Der Begriff Compliance ist allgegenwärtig. Bedeutung und Auswirkung sind jedoch oft unklar. Daher sollen der Begriff und die systematische Einbindung von Compliance in die tägliche Arbeit in diesem Grundsatzartikel näher beleuchtet werden.
Compliance als Gesamtheit aller Maßnahmen
Unternehmensskandale, Urteile oder anlassbezogene Gesetzeseinführungen, wie Hinweisgeberschutzgesetz (HinSchG) oder Lieferkettensorgfaltspflichtengesetz (LkSG), haben dazu geführt, dass Compliance-Themen immer wieder verstärkt in der Öffentlichkeit thematisiert wird. Dabei wird deutlich, dass es im Grunde nicht die eine richtige Definition des Begriffs gibt. Nach einer allgemeingültigen Erklärung versteht man unter Compliance die „Gesamtheit aller Maßnahmen, um das rechtmäßige Verhalten der Unternehmen, der Organmitglieder und der Mitarbeitenden im Blick auf alle gesetzlichen Gebote und Verbote zu gewährleisten“.
Ursprung Compliance
Compliance wie auch der gesamte Compliance-Gedanke haben ihren Ursprung in den angelsächsischen Staaten, etwa in Großbritannien, Australien oder in den USA. In der aktuellen Fassung des Deutschen Corporate Governance Kodex (DCGK) vom 28. April 2022 heißt es im Grundsatz 5: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).“ Weiter heißt es: „Das interne Kontrollsystem und das Risikomanagementsystem umfassen auch ein an der Risikolage des Unternehmens ausgerichtetes Compliance-Management-System.“
Compliance-Management-System (CMS)
Bereits aus diesem Verständnis folgt, dass unter Compliance auch eine Methode oder Herangehensweise zur Sicherstellung rechtmäßigen und richtlinienkonformen Verhaltens aller Beteiligten eines Unternehmens zu verstehen ist, auch bekannt als Compliance-Management-System (CMS). Mit dem Begriff wird letztlich lediglich die eigentlich selbstverständliche Pflicht zur Einhaltung von Gesetzen und Richtlinien, aber auch freiwilligen Kodizes in Unternehmen bezeichnet. Neu sind allerdings die Mechanismen, um sicherzustellen, dass die Regeln eingehalten werden (Compliance-System bzw. Organisation).
Materielle Regelungen zur Einhaltung von gesetzlichen und freiwilligen Vorgaben sind in Einrichtungen des Gesundheitswesens oft vorhanden: Es gibt Dienstanweisungen, Richtlinien und Maßnahmen zur Korruptionsprävention. Häufig fehlt es aber an den formalen Voraussetzungen, die für ein angemessenes und wirksames CMS erforderlich sind. Eine generelle gesetzliche Pflicht für Unternehmen, ein CMS zu implementieren, besteht aktuell nicht und kann lediglich aus der konkreten Rechtsform des Unternehmens folgen. Unabhängig von der jeweiligen Rechtsform trifft jedoch den Vorstand bzw. die Geschäftsführung eines Unternehmens die Organisations- und Aufsichtspflicht. Sie sind verpflichtet, das Unternehmen so zu organisieren, dass gesetzliche und unternehmensinterne Vorschriften durch das Unternehmen und seine Mitarbeitenden eingehalten werden (Compliance). Diese Organisations- und Aufsichtspflicht erstreckt sich nicht nur auf die eigene Gesellschaft, sondern auch auf zugehörige Konzernunternehmen (Tochter- und Enkelunternehmen). Auch bei diesen hat der Vorstand auf die Einhaltung der Vorschriften hinzuwirken.
Wie die Unternehmensleitung diese Pflichten erfüllt, liegt in ihrem eigenen Ermessen. Auch wenn zwischenzeitlich weitestgehend geklärt ist, dass eine Pflicht zur Einrichtung eines Compliance-Management-System existiert, ist unklar, ob sich aus dieser Pflicht auch ein konkreter Pflichtenkatalog ableiten lässt. Stets gilt, dass die Entwicklung eines Compliance-Management-Systems unternehmensbezogen zu erfolgen hat, da eine Vielzahl von unternehmensindividuellen Faktoren zu beachten ist. Trotz der unternehmensspezifischen Besonderheiten sind Compliance-Management-Systeme im Kern ähnlich aufgebaut und bestehen regelmäßig aus vier Elementen (siehe Abbildung).
Die Implementierung eines wirksamen und angemessenen CMS setzt somit die Einbindung vorstehender (oder entsprechender) Elemente in die Unternehmensabläufe und -organisation voraus, um das Unternehmen und die Mitarbeitenden vor den folgenden möglichen Konsequenzen zu schützen:
- Reputationsschäden bei Regelverstößen
- persönliche Strafbarkeitsrisiken für Geschäftsführer:innen und Mitarbeitende
- Schadensersatzforderungen gegen Geschäftsführer:innen und Mitarbeitende
- Risiken aufgrund von Korruptions- und Kartellfällen für das Unternehmen
FAZIT
Trotz der Kosten, die durch die Einrichtung eines solchen Kontroll-, Überwachungs- und gegebenenfalls auch Sanktionssystems im Unternehmen entstehen, ist ein Compliance-Management-System wegen seiner überaus wichtigen Schutzfunktion erforderlich. Es handelt sich in aller Regel um sinnvoll angelegtes Geld, denn mögliche Strafen, Bußgelder, aber auch ein Imageschaden aufgrund von Verstößen können durch ein CMS vermieden oder zumindest reduziert werden. Die mögliche Schadenshöhe dürfte die Kosten eines CMS entschieden übersteigen.
Unsere Mandantenzeitschrift Curacontact bietet Ihnen quartalsweise Fachbeiträge zu spannenden und aktuellen Themen aus Ihrer Branche. Sie möchten die Curacontact abonnieren und kostenlos per Post erhalten? Jetzt abonnieren!