Die Corona-Pandemie führt zu wachsenden Compliance-Risiken, die Anlass für eine Überprüfung der Compliance-Strukturen und Maßnahmen geben.
Wie aktuelle Fälle zeigen, stellt die Corona-Pandemie viele Unternehmen nicht nur vor existenzielle wirtschaftliche Herausforderungen. Vielmehr haben sich auch diverse Compliance-Risiken erhöht, etwa im Zusammenhang mit Betrugs- und Korruptionsdelikten oder mit Angriffen auf die IT-Infrastruktur. Die Corona-Pandemie sollte daher als Ausgangspunkt für eine systematische Überprüfung der Compliance-Strukturen und Maßnahmen dienen, um das Unternehmen bestmöglich vor den Kosten und Nachteilen von „Non-Compliance″ zu schützen.
Vorteile funktionierender Compliance-Systeme in der (Corona-)Krise
Die Prävention von Risiken aus Normverletzungen spielt insbesondere in Krisensituationen wie der Corona-Pandemie eine wichtige Rolle. Die Identifikation und Vermeidung bzw. Reduzierung von Compliance-Risiken durch geeignete Regelungen und Organisationsmaßnahmen ist von zentraler Bedeutung. Zusätzlich zur Vermeidung von Sanktionen, Schadensersatzforderungen und sonstigen Kosten wird auch die Vermeidung von Reputationsschäden durch Regelverletzungen immer wichtiger.
Der durch Non-Compliance eintretende Vertrauensverlust der Stakeholder ist (jedenfalls kurzfristig) oft nicht zu beheben. Aktuelle Debatten um neue Gesetzesvorhaben (wie etwa das „Verbandssanktionsgesetz“ oder ein geplantes „Lieferketten-Gesetz“) zeigen, dass die Erwartungen der Stakeholder an regelkonformes und verantwortungsvolles Agieren von Unternehmen erheblich gestiegen sind. Ein funktionierendes Compliance Management System wirkt sich positiv auf die Stakeholder (etwa bei Finanzierungsentscheidungen von Investoren) aus und spielt auch im Wettbewerb der Unternehmen um die Gewinnung und langfristige Bindung qualifizierter (Nachwuchs-)Kräfte eine erhebliche Rolle.
Diese Aspekte sind für die Beibehaltung der Kreditwürdigkeit in der Corona-Krise ebenso wichtig wie für eine „Recovery“ des Unternehmens nach Überwindung der Corona-Epidemie.
Anreize für effektive Compliance-Maßnahmen in Unternehmen
Aktuelle Entwicklungen zeigen, dass Gesetzgeber und Gerichte bei ihrer Bewertung von Normverstößen auch Compliance-Maßnahmen explizit berücksichtigen und positiv bewerten. So hat der BGH im Zusammenhang mit der Bußgeld-Sanktionierung eines Unternehmens nach § 30 OWiG bereits 2017 ausgeführt, dass im Rahmen der Bußgeldbemessung relevant sei, inwieweit ein Unternehmen seiner Pflicht genüge, Rechtsverletzungen aus der Sphäre des Unternehmens zu verhindern und ein effizientes Compliance-Management etabliert habe (BGH, Urteil v. 9. Mai 2017 – 1 StR 265/16).
Auch der derzeitige Regierungsentwurf zum „Gesetz zur Stärkung der Integrität in der Wirtschaft (Verbandssanktionsgesetz)“ verfolgt ausdrücklich das Ziel, Compliance-Maßnahmen durch normative Anreize zu fördern. Allerdings soll es sowohl nach Einschätzung der Gerichte als auch nach dem Willen des Gesetzgebers wesentlich darauf ankommen, dass die Compliance-Maßnahmen funktionstauglich und nicht lediglich als „Papiertiger“ konzipiert sind. Die notwendigen Kriterien eines effektiven Compliance-Management-Systems folgen – abgesehen von branchenspezifischen Vorgaben im Finanzdienstleistungs- und Versicherungssektor – aus diversen Einzelnormen (insbesondere des Gesellschafts- und Ordnungswidrigkeitenrechts), aus internationalen Standards des Compliance- und Risikomanagements, aus Gerichtsentscheidungen und Verlautbarungen von Behörden sowie aus umfangreichen Stellungnahmen aus der Rechtswissenschaft
Ermittlung des individuellen Compliance-Risikoprofils – Festlegung einer Compliance-Risikostrategie
Art und Umfang der erforderlichen Compliance-Maßnahmen richten sich zunächst nach der individuellen Situation des Unternehmens. In die erforderliche Compliance-Risikoinventur fließen u. a. Größe, Geschäftsmodell und Mitarbeiterstruktur ebenso wie die Frage ein, in welchen Märkten das Unternehmen agiert.
Ein besonderes Augenmerk ist auf (Verdachts-)Fälle von Non-Compliance und deren Aufarbeitung in der Vergangenheit zu richten. Die Analyse relevanter Risikofaktoren aus dem jeweiligen geschäftlichen Umfeld sollte mit einem genauen Blick auf das regulatorische Umfeld des Unternehmens kombiniert werden, aus dem sich ebenfalls spezifische Anforderungen für das Compliance Management ergeben. Hier sind seit Ausbruch der Corona-Pandemie zusätzlich diverse neue Regelungen und Vorgaben zu beachten. Zu allgemeinen Compliance-Anforderungen (z. B. im Zusammenhang mit Arbeitsschutz- und Hygienevorschriften oder mit der Prävention von Cyber-Attacken) kommen neue Erfordernisse etwa bei der Prävention von Betrug, Geldwäsche-Delikten und Korruption sowie erweiterte Anforderungen an Compliance-Risikoanalysen bei Transaktionen („Compliance Due Diligence“ inklusive Geschäftspartner-Prüfung). Auf der Basis des individuell ermittelten Compliance-Risikoprofils des Unternehmens unter Einbeziehung aller aktuellen Rechtsnormen ist sodann eine Compliance-Risikostrategie mit geeigneten Präventionsmaßnahmen zu entwickeln.
Leitungsorgane zur Compliance-Organisation verpflichtet
Basierend auf dem individuellen Compliance-Risikoprofil hat die Unternehmensleitung klare Zuständigkeiten und Verantwortungsbereiche für Compliance-Fragen zu regeln. Hierin liegt eine zentrale Aufgabe der Unternehmensleitung, die ihre primäre Organisationsverantwortung für Compliance nicht delegieren kann.
Aus der Legalitätskontrollpflicht folgt das Mandat der Leitungsorgane, die Grundkonzeption des Compliance-Management-Systems zu entwickeln, zu implementieren, zu überwachen und regelmäßig zu aktualisieren. Zulässig und verbreitet ist allerdings in mehrköpfigen Leitungsgremien die (horizontale) Delegation von Compliance an einzelne Mitglieder im Sinne der Ressortzuweisung. Ebenso zulässig ist die (vertikale) Delegation einzelner Compliance-Aufgaben (wie Schulung von Compliance-Themen und Kontrolle der Compliance im Unternehmen) durch das ressortzuständige Leitungsmitglied an nachgeordnete Funktionen und Personen.
Allerdings behält das Leitungsorgan im Falle horizontaler Delegation stets eine Kontrollpflicht, die sich in Fällen von Non-Compliance zu einer Interventionspflicht (etwa hinsichtlich Diskussion und Beschlussfassung) oder einer Eskalationspflicht (in Bezug auf das Aufsichtsorgan) konkretisieren kann. Auch im Falle vertikaler Delegation ist es mit einer Übertragung von Compliance-Aufgaben (etwa an Compliance Officer oder Rechtsabteilung) allein nicht getan, vielmehr behält die Unternehmensleitung stets die Pflicht zur ordnungsgemäßen Auswahl, Instruktion und insbesondere Kontrolle der gewählten Funktionen und Personen.
Compliance-Regeln und Kommunikation – Klare Positionierung unter Nutzung digitaler Formate
Für die Wirksamkeit der Compliance-Maßnahmen spielt ferner das Verfassen klarer und verständlicher (Compliance-)Regeln und deren adressatengerechte Kommunikation durch Leitungsorgane und Führungskräfte an alle Stakeholder des Unternehmens eine Schlüsselrolle. Dabei verdeutlicht die Corona-Epidemie den Sinn und Nutzen des Einsatzes digitaler Kommunikations- und Trainingsformate.
Mangels der Möglichkeit, Fälle von Non-Compliance abschließend oder völlig lückenlos zu regeln, ist bei der Formulierung und Kommunikation der Regelungen jedenfalls entscheidend, dass die Adressaten nicht nur den Wortlaut, sondern auch Sinn und Zweck verstehen. Dabei wird das in Wort und Tat sichtbare Vorbildverhalten von Leitungsorganen und Führungskräften als notwendige Voraussetzung gesehen. Dies gilt sowohl für die positive Kommunikation des Themas Compliance im Sinne einer notwendigen „legal licence to operate“ als auch für eine konsequente Aufklärung und Sanktionierung auftretender Regelverletzungen. Ein im Intranet und auf der Homepage verfügbares Leitbild signalisiert das „Compliance-Commitment“ der Unternehmensleitung auch und gerade in Zeiten der Corona-Pandemie.
Unternehmen müssen effiziente Informationswege und Hinweisgebersysteme einrichten
Ein effizientes Informations- und Wissensmanagement zählt ebenfalls zu den elementaren Bestandteilen eines effektiven Compliance-Management-Systems. Angesichts dynamischer Veränderung des regulatorischen Umfelds müssen die Unternehmensangehörigen und Stakeholder immer wieder über aktuelle Compliance-Themen informiert werden.
Gleichzeitig ist die Unternehmensleitung (mangels vollständiger Kontrollmöglichkeiten in Bezug auf Fehlverhalten) ihrerseits auf Informationen durch die Unternehmensangehörigen angewiesen. Hierfür sind vertrauliche Informationskanäle bzw. Hinweisgebersysteme unter Beachtung der datenschutzrechtlichen und arbeitsrechtlichen Anforderungen zu etablieren.
Für Unternehmen sollte derzeit die Einrichtung eines Hinweisgebersystems (soweit noch nicht vorhanden) im Zusammen hang mit der anstehenden Umsetzung der EU-Whistleblower-Richtlinie in das deutsche Recht auf der Tagesordnung stehen.
Systematische Kontrollprozesse
Bei der Beurteilung der Wirksamkeit von Compliance-Management-Systemen durch Behörden und Gerichte spielt die Frage nach adäquater Kontrolle der Compliance-Strukturen und Maßnahmen eine entscheidende Rolle. Dementsprechend ist die Etablierung systematischer Kontrollprozesse zu empfehlen, die nicht nur auf die Wirksamkeit einzelner Maßnahmen, sondern auch auf das Compliance-Management-System als Ganzes erstreckt werden und systematische Kontrollprozesse ebenso wie Ad hoc-Kontrollen umfassen.
Die erforderliche Kontrolldichte richtet sich nach dem individuellen Compliance-Risikoprofil und insbesondere nach Compliance-Fällen in der Vergangenheit.
Konsequente Aufklärung und Sanktionierung von Non-Compliance
Verdachtsfälle von Non-Compliance sind stets vollständig aufzuklären, festgestellte Regelverstöße sind angemessen zu sanktionieren. Eine Ausnahme für „nützliche Pflichtverletzungen“ kann es nicht geben. Auch für die (durch das Vorbildverhalten von Leitungsorganen und Führungskräften geprägte) „Compliance-Kultur“ ist entscheidend, dass Compliance-Verstöße nicht tatenlos hingenommen werden.
Regelmäßige Aktualisierung und Dokumentation als Grundlage einer nachhaltigen „Compliance Defense“
Die bestehenden Compliance-Maßnahmen sind kontinuierlich an veränderte Bedingungen anzupassen. Dazu gehören etwa neue rechtliche Vorgaben oder eine veränderte Risikoexposition des Unternehmens durch Änderungen im Geschäftsmodell.
Es empfehlen sich regelmäßige Compliance-Audits zur Klärung, ob und inwieweit die bestehenden Compliance-Strukturen und Maßnahmen geändert und aktualisiert werden müssen. Dies gilt etwa für das immer wichtigere Thema der sorgfältigen Auswahl und Kontrolle von Geschäftspartnern. Die entsprechenden Anpassungsmaßnahmen sind als Nachweis dafür zu dokumentieren, dass es sich um ein „lebendes Compliance-Management-System“ handelt, welches die Unternehmensleitung in Abstimmung mit der Unternehmensstrategie regelmäßig an veränderte Umstände anpasst.
Corona-Pandemie als Anlass zur Überprüfung von Compliance-Maßnahmen
In Krisenzeiten (wie der Corona-Pandemie) sind robuste Compliance-Strukturen und Maßnahmen für Unternehmen besonders wichtig. Denn sie können Unternehmen vor möglicherweise existenzbedrohenden Kosten schützen und sichern zudem die Unternehmensreputation. Die Corona-Pandemie sollte als Ausgangspunkt für eine systematische Überprüfung der Compliance-Strukturen und Maßnahmen dienen. Notwendige Aktualisierungen sind als Bestandteil einer kontinuierlichen „Compliance-Risiko-Strategie“ zu dokumentieren. Damit wird die Grundlage einer nachhaltigen „Compliance Defense″ in Fällen von Non-Compliance geschaffen, die auch das beste Compliance-System nicht vollständig verhindern kann.
In unserer Blogserie zu „Coronavirus: Handlungsempfehlungen für Unternehmen″ zeigen wir anhand der aktuellen Situation unternehmensbezogene Stolpersteine auf, die in Krisenzeiten zu beachten sind. Bereits erschienen sind Beiträge zu Verhandlungen, Verjährungen und Verfristungen sowie Haftungsfragen bei Absagen von Messen- und Veranstaltungen, zum Datenschutz trotz Corona und zu Möglichkeiten von Aktiengesellschaften zur Cash-Ersparnis sowie Vermögensübertragungen zu steuergünstigen Konditionen. In weiteren Beiträgen gehen wir ein auf die Erstellung eines Notfallplans, auf Vertriebsverträge und Tipps Lieferanten in Krisenzeiten und auf Auswirkungen auf Lebensmittel- und Hygieneverordnungen. Im Anschluss haben wir uns mit der streitigen (gerichtlichen) Auseinandersetzung befasst, sind auf kartellrechtliche Auswirkungen sowie die Bedeutung für den Kapitalmarkt eingegangen. Näher befasst haben wir uns auch mit „infizierten″ Vertragsverhandlungen, den Änderungen in Mittel- und Osteuropa sowie mit klinischen Studien und dem neuen EU-Leitfaden für Sponsoren uns Prüfärzte. Weiter geht es mit Pflichten zur Abgabe der Steuererklärung und eventuell steuerstrafrechtlichen Haftungsrisiken, dem Moratorium für Zahlungsverpflichtungen von Verbrauchern und Kleinstunternehmern, Unterstützungsmaßnahmen für Start-ups, das Kurzarbeitergeld, sowie den Erleichterungen für Stiftungen und Vereine und GmbH-Gesellschafterbeschlüssen. Es folgten weitere Beiträge zu Kooperationen im Gesundheitswesen und zu Sachspenden an Krankenhäuser, zum Marktzugang für persönliche Schutzausrüstung und Medizinprodukte, zur Beschlagnahmemöglichkeit von Schutzausrüstung durch den Staat und zu Auswirkungen auf laufende IT-Projekte.
Aktuelle Informationen zu COVID-19 finden Sie in unserem Corona-Center auf unserer Website. Wenn Sie Fragen zum Umgang mit der aktuellen Lage und den Auswirkungen für Ihr Unternehmen haben, stehen Ihnen unsere Spezialisten und Ihre gewohnten Ansprechpartner zur Verfügung. Sprechen Sie uns gern an!