowden, ehemalige technischer Mitarbeiter der US-amerikanischen Geheimdienste gilt NSA und CIA als schlimmer Nestbeschmutzer und Verräter. Für die Öffentlichkeit da-gegen ist er der mutige Held, der
die Existenz von Programmen ame-rikanischer und britischer Geheimdiens-
te öffentlich machte und so die Welt vor der To-talüberwachung des Internets bewahrte.
Für Compliance-Verantwortliche ist diese Art des externen Whistleblowings natürlich der Albtraum. Ihr Augenmerk richtet sich aber vor allem auf das „interne“ Whistleblowing“. Für Unternehmen werden interne Hinweisgeber immer wichtiger. Doch haben Mitarbeiter, die Missstände aufdecken, zumindest in Deutsch-land immer noch ein schlechtes Image. Das kann berechtigt sein, wenn ein Kollege nur des-halb verpfiffen wird, um einen Konkurrenten aus dem Rennen zu schlagen. Oder nur gezielt von eigenen Fehlern abgelenkt werden soll.
Aus rechtlicher Sicht sind die Motive ohnehin nicht entscheidend. Wichtig ist, dass der Mit-arbeiter sich mit seinen Hinweisen zunächst an seinen Arbeitgeber wendet und nicht vorei-lig zum externen Whistleblower wird. Denn es gehört zu den Treuepflichten eines Arbeitneh-mers, betriebsinterne Angelegenheiten nicht einfach publik zu machen. Der Arbeitgeber sei-nerseits sollte ein hohes Interesse daran haben, Hinweise von internen Whistleblowern zu be-kommen. Denn so lassen sich Missstände wie beispielsweise Betrug oder Korruption noch rechtzeitig abstellen, bevor vielleicht die Staats-anwaltschaft darauf aufmerksam wird. Es fehlt aber in vielen Unternehmen an Strukturen, um internes Whistleblowing einerseits zu fördern, andererseits aber auch in die richtigen Bahnen zu lenken.
Das Whistleblower-Netzwerk e. V. bietet Com-pliance-Praktikern Lösungsansätze, wie sie mit dem Thema Whistleblowing umgehen können und fordert überdies einen effektiven gesetzli-chen Schutz von Hinweisgebern in Deutschland (www.whistleblower-net.de).
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 HandelsblattJournal
Infobox
◾ Gemäß aktueller Rechtsprechung erfordert die Organisationspfl icht der Geschäftsleitung bei entsprechender Gefährdungslage die Einrichtung eines auf Schadensprävention und Risikokontrolle angelegten Compliance-Management-Systems (CMS).
◾ Die internationale ISO-Norm 19600 gibt Compliance-Verantwortlichen Empfehlungen zu der Einrichtung und kontinuierlichen Ver-besserung eines CMS.
◾ Mittelständische Unternehmen können insbe-sondere die zugrundeliegenden Grundsätze der Flexibilität und Verhältnismäßigkeit begrüßen.
5MITTELSTANDAdvertorial
ISO 19600: Maßgeschneiderte Compliance-Lösungen für den Mittelstand
www.kpmg.com
Jens Hartke,
Senior Manager,
Governance & Assurance
Services der KPMG AG
WPG in Hannover
Johanna Wedemeier,
Senior Associate,
Governance & Assurance
Services der KPMG AG
WPG in Hamburg
von Jens Hartke & Johanna Wedemeier
Im Dezember 2014 wurde die ISO-Norm 19600 zur Implementierung und kontinuierlichen Verbesserung wirksamer Compliance Manage-
ment Systeme (CMS) veröff entlicht. Die ISO-Norm richtet sich an alle Organisationsformen, unab-hängig von Größe oder Rechtsform. Sie defi niert kein zertifi zierbares Pfl ichtenheft mit Mindestan-forderungen, sondern stellt einen fl exiblen Leit-faden mit Empfehlungen zur Ausgestaltung eines CMS dar. Insbesondere der deutsche Mittelstand kann die zugrundeliegenden Grundsätze der Flexi bilität und Verhältnismäßigkeit begrüßen.
Mittelständische Unternehmen stehen zuneh-mend vor denselben Herausforderungen und Risikofeldern wie Großunternehmen. Ihre per-sonellen, organisatorischen und fi nanziellen Res-sourcen sind aber regelmäßig limitiert. Der Stan-dard berücksichtigt dies ausdrücklich, wenn er feststellt, dass Größe, Struktur, Natur und Kom-plexität der Organisation insbesondere bei der Festlegung des Compliance-Programms, der Zu-weisung der Compliance-Zuständigkeiten und Ressourcen sowie dem Umfang der Dokumenta-tion und Informationsbeschaff ung zu beachten sind. Mittelständler können so den Compliance-Anforderungen mit weniger stark formalisierten Organisations- und Kontrollstrukturen begegnen.
Durch die Integration des CMS in bereits vorhan-dene Governance-Strukturen kann die Imple-mentierung ressourcenschonend vollzogen und „Compliance-Bürokratie“ vermieden werden. Der ISO 19600 betont ausdrücklich die Rolle des
Leaderships bei der Schaff ung einer Compliance-Kultur, die wiederum entscheidend ist für ein wirksames Compliance Management. Mittelstän-dische Unternehmen mit einer inhabergeprägten Werte- und Führungskultur haben hier einen Vor-teil, den sie im Rahmen der CMS-Implementie-rung nutzen sollten. Wenn Unternehmensinhaber die Einhaltung von Gesetzen und internen Richt-linien erkennbar „leben“, erhöht dies die Akzep-tanz seitens der Mitarbeiter und die Wirksamkeit des CMS. Die Betonung von Flexibilität und Be-achtung gerade auch der Stärken von weniger komplexen Organisationen kann helfen, eine im Mittelstand oft vorhandene Skepsis gegenüber Überwachungs- und Informationssystemen sowie Formalisierungs- und Dokumentationspfl ichten zu überwinden.
Der Berufsstand der Wirtschaftsprüfer sieht in der neuen ISO-Norm eine Ergänzung ihres eige-nen anerkannten Prüfungsstandards IDW PS 980. Die ISO-Norm könnte als globaler Standard und Teil der etablierten ISO-Landschaft zu mehr Ein-heitlichkeit und Transparenz bei der globalen Compliance-Umsetzung beitragen. Ein Großteil mittelständischer Unternehmen ist internatio-nal tätig und wird mit immer komplexer werden-den Wertschöpfungsketten, steigender Regula-torik und Digitalisierung sowie Anforderungen von ausländischen Geschäftspartnern und Liefe-ranten konfrontiert. Ohne systematische Compli-ance-Maßnahmen kann es schwer fallen, alle re-levanten Gesetze und Regelungen vollumfänglich zu überblicken und nicht unwissentlich dagegen zu verstoßen. ISO 19600 kann hier gerade dem Mittelstand wertvolle Hinweise bieten.
Grundsätze eines CMS nach
ISO 19600:2014, Ziff .1
ISO 19600
GoodGovernance
Flexibilität Universalität
Verhältnis-mäßigkeit
Transparenz Nachhaltigkeit
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015HandelsblattJournal
MITTELSTANDAdvertorial
6
Compliance ist KommunikationMitarbeiter halten sich an Regeln, wenn sie diese nachvollziehen können. Dies wird nur durch gezielte Kommunikation erreicht.
von Stephanie Müller
DDarf ich meinen Geschäftspartner zum Mittagessen einladen oder bringe ich ihn damit in Verlegenheit oder gar Schwie-
rigkeiten? Was ist erlaubt und was „gehört“ sich heutzutage in unserer Geschäftswelt? Nicht nur korruptionsanfällige Berufsgruppen werden mitt-lerweile zu „Compliance-Themen“ informiert. Mitarbeiter aller Ebenen und Branchen sehen sich regelmäßig mit neuen Richtlinien zu ver-schiedenen Compliance-relevanten Themen kon-frontiert. Häufig sind sie verunsichert, weil nicht klar ist, was genau regelkonformes Verhalten ist und welche rechtlichen Konsequenzen zu be-fürchten sind.
Doch woher kommt diese Verunsicherung und geringe Akzeptanz der Mitarbeiter? Eine Ursache könnte in der Umsetzung und der Formulierung der Compliance-Maßnahmen liegen. Compli-ance ist traditionell Aufgabe der Unternehmens-juristen oder der Revisionsabteilungen. Die Ein-führung eines Compliance-Programms bedeutet jedoch immer auch eine Veränderung der Unter-nehmenskultur. Diese wird generell von der Un-ternehmensführung getragen. Die Steuerung der Kultur ist Aufgabe der Unternehmenskommuni-kation, weshalb diese Abteilung frühzeitig in die Umsetzung von Compliance-Projekten einbezo-gen werden muss. Häufig erfolgt dies allerdings gar nicht, zu spät oder nur unzureichend. Die Fol-ge: Notwendige Maßnahmen werden nicht sinn-voll und zielführend begleitet und umgesetzt.
Dabei fordert der Prüfungsstandard PS 980 des Instituts der deutschen Wirtschaftsprüfer (IDW), dass Mitarbeiter über das Compliance-Programm und Ihre Rolle und Verantwortlichkeiten infor-miert werden. Denn nur so können sie ihre Auf-gabe im Compliance-Management-System (CMS)
ausreichend verstehen und sachgerecht erfül-len. Auch die seit 2015 in Kraft getretene interna-tionale ISO Norm 19600 bestätigt, dass der „Tone from the top“ und angemessene Kommunikation ausschlaggebend sind für ein erfolgreiches Com-pliance-Management-System. Denn nur, wenn Mitarbeiter und Geschäftspartner über alle unter-nehmensinternen Regeln, Pflichten, Verantwort-lichkeiten, Rollen und Berichtswege der Compli-ance-Organisation informiert werden, können sie diese verstehen, unterstützen und einhalten. Erst dann werden Compliance-Grundsätze fester und selbstverständlicher Bestandteil der täglichen Ar-beit aller Arbeitnehmer.
Zielgruppen für Compliance-KommunikationMitarbeiter bilden die größte und wichtigs-te, aber auch eine sehr heterogene Zielgruppe für Compliance-Kommunikation. Heterogen al-lein schon aus dem Grund, dass einige Abteilun-gen, wie Vertrieb oder Einkauf, stärker von wirt-schaftskriminellen Handlungen betroffen sind, als beispielsweise die Produktion. Auch aus ande-ren Gründen, wie Ausstattung der Arbeitsplätze oder Standorten, ist bei der Ansprache der Mitar-beiter stark zu differenzieren: Wer muss zu wel-chem Thema und in welchem Umfang informiert werden? Welche Kanäle stehen zur Verfügung? Welche Maßnahmen werden zum Ziel führen?
Führungskräfte sind in zweierlei Hinsicht auf Compliance-Kommunikation angewiesen. Einer-seits müssen sie ihrer persönlichen Verantwor-tung gerecht werden und sich rechtskonform verhalten. Andererseits müssen sie mit ihren Mit-arbeitern in Dialog treten, ihre Aufgabe als Mul-tiplikatoren wahrnehmen und sie motivieren, Richtlinien ebenfalls zu befolgen.
Eine weitere wichtige Zielgruppe sind die Ge-schäftspartner, auch „Dritte“ genannt. Darunter fallen Partnerunternehmen, Zulieferer, Koope-rationspartner, Subunternehmer und freie Mit-arbeiter. Dritte sind wichtig für die Compliance-Strategie, weil ihr Fehlverhalten beispielsweise nach dem UK Bribery Act Haftungsrisiken mit sich bringt und sie darüber hinaus erheblichen Reputationsschaden anrichten können.
Auch die Öffentlichkeit hat Interesse an den Compliance-Aktivitäten eines Unternehmens. Be-sonders börsennotierten Unternehmen ist anzu-raten, ihren Investoren und Fremdkapitalgebern nachweisen zu können, dass sie Compliance- Maßnahmen eingeführt haben und diese nach-
Stephanie Müller,
Compliance Communication
Consultant bei der
digital spirit GmbH, Berlin
Über digital spirit
digital spirit ist im deutsch sprachigen Raum der führende Anbieter für Compliance-Training, -Be-ratung und -Kommunikation als Full-Service aus einer Hand. Unter der Marke COMFORMIS un-terstützt digital spirit den deutschen Mittelstand beim Aufbau und Betrieb eines wirksamen Compliance-Mana gements. digital spirit mit Sitz in Berlin ist Teil der britischen Unternehmens-gruppe Idox plc.
www.compliance.idoxgroup.com
verfolgen. Auch Kunden des jeweiligen Unterneh-mens möchten ein „gutes Gefühl“ haben, wenn sie eine Geschäftsbeziehung eingehen.
Compliance-Kommunikation muss nicht nur ziel-gruppengerecht sein. Wichtig ist auch, welche In-halte wie kommuniziert werden, und dass vor allem Mitarbeiter über mindestens drei verschie-dene Kanäle mit dem Thema in Berührung kom-men. Ob ein Unternehmen noch ganz am Anfang eines Compliance-Programms steht oder bereits mittendrin ist – ein zielgruppenorientiertes, an-gemessenes Kommunikationskonzept sollte Com-pliance-Maßnahmen stets begleiten: Von Anfang an, konsequent und regelmäßig.
FazitKommunikation ist die Basis bei der Einführung, Vermittlung und Verankerung eines Compliance- Programms. Nicht nur direkte Kommunikations-maßnahmen, in Form von Mitarbeiterzeitung, Intranet oder Newsletter, sind hier maßgeb-lich. Auch eine positive (indirekte) Compliance-Kommunikation von Führungskräften und Com-pliance-Verantwortlichen an Mitarbeiter spielt eine übergeordnete Rolle. Nur so lassen sich Compliance-Werte in der Unternehmens kultur nachhaltig festigen. Deshalb ist es essentiell, Kom-munikations-Spezialisten von Anfang an in die Entwicklung eines neuen Compliance-Manage-ment-Systems mit einzubinden. Denn Compli-ance-Richtlinien müssen einfach, einheitlich und eingängig sein, damit sie verstanden und akzep-tiert werden.
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 HandelsblattJournal
7HAFTUNGAdvertorial
Totgesagte leben längerDie Auferstehung von Haftungsansprüchen gegen Manager in neuem Gewand
Dr. Hansjörg Scheel,
Partner Gleiss Lutz
Dr. Vera Rothenburg,
Partner Gleiss Lutz
Zur Person/Kanzlei
Dr. Hansjörg Scheel und Dr. Vera Rothenburg sind Partner im Stuttgarter Büro der Kanzlei Gleiss Lutz. Sie beraten im Gesellschaftsrecht/M&A und insbesondere auch bei Compliance-Fragen. Hier unter stützten sie vor allem bei der Durchführung von internen Ermittlungen und der Beratung von Vorstand und Aufsichtsrat zu ihren Pflichten.
Gleiss Lutz ist eine der anerkannt führenden, international tätigen Anwaltskanzleien Deutsch-lands. Als Full Service- Kanzlei berät Gleiss Lutz Mandate mit einem starken, fachgebietsüber-greifenden Compliance-Team.
von Dr. Hansjörg Scheel & Dr. Vera Rothenburg
Die Anforderungen an Vorstandsmitglieder und Geschäftsführer sind in den letzten Jahren ständig verschärft worden. Deshalb
steigt die Zahl der Fälle stark an, in denen Mana-ger auf Haftung in Anspruch genommen werden können. In solchen Fällen suchen die betroffenen Manager häufig nach Wegen, den Haftungsfall still und leise zu beerdigen. Häufig lebt die Haftung je-doch wieder auf – mit zusätzlichen Schäden und neuen Haftungsschuldnern.
Das Warten auf den Eintritt der Verjährung been-det die Haftungsdiskussion in der Mehrzahl der Fälle nicht: In Gesellschaften mit einem Aufsichts-rat stellt sich nach Eintritt der Verjährung regel-mäßig die Frage, ob nicht die Mitglieder dieses Organs für das Verjährenlassen der Ansprüche haften. Der (neue) Vorstand muss dann prüfen, ob der Aufsichtsrat pflichtwidrig handelte, als er die Haftungsansprüche gegen den (früheren) Vor-stand verjähren ließ.
In einem mehrstufigen Konzern können die Vor-standsmitglieder der Muttergesellschaft sogar verpflichtet sein, Haftungsansprüche gegen sich selbst als Geschäftsführer einer Tochtergesell-schaft geltend zu machen. Wer das Vermögen der Muttergesellschaft mittelbar schädigt, indem er zulässt, dass Ansprüche gegen das Manage-ment der Tochtergesellschaft verjähren, handelt pflichtwidrig.
Und selbst wenn niemand mehr in Anspruch ge-nommen werden kann – auch nicht wegen des Verjährenlassens eines Anspruchs – dürfen sich die aktuellen Manager nicht in falscher Sicher-heit wiegen. Denn ihre Aufarbeitungspflichten nach vergangenen Haftungsfällen sind nicht zu vernachlässigen. Es gilt der Grundsatz, dass man aus Fehlern der Vergangenheit lernen muss. Stel-len die aktuellen Geschäftsleiter beispielsweise fest, dass es in ihrem Unternehmen kein Compli-ance-System gab, das geeignet war, Straftaten zu verhindern, müssen sie unverzüglich ein solches System einrichten. Andernfalls begehen sie einen eigenständigen Pflichtverstoß, der eine Haftung begründen kann. Unerheblich ist, wie weit der ur-sprüngliche Haftungsfall zurück liegt und ob die damaligen Verantwortlichen noch im Amt sind.
Eine sekundäre Pflichtwidrigkeit, die nicht nur eine neue Verjährungsfrist in Gang setzt, son-dern den entstandenen Schaden weiter vergrö-
ne Haftungsansprüche gegen das Management bestehen. Begründet ein Gremium seine Ent-scheidung, keine Haftungsansprüche geltend zu machen, mit einem solchen Gutachten, droht den Mitgliedern des Gremiums eine eigene Haf-tung, wenn das Gutachten nicht den vom Bun-desgerichtshof aufgestellten hohen Anforderun-gen genügt. Der Haftungsfall kommt wieder zum Vorschein, wenn sich herausstellt, dass das Gut-achten nicht von einem unabhängigen Berater er-stellt wurde, die Auftraggeber den Sachverhalt falsch oder unvollständig mitgeteilt haben, oder sie das Gutachten keiner sorgfältigen Plausibili-tätskontrolle unterzogen haben.
Wer in Kenntnis des Haftungsfalls versucht, An-sprüche auf eine der dargestellten Arten zu beer-digen, sollte nicht nur wissen, dass er bis zu zehn Jahre länger in der zivilrechtlichen Haftung steht, sondern, dass auch Strafbarkeit droht (z.B. we-gen Untreue) und dass er bei diesen Pflichtwid-rigkeiten nicht durch die D&O-Versicherung ge-schützt wird. Wer heutzutage Haftungsansprüche ungeschickt vergräbt – sei es in falschen Jahresab-schlüssen, in Gefälligkeitsgutachten oder durch Verjährenlassen – schaufelt eine Grube, die für ihn selbst noch viele Jahre lang strafrechtlich, haf-tungsmäßig oder karrierebezogen zum Reinfall werden kann.
„ Das Warten auf den Eintritt
der Verjährung beendet die
Haftungsdiskussion in der
Mehrzahl der Fälle nicht.“
www.gleisslutz.com
ßert, begehen Manager auch, wenn sie einen Haf-tungsfall in der Bilanz kaschieren wollen. Werden beispielsweise Abschreibungen aus einem Fehlin-vestment unterlassen, ist der Haftungsfall nicht mit dem Verjährenlassen der ursprünglichen Pflichtwidrigkeit erledigt, sondern besteht in Ge-stalt eines Anspruchs wegen falscher Jahresab-schlüsse in neuem Gewand fort. Er kann sogar Jahre später noch einmal – wiederum in neuem Gewand – aufleben und dem aktuellen Manage-ment zum Verhängnis werden. Denn sobald am-tierende Geschäftsleiter Bilanzierungsfehler in Jahresabschlüssen früherer Jahre erkennen, müs-sen sie handeln. Um eine eigene Haftung zu ver-meiden, können sie verpflichtet sein, den Jah-resabschluss zu berichtigen oder bei besonders schweren Fehlern gar neu aufzustellen.
Ein beliebtes Mittel, um Haftungsprobleme „un-ter den Teppich zu kehren“, sind auch (Gefäl-ligkeits-)Gutachten, die bescheinigen, dass kei-
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015HandelsblattJournal
CYBER SPIONAGE8
Wirtschaftsspionage als Bedrohung für Unternehmen mit innovativem Know-howEin Interview mit Michael George, Leiter Cyber-Allianz-Zentrum, Bayerisches Landesamt für Verfassungsschutz
Herr George, ist aus Ihrer Sicht Wirtschaftsspiona-ge ein ernstzunehmendes Problem in erster Linie für die Großunternehmen oder betrifft es auch klei-nere Firmen?
Die Bedrohungslage gilt für große wie für kleine Unternehmen gleichermaßen – entscheidend ist nicht die Firmengröße oder -struktur, sondern ob innovatives Know-how vorhanden ist, speziell im Hochtechnologie-Bereich. Branchen wie Anlagen-bau, Automotive, Chemie, Luft-und Raumfahrt, Bio-Tech, IT, und viele andere, in denen Deutsch-land international führend ist, sind für Angreifer von Interesse. Jedes Unternehmen, das einen ei-genen Forschungs- und Entwicklungsbereich hat – und sei es noch so klein – ist ein lohnenswertes Ziel und daher potentielles Opfer.
Erschwerend für die kleinen und mittleren Unter-nehmen kommt hinzu, dass sie weder finanziell noch personell in der Lage sind, sich eigene Si-cherheitsabteilungen leisten zu können. Oft be-steht auch noch die irrige Meinung: „Wir sind nur ein kleiner Zulieferer – wer soll sich denn für uns interessieren?“. Aber genau hier, bei den weni-ger gesicherten und weniger aufmerksamen Un-ternehmen, kann der Angreifer eine wichtige Lü-cke finden.
Welche Schutzmaßnahmen empfehlen Sie Unter-nehmen?
Wir raten Unternehmen zu gezielten Maßnahmen wie beispielsweise Verschlüsselung, Netzwerk-segmentierung, Awareness-Schulungen für Mit-arbeiter und dazu, bereits bei der Produktaus-wahl Sicherheitsthemen zu berücksichtigen. Dies erfordert jedoch seitens der Unternehmen ein ganzheitliches Schutzkonzept, dessen Grundlage die Klassifizierung der Betriebsinformationen ist. Wenn anhand der Klassifizierung die Schutzwür-digkeit festgelegt ist, müssen die entsprechenden Schutzmaßnahmen und organisatorischen Rege-lungen darauf abgestimmt werden.
Wenn z.B. die IT-Abteilung nicht weiß, welche Da-ten kritisch sind, kann sie diese auch nicht gezielt schützen. Das gleiche gilt natürlich für Mitarbei-ter – denen aus unserer Sicht die wichtigste Rol-le beim Thema „Know-how-Schutz im Unterneh-men“ zukommt.
In unseren Gesprächen mit Unternehmen stel-len wir immer noch häufig fest, dass der Bereich
Know-how-Schutz mit „IT-Sicherheit“ abgedeckt werden soll – doch dies reicht bei weitem nicht aus und ist aus unserer Sicht falsch adressiert, da ein ganzheitliches Sicherheitskonzept mehr um-fasst und Regelungen/Entscheidungen getroffen werden müssen, deren Verantwortung auf Ge-schäftsführungsebene liegen sollte.
Hat die digitale Bedrohung für Unternehmen gene-rell zugenommen?
Ja – erstens durch die Anzahl und zweitens auf-grund der Qualität der Angriffe. Diese sind be-sonders erfolgreich je zielgerichteter sie ausge-übt werden. Dabei lassen sich Angreifer immer neue Wege und Methoden einfallen, um an die gewünschten Informationen heran zu kommen. Derzeit wird beispielsweise eine Methode beob-achtet, die ihre Anlehnung im Tierreich findet: die sogenannte Watering-Hole-Attacke. Dabei geht der Angreifer von der Annahme aus, dass es bestimmte Webseiten oder Systeme gibt, die das Opfer mit sehr hoher Wahrscheinlichkeit früher oder später aufsuchen muss. Dem Gedanken fol-gend, greift man also das Opfer nicht direkt an, sondern infiziert das „Wasserloch“.
Daneben ist die Spear-Phishing-Email weiterhin eine bevorzugte Technik. Mittels geschickter Soci-al-Engineering-Taktiken wird versucht, den Emp-fänger der gefälschten Email zu einer Aktion, wie etwa das Öffnen eines Dateianhanges oder der Besuch einer präparierten Webseite, zu bewe-gen, mit dem Ziel, den internen Rechner des Op-fers mit einer Schadsoftware zu infizieren. Spear-Phishing ist häufig Teil eines gezielten, komplexen
Michael George,
Leiter Cyber-Allianz-Zentrum,
Bayerisches Landesamt für Verfassungsschutz
„ Die Bedrohungslage
gilt für große wie für
kleine Unternehmen
gleichermaßen –
entscheidend ist […] ob
innovatives Know-how
vorhanden ist.“
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 HandelsblattJournal
9CYBER SPIONAGE
und nachhaltigen Angriffsversuchs auf Unterneh-men, sogenannter Advanced Persistent Threat (APT). Ziel dieser Angriffe ist der Zugang zum in-ternen Rechnernetz eines Unternehmens oder ei-ner Behörde, um dort an vertrauliche Informatio-nen zu gelangen.
Häufig ermöglichen unentdeckte Sicherheits-lücken in Netzwerkprodukten den Angreifern Zu-gang ins Netzwerk – wie Meldungen aus den letz-ten Wochen bestätigen. So sind schwerwiegende Schwachstellen u.a. bei Modellen der Firmen AVM, Linksys und Netgear durch Pressemitteilun-gen bekannt geworden.
Können Sie kurz schildern, wie es zur Gründung des Cyber-Allianz-Zentrums kam und was Sie Unterneh-men anbieten können?
Die Gründung des Cyber-Allianz-Zentrums im Juli 2013 resultiert aus den Erfahrungswerten unserer Arbeit im Wirtschaftsschutz. Zum einen bemer-ken wir seit einigen Jahren, dass es immer mehr elektronische Angriffe auf bayerische Unterneh-men gibt. Zum anderen wissen wir nicht genau, was dort im Detail passiert. Darüber hinaus äu-ßern sich Firmen nur zögernd aus Angst vor Re-putationsverlust, sollten solche Vorkommnisse öffentlich werden.
Wir sind daher an die Unternehmen herangetre-ten und haben nach konkreten Bedürfnissen und Wünschen gefragt. Dabei kam heraus, dass sie sich sehr wohl einen staatlichen Ansprechpart-ner wünschen, aber Vertraulichkeit höchste Pri-orität besitzt. Die können wir bieten, weil wir beim Verdacht auf Straftaten nur in Ausnahme-fällen die Strafverfolgungsbehörden informieren müssen. Das nennt man im Fachjargon „Opportu-nitätsprinzip“. Uns geht es in erster Linie um Er-kenntnisgewinn. Die Vertraulichkeit des Sachver-halts bleibt somit gewahrt, das Heft des Handelns in der Hand des Unternehmens.
Zum anderen ist es den Unternehmen wich-tig, einen konkreten Nutzen daraus zu ziehen, wenn sie einen Vorfall bei uns melden. Daher werden gemeldete Sachverhalte erst analysiert und bewertet sowie das Ergebnis und mögliche Empfehlungen an das betroffene Unternehmen zurückgegeben. Danach werden Erkenntnisse an-onymisiert und an andere Unternehmen weiter-gegeben, damit diese prüfen können, ob sie auch angegriffen wurden.
HandelsblattJournal Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015
PRODUCT COMPLIANCE10
von Prof. Dr. Thomas Klindt
Es war eine schöne Vertriebsidee: Ein per Fernsteuerung bedienbarer Milchaufschäu-mer, bei dem der Aufschäumbecher zu-
gleich als Trinkbecher serviert werden konnte. Das Ganze in knalligen Farben, b2b-freundlichen Messstrichen und haptisch in der 3-D-Gestalt ei-nes japanischen Manga-Comicgirls.
Gesagt, getan: In großer Stückzahl geordert, in Fernost gefertigt und über Rotterdam einge-schifft, beginnt ein stationärer wie online-Han-del, der mit Twitter-Kampagnen guerillaartig un-terstützt wurde. Der Absatz im EU-Raum boomt; längst werden nach und nach außereuropäische Staaten erobert und beliefert, von Israel über Südafrika und Japan bis zu Lateinamerika. Dann aber passieren seltsame Dinge: Diverse Markt-überwachungsbehörden aus dem EU-Raum mel-den sich mit amtlichen Monierungen: Eine irische Verbraucherschutzbehörde bemängelt die Gif-tigkeit und mangelnde Lebensmittelechtheit der knallbunten Farben, die ja immerhin mit den Lip-pen in Berührung kommen. Eine slowakische Be-hörde hat die elektromagnetische Verträglichkeit des Stromfelds am Gerät gemessen und rügt nun Verstöße gegen die europäische EMV-Vorschrift. Eine spanische Behörde wiederum hält die Manga- Figur aufgrund ihrer gesamten Anmutung für ein Kinderspielzeug, vermisst eine CE-Kenn-zeichnung und hält das ganze spielzeugrechtlich für gefährlich. Ein österreichisches Eichamt rüg-te die fehlende eichrechtliche Maßsicherheit der Messstriche. Und als schließlich auch noch eine südafrikanische Netzbehörde die fehlende funk-rechtliche Zulassung der Fernbedienung rügt, ist der Geschäftsführung klar, dass irgendetwas ganz fürchterlich schief gelaufen ist. Aus dem ver-meintlichen Power Seller ist ein Problemkind ge-worden; die verführerischen Gewinnmargen sind von Rechtsstreitigkeiten mit Behörden, Verbrau-cherschutzorganisationen und Produktrückrufen aufgefressen. Händler listen wieder aus, Wettbe-werber mahnen ab. Zu nah an die Sonne gekom-men und schnell verglüht.
Vorschriften sollen echte Produkt sicherheit gewährleistenDiese Sonne heißt: Product Compliance. Viel zu oft übersehen exportorientierte Unternehmen, dass Produkte im In- wie Ausland nur dann er-folgreich vertrieben werden können, wenn sie
die im In- wie Ausland geltenden Produktgeset-ze einhalten. Und davon gibt es sehr viele; nur ei-nes nicht zu kennen, kann für eine Amtsinterven-tion schon ausreichen. Ganz vorrangig handelt es sich um Vorschriften, die der Benutzersicher-heit dienen, also echte Produktsicherheit gewähr-leisten. Dies können humantoxische Gefährdun-gen sein, mechanische Risiken des Produkts, die Verwendung nicht zugelassener Inhaltsstoffe, Stromschlagrisiken oder mangelnde Bedienungs-hinweise. Es können aber auch Produktvorschrif-ten sein, die mehr dem medialen Umweltschutz im Lebenszyklus dienen, indem bestimmte Pro-duktelemente gar nicht mehr verwendet werden sollen. Dies kann Fragen bestimmter Stoffsubs-tanzen ebenso wie das Batterierecht, Elektronik-schrott-Vorschriften oder den Gentechnikeinsatz bei Lebensmitteln betreffen. Aber auch an ganz anderer Stelle kann der Gesetzgeber Anlass ge-sehen haben, für Produkte bestimmte Vorga-ben zu machen. Unser Beispiel zeigt, dass etwa im EMV-Bereich gesetzliche Vorgaben zwingend sind; genauso gilt dies für funk- und telekommu-nikationstechnische Gerätschaften. Das Eichrecht schließlich wird gerne komplett unterschätzt. Und als nächste gesetzliche Regelungsfamilie zei-gen sich am Horizont schon Vorschriften zur Bar-rierefreiheit und zum altersgerechten Benutzen von Produkten.
Man bedenke: In der EU sind diese Vorschrif-ten wenigstens noch harmonisiert und damit für über 30 Staaten einheitlich synchronisiert. Ver-lässt man im Vertrieb indes die EU, gilt es sofort, von Land zu Land, von Vertriebsregion zu Ver-triebsregion zu ermitteln, welche gesetzlichen Vorschriften zwingend für die Produkte gelten. Verfehlt man sie, erzeugt man „nicht-legale“ Pro-dukte. Und das wird nicht gutgehen.
Product Compliance –Eine internationale Industrie herausforderung
Rechtsanwalt Prof. Dr. Thomas Klindt
ist Partner der Kanzlei Noerr LLP
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 HandelsblattJournal
11INTERVIEW
Wirkungsvolle Compliance im Einkauf als Wettbewerbsvorteil im MittelstandEin Interview mit Güray Karaca, Kerkhoff Risk and Compliance GmbH
Güray Karaca, Geschäftsführer/Managing Director,
Kerkhoff Risk and Compliance GmbH
Einkauf und Beschaffung sind in besonderer Weise von haftungs- und kartellrechtlichen Risiken betrof-fen. Wo lauern die größten Gefahren und wie kann man effektiv vorbeugen?
GüK: Laut einer Studie zur Wirtschaftskriminali-tät aus dem Jahr 2013 werden 50 % der strafbaren Handlungen in einem Unternehmen im Bereich des Einkaufs bzw. der Materialwirtschaft ver-übt. Da sprichwörtlich der „Gewinn im Einkauf“ liegt, geht das größte Gefahrenpotential von den eigenen Mitarbeitern im Unternehmen aus. Bei-spielsweise, wenn ein Einkäufer mit Lieferanten oder anderen Marktteilnehmern Preisabsprachen trifft, um sich damit einen persönlichen Vorteil zu verschaffen.
Gerade im Mittelstand ist das interne Kontroll-system (IKS) oftmals noch mangelhaft oder nicht hinreichend ausgeprägt. Die Erkenntnis für die Notwendigkeit eines Compliance Management Systems (CMS) ist bei kleineren und mittleren Un-ternehmen noch nicht durchgängig vorhanden, obwohl diese Unternehmen mindestens genauso betroffen sind wie große Konzerne.
Mit einem auf das jeweilige Geschäftsmodell an-gepassten CMS bzw. IKS lassen sich geeignete Vor-kehrungen treffen, um das Haftungsrisiko der Ge-schäftsführer und Vorstände sowie finanziellen Schaden für das Unternehmen erheblich zu redu-zieren. Nicht zu unterschätzen ist auch der Repu-tationsschaden, den ein Unternehmen durch ein in der Öffentlichkeit kommentiertes Verfahren er-leiden kann.
Was muss im Zusammenspiel von Einkäufer und Lieferant beachtet werden?
GüK: Wenn der Einkäufer mit dem Lieferanten beispielsweise über eine neue Lieferbeziehung spricht, ist es ratsam, den Lieferantenauswahl-prozess an nachvollziehbare und objektive Krite-rien zu knüpfen.
Ein Einkäufer sollte auch niemals allein eine Liefe-rantenauswahl bzw. Vergabeentscheidung treffen dürfen. Hier können ein 4-Augenprinzip, verbun-den mit einer unternehmensweit gültigen Unter-schriftenrichtlinie sowie die gelebte Funktionen-trennung helfen, Risiken im Beschaffungsprozess zu minimieren. Ferner müssen alle wesentlichen Teilprozesse im Beschaffungsprozess, z.B. bei der
Beauftragung eines Lieferanten vollständig, hin-reichend und nachvollziehbar dokumentiert sein.
Ein weiteres hilfreiches Mittel, um keine Abhän-gigkeiten zwischen Einkäufer und Lieferant ent-stehen zu lassen, ist „Jobrotation“. Dies bringt zwar anfangs Mehrarbeit mit sich, da sich der Mitarbeiter immer wieder in neue Arbeitsgebiete einarbeiten muss, erhöht jedoch seine Flexibilität und dessen Motivation durch „Job Enrichment“.
Sie sprechen von einem Wettbewerbsvorteil durch wirkungsvolle Compliance – können Sie das näher erläutern?
GüK: Unternehmen, die Compliance als eine vor-übergehende Modeerscheinung betrachten, wer-den eine böse Überraschung erleben. Compliance wird immer stärker in den Fokus der Kunden rü-cken, ähnlich wie beim CO2 Ausstoß in der Au-tomobilindustrie oder einem ökologisch nach-haltigen Footprint. Diese Faktoren werden in der Kaufentscheidung bewusst sowie unterbewusst eine wichtige Rolle spielen.
Wer will schon bewusst ein Markenhemd für 150 Euro kaufen, welches in Südostasien unter jegli-cher Nichteinhaltung von Arbeitsschutzvorschrif-ten hergestellt und auch noch von Kindern genäht wurde?
Diejenigen Unternehmen, welche aktiv in ihrer Supply Chain auf ihre Lieferanten eingehen und diese hinsichtlich Compliance mit einbeziehen, werden sich einen Wettbewerbsvorteil verschaf-fen. Wer proaktiv und fürsorglich mit den natür-
lichen und menschlichen Ressourcen umgeht, wird vom Markt belohnt werden.
Weiterhin ist zu bedenken, dass Unternehmen, welche bereits einmal auffällig geworden sind, z.B. wegen kartellrechtlicher oder anderer Com-pliance-Verstöße, von öffentlichen Ausschrei-bungen ausgeschlossen werden können. Andere Marktteilnehmer und das eigene Unternehmen verlieren Marktanteile.
Ich bin davon überzeugt, dass diejenigen Unter-nehmen, welche Compliance als Unternehmens-wert definieren und fest in ihrer Unternehmens-kultur verankern, gegenüber Wettbewerbern einen entscheidenden Vorteil erlangen. Und wer glaubt, Compliance sei teuer, der sollte einmal kritisch untersuchen, was seine aktuelle „Non-Compliance“ kostet.
Wie sollten Einkauf und Beschaffung mit dem Com-pliance Officer zusammenarbeiten?
GüK: Respektvoll und partnerschaftlich! Hier geht es nicht darum, gegeneinander zu arbeiten, son-dern miteinander. Beide Seiten sollten offen sein, sich respektieren und versuchen, gemeinsam das Beste für das Unternehmen hinsichtlich des Risi-komanagements zu erzielen.
Sobald einzelne Bereichsziele im übergeordneten Unternehmensziel integriert werden, kann eine Vertrauenskultur entstehen, welche erforderlich ist, um zielorientiert und erfolgreich zusammen zu arbeiten.
Wo liegt der “Return on Compliance”?
GüK: Erstens in einem deutlich verminderten Haf-tungsrisiko des Unternehmens sowie des Top Ma-nagements. Zweitens in der Vermeidung von Kos-ten für Bußgelder, Schadensersatzansprüche, Umsatzeinbußen oder schlechtere Konditionen. Und drittens in der Vermeidung von Reputations-schaden durch Negativschlagzeilen oder Verlust von Kunden und Partnern.
www.kerkhoff-rc.com
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015HandelsblattJournal
RISIKOANALYSE12
Compliance geht auch effizientMit dem „Smart Risk Assessment“ Unternehmensrisiken adressieren
von Dr. Florian Stork & Dr. Maik Ebersoll
Compliance muss effektiv sein: Der Erfolg eines Compliance-Management-Systems (CMS) beurteilt sich nicht zuletzt am Aus-
bleiben systematischer Regelverletzungen. Ins-besondere in größeren Unternehmen hat Com-pliance jedoch bereits seine Pionierphase hinter sich gelassen und muss sich mehr und mehr auch ökonomisch rechtfertigen. Compliance muss da-her auch effizient sein.
Dabei kommt der Compliance-Risikoanalyse, be-stehend aus Risikodefinition, -identifikation und -bewertung, eine überragende Bedeutung zu. Sie hilft mögliche Schwachpunkte zu identifizieren und eine grundlegende Fehlallokation von Res-sourcen zu verhindern, die im operativen Unter-nehmensalltag meist nur schwer zu revidieren wäre. Die Risikoanalyse beantwortet die Frage, „ob“ und „wo“ risikosteuernde Maßnahmen über-haupt erforderlich sind. Wurden diese einmal er-griffen, können sie oft nur noch im Hinblick auf ihre Ausgestaltung, das „Wie“, optimiert werden.
Eine umfassende und angemessene Compliance-Ri-sikoanalyse erfordert ihrerseits einen erheblichen Ressourceneinsatz. Dieser lässt sich jedoch durch eine effiziente Ausgestaltung, z.B. in Form des „Smart Risk Assessment“, deutlich vermindern.
Für die Compliance-Risikoanalyse gibt es ver-schiedene Ansätze. Der wiederkehrende, unmit-telbare Austausch mit den „Risk Owners“, also Unternehmensmitarbeitern mit Ergebnis-, Pro-zess- und Führungsverantwortung, ist grundle-gend. Strukturierte Interviews oder Workshops mit diesem Personenkreis sind ein sinnvoller, notwendiger und unverzichtbarer Ansatz, um die relevanten Informationen zu erheben. Sie sind al-lerdings für alle Beteiligten zeit- und damit res-sourcenintensiv, insbesondere dann, wenn sie ausnahmslos in allen Unternehmensbereichen durchgeführt werden.
Smart Risk AssessmentWill man nicht auf die Vorteile individueller Risi-kodialoge im Wege strukturierter Interviews oder Workshops verzichten, muss die Compliance-Ri-sikoanalyse wirtschaftlicher ausgestaltet werden. Das „Smart Risk Assessment“ geht diesen Weg, in-dem es unternehmenseigene und öffentlich ver-fügbare Daten zur Priorisierung und Selektion ri-sikogeneigter Unternehmensbereiche verwendet. Idealerweise werden hierzu zentral und dezentral erhobene Daten genutzt und elektronisch verar-beitet, die ohnehin bereits vorhanden sind.
Ein solches Vorgehen ist auch unter den Begriffen „Screening“ oder „Scoping“ bekannt und bildet in automatisierter Form eine geeignete Vorstufe zu den personalintensiveren Methoden der klassischen Risikoanalyse. Auf die Dialoge zwischen ausgewählten Unternehmensbereichen und Compliance-Personal wird nicht ver-zichtet; sie schließen sich auf einer zweiten Ebene an und bleiben auf die risikogeneigten Bereiche des Unternehmens beschränkt. Damit ermöglicht das „Smart Risk Assessment“ eine deutlich ef-fizientere Risikoanalyse und einen fokussierten Austausch über die bestehende und zukünftige Risikolage zwischen Business und Compliance-Organisation.
Entscheidend für die erfolgreiche Durchführung eines „Scoping“ ist die Zerlegung eines abstrakten Risikos wie „Korruption“ in die darin enthaltenen Einzelrisiken und deren Bewertung anhand ge-eigneter Indikatoren für die Eintrittswahrscheinlichkeit und mög-liche Auswirkungen. Der Weg vom Gesamt- zum Einzelrisiko und zur Messung verlangt Fach- und Unternehmenskenntnis, da hierzu – wie übrigens auch bei jeder Frage im klassischen Risikointerview – Verknüpfungen von Unternehmensprozessen mit juristischem Wis-sen erforderlich sind. Für das Risiko „Korruption“ könnte eine ein-fache Zerlegung z.B. so aussehen:
Einzelrisiko Indikator Datenquelle
Regionales Korruptions-risiko
Korruptionsindexz. B. Corruption Perception Index (CPI) Transparency International
Buchhaltungsdaten/Elek-tronisches Register für Sponsoring & Spenden
DrittbeteiligungEinsatz von Vermittlern
Business Partner Due Diligence Datenbank/Umsatzvolumen/-anteil und Kontakte über Vermittler
Amtsträger- beteiligung
Amtsträgerkontakte
Compliance Organisation Daten/Umsatzvolumen/-anteil und Kontakte mit Amtsträgern
… … …
Die Auswertung solcher Daten offenbart schnell die Risikotendenz jedes einzelnen Unternehmensbereiches. Mit Hilfe von Auswahl-kriterien lassen sich anschließend diejenigen Bereiche bestimmen, die genauerer Analyse bedürfen und daher in die personalinten-
Dr. Florian Stork LL.M. oec. ist
Rechts anwalt/Associate Senior
Counsel – Compliance EMEA bei der
Linde AG sowie Lehrbeauftragter an
der Hoch schule Fresenius (München).
Er leitet die Praxisgruppe Kartellrecht
und unterstützt bei der Linde Group
die Strategie und Prozesssteuerung
des Bereichs Compliance.
Dr. Maik Ebersoll LL.M. (com.),
Dipl.-Kfm., betreut als Head of
Legal Operations in der global
aufgestellten Rechtsfunktion der
Linde Group die Bereiche Strategie,
Organisation, Finanzen, Systeme &
Prozesse, Personal und berät im
Wirtschaftsrecht.
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 HandelsblattJournal
13RISIKOANALYSE
sivere zweite Stufe der Risikoanalyse einbezogen werden sollten.
Im Ergebnis verbindet das „Smart Risk Assess-ment“ den klassischen interaktiven Risikodialog mit den Vorteilen elektronischer, datengestütz-ter Methoden. Gerade in großen Unternehmen mit einer Vielzahl von Unternehmensbereichen erlaubt es eine erhebliche Effi zienzsteigerung. Diese wird erreicht, indem die ressourceninten-siven Risikodialoge auf die risikogeneigten Un-ternehmensbereiche beschränkt werden und risikoärmere nach hinten gestellt werden. Mit an-deren Worten: Die knappen, wertvollen Ressour-cen, wie z.B. die Arbeitszeit von Führungsperso-nal und Compliance verantwortlichen sowie die Investition in Risikosteuerungsmaßnahmen kön-nen durch das „Smart Risk Assessment“ auch in Zukunft auf die „lohnenden“ Risikoobjekte fokus-siert werden.
Zur Vertiefung sei auf die folgenden Publikationen verwiesen: Ebersoll/Stork, CCZ 2013, 129 ff . und Ebersoll/Stork, Controller Magazin, 2/2014, 41ff .
Ebene 1: Elektronisch unterstütztes „Scoping“– Umfassend, effi zient und dokumentiert– Messung mit Hilfe interner und externer Daten
Alle UnternehmensbereicheAlle UnternehmensbereicheAlle UnternehmensbereicheAlle UnternehmensbereicheAlle UnternehmensbereicheAlle Unternehmensbereiche Alle RisikobereicheAlle RisikobereicheAlle Risikobereiche
Verfügbare DatenVerfügbare DatenVerfügbare Daten
Ebene 2: Interaktive Risikodialoge– Analyse des tatsächlichen Risikos
durch strukturierte Interviews– Defi nition und Implementierung
von Steuerungsmaßnahmen
Smart Risk Assessment
Gefahr erkannt, Gefahr gebannt – Angelpunkte der kartell rechtlichen Compliance Eine Studie der Universität Gießen
von Prof. Dr. Georg Götz, Dr. Johannes Paha,
Daniel Herold & Marieke Funck
Im Jahr 2014 verhängte das Bundeskartellamt erstmals Bußgelder i.H.v. mehr als 1 Mrd. EUR. Das höchste Einzelbußgeld i.H.v. 195,5 Mio.
EUR entfi el dabei auf einen Zuckerhersteller. Be-reits diese Zahlen belegen, dass Verstöße gegen das Kartellverbot einem Unternehmen massiv schaden können, zumal Kartellsünder außerdem mit Schadensersatzforderungen ihrer Kunden so-wie mit Verfahrenskosten rechnen müssen. Zu-dem bindet die Verfahrensabwicklung erhebliche Managementressourcen.
Eine Umfrage der Justus-Liebig-Universität Gießen1 zeigt, dass 82% der in Deutschland,
Österreich und der Schweiz befragten mittelstän-dischen und großen Unternehmen Maßnahmen zur Eindämmung allgemeiner Risiken durchfüh-ren. 85% dieser Unternehmen stellen ganz gezielt auch auf kartellrechtliche Risiken ab. Innerhalb dieser Gruppe umfassen die häufi gsten Maßnah-men Schulungen (93%), Verhaltensregeln (82%) und Kodizes (100%). Diese Maßnahmen zielen da-rauf ab, Informationsdefi zite bei Mitarbeitern ab-zubauen und sie dadurch letztendlich von rechts-widrigem Verhalten abzuhalten.
Diese Maßnahmen allein greifen allerdings zu kurz, da Kartelle nicht nur aus Unwissenheit ge-bildet werden. Absprachen über Preise oder Ver-kaufsgebiete werden teilweise als probates Mit-tel angesehen, um auf negative Entwicklungen im Marktumfeld des Unternehmens und dadurch be-wirkte Gewinnrückgänge zu reagieren. So wur-de das Kartell der Kunstauktionshäuser Christie‘s und Sotheby‘s als Reaktion auf eine Rezession im Kunstmarkt in den 1990er Jahren gebildet. In diesem Kontext off enbart sich bei den befrag-ten Compliance Offi cers und Unternehmensjuris-ten eine augenscheinlich unzureichende Wahr-nehmung der Bedeutung von Risikofaktoren im ökonomischen Umfeld. Während mangelhafte In-formationen über das Kartellrecht von 85% der Befragten als Problem genannt wurden, identi-fi zierten weniger als 40% der Teilnehmer Nach-frageänderungen als möglichen Auslöser für Ver-stöße gegen das Kartellverbot. Vorübergehende Gewinnsenkungen sowie ein schwankender Ge-winn wurden nur von 24% der Studienteilnehmer zu den Risikofaktoren gezählt.
1 Götz, G., Herold, D. und Paha, J. (2015). „Forschungsprojekt Kartellrechts- Compliance: Wie Compliance-Maßnahmen Kartellrechtsverstöße verhindern und zum Unternehmenserfolg beitragen können.“ Erscheint in: FIW-Schriftenreihe
Weitere Informationen fi nden Sie unter dem folgenden Link: http://goo.gl/mbUAgI
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015HandelsblattJournal
Prof. Dr. Georg Götz,
Universität Gießen
Dr. Johannes Paha,
Universität Gießen
Daniel Herold,
Universität Gießen
Marieke Funck,
Universität Gießen
RISIKOANALYSE14
Diese Wahrnehmung beeinflusst die Ausgestal-tung der Compliance-Maßnahmen, die der För-derung rechtskonformen Verhaltens dienen sol-len. Schulungen sind hierbei ein notwendiges Element. Dass diese Schulungen allein allerdings häufig nicht hinreichend sind, wird am Beispiel der gezielt begangenen Verstöße besonders deut-lich. Da gleichzeitig eine flächendeckende Durch-führung von Schulungen teuer ist, kann es sinn-voll sein diese auf Zeiten und Abteilungen zu konzentrieren, die durch ein besonders hohes Ri-siko für Verstöße gekennzeichnet sind.
Screening als präventive MaßnahmeNicht nur im Hinblick auf kartellrechtlich relevan-tes Fehlverhalten geht es darum, drohende öko-nomische Schieflagen mittels Maßnahmen des Risikomanagements bereits frühzeitig zu erken-nen und durch gezieltes Gegensteuern zu vermei-den. Viele Entwicklungen wie z.B. Konjunktur-einbrüche, Markteintritte neuer Wettbewerber und technologischer Wandel können von den Un-ternehmen aber nicht beeinflusst werden. Somit stellt sich die Frage, was Unternehmen zusätzlich tun können, um damit einhergehende Risiken zu vermeiden.
Eine Maßnahme, die sowohl präventiv als auch aufdeckend wirkt, ist das sogenannte Screening. Dadurch können Verstöße nicht nur frühzeitig erkannt werden. Die Erwartung einer schnel-len Aufdeckung wirkt zudem abschreckend und trägt zur Verhinderung von Verstößen gegen das Kartellverbot bei. In der Gruppe der Unterneh-men, die Maßnahmen zur Eindämmung kartell-rechtlicher Risiken durchführen, geben zwar 73% an, schon heute eine aktive Suche nach Fehlver-halten zu betreiben. In der konkreten Ausgestal-tung dieser Maßnahmen besteht jedoch noch Optimierungspotential.
Grundsätzlich kann zwischen Screen ing- Ansätzen unterschieden werden, die strukturierte, quanti-tative Daten (z.B. Rechnungslegungsdaten) und solchen, die unstrukturierte, qualitative Daten (z.B. E-Mail Schriftverkehr) verwenden, um Ver-stöße gegen kartellrechtliche Vorschriften zu identifizieren. Bspw. kann ein in den Daten des in-ternen Rechnungswesens beobachtbarer Anstieg der realisierten Margen in Absatzgebiet A auf ei-nen Verstoß hindeuten, wenn in den Gebieten B bis D die Margen sinken und sich gleichzeitig Anzeichen für eine sich generell abschwächende Nachfrage ergeben. Jedoch ist zu bedenken, dass solche quantitativen Verfahren lediglich Hinwei-se, jedoch keine abschließende Evidenz über das Bestehen einer Absprache liefern können.
Die E-Discovery MethodeKonkrete Beweise können hingegen z.B. aus der geschäftlichen E-Mail Kommunikation iso-liert werden. Dabei ist im Zuge des Compli-ance-Prozesses auch eine Anwendung von E-Discovery Verfahren denkbar, die heute bereits von Wettbewerbsbehörden und Kanzleien in
kartellrechtlichen Bußgeldverfahren angewen-det werden. Dabei wird der E-Mail Verkehr re-levanter Mitarbeiter auf Hinweise auf Verstöße durchsucht. Bei einer Vorverlagerung der E-Dis-covery in den Compliance-Prozess sind drei Ne-benbedingungen zu beachten. Erstens kann die Anwendung dieser Verfahren datenschutzrecht-liche Bedenken wecken. Sie sollten daher nach Möglichkeit mit anderen Verfahren (z.B. Scree-ning-Verfahren zur Analyse strukturierter Daten) kombiniert werden, um erst nach der Identifikati-on eines Anfangsverdachts eingesetzt zu werden. Ein nicht-ausufernder Einsatz dieser Methoden ist, zweitens, sinnvoll um nicht den Anschein ei-ner Überwachungskultur im Unternehmen zu er-wecken, die sich negativ auf die Motivation der Mitarbeiter auswirken kann. Drittens trägt ein zielgenauer Einsatz der vergleichsweise aufwän-digen E-Discovery Methode zu einer höheren Kos-teneffizienz der Compliance-Maßnahmen bei.
An der Justus-Liebig-Universität Gießen forscht ein Team um Prof. Dr. Georg Götz und Dr. Johan-nes Paha zur kartellrechtlichen Compliance. Ak-tuell stehen dabei u.a. die angesprochenen qua-litativen und quantitativen Screening-Verfahren im Fokus der Arbeit. Darüber hinaus befragen die Wissenschaftler im Rahmen einer Erweiterung der o.g. Umfragestudie nun nicht mehr nur Un-ternehmen im deutschsprachigen Raum, sondern weltweit. Dies erlaubt ein regional differenziertes Benchmarking der Compliance-Bemühungen, um hieraus Ansätze für eine weitere Effektivitätsstei-gerung zu entwickeln.
Wenn Sie Compliance-Officer oder Unterneh-mensjurist sind, können Sie diese Compliance-Forschung unterstützen. Die Gießener Volkswirte würden sich sehr freuen, wenn Sie ca. 30 Minu-ten Ihrer Zeit verwenden würden, um an der Um-frage teilzunehmen und über Ihre Erfahrungen und Erfolge im Feld der kartellrechtlichen Com-pliance berichten.
Zur Umfrage: https://www.soscisurvey.de/complianceproject/?q=34
„ In der Gruppe der Unternehmen, die Maßnahmen zur Eindämmung kartellrechtlicher Risiken durchfüh-ren, geben 73% an, schon heute eine aktive Suche nach Fehlverhalten zu betreiben.“
Sonderveröffentlichung zum Thema „ZUKUNFTSSTRATEGIEN COMPLIANCE“ | Mai 2015 HandelsblattJournal
15MITTELSTAND
„ Ein Compliance
Management System steht
und fällt mit der Qualität
der zugrunde liegenden
Risikoanalyse.“
Compliance-Risikoanalyse in kommunalen UnternehmenSchlüssel für den Erfolg eines Compliance Management Systems
Stefan Wilbert,
Stadtwerke Köln
von Stefan Wilbert
Mehrwert mit System schaffenKommunale Unternehmen gehören den Bürge-rinnen und Bürgern einer Gemeinde. Sie sind im täglichen Leben vieler Menschen verankert, in-dem sie Wasser und Energie liefern, Busse, Stra-ßenbahnen und Schwimmbäder betreiben und für Sauberkeit und Winterdienst in einer Stadt sorgen. Die öffentlichen Erwartungen an kommu-nale Unternehmen und deren Verantwortliche sind hoch. Das Thema Compliance hat Relevanz.
Compliance bedeutet mehr als die wortwörtliche Regeltreue. Einen Mehrwert gegenüber dem alt-bekannten Ziel des ordnungsgemäßen Handelns bietet erst ein Management System, also wenn viele einzelne Maßnahmen und Methoden ziel-gerichtet verknüpft sind. Mittlerweile liegen Nor-men und Standards für solche Systeme vor, die sie vergleichbar und bewertbar machen. Kein Wunder also, dass sie zunehmend auch in kom-munalen Unternehmen eingesetzt werden.
Ein Compliance Management System steht und fällt mit der Qualität der zugrunde liegenden Ri-sikoanalyse. Formal geht es darum, Risiken – also mögliche negative Zielabweichungen – zu erken-nen, zu analysieren und zu bewerten. Alle Maß-nahmen sollten sich aus einer Risikoanalyse ablei-ten. In der Praxis geht es vor allem darum, einen informierten Blick auf das gesamte Unternehmen zu werfen und dabei das Wichtige vom weniger Wichtigen zu unterscheiden. So lassen sich blin-de Flecken vermeiden und es lässt sich Akzeptanz für Compliance-Maßnahmen aufbauen.
Betrachtungsfelder priorisierenKommunale Unternehmen sind üblicherweise auf einer Reihe von Märkten aktiv. Um die Risiko-analyse zu fokussieren, empfiehlt es sich, frühzei-tig Schwerpunkte auf Themen und Rechtsgebie-te zu setzen. Aus strukturellen Gemeinsamkeiten der Unternehmen (öffentlicher Eigentümer, loka-le Märkte, Infrastrukturleistungen) lassen sich ty-pische Betrachtungsfelder ableiten.
Übliche Compliance-Ziele sind die Abwehr von rufschädigenden Straftaten oder von hohen Scha-densersatzforderungen. Diese Ziele liegen der folgenden Auswahl von Betrachtungsfeldern zu-grunde. Ausgewählt sind hier nur solche Betrach-tungsfelder, die unabhängig von Branche und operativer Ausrichtung einschlägig sind.
■ Vermeidung von Korruptionsrisiken, d.h. Vor-teilsnahme/Vorteilsgewährung und Beste-chung/Bestechlichkeit im geschäftlichen Ver-kehr sind ein Muss für die Compliance-Arbeit.
■ Im Zusammenhang mit Korruptionsrisiken soll-te der Umgang mit Amtsträgern analysiert wer-den. Amtsträger sind regelmäßige Geschäfts-partner oder Gremienmitglieder kommunaler Unternehmen. Ebenso kommen auch Beschäf-tigte als Amtsträger in Betracht.
■ Spenden und Sponsoring-Maßnahmen gehö-ren zum üblichen Repertoire von Marketing und Öffentlichkeitsarbeit. Darin liegen Poten-tiale für Korruption und steuerstrafrechtliche Delikte.
■ Bei Nebentätigkeiten gerade von leitenden Mit-arbeitern, etwa in Organpositionen von Wett-bewerbern, können Konflikte zwischen priva-ten und dienstlichen Interessen auftreten.
■ Vergabeverfahren, also die Auftragsvergabe nach den Bestimmungen für öffentliche Auf-traggeber, beinhalten das Risiko von Korrupti-onsdelikten und wettbewerbsbeschränkenden Absprachen.
■ Schwächen im Datenschutz gefährden das Recht auf informationelle Selbstbestimmung von Beschäftigten sowie Kunden.
■ Die Steuergesetze definieren zahlreiche Pflich-ten, deren Verletzung für Unternehmens- oder Konzernleitung strafrechtliche Folgen haben können.
■ Eine Verletzung kartellrechtlicher Vorgaben, sei es im Bereich der Fusionskontrolle, der wettbewerbsbeschränkenden Vereinbarungen oder des Missbrauchs einer marktbeherrschen-den Stellung, kann Bußgelder in existenzge-fährdender Höhe zur Folge haben.
Risikoanalyse zielgerichtet durchführenWer sein Compliance-Ziel eng definiert, kann den Analyseaufwand begrenzen. So lässt sich vorab etwa die Korruptionsprävention als einziges Ziel festlegen. Ebenso sind die Betrachtungsfelder in den operativen Unternehmensbereichen bei ent-sprechender Zielstellung zu erweitern, z.B. um Umweltschutz oder Regulierungsvorgaben.
Jedes Betrachtungsfeld sollte mit den üblichen Methoden einer Risikoanalyse, wie Fragebögen, Workshops oder Interviews analysiert werden. Dabei müssen den identifizierten Risiken die be-reits bestehenden Maßnahmen gegenübergestellt und deren Wirksamkeit abgeschätzt werden. Ein Handlungsbedarf für ein Compliance Manage-ment System ergibt sich nur dann, wenn Risiken nicht ausreichend abgesichert sind.
Die Risikoanalyse beinhaltet erhebliche Arbeit bei einem breit aufgestellten kommunalen Unterneh-men. Die Mühe lohnt sich. Sie ist notwendige Vo-raussetzung für ein methodisch belastbares und passgenaues Compliance Management System.
