Die Einhaltung von Gesetzen ist für Unternehmen ein wichtiger Faktor für ihre wirtschaftliche Tätigkeit und Erfolg. Compliance-Abteilungen leisten dazu einen wesentlichen Beitrag und verhelfen den Unternehmen zur Gesetzestreue und Beachtung interner Vorschriften durch die Beschäftigten. Der Deutsche Corporate Governance Kodex (DCGK) enthält in seiner Fassung vom Februar 2017 eine explizite Empfehlung zu Compliance-Management-Systemen (CMS) und Hinweisgebersystemen (Ziffer 4.1.3). Dabei stellt sich die Frage, welche Auswirkung dies auf Unternehmen hat.

Deutscher Corporate Governance Kodex

Der Kodex ist ein wichtiges Instrumentarium für börsennotierte Unternehmen. Er gibt nicht nur die deutsche Gesetzeslage wieder, sondern spricht daneben Empfehlungen und Anregungen aus. Dies soll Transparenz und Vertrauen in börsennotierte Gesellschaften fördern. Diese müssen gemäß § 161 AktG jährlich eine Entsprechenserklärung veröffentlichen und darlegen, dass sie den Empfehlungen des DCGK entsprechen, oder begründen, warum Abweichungen auftreten. Flexibilität bleibt den Firmen dahingehend, dass sie Abweichungen beispielsweise durch branchenübliche Standards begründen können.

Überarbeitung des DCGK

Seit Februar 2017 gibt der Kodex in Bezug zu Compliance-Management-Systemen und Hinweisgebersystemen eine Empfehlung ab, welche in dieser Deutlichkeit vorher nicht vorzufinden war. Ziffer 4.1.3 DCGK lautet:

„Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.“

Aufgabe des Vorstands soll demnach nicht mehr nur die Befolgung der gesetzlichen Normen sein. Er hat vielmehr aktiv ein System zu konzipieren, welches sinnvolle Maßnahmen enthält und die Risikolage berücksichtigt. Des Weiteren ist ein Hinweisgebersystem für Beschäftigte und Externe zu implementieren bzw. eine Nicht-Einrichtung zu begründen. Solche Systeme können in Form von Telefonhotlines, Whistleblower-Websites wie www.whistle-blow.org oder Ombudspersonen bestehen. Diese Varianten ermöglichen in einem vertrauten oder anonymen Kreis Verstöße zu melden.

Umfang eines Compliance-Management-Systems

Ein Compliance-Management-System hängt von verschiedenen Faktoren wie der Branche, Größe oder Ausrichtung des Unternehmens ab. Es ist empfehlenswert, Risiken zu analysieren und zu bewerten und dadurch prozessuale Schwachstellen aufzudecken. Hierbei können Wirtschaftsprüfungsgesellschaften unterstützen. Die Ausgestaltung sollte nicht nach einem allgemeinen Schema vorgenommen werden. Eine kritische Betrachtung der Strukturen hinsichtlich der individuellen Gegebenheiten ist sinnvoll. Ein gutes CMS schafft darauf aufbauend wirksame Strukturen, um Risiken einzugrenzen. Eine jährlich stattfindende Anpassung des CMS aufgrund der Veröffentlichung der Entsprechenserklärung sichert zwar die Korrektheit der Erklärung, da die Grundzüge des Compliance-Management-Systems der aktuellen Unternehmenslage angepasst sind. Sie garantiert jedoch keinesfalls wirksame Compliance-Maßnahmen, da sich innerhalb eines Jahres Rechtsnormen oder andere wichtige Grundlagen des CMS ändern können.

Wirkung der neuen Empfehlung

Compliance bedeutet, gesetzliche Vorschriften einzuhalten und Rechtsverstöße abzuwenden. Somit werden Reputationsschäden, Bußgelder und Sanktionen begrenzt. Eine Pflicht zur Compliance ließ sich bisher nicht aus dem Deutschen Corporate Governance Kodex ableiten. Durch das „Comply or Explain“-Prinzip des DCGK muss der Vorstand ein fehlendes CMS bekanntgeben und begründen. Er legt nur ungern offen, dass in seiner Gesellschaft die Beachtung von Gesetz und internen Vorschriften keine hohe Priorität hat und ein CMS daher nicht notwendig ist.

Es ist zu erwähnen, dass die Entscheidung gegen ein Compliance-Management-System auch nachvollziehbar sein kann. Zum Beispiel kann ein separates CMS aufgrund der Unternehmensstrukturen oder der Tatsache, dass andere hohe Branchenstandards eingehalten werden, nicht sinnvoll sein. Eine gut begründete Abweichung von der Empfehlung des Kodex bedeutet, dass sich die Unternehmensleitung kritisch mit den eigenen Unternehmensstrukturen und der Risikolage sowie den rechtlichen Vorgaben auseinandergesetzt hat und ein weiteres System nicht als zielführend erachtet. Das CMS könnte in ein bereits vorhandenes System wie ein Risiko-Management-System oder ein internes Kontrollsystem eingegliedert werden. Somit würde es trotzdem eine Compliance-Funktion geben. Außerdem deutet die Abweichung in einem solchen Fall darauf hin, dass der Vorstand kein generelles Compliance-System einführen möchte bzw. bereits umgesetzt hat. Er erarbeitet eine geeignete Lösung für das spezifische Unternehmen, welche Kosten und Aufwand einspart. Dies führt zu einem effizienterem und effektiverem CMS.

Wird ein solches System hingegen allein wegen Versäumnissen des Unternehmens nicht eingerichtet, könnte sich dies in Zukunft negativ auf das Image auswirken und unter Umständen zur Beendigung von Geschäftsbeziehungen führen. Daneben könnte sich ein Widerspruch zwischen dem Unternehmensinteresse an der Vermeidung von Verstößen und dem Fehlen eines CMS ergeben. Der Vorstand sollte daher nie den Einfluss der Öffentlichkeit auf die Gesellschaft missachten und sich eines möglichen eigenen Haftungsrisikos bewusst sein.

Ausblick

Compliance-Management-Systeme sind umfassend und müssen zeitintensiv erarbeitet werden. Entspricht eine Gesellschaft der Empfehlung in Ziffer 4.1.3 des Deutschen Corporate Governance Kodex zum Compliance-Management-System, dann ist ein solches System implementiert. Dies wirkt sich positiv auf die Unternehmenstätigkeit aus. Es bleibt allerdings offen, wie detailliert die Ausführungen zu den Grundzügen des CMS zu erfolgen haben. Die offenzulegenden Grundzüge des Compliance-Management-Systems können entweder auf der Homepage des Unternehmens oder im DCGK-Bericht veröffentlicht werden. Investoren, Geschäftspartner, Beschäftigte sowie die Öffentlichkeit erhalten somit die Möglichkeit, sich selbst einen Eindruck von der verantwortungsvollen Unternehmensleitung zu machen. Es wird sich erst im Laufe der Zeit herausstellen, welche Informationen als relevant anzugeben sind.