Compliance: So schaffen es Unternehmen regelkonformes Verhalten zu verankern

Unter Compliance ist die Gesamtheit aller betrieblichen Maßnahmen zu verstehen, die regelkonformes Verhalten aller im Unternehmen sicherstellen sollen. Der aus dem englischsprachigen stammende Begriff bedeutet damit die Einhaltung von Gesetzen, Normen, Regeln und freiwilligen Kodizes. Diese Grundsätze und Maßnahmen eines Unternehmens sollen helfen, Regelverstöße zu vermeiden und gegebenenfalls zu sanktionieren. Im österreichischen Recht findet sich dazu selbst keine Definition.

Compliance legt in Unternehmen auch Regeln für den Umgang mit Mitarbeitern und Mitarbeiterinnen fest und gibt Standards für den Umgang mit Kunden und Kundinnen oder Geschäftspartnern und Geschäftspartnerinnen vor.“ Um Gesetzesverstöße zu verhindern (Legalitätspflicht) sind Geschäftsführer verpflichtet, die Tätigkeit ihrer Mitarbeiter regelmäßig zu überwachen. Die Compliance-Standards sollen von der Führungsebene eines Unternehmens bis hin zum Praktikanten und der Praktikantin gewährleisten werden.

Im Grunde betrifft Compliance alle Unternehmen. Schließlich kann es in jedem Unternehmen zu Verstößen gegen interne und externe Vorschriften kommen. Wie sinnvoll es ist eigene Regeln im Unternehmen dafür aufzustellen, hängt

• von der Größe des Unternehmens ab

• de Branche

• den potenziellen Risiken

• der Unternehmenskultur

• der Wahrscheinlichkeit, dass ein Verstoß gegen Compliance-Regeln eintreten könnte.

• Verstöße gegen das Arbeitsrecht

• Verstöße gegen das Datenschutzgesetz

• Verstöße bei der Exportkontrolle

• Geldwäsche

• Verstöße gegen IT-Sicherheit

• Kartellrechtliche Verstöße

• Korruption/Betrug

• Marktmanipulation(Geschäfte unter Vorspiegelung falscher Tatsachen oder sonstige Täuschung)

• Firmeninterne Vorgaben für soziale Werte

• Umgang mit Geschenken in Unternehmen

Compliance-Risiken können durch individuelles, aber auch durch kollektives Fehlverhalten von Mitarbeitern entstehen.

• Arbeitsrecht

• Arbeitssicherheit

• Strafrecht

• Steuerrecht

• Umweltrecht

• Zollvorschriften

• Produkthaftungsgesetz

• Datenschutzgesetz

• Gesetzliche Compliance: generelle juristische Vorschriften, Anpassung an und Einhaltung von Gesetzen im In- und Ausland.

• Finanzielle Compliance: Regelbeachtung im finanziellen Bereich, z.B. AktG zur Vorbeugung von Geldwäsche, Diebstahl, Korruption.

• IT-Compliance: dabei werden vor allem die Regeln der DSGVO umgesetzt.

• Steuer-Compliance: basiert auf Steuergesetzen, um Steuerflucht und Steuerhinterziehung zu vermeiden.

• Soziale Compliance: Damit sind sowohl gesetzliche als auch ethisch-soziale Standards gemeint.

• Vom Unternehmen vorgegebener Verhaltenskodex (Codes of Conduct).

Ein Code of Conduct – auf Deutsch Verhaltenskodex – enthält die für die Compliance nötigen festgeschriebene, vom jeweiligen Unternehmen vorgegebene Verhaltensrichtlinien, die für die Mitarbeitenden gelten. Dieser enthält Richtlinien, wie sich die Mitarbeitenden rechtlich korrekt, ethisch und sozial verhalten sollen. Fehltritte können zu rechtlichen Konsequenzen nicht nur für den einzelnen Arbeitnehmer oder die Arbeitnehmerin, sondern für das gesamte Unternehmen führen, weshalb es wichtig für jedes Unternehmen ist, einen Code of Conduct festzulegen.

Unternehmen ergreifen Compliance-Maßnahmen, um sowohl für eine rechtskonforme und redliche Führung der Geschäfte als auch das dafür notwendige Verhalten der Mitarbeiter zu sorgen. Diese Maßnahmen sollen es ermöglichen, Verstöße aufzudecken oder zu verhindern.

Eine gut funktionierende Compliance-Struktur in einem Unternehmen verringert die Risiken strafrechtlich und zivilrechtlich belangt zu werden. Ein solches Compliance-Management kann auch ein Wettbewerbsvorteil sein, da viele öffentliche Auftraggeber ihrer Aufträge nur vergeben, wenn ein ordentliches Compliance Management nachgewiesen werden kann.

Ein Compliance-Management-System (CMS) bietet einen strukturierten Rahmen, der regelkonformes Verhalten für alle Compliance-Themen fördern soll und helfen soll, Compliance-Risiken zu verringern. Um diese von Gesetzes wegen vorgegebenen und von Unternehmen selbst auferlegten Regeln in ein entsprechendes Regelwerk zu gießen, wird häufig auf ein Compliance-Management-System zurückgegriffen. Eine entsprechende Software dafür, schafft die Basis für die methodische Umsetzung von Vorgaben. Solche Systeme geben zudem Mindestanforderungen für Compliance-relevante Prozesse und Verfahren vor.

Aufgrund der Vielzahl von Branchen lässt sich jedoch kein einheitlicher Maßstab für Compliance-Vorgaben festlegen. Um CMS zu implementierten, bieten zahlreiche Anbieter spezielle Compliance-Software und Prozessmanagement-Tools an.

Die Branchen sind besonders betroffen

Betroffen von Regelverstößen sind, gemäß einer Studie des Informationstechnologiespezialisten LexisNexis des Jahr 2021 vor allem Unternehmen aus den Branchen Industrie, Banken/Finanzen und Versicherungen und der öffentliche Sektor, die professionelle Compliance-Systeme nutzen. Dies beinhaltet einerseits vorsorgliche Maßnahmen, wie die Aufklärung, Information und Schulung von Mitarbeiterinnen und Mitarbeitern, stellt aber auch andererseits die Überwachung unternehmensinterner Vorgänge sicher.

• Um langfristig ein effizientes Compliance-Management-System zu etablieren, sollten Regelverstöße geahndet werden, um am Markt bestehen zu können. Ob der verantwortliche Mitarbeiter, der den jeweiligen Verstoß zu verantworten hat, entlassen werden muss, hängt vom Einzelfall ab. In einem derartigen Fall empfiehlt sich das Instrument der Dienstfreistellung, um Zeit für die Aufklärung zu gewinnen. Wichtig ist jedoch die Transparenz im Unternehmen bei der Aufklärung der Angelegenheit.

• Compliance-Verstöße sind zudem stets mit negativer Werbung verbunden.

• Innerbetrieblich besteht ohne oder ohne gut funktionierendes CMS-System die Gefahr, dass der Anreiz, sich regelkonform zu verhalten, abnimmt.

Die ISO (International Organization for Standardization) hat hierfür ein Compliance Management System (CMS), die ISO 37301 entwickelt - die Anwendung ist freiwillig. Auch wenn sich ein Unternehmen nicht diesen Regelungen unterwirft, kann das auf fünf Säulen aufgebaute System als eine Art Orientierungshilfe dienen.

1. Identifizieren Sie Parteien, die zu berücksichtigen sind, wie zum Beispiel Geschäftspartner und Geschäftspartnerinnen, Mitarbeiter und Mitarbeiterinnen, aber auch verschiedenste Behörden und staatliche Organisationen

2. Legen Sie das Umfeld in dem Ihr Unternehmen wirkt fest und definieren Sie anhand dessen die Compliance-Risiken und Compliance-Ziele. Diese sind branchenspezifisch und so genau als möglich auszuarbeiten, um einen genauen Eindruck davon zu bekommen, worauf ein Unternehmen Wert legt.

3. Sorgen Sie für den Rückhalt aus der Führungsebene, um die Compliance-Richtlinien durchsetzen zu können. Ohne diesen Rückhalt ist es unmöglich, ein gutes CMS im Unternehmen zu etablieren.

4. Die regelmäßige Kontrolle des Compliance Management Systems ist unerlässlich. Das kann beispielsweise mittels Audits, Mitarbeitergesprächen, Schulungen zu Änderungen oder das Üben des Umgangs mit Situationen, die ein Risiko darstellen könnten, erfolgen.

5. Klare Vorgaben, wie bei Informationen zu eventuellen Verstößen und bei tatsächlichen Verstößen umgegangen wird. Es ist ratsam ein Frühwarnsystem einzuführen, um einen möglichen anstehenden Verstoß zu verhindern.

Um sicherzustellen, dass das CMS wirklich eingehalten wird, haben sich viele Unternehmen dazu entschieden Complianc- Officer oder eine ganze Compliance-Abteilung zu schaffen. Aufgrund der engen Verbindung mit rechtlichen Belangen sind oft Juristen oder Juristinnen in dieser Position zu finden. Auch BWL-Absolventen und -Absolventinnen befinden sich mit ihrer Ausbildung in einer guten Ausgangslage. Es gibt auch verschiedene Angebote, um sich weiterzubilden und Ausbildungen speziell für den Compliance-Bereich zu absolvieren.

Kernaufgaben in dieser Position ist es, die CMS zu überwachen. Dazu zählen sowohl die gesetzlichen als auch ethische Vorgaben, die Schulung der Mitarbeiter zu rechtlichen Neuerungen und den eigenen Compliance-Richtlinien, die regelmäßige Überprüfung des eigenen Compliance Management System sowie die Kommunikation zwischen verschiedenen Abteilungen.

Je nach Größe des Unternehmens ist zu überlegen, die Aufgaben eines Compliance-Officers nicht nur auf eine einzelne Person zu übertragen, sondern eine eigene Abteilung für sämtliche Belange einzurichten, die dann geschlossen dem Leiter dieser Abteilung unterstellt ist – auch Chief-Compliance-Officer genannt. Um einen direkten Draht zwischen Compliance-Abteilung und Geschäftsleitung sicherzustellen, wird diese oft direkt unter der obersten Führungsebene angesiedelt.

Das Durchschnittsgehalt eines Compliance-Officers in Österreich liegt zwischen 2.790 Euro und 3.110 Euro brutto pro Monat. Bei entsprechenden Qualifikationen, Erfahrung und Verantwortung kann natürlich auch ein höheres Gehalt vereinbart werden.

Es gibt zwar keine gesetzlichen Regeln, die eine allgemeine Pflicht zur Einrichtung einer Compliance-Organisation normiert. Einzelne Branchen wie die Finanzdienstleister sind davon jedoch ausgenommen und gesetzlich zur Schaffung eines Compliance-Systems verpflichtet. Grundsätzlich gilt: Ein Compliance-Verstoß liegt vor, wenn bestehende Regeln missachtet werden.

Mit diesen Sanktionen ist zu rechnen, wenn ein Unternehmen Compliance-Pflichten verletzt

• Haftung aufgrund zivilrechtlicher Bestimmungen

• Strafrechtliche Verantwortlichkeit

• Verwaltungsstrafen

Es ist jedoch zunächst zu erheben, um welchen Verstoß es sich konkret handelt. Davon ist abhängig, ob es sich um die Nichteinhaltung von Gesetzen, Richtlinien oder aber freiwilliger Kodizes handelt.

Wann eine zivilrechtliche Haftung schlagend werden kann, wenn ein sogenannter Schaden aus Verschulden nach dem Allgemeinen Bürgerlichen Gesetzbuch (ABGB) §§ 1295 ff entstanden ist. Auf Grundlage dieser Bestimmung kann eine gesellschaftsrechtliche Haftung von Organen nach dem Aktiengesetz und GmbH-Gesetz aufgebaut werden.

Unter Innenhaftung wird die Haftung der Organe einer Gesellschaft (Geschäftsführer, Vorstand) gegenüber der Gesellschaft verstanden. Unter Außenhaftung wird die Haftung der Organe einer Gesellschaft (Geschäftsführer, Vorstand) gegenüber einem geschädigten Dritten verstanden. Zu beachten sind in diesem Zusammenhang auch Verstöße gegen das Gesetz gegen Unlauteren Wettbewerb (UWG), welche insbesondere bei Vergabeverfahren vorkommen können, und entsprechende Rechtsfolgen nach sich ziehen können.

Diese Artikel könnten Sie auch interessieren:
Produktrückruf: Welches Recht für Konsumenten und Firmen gilt
Compliance: Diese Fallen drohen beim Schenken und beschenkt werden

Neben der zivilrechtlichen Haftung der handelnden Personen, ist auch eine strafrechtliche Verantwortung möglich. Es kann auch das Unternehmen als Ganzes nach dem Verbandsverantwortlichkeitsgesetz haftbar gemacht werden. Nach dem Gesetz kann das strafrechtlich relevante Verhalten der Entscheidungsträger auch dem jeweiligen Unternehmen zugerechnet werden. Im Ergebnis können daher sowohl die Entscheidungsträger oder Mitarbeiter als auch der Verband selbst strafrechtlich verfolgt werden.

Anwalt Erich Hierz

Wenn es darum geht, wie streng Compliance-Vorschriften gehandhabt werden, rät Anwalt Erich Hierz zu einem vernünftigen Mittelmaß: „Sollten die Vorschriften zu wenig streng sein, stehen sie der Verbandsverantwortlichkeit nicht entgegen. Sind sie zu hoch, begründet ihre Verletzung keine Verbandsverantwortlichkeit. Sollte aber das Sorgfaltslevel zu hoch sein, verursacht das einen unnötig hohen innerbetrieblichen Aufwand."

Verwaltungsrechtliche Verhaltenspflichten können auch juristische Personen treffen. Diese sind aber mangels Schuldfähigkeit nicht strafbar. Um diese Lücke in der Strafbarkeit zu schließen, wurde mit § 9 Verwaltungsstrafgesetz eine spezielle Norm zur Verhängung von Verwaltungsstrafen gegen juristische Personen geschaffen. Bei juristischen Personen oder eingetragenen Personengesellschaften ist für die Einhaltung der verwaltungsstrafrechtlichen Bestimmungen ein nach außen befugtes Organ (Vorstand oder Geschäftsführer) verantwortlich. Welches das ist, ist in der Unternehmenssatzung oder dem Gesellschaftsvertrag festzulegen.