Unternehmen und Gewerbetreibende sind mit einer Vielzahl von rechtlichen und technischen Anforderungen konfrontiert. Die Einhaltung dieser Vorschriften, auch als Compliance bekannt, ist von entscheidender Bedeutung, um einen verantwortungsvollen Umgang mit Technologie und Systemen sicherzustellen. Doch Compliance ist weit mehr als eine formale Übung; sie ist ein fundamentaler Bestandteil der Unternehmensführung und ein entscheidender Faktor zur Vermeidung erheblicher rechtlicher und finanzieller Risiken.
Was ist Compliance?
Compliance ist ein Begriff, der die Einhaltung und Umsetzung von regulatorischen Anforderungen im weitesten Sinne beschreibt. Sie zielt darauf ab, sicherzustellen, dass Unternehmen in allen Aspekten ihrer Tätigkeit gesetzliche Vorschriften und ethische Standards einhalten. Compliance umfasst eine breite Palette von Themen, von Umweltschutz über Arbeitsrecht bis hin zur Datensicherheit und IT-Compliance. Es geht im Kern um die Regeltreue des Unternehmens und seiner Mitarbeiter.
Ein besonders wichtiger Aspekt der Compliance ist die Governance, die sich mit der Organisation, Steuerung und Kontrolle von Systemen und Prozessen in Unternehmen befasst. In Deutschland sind sowohl der Vorstand einer Aktiengesellschaft (AG) als auch der Geschäftsführer einer GmbH gesetzlich verpflichtet, nicht nur die einschlägigen Gesetze und Vorschriften einzuhalten, sondern auch für eine transparente Organisation und ein angemessenes Risikomanagement zu sorgen. Diese Verpflichtung geht weit über das bloße Befolgen von Gesetzen hinaus und erstreckt sich auf die Gewährleistung einer verantwortungsvollen Unternehmensführung in jeder Hinsicht.
Persönliche Haftung der Geschäftsleitung im Rahmen Compliance-Pflicht
Die Compliance-Anforderungen in Deutschland sind umfassend und vielfältig. Sie ergeben sich aus verschiedenen Gesetzen und Vorschriften, darunter das GmbH-Gesetz (GmbHG) und das Aktiengesetz (AktG). Hier sind insbesondere die Paragrafen 43 des GmbHG sowie 93 und 116 des AktG von Bedeutung. Diese Vorschriften legen Sorgfaltsanforderungen und Informationspflichten fest, die von Unternehmen erfüllt werden müssen.
Dreh- und Angelpunkt der Compliance-Verantwortung ist die sogenannte Legalitätspflicht der Geschäftsleitung. Der Geschäftsführer einer GmbH (§ 43 GmbHG) und der Vorstand einer AG (§ 93 AktG) haften der Gesellschaft gegenüber für Schäden, die aus einer Verletzung ihrer Sorgfaltspflichten entstehen. Zu diesen Pflichten gehört fundamental die Einhaltung der Gesetze. Diese Verantwortung bedeutet jedoch nicht nur, dass die Geschäftsleitung selbst keine Gesetze verletzen darf. Sie ist vielmehr verpflichtet, das Unternehmen so zu organisieren und zu überwachen, dass aus dem Unternehmen heraus keine Rechtsverstöße begangen werden.Vernachlässigt die Geschäftsleitung diese Organisationspflicht, liegt ein sogenanntes Organisationsverschulden vor. Kommt es infolgedessen zu einem Rechtsverstoß durch einen Mitarbeiter – etwa in Form von Korruption, Kartellabsprachen oder schwerwiegenden Datenschutzverstößen – kann der daraus resultierende Schaden (z.B. Bußgelder, Schadensersatzforderungen) von der Gesellschaft auf die Geschäftsleitung durchgegriffen werden. Diese haftet dann unter Umständen persönlich und unbeschränkt mit ihrem Privatvermögen. Hinzu kommen strafrechtliche Risiken, etwa wegen einer Verletzung von Aufsichtspflichten gemäß § 130 des Gesetzes über Ordnungswidrigkeiten (OWiG).
Compliance Management System (CMS) als organisatorische Antwort
Um der Organisationspflicht nachzukommen und Haftungsrisiken zu minimieren, ist die Implementierung eines Compliance Management Systems (CMS) unerlässlich. Ein solches System bündelt alle Maßnahmen zur Sicherstellung der Regeltreue.
Hier kommt das interne Kontrollsystem (IKS) ins Spiel. Das IKS ist unerlässlich, um eine angemessene Grundlage für die Unternehmensführung zu schaffen und die gesetzlichen Berichts- und Dokumentationspflichten zu erfüllen. Es dient nicht nur der Compliance, sondern auch der Risikosteuerung und wird daher auch im Rahmen der Abschlussprüfung eines Unternehmens geprüft. Das IKS umfasst die vorhandenen Überwachungssysteme sowie die damit verbundenen Risikomanagementprozesse und Risikofrüherkennungssysteme, sowohl innerhalb als auch außerhalb der IT-Struktur eines Unternehmens.
Ein CMS geht jedoch oft über ein rein finanzorientiertes IKS hinaus. Es zielt darauf ab, systematisch Risiken für sämtliche Rechtsverstöße zu identifizieren, zu bewerten und zu steuern. Ein wirksames CMS basiert typischerweise auf den drei Säulen Prävention, Aufdeckung und Reaktion. Prävention umfasst Richtlinien, Schulungen und Beratungsangebote. Die Aufdeckung beinhaltet Kontrollmechanismen und insbesondere Meldesysteme. Die Reaktion beschreibt den Prozess der internen Untersuchung und der Sanktionierung von Verstößen sowie die Anpassung der Präventionsmaßnahmen. Ein nachweislich implementiertes CMS kann im Falle eines Verstoßes bußgeldmindernd wirken (§ 30 OWiG).
Welche Rolle spielt IT-Compliance?
Angesichts der kontinuierlich zunehmenden Komplexität von Geschäftsprozessen in Unternehmen ist die Unterstützung durch effektive IT-Systeme unerlässlich geworden. Corporate Governance und IT-Compliance sind eng miteinander verknüpft, da IT-Systeme eine Schlüsselrolle bei der Erfüllung von Compliance-Anforderungen spielen. Ein unzureichendes IT-System kann erhebliche Schäden verursachen und sogar die Existenz eines Unternehmens gefährden.
Risiken entstehen dabei auf vielfältige Weise. Ein kleiner Softwarefehler kann erhebliche wirtschaftliche Schäden verursachen. Darüber hinaus bestehen Gefahren von externen Bedrohungen wie Viren, Hackerangriffen und anderen Sicherheitsverletzungen. Unternehmen sind daher gefordert, Maßnahmen zur Prävention und zum Schutz gegen solche Risiken zu implementieren. Dies umfasst nicht nur den Schutz vor Cyberangriffen, sondern auch die Gewährleistung der Verwendung lizenzierter Software, um rechtliche Konsequenzen zu vermeiden. Die IT-Compliance stellt sicher, dass die IT-Infrastruktur, die Datenverarbeitung und die Softwarenutzung allen rechtlichen Vorgaben entsprechen.
Datenschutz als Compliance-Aufgabe (DSGVO)
Ein Bereich, der die IT-Compliance maßgeblich prägt, ist der Datenschutz. Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 stehen Unternehmen unter verschärfter Beobachtung. Die DSGVO stellt hohe Anforderungen an die Verarbeitung personenbezogener Daten und sieht bei Verstößen drastische Bußgelder von bis zu vier Prozent des weltweiten Vorjahresumsatzes vor.
Compliance im Datenschutz bedeutet die Einhaltung der Grundsätze der Datenverarbeitung (wie Rechtmäßigkeit, Zweckbindung, Datenminimierung) und die Implementierung sogenannter technisch-organisatorischer Maßnahmen (TOMs) zum Schutz der Daten. Unternehmen müssen zudem umfangreiche Dokumentationspflichten erfüllen, wie das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) und die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) bei risikoreichen Verarbeitungen. Die Benennung eines Datenschutzbeauftragten kann ebenfalls eine gesetzliche Pflicht darstellen.
Hinweisgeberschutzgesetz (HinSchG) und Interne Meldestellen
Ein weiterer Baustein der Compliance-Landschaft ist das Hinweisgeberschutzgesetz (HinSchG), das die EU-Whistleblowing-Richtlinie umsetzt. Unternehmen ab einer bestimmten Größe (in der Regel ab 50 Mitarbeitern) sind gesetzlich verpflichtet, eine interne Meldestelle einzurichten und zu betreiben.
Diese Meldestelle muss es Mitarbeitern und teilweise auch Externen ermöglichen, Verstöße gegen bestimmte Gesetze (z.B. im Bereich Korruption, Geldwäsche, aber auch Umwelt- und Verbraucherschutz) vertraulich zu melden. Das Gesetz schützt die hinweisgebende Person (Whistleblower) umfassend vor Repressalien wie Kündigung oder Schikanen. Für die Geschäftsführung ist das HinSchG eine doppelte Verpflichtung: Zum einen ist die Einrichtung der Meldestelle selbst eine Compliance-Pflicht, deren Verletzung bußgeldbewehrt ist. Zum anderen dient das System der Aufdeckung von Compliance-Verstößen und ist damit ein wesentliches Element eines funktionierenden CMS.
Verantwortung in der Lieferkette (LkSG)
Die Compliance-Verantwortung endet nicht mehr am eigenen Werkstor. Das Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet Unternehmen ab einer bestimmten Größe (gestaffelt nach Mitarbeiterzahl), menschenrechtliche und umweltbezogene Sorgfaltspflichten in ihren Lieferketten zu beachten. Betroffene Unternehmen müssen ein Risikomanagement implementieren, um Risiken wie Kinderarbeit, Zwangsarbeit oder die Missachtung von Arbeitsschutzstandards bei ihren unmittelbaren und mittelbaren Zulieferern zu identifizieren und zu adressieren.
Dies erfordert eine Risikoanalyse, die Verabschiedung einer Grundsatzerklärung, die Verankerung von Präventionsmaßnahmen (z.B. in Verträgen mit Zulieferern) und die Einrichtung eines Beschwerdeverfahrens. Die Einhaltung wird durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) überwacht, das bei Verstößen empfindliche Bußgelder verhängen kann.
Praktische Umsetzung eines Compliance-Systems
Die Umsetzung von Compliance-Anforderungen erfordert eine strukturierte Herangehensweise. Unternehmen müssen sicherstellen, dass sie über die notwendigen Prozesse, Richtlinien und technischen Ressourcen verfügen, um die erforderlichen Maßnahmen zu ergreifen.
Eine gründliche Risikoanalyse ist der Ausgangspunkt für die Compliance. Unternehmen müssen ihre internen und externen Risiken bewerten, um Prioritäten zu setzen und angemessene Schutzmaßnahmen zu ergreifen. Bei dieser „Gefährdungsanalyse“ wird ermittelt, welche Rechtsbereiche für das spezifische Geschäftsmodell besonders relevant sind (z.B. Kartellrecht im Vertrieb, Datenschutz im Online-Handel, Geldwäsche bei Finanzdienstleistern).
Darauf aufbauend ist es entscheidend, klare und verständliche Compliance-Richtlinien zu entwickeln und zu kommunizieren. Diese Richtlinien, oft zusammengefasst in einem zentralen Verhaltenskodex (Code of Conduct), sollten alle relevanten Bereiche abdecken, von Datenschutz und Informationssicherheit bis hin zu Umweltauflagen, Antikorruptionsvorgaben und dem Umgang mit Interessenkonflikten.
Die besten Richtlinien sind wirkungslos, wenn sie nicht im Unternehmen gelebt werden. Mitarbeiter müssen über die Bedeutung von Compliance informiert und geschult werden. Dies umfasst regelmäßige Schulungen zu den Inhalten der Richtlinien sowie zur sicheren Nutzung von IT-Systemen, die auf die jeweilige Rolle und Risikolage des Mitarbeiters zugeschnitten sind.
Zur Effektivität eines CMS gehört zwingend die Überwachung. Die kontinuierliche Überwachung von Compliance-Aktivitäten ist unerlässlich. Unternehmen sollten Mechanismen zur Erfassung von Verstößen einrichten, wie das bereits genannte Hinweisgebersystem, und regelmäßige Berichte über Compliance-Maßnahmen und Vorfälle erstellen, um der Geschäftsleitung die Steuerung zu ermöglichen.
Zuletzt dürfen Compliance-Programme nicht statisch sein. Compliance-Anforderungen ändern sich ständig durch neue Gesetze, Rechtsprechung oder geänderte Geschäftsmodelle. Unternehmen müssen sicherstellen, dass ihre Compliance-Programme flexibel genug sind, um sich an neue Gesetze und Vorschriften anzupassen und durch einen kontinuierlichen Verbesserungsprozess aktuell gehalten werden
