Compliance-Management-Strukturen mit Hinweisgebersystemen wirksamer gestalten.

Jörg Bielefeld, Partner, BEITEN BURKHARDT

Herr Bielefeld, Sie vertreten Unternehmen in Compliance-Angelegenheiten. Gibt es klare Vorgaben für Ihre Mandanten, wie sie ihr Compliance-Management-System (CMS) aufbauen?

Diese Frage kann man leider nicht allgemein gültig für alle Unternehmen beantworten. Oberflächlich lässt sich zwar als gemeinsames Ziel eine Haftungsreduzierung definieren. Aufgrund der Diversität und der spezifischen Risiken der Unternehmen kann es aber keinen verbindlichen Lösungsweg für alle geben. Ich als Strafrechtler rate aber jedem Unternehmen dazu, mindestens klar dokumentierbar zu zeigen, dass man sich über angemessene Strukturen Gedanken gemacht hat. Hierbei kann man sich gern auch einmal am Ausland orientieren. So haben die Behörden im Vereinigten Königreich Empfehlungen herausgegeben, wie sich Unternehmen in Sachen Antikorruptions-Compliance angemessen aufstellen können. Natürlich betrifft das nur den UK Bribery Act und nicht die deutsche Rechtslage. Es gibt Unternehmen aber einen ersten Überblick. Ähnliches gilt auch für die USA, deren Department of Justice einen Leitfaden zum US-Pendant, dem FCPA (Foreign Corrupt Practices Act) herausgegeben hat. All das hilft bei der Implementierung eines CMS. Ersatz für eine genaue Analyse ist es freilich nicht.

Wie sieht Ihrer Meinung nach ein wirksames CMS aus?

Ein wirksames CMS hängt von vielen Faktoren ab. Es wird stark geprägt von den für das Unternehmen spezifischen Risiken. Es gibt jedoch eine Kernfrage, die sich wirklich jedes Unternehmen stellen soll, nämlich wie es sicherstellt, dass alle Mitarbeiter die internen Compliance-Prozesse und wichtigsten Rechtsregeln nicht nur kennen, sondern sie auch praktisch verstehen und deshalb im Alltag wissen, wie sie damit umgehen sollen.

So sollte die Compliance-Abteilung durch Schulungen und praktische Hilfe Vertrauen bei den Mitarbeitern schaffen. Auf diese Weise werden Mitarbeiter die Kollegen aus der Compliance-Abteilung frühzeitig einbinden, zum Beispiel wenn sie Fragen dazu haben, wie sie mit wertvollen Geschenken umgehen sollen, die sie im Rahmen einer Auslandsdienstreise erhalten haben, oder wie sie auf der sicheren Seite sind, wenn sie mit neuen Dienstleistern zusammenarbeiten wollen.

Richtig wirksam kann Compliance im Unternehmen jedoch nur gelebt werden, wenn der Compliance-Bereich nicht allein ein „Help-Desk" ist, der bei Fragen angesprochen wird: Ein CMS muss auch wirksame Kontrollen zulassen, um sich selbst nachjustieren und verbessern zu können. Die Compliance-Abteilung sollte also in die Lage versetzt werden, zum einen sowohl anlassgetrieben als auch regelmäßig die Einhaltung der Vorgaben zu überprüfen und zum anderen, die Erfolge ihrer Arbeit dokumentieren zu können. Für beides ist eine enge Zusammenarbeit mit der internen Revision und anderen Abteilungen, wie der Rechtsabteilung, empfehlenswert. Da es oft um Vertrauen geht: Es hilft auch, die Kolleginnen und Kollegen aus Vertrieb und Einkauf eng einzubinden, um Compliance im Unternehmen wirkungsvoll zu verankern.

Sie sagen, jeder Mitarbeiter muss die Compliance-Richtlinien im Unternehmen kennen. Wie kann denn ein Mitarbeiter einen möglichen Vorfall melden? Und welche Konsequenzen hat das möglicherweise für ihn?

Natürlich sieht der Idealfall so aus, dass Mitarbeiter sich vertrauensvoll an ihre Vorgesetzten wenden. Das ist aber oft nicht so einfach. Wir stellen fest, dass immer mehr Unternehmen so genannte Whistleblower-Systeme einführen – also Hinweisgebern die Möglichkeit geben, sich entweder anonym oder mit Namen an eine interne oder externe Stelle zu wenden. So etwas hilft, auch wenn gerade in Deutschland der Vergleich zum Denunziantentum gern bemüht wird. Schließlich ist es natürlich im Interesse der Unternehmen – schon allein aus Reputationsgründen – dass mögliche Verstöße zuerst an das Unternehmen gemeldet werden, bevor sich derjenige, der einen Hinweis hat, an die Presse, Polizei oder Staatsanwaltschaft wendet.

Die Akzeptanz bei  Mitarbeitern, ehemaligen Angestellten oder Geschäftspartnern und damit die Wirksamkeit dieser Systeme hängen stark von folgenden vier Faktoren ab:

  1. Transparenz: Was passiert mit meiner Meldung?
  2. Kontaktmöglichkeit: Hat die Compliance-Abteilung auch bei anonymen Meldungen die Möglichkeit, Rückfragen zu stellen?
  3. Zuständigkeit: Ist allen involvierten Personen klar, wer wann eingeschaltet werden muss?
  4. Konsequenzen: Welche straf- oder arbeitsrechtlichen Folgen hat es, wenn ich eine richtige oder falsche Meldung mache?

Das ist aber nur ein Teilaspekt, der ein CMS wirksam machen kann. Damit das CMS funktioniert, sind umfassende interne vorbeugende Trainingsmaßnahmen rund um Compliance-Prozesse ebenso zwingend erforderlich wie wirksame Kontrollen. Sie bilden die wesentlichen Säulen für die Wirksamkeit von Compliance in Unternehmen. Nach meiner Erfahrung und aus meinem Austausch mit Staatsanwälten heraus weiß ich, dass gerade die Strafverfolgungsbehörden immer genauer auf diese Aspekte schauen.

Zur Person:

Jörg Bielefeld ist Partner bei BEITEN BURKHARDT in München und leitet den Bereich Wirtschaftsstrafrecht. Sein Tätigkeitsbereich umfasst das gesamte Wirtschafts- und Steuerstrafrecht, die Compliance-Beratung sowie Strafverteidigung. Er berät nationale und internationale Unternehmen bei der Aufdeckung und Verfolgung unternehmensinterner Unregelmäßigkeiten (Corporate Investigation), bei Ermittlungen durch Strafverfolgungs- und Aufsichtsbehörden (Corporate Defence) sowie präventiv (Corporate Prevention & Criminal Compliance). Zudem verteidigt Jörg Bielefeld Individualpersonen in Wirtschaftsstrafverfahren.

Diesen Blog-Beitrag teilen:


Melden Sie sich zum zweimonatlich erscheinenden LexisNexis Newsletter an.