Compliance: Welche Bedeutung hat es für Unternehmen?

Compliance: Welche Bedeutung hat es für Unternehmen?

Die deutsche Gesetzgebung ist vielfältig und umfangreich. Das Rechtsportal Juris gibt in seiner Internetpräsenz zum Beispiel 571.418 Einträge für deutsche Gesetze und Verordnungen an. Gleichzeitig kann man sich in 76.656 Dokumenten über Verwaltungsvorschriften informieren. Die Rechtsprechung und spezifische Urteile sind darüber hinaus umfassend.

Sie gelten als Grundlage für Entscheidungen, in denen Gesetze interpretierbar sind. Aufgrund des Umfangs an Normen, Verordnungen und Verwaltungsvorschriften ist es unmöglich, alle Vorgaben zu kennen. Dies gilt sowohl für Unternehmen wie für Privatpersonen.

    Vom Grundgesetz bis zum Mutterschutzgesetz

    Der Gesetzgeber regelt mit seiner Gesetzgebung unter anderem die Beziehung zwischen Vertragsparteien. Er beschreibt, wie Behörden und staatliche Stellen organisiert werden und macht Angaben zu Steuern und Abgaben. Im Grundgesetz (GG) oder im Bürgerlichen Gesetzbuch (BGB) formuliert er allgemeingültige Regeln für alle Bürger. Im betrieblichen Umfeld steckt er mit der Datenschutzgrundverordnung (DSGVO) unter anderem den Rahmen für den Schutz von personenbezogenen Daten ab. Im Einkommensteuergesetz (EStG) fokussieren sich die Vorgaben auf die Unternehmensbesteuerung oder auf Steuerbegünstigungen.

    Alle Gesetze der Bundesrepublik Deutschland beinhalten neben eindeutigen Vorschriften spezielle Bußgeld- oder Strafvorschriften. Diese werden bei Nichtbeachtung aktiviert. Verstößt ein Betrieb zum Beispiel vorsätzlich oder grob fahrlässig gegen das Mutterschutzgesetz (MuSchG) drohen verantwortlichen Mitarbeitern Geldbußen bis zu 30.000 Euro oder Freiheitsstrafen bis zu einem Jahr.

    Was sich Unternehmen in Bezug auf Compliance fragen

    Angesichts der Strafvorschriften und der Vielzahl an Gesetzen und Richtlinien ist es für kein Unternehmen ohne Zielstrebigkeit, sich gesetzeskonform zu verhalten. In vielen Fällen entstehen Fehler oder Verstöße ohne direkten Vorwand. Umso wichtiger ist es für Firmenverantwortliche, die rechtlichen Regelungen zu kennen.

    Ein konkreter Überblick über die geltenden Gesetze ist essenziell. Darüber hinaus gilt es, ein System im Unternehmen zu implementieren, dass die Einhaltung von externen und internen Regeln fördert. Dieses als Compliance-Management-System bekannte System hilft, Regelverstößen vorzubeugen und die gesetzlichen Bestimmungen im Unternehmensalltag anzuwenden.

    Unter Compliance versteht man in Unternehmen aus betriebswirtschaftlicher oder rechtswissenschaftlicher Sicht die Einhaltung der geltenden Gesetze. Unternehmer, Führungskräfte und Personaler fragen sich in diesem Zusammenhang unter anderem:

    • Warum sollte Compliance in Unternehmen generell fokussiert werden?
    • Was ist unerlässlich, um ein Compliance-Management-System im Betrieb zu implementieren?
    • Wie können Unternehmen sicherstellen, dass ein Compliance-Management-System im Unternehmen gelebt wird?
    • Wann ist die Einhaltung von gesetzesunabhängigen Kodizes relevant?
    • Welchen Benefit haben Unternehmen mittel- und langfristig von einem funktionierenden Compliance-Management-System?

    Warum Compliance generell im Unternehmen fokussiert werden sollte

    Global agierende Unternehmen und Konzerne verfügen in der Regel über eine eigene Rechtsabteilung. Angestellte Fachanwälte sollen sicherstellen, dass die geltende Gesetzgebung und spezifische Richtlinien und Vorgaben zu jeder Zeit eingehalten werden. Kleinere Unternehmen kaufen sich juristische Unterstützung in Form eines Fachanwaltes ein, der sie berät.

    Sieht man sich die Bezeichnungen von betriebsinternen Fachabteilungen an, wird ihr Zweck schnell deutlich. Eine Abteilung „Governance, Risk & Compliance“ oder eine Fachabteilung „Legal“ werden eingesetzt, um die Zusammenarbeit mit staatlichen Stellen zu optimieren. Es ist ihre Aufgabe, rechtliche Fragestellungen auf Basis der geltenden Rechtsprechung zu bearbeiten.

    Der Terminus Compliance hat im Unternehmenskontext eine wichtige Bedeutung. Er impliziert, dass sich sowohl die Unternehmensleitung wie die Betriebsangehörigen an interne und externe Rechtsvorschriften halten. Vor allem Führungskräften und der Unternehmensleitung kommt in diesem Bereich eine hohe Verantwortung zu. Abseits ihres eigenen, positiven Beispiels sind sie dafür verantwortlich, die Leitlinien und den Rahmen für Compliance im Unternehmen festzulegen. Von ihnen wird erwartet, sinnvolle interne Regelungen und Statuten zu implementieren. In den meisten Unternehmenskodizes finden sich aus diesem Grund ähnliche Formulierungen wie man sie beispielhaft im „Code of Conduct“ der Volkswagen AG findet.

    Hier heißt es auszugsweise zur Erwartungshaltung des Konzerns:

    • Wir erwarten, dass „jeder einzelne Arbeitnehmer, ehrlich, integer und ethisch korrekt verhalten. Das bedeutet auch, dass wir intern und extern wahrheitsgemäß, umfassend und rechtzeitig berichten und kommunizieren.“
    • „Dazu zählt, dass die im Unternehmen geltenden Regeln von uns allen jederzeit und überall beachtet und eingehalten werden.“
    • „Wer gegen den Code of Conduct verstößt, muss mit angemessenen Konsequenzen rechnen.“

    Offenheit und Transparenz wirken professionell

    Aus Unternehmenssicht ist es essenziell, Compliance-Regeln vollumfänglich im Betrieb zu implementieren.

    Ob diese in einem:

    • umfangreichen Unternehmens-Kodex,
    • im individuell konzipierten Arbeitsvertrag oder
    • in Betriebsvereinbarungen

    aufgeführt werden, ist zweitranig. Durch die Einführung von innerbetrieblichen Regeln verfolgen Unternehmen aller Größenordnungen das Ziel, strafrechtliche oder zivilrechtliche Risiken zu minimieren. Durch ein proaktives Vorgehen wird garantiert, dass juristische oder rechtliche Fragestellungen im Unternehmen zu jeder Zeit Beachtung finden.

    Regeln für das Unternehmen festlegen, Compliance im Unternehmen
    Wie lassen sich anhand Compliance Unternehmensregeln festlegen? © one photo – Shutterstock

    Verbindliche Unternehmensregeln zeigen darüber hinaus auf, dass ein Betrieb offen und transparent agiert. Vor allem im internationalen Bereich oder bei kommunalen Ausschreibungen ist es von Vorteil, moderne und gesetzeskonforme Regelungen öffentlich darzulegen. Dieses Vorgehen kann einen Wettbewerbsvorteil erzeugen. Dies kann gesagt werden, da global agierende Konzerne oder Behörden Lieferanten präferieren, die compliant handeln. Aus Sicht der Mitarbeiter hat ein Unternehmen mit gelebten Compliance-Regeln ebenfalls einen nicht zu unterschätzenden Vorteil.

    Durch die selbstauferlegten Regeln ist sichergestellt, dass Gleichberechtigung, Equal Pay und Flexibilität betriebsintern wesentlich sind. Dies stärkt das Employer Branding nachhaltig. Zum einen werden die bestehenden Mitarbeiter positiver vom Betrieb sprechen. Bei Neueinstellungen oder dem Abwerben von Kandidaten kann das Unternehmensbranding neben anderen Komponenten die Entscheidung für ein Unternehmen befördern.

    Zusammenfassend ist es aus Unternehmenssicht zielführend und vorausschauend, Compliance zu fokussieren. Aus externer Sicht wirken gesetzeskonforme Unternehmen modern und transparent. Bei interner Betrachtung fördert Compliance die Motivation der Beschäftigten und das Employer Branding. Realistisch betrachtet ist es für Unternehmen nicht einfach, Compliance-Grundsätze und ein Compliance-Management-System professionell in der Unternehmens-DNA zu verankern. Eine vorausschauende Organisation und der Einsatz von Zeit und Mitteln ist für ein stringentes System wesentlich. Zusätzlich gewinnt es durch gelebte Transparenz, Offenheit und nutzenorientierte Kommunikation.

    Was ist unerlässlich, um ein Compliance-Management-System im Betrieb zu implementieren?

    Unternehmen, die verstehen, wie wesentlich Compliance und Gesetzeskonformität für interne Abläufe ist, müssen in Bezug auf die Implementation kompetent und zielorientiert planen. Ein Compliance-Management-System lebt davon, dass es von allen Mitarbeitern und Führungskräften beachtet wird. Ist es mehr auf pathetische Worte und weniger auf Taten aufgebaut, wird es das fokussierte Ziel nicht erreichen.

    Ein funktionierendes Compliance-Management-System muss vor allem die folgenden Essenzen beinhalten: Es muss

    1. betriebsintern Verstöße gegen gesetzliche Vorschriften oder interne Regeln aufdecken.
    2. geeignete Maßnahmen bereitstellen, um gesetzliche Rechtsbrüche proaktiv zu verhindern.
    3. transparent darstellen, wie strafbare und ungesetzliche Handlungen geahndet werden.
    4. Compliance-Ansprechpartner im Unternehmen fortlaufend und kompetent schulen und weiterbilden.

    Zur Umsetzung von Compliance-Regeln verfügen Unternehmen über einen breiten Handlungsspielraum. Der Gesetzgeber hat keinerlei Vorschriften erlassen, die definieren, wie Compliance im Unternehmen implementiert und gelebt werden sollte. Ziel und Maßstab sind in jedem Fall die gesetzlichen Regelungen. Wie ein Unternehmen sicherstellt, dass Gesetze und rechtliche Vorgaben eingehalten werden, ist individuell und jedem Betrieb in Eigenregie überlassen.

    Welche besondere Verantwortung haben Führungskräfte und Manager?

    Es ist nachvollziehbar, dass ein Compliance-Management-System ausschließlich funktionieren kann, wenn sich Führungskräfte und Manager an die selbst gesteckten Vorgaben halten. Das gute Beispiel eines Vorgesetzten in Bezug auf Überstunden, Arbeitszeiten oder die Behandlung von personenbezogenen Daten wird von Mitarbeitern beobachtet. Bei DAX-Konzernen oder global agierenden Unternehmen prüfen investigative Journalisten darüber hinaus, ob Konventionen von Managern umgegangen werden. In diesem Fall drohen Presseberichte, die das Image des Konzerns schwächen.

    Interessant sind in diesem Zusammenhang die Ergebnisse einer Umfrage des Statistikportals Statista. Es fragte Personen im Allgemeinen, ob Führungskräfte in Politik und Wirtschaft ihren Aufgaben gerecht werden. In diese Frage eingeschlossen ist die Annahme, ob Führungskräfte oder Manager gute Vorbilder abgeben. 67 % der Befragten sehen die Tätigkeit von Führungskräften in der Wirtschaft negativ. Sie glauben nicht, dass sie ihren Aufgaben in positiver Weise nachkommen. Oberbürgermeister in Deutschland schneiden in der Betrachtung besser ab. Nur 20 % der Befragten sind mit ihrer Tätigkeit unzufrieden.

    Diese repräsentative Umfrage der Forschungsgruppe Wahlen aus dem Jahre 2008 zeigt auf, dass nicht jede Führungspersönlichkeit ihrer Verantwortung gerecht wird. Werden Skandale in der Wirtschaft oder der Politik öffentlich, kann die Grundlage des Fehlverhaltens schnell erkannt werden. In den meisten Fällen kann der Auslöser in einem inadäquaten Compliance-Management-System gefunden werden. Dieses dient wie eine Maske ausschließlich der Außendarstellung. In der Realität verfügt es über wenig Lenkungswirkung im Unternehmen.

    Das eine fehlerhafte Methodik verantwortlich ist, kann gesagt werden, da funktionierende Systeme Frühwarnsysteme beinhalten. Diese identifizieren Verfehlungen einzelner Personen schnell und legen diese betriebsintern offen. Wird das Compliance-Management-System im Gegensatz nicht von allen Managern gelebt und beachtet, kann dies schwerwiegende Folgen nach sich ziehen. Gleichzeitig drängt sich bei den Mitarbeitern der Eindruck auf, dass Abweichungen opportun sind und keine Konsequenzen haben. Der Schaden für ein Unternehmen kann exorbitant und existenzbedrohend sein.

    Wie Unternehmen die Struktur für ein Compliance-Management-System verabschieden

    Ein Compliance-Management-System, das Rechtskonformität sicherstellt, kann nicht innerhalb eines kurzen Zeitraumes implementiert werden. Eine tragende Struktur, die gefährdete Unternehmensbereiche fokussiert und Gesetze und Verordnungen beachtet, muss mit Bedacht aufgebaut werden. Hierzu gehört die ergebnisoffene Diskussion mit den Führungskräften. In Meetings und Workshops müssen drei wesentliche Endpunkte von allen Beteiligten respektiert werden:

    1. Alle Führungskräfte und Manager müssen die gleichen Compliance-Ziele verfolgen.
    2. Es muss ein System aufgebaut werden, dass zwingend im gesamten Unternehmen gelebt wird.
    3. Ideen und Strategien der Mitarbeiter und Führungskräfte sind willkommen. Sie werden in die Konzeption aufgenommen und eingearbeitet.

    Geht ein Unternehmen in dieser Weise beim Aufbau eines Compliance-Management-Systems vor, werden die Ergebnisse von Erfolg gekrönt sein.

    Grundzüge des Compliance-Management-Systems

    Sind das Fundament und die Grundzüge des Compliance-Management-Systems verabschiedet, beginnt die Umsetzungsphase. In Train-the-Trainer-Seminaren können die verschiedenen Führungsebenen darauf vorbereitet werden, die Erwartungshaltung und die Mehrwerte des Systems an die Belegschaft weiterzugeben. Hierbei macht es im späteren Verlauf Sinn, Mitarbeiterworkshops zu organisieren. In diesen können in Gruppenarbeiten die Vorgaben diskutiert, analysiert und verinnerlicht werden.

    Statt klarer Vorgaben kann durch Mitsprache die Akzeptanz der Belegschaft vergrößert werden. Ein solch demokratisches Vorgehen bedeutet nicht, endlose Diskussionen zuzulassen. Der von der Geschäftsführung und den Führungskräften abgesteckte Rahmen muss als gesetzt gelten. Kleine Konzessionen und Veränderungen können den Prozess praxisorientierter gestalten. Sie können dazu führen, dass ein Compliance-Management-System noch individueller an die Unternehmensgegebenheiten angepasst wird.

    Auf welche wichtigen Punkte des Compliance-Management-Systems sollte sich ein Unternehmen fokussieren?

    Ein Compliance-Management-System sollte spezifisch auf ein Unternehmen abgestimmt sein. Abhängig von der individuellen Branche und von Produkten und Dienstleistungen können unterschiedliche Gesetze und Bestimmungen relevant sein. In vielen Fällen müssen neben der nationalen Gesetzgebung internationale Vorgaben eingehalten werden. Dies ist zum Beispiel der Fall, wenn ein Großteil der Waren ins Ausland exportiert wird. In diesem Fall ist es nicht ausreichend, ein Compliance-Management-System zu kopieren oder von anderen Betrieben zu übernehmen. Ein innerbetriebliches System wird ausschließlich dann seine Ziele erreichen, wenn es individualisiert ist.

    Neben der notwendigen Spezifizierung können Unternehmen bei der Implementierung die folgenden generellen Fragestellungen fokussieren:

    Welche Bereiche im Unternehmen sind im Besonderen gefährdet, gesetzliche Vorgaben zu missachten?Marketing und Öffentlichkeitsarbeit (DSGVO)Personalabteilung (MuSchG, EStG)

    Wie können die Vorgaben der Datenschutzgrundverordnung in allen Abteilungen umgesetzt werden?
    Einwilligung in E-Mail-WerbungImplementation eines Datenschutzbeauftragten

    Umgang mit personenbezogenen Daten von Mitarbeitern

    Wie kann sichergestellt werden, dass in der Buchhaltung und in der Personalabteilung Gesetze und Vorgaben eingehalten werden
    Regelmäßige Rechnungskontrolle

    Prüfung von Verträgen vor Versand durch die Rechtsabteilung

    Regelmäßige unangekündigte interne Revisionen vor Behördenkontrollen
    Wie kontrollieren sich Geschäftsführung und Führungskräfte eigenverantwortlich? Wie stellt der Führungszirkel sicher, die eigenen Compliance-Vorgaben umzusetzen?Regelmäßige Compliance-Meetings

    Seminare und Schulungen zu gesetzlichen Novellierungen

    Einhaltung des Firmenkodex
    Gibt es bei Rechtsverstößen oder Fehlverhalten einen Maßnahmenkatalog? Werden alle Mitarbeiter in gleicher Weise sanktioniert?Hohe betriebsinterne Transparenz zu Fehlverhalten und Sanktionierung

    Umfangreiche, vollumfängliche Zusammenarbeit mit den Behörden
    Wie werden Mitarbeiter und Führungskräfte in Bezug auf Compliance-Regeln geschult?Fortlaufendes Coaching anhand von praxisrelevanten Beispielen

    Diese und weitere Fragen unterstützen die Unternehmensleitung bei ihrem Ziel, ein professionelles Compliance-Management-System im Unternehmen umzusetzen. Erfolg kann ausschließlich sichergestellt werden, wenn alle Manager und Führungskräfte die besprochenen Maßnahmen umsetzen. Die Rechtsabteilung kann leitende Angestellte durch spezifische Fragebögen und Coachings darin unterstützen, Compliance-Themen zu fokussieren. Ebenfalls zielführend ist das Aufstellen einer individuellen Gefährdungsanalyse. Jede Fachabteilung kann hierbei mit abweichenden Risiken konfrontiert werden.

    Erhalten Führungskräfte Hilfestellung von einer Fachabteilung, können sie schneller geeignete Maßnahmen proaktiv umsetzen. Sie erfahren darüber hinaus, in welchen Fachbereichen Gefahren drohen. Gleichzeitig lernen leitende Angestellte, Chancen zu nutzen und kompetent Potenziale und Risiken abzuschätzen. Praxisbeispiele können in der Folge unter dem Oberbegriff „Sharing best practice“ an andere Abteilungen weitergegeben werden. Durch Vernetzung, nutzenorientierte Kommunikation und Offenheit entwickelt sich fortlaufend ein professionelleres Selbstverständnis. Dieses hilft, die Ziele des Compliance-Management-Systems intern adäquat umzusetzen.

    Wie fördert man das Compliance-Selbstverständnis?

    Diskutieren Mitarbeiter und Führungskräfte offen über die Inhalte und Ziele eines Compliance-Management-Systems wächst die innerbetriebliche Akzeptanz. Erkennen die Betriebsangehörigen darüber hinaus, dass die Managementebene die beschlossene Systematik lebt und im Betrieb umsetzt, wirkt dies zusätzlich positiv.

    Compliance-Management impliziert, dass die innerbetrieblichen Vorgaben und Regeln, unabhängig von einer Person umgesetzt werden. Erst wenn jeder Betriebsangehörige durch Schulung die Inhalte des Compliance-Management-Systems versteht, kann er diese umsetzen. Gleichzeitig muss es zum Selbstverständnis gehören, dass es erlaubt und gewünscht ist, Fehlverhalten öffentlich zu machen. Hierbei dürfen keine Ausnahmen bestehen. Führungskräfte oder die Unternehmensleitung müssen aus diesem Grund in gleicher Weise wie Angestellte sanktioniert werden.

    Transparenz und Compliance gehören zusammen. Unternehmen die mit Ehrlichkeit, Geradlinigkeit und Verantwortung werben, sollten Fehlverhalten und Sanktionen aus diesem Grund öffentlich machen. Kein Angestellter darf Angst davor haben, Übertretungen anzuzeigen. Vielmehr sollte das Offenbaren von strafbaren oder ungesetzlichen Handlungen als positiv und wünschenswert gelten. Mit dieser eindeutigen und gesetzeskonformen Haltung gehört es zum Selbstverständnis, dass sich alle Angestellten im Unternehmen an den gelten Compliance-Regeln orientieren. Dies schließt sowohl die Gesetze wie interne Bestimmungen ein.

    Warum das ISO 19600 Compliance-System als Richtschnur für Unternehmen gelten kann

    Internationale Standards und Zertifizierungen haben sich in vielen Unternehmensbereichen durchgesetzt. Die ISO-Norm-9001 gilt zum Beispiel als Standardzertifizierung im Qualitätsmanagement. Unternehmen, die ihre Organisation auf Grundlage einer ISO-Norm zertifizieren gelten als fortschrittlich. Sie zeigen an, dass sie mitarbeiterzentriert, organisiert und rechtlich konform tätig sind.

    Iso 19600 CMS, Compliance Management System, Einhaltung von Compliance-Regeln, Internationale Norm 19600
    Die internationale Norm ISO 600 steht für die Einhaltung der Compliance Regeln © EtiAmmos – Shutterstock

    Für die Einhaltung von Compliance-Regeln ist ebenfalls eine internationale Norm bekannt. Es handelt sich hierbei um ISO 19600. Unternehmensberater und Consultingspezialisten halten das Angebot vor, die Zertifizierung auf Basis der ISO Norm 19600 in einem spezifischen Audit vorzunehmen. ISO 19600 gilt als professionelle Richtlinie für den Einsatz von Compliance-Management-Systemen. Durch die Zertifizierung erhalten Betriebe Handlungshinweise, um gesetzlichem Fehlverhalten noch besser vorzubeugen. Die Norm ist skalierbar und kann aus diesem Grund ebenfalls in kleinen Unternehmen ausgerollt werden. Der ISO-Standard geht wie alle ISO-Standards auf die Internationale Organisation für Normung (ISO) zurück. ISO 19600 wurde im Jahr 2014 veröffentlicht und im Jahr 2018 erstmalig revidiert.

    Von welchen Inhalten profitieren Unternehmen bei einer ISO 19600-Zertrifizierung?

    Die ISO 19600-Norm ist auf fünf tragende Säulen aufgebaut:

    1. Individuelle Bewertung von Compliance-Risiken.
    2. Führung und Vorbildfunktion.
    3. Maßnahmen zur Kontrolle des Compliance-Management-Systems.
    4. Betriebsinterne Kommunikation und Trainingsmaßnahmen.
    5. Monitoring der Ergebnisse, interne Audits und Learnings.

    1. Individuelle Bewertung von Compliance-Risiken

    Unternehmen, die sich für eine Umsetzung der ISO-19600-Norm entscheiden, müssen im ersten Schritt ihre Organisation einer Kompetenzprüfung unterziehen. Dies inkludiert, dass rechtliche Umfeld des Betriebs eingehend zu analysieren. Dies impliziert, die individuellen Compliance-Risiken aufzuspüren. Es bedeutet darüber hinaus, zu bewerten, welche Auswirkungen ein Fehlverhalten haben könnte. Die Bewertung der Compliance-Risiken bildet den Startpunkt eines in sich geschlossenen Compliance-Management-Systems.

    Beispiel: Compliance Risiko Datenschutzgrundverordnung (DSGVO)

    Für viele Betriebe gehört es zur Wachstumsstrategie, durch Kaltakquise neue Kunden zu gewinnen. Dieses Vorgehen ist lukrativ, mag gleichzeitig datenschutzrechtlich ein erhöhtes Risikopotenzial bergen. Die DSGVO erklärt unter anderem, dass personenbezogene Daten ausschließlich zweckgebunden erhoben werden dürfen. Datenminimierung und Transparenz bei der Erhebung und Archivierungen sind Grundlage der DSGVO.

    Kommt die Unternehmensleitung nach der spezifischen Risikobewertung zu dem Schluss, dass mit der die Kaltakquise die Gefahr für Fehler bei der Datenspeicherung steigt, muss gehandelt werden. In einem nächsten Schritt erfolgt die Kalkulation, wie hoch das Risiko bei Nichteinhaltung der Vorgaben ist. Die Strafzahlungen in Höhe von 4 % des Jahresumsatzes als Sanktion bei Verletzung der DSGVO wiegen schwer. Aufgrund der staatlichen Sanktionierungen wird jedes Unternehmen im Detail spezifizieren, wie hoch Nutzen und Risiko sind. Gleichzeitig muss geprüft werden, wie die gängige Praxis gesetzeskonform abgeändert werden kann. Eine gangbare Möglichkeit wäre ein Opt-in-System, mit dem sich der Betrieb vor der Datenspeicherung die Erlaubnis des Nutzers einholt.

    2. Führung und Vorbildfunktion

    Im Rahmen der Schulungen zur ISO 19600 legen Trainer besonderen Wert auf die Vorbildfunktion der Führungskräfte. Nach der Entscheidung für ein Compliance-Management-System ist die Geschäftsführung in der Verantwortung, das System mit Inhalten zu beleben. Gleichzeitig schafft die Unternehmensleitung Planstellen und gibt personelle oder finanzielle Ressourcen frei. Neben dem Aufbau des Systems sollte die Unternehmensführung ihre Vorbildfunktion für ein offenes Bekenntnis nutzen. Mit einer eindeutigen Erklärung, externe Gesetzen und internen Regeln zu achten, bekennt sich die Unternehmensleitung zum Compliance-Management-System. Ihre Vorbildfunktion muss im Laufe der Zeit durch Taten untermauert werden.

    Beispiel für ein starkes Bekenntnis zum Compliance-Management-System

    Am Beispiel der Debeka-Versicherungsgruppe kann man gut erkennen, wie sich ein Vorstand zur deutschen Gesetzgebung und zum internen Compliance-Management-System bekennt. Die folgenden Sätze zeigen auf, welche Erwartungshaltung das Management an sich und seine Mitarbeiter hat:

    • Die Vorstände bekennen sich ausdrücklich zur Einhaltung der gesetzlichen und sonstigen internen und externen Vorgaben und erwarten dies auch von allen für die Debeka tätigen Personen.
    • Besonders die Führungskräfte müssen als Vorbilder agieren und sicherstellen, dass die in ihren Verantwortungsbereichen getro­ffenen Entscheidungen und Handlungen im Einklang mit den rechtlichen Bestimmungen stehen.
    • Das Unternehmen hat Verhaltensrichtlinien erlassen, die die Unternehmensführung und alle Mitarbeiter zur Einhaltung klarer Regeln verpflichten. Die Verhaltensrichtlinien umfassen unter anderem die Themen Datenschutz, IT-Sicherheit, Geldwäscheprävention, Kartellrecht sowie Regelungen gegen Bestechung und Korruption.
    • Das Unternehmen duldet keine Rechtsverstöße und verfolgt Fehlverhalten ihrer Mitarbeiter konsequent. Die Vorstände unterstützen und fördern Compliance uneingeschränkt. Um eine nachhaltige Compliance in allen Unternehmensbereichen sicherzustellen, wurde ein umfassendes Compliance-Management-System eingerichtet.

    Viele Unternehmen veröffentlichen eindeutige Informationen zum betriebsinternen Compliance-Management-System. Werden die Manager ihrer Vorbildfunktion gerecht, trägt dies zur Motivation der Mitarbeiter bei und wirkt für externe Betrachter modern und professionell.

    3. Maßnahmen zum Controlling des Compliance-Management-Systems

    Keine Management-Strategie, an der Fachabteilungen, Führungskräfte und Mitarbeiter bereichsübergreifend arbeiten, kommt ohne vorab definierte Kontrollmechanismen aus. Dies kann ebenfalls über ein Compliance-Management-System gesagt werden. Interne Regelwerke, wie Handlungsanweisungen oder Prozessbeschreibungen dienen als Fahrplan für jede Abteilung. Das Controlling oder die Fachabteilung Legal haben die Verantwortung, die implementierten Maßnahmen und Leitlinien zu kontrollieren. Ein Verhaltenskodex im Unternehmen regelt darüber hinaus die Zusammenarbeit aller Angestellten. In Bezug auf die Außendarstellung ist ein solcher Kodex ebenfalls zielführend. Er vermittelt Außenstehenden und Bewerbern einen ersten positiven Eindruck vom Unternehmen.

    Wesentlich für den Erfolg aller Maßnahmen ist die konsequente Beachtung der Handlungsanweisungen und Vorgaben.

    Beispiel für konsequentes Controlling

    Unternehmen sind in Zeiten des Fachkräftemangels darauf angewiesen, die besten Mitarbeiter zu rekrutieren. Der Aufwand im Recruiting ist in vielen Fällen exorbitant. Neben den Kosten für das Suchen neuer Mitarbeiter müsse alle gesetzlichen Vorgaben in Bezug auf Datenschutz und Arbeitsschutz beachtet werden. Hat ein Unternehmen aus diesem Grund interne Regelungen aufgestellt, müssen diese umgesetzt werden. Beispielsweise könnte eine Regel besagen, dass ein Arbeitsvertrag immer im 6-Augen-Prinzip (Personalabteilung, Abteilung Legal, Geschäftsführung) kontrolliert werden muss. Auf diese Weise können individualvertragliche Vereinbarungen aus juristischer und rechtlicher Sicht geprüft werden. Fallen Ungereimtheiten auf, können diese abgewandelt werden, bevor ein Schaden entsteht.  

    4. Betriebsinterne Kommunikation und Trainingsmaßnahmen

    Betriebe suchen in vielen Fällen nach neuen Mitarbeitern mit ausgeprägten kommunikativen Fähigkeiten. Desgleichen interessieren sich Bewerber vor allem für Unternehmen, die nutzenorientiert kommunizieren. In Bezug auf Compliance-Themen impliziert dies, die Belegschaft anschaulich und praxisnah zu informieren. Workshops sollten auf die aktuellen Bedürfnisse der Teilnehmer abgestimmt sein. Sie sollten Mitarbeiter positiv involvieren und für relevante rechtliche Themen interessieren. Neben geeigneten und fortlaufenden Trainingsmaßnahmen achten Coaches im Rahmen der Trainings des ISO-19600-Standards darauf, wie Führungskräfte fachbezogene Materie vermitteln. Leitende Angestellte erhalten Tipps, wie sie Verfehlungen ohne nachweislichen Vorsatz mit Wohlwollen ahnden. Darüber hinaus lernen leitende Angestellte, wie sie Schulungsmaßnahmen individuell pro Mitarbeiter ansetzen, statt alle Betriebsangehörigen gleich zu coachen.

    Beispiel für Trainingsmaßnahmen:

    Nicht jeder Mitarbeiter profitiert von einer Rechtsschulung zum Thema Datenschutz und DSGVO. Betriebsangehörige ohne Kundenkontakt oder mit technischen Aufgaben müssen aus diesem Grund nicht in jede betriebsinterne Fortbildung einbezogen werden. Zielführender sind für sie Trainings, die sich auf rechtliche Vorschriften in ihrem Fachbereich beziehen.

    5. Monitoring der Ergebnisse, interne Audits und Learnings

    Der ISO-19600-Standard fokussiert sich im letzten Schritt auf das Monitoring der Ergebnisse. Ein Compliance-Management-System kann als Kreislauf beschrieben werden. Fallen während des laufenden Betriebs systemische Fehler auf, müssen diese abgestellt werden. Durch ein systematisches Monitoring und geplante und ungeplante Kontrollen kann die Wirksamkeit des Systems getestet werden. Ein solcher Stresstest kann Mängel offenkundig machen. Er hilft, das Compliance-Management-System fortlaufend zu verbessern. Interne Audits sind gleichzeitig ein Garant dafür, dass alle Betriebsangehörigen Compliance, externe Gesetze und interne Richtlinien ernst nehmen.

    Das Lernen aus Fehlern verbessert jede festgesetzte Strategie. Dies gilt ebenfalls für ein Compliance-Management-System. Neben eindeutigen Veränderungen bei Verstößen kann auch die Intensivierung der Kontrollen eine wirkungsvolle Maßnahme sein. Ziel aller Modifikationen und Anpassungen ist ein in jeder Hinsicht gesetzeskonformes Unternehmen. Mit der Umsetzung profitiert der Betrieb  signifikant von der Einhaltung der externen und internen Regeln.

    Wann ist die Einhaltung von gesetzesunabhängigen Kodizes relevant?

    Das Unternehmen bestrebt sind, Gesetze und rechtliche Vorgaben einzuhalten ist verständlich. Gleiches gilt für interne Standards. In unterschiedlichen Branchen gibt es darüber hinaus Regelungen und Leitlinien, die von einem Branchenverband aufgestellt werden. In einer freiwilligen Selbstverpflichtung bestätigen Mitgliedsunternehmen, sich der Branchendirektive zu unterstellen.

    Beispiel einer freiwilligen Selbstverpflichtung am Beispiel des Transparenzkodex der Pharmaindustrie

    Ein Großteil der forschenden Pharmaunternehmen hat sich einem Branchenverband zusammengeschlossen. Im VFA (Verband forschender Pharmaunternehmen) werden die Rechte der Mitgliedsunternehmen in Bezug auf die Öffentlichkeitsarbeit vertreten. Gleichzeitig verpflichten sich die Pharmaunternehmen in einem Transparenzkodex zu freiwilliger Selbstverpflichtung. Die Obliegenheiten sind in vielen Teilen weitreichender als vom Gesetzgeber gefordert.

    Unter anderem fokussiert sich der VFA darauf, Honorare der Pharmaindustrie für Ärzte offenzulegen und zu vereinheitlichen. Die einsehbaren Fakten belegen, dass niedergelassene oder angestellte Mediziner in jedem Jahr Millionen von Euro erhalten, um auf Pharmaveranstaltungen Vorträge zu halten. Nahezu 500 Millionen Euro werden darüber hinaus aufgewandt, um klinische Studien und Anwendungsbeobachtungen zu finanzieren. Mit dem Transparenzkodex wird das Ziel verfolgt, dem Eindruck der Vorteilsnahme entgegenzuwirken.

    Durch Offenlegung der Zuwendungen und einheitliche Regeln wird darüber hinaus eine wesentliche Forderung der Öffentlichkeit erfüllt. Es wird sichergestellt, dass Honorare nur fließen, wenn eine nachweisbare Gegenleistung erfolgt. Seit 2016 veröffentlichen die Pharmaunternehmen dezidiert, wie sie Ärzte und andere Player im Gesundheitswesen finanziell unterstützen.

    Neben dem Transparenzkodex fühlen sich die Pharmaunternehmen denselben Zielen verpflichtet, obwohl sie untereinander ebenfalls als Mitbewerber auftreten. Unter anderem werden auf der Internetseite des VFA die folgenden Ziele angegeben:

    • Intensive Arbeit an Therapien und Konzepten, die Krankheiten vermeiden, besser heilen, Leiden wirksamer lindern und die Lebensqualität verbessern – und die für alle Menschen verfügbar sind.
    • Verpflichtung zu Transparenz und zur Einhaltung höchster ethischer Standards sowie zu Fairness und Nachhaltigkeit.
    • Übernahme von Verantwortung für die Ausgaben im Gesundheitswesen.
    • Bereitschaft neue Lösungen zu suchen und diese zu akzeptieren, wenn diese zu besserer Patientenversorgung beitragen.

    Im Rahmen eines Compliance-Management-Systems müssen Unternehmen neben Gesetzen und internen Richtlinien ebenso die Vorgaben eines Branchenverbandes beachten. Dies ist der Fall, wenn sie sich für eine Mitgliedschaft entschieden haben oder Pflichtmitglied sind. Diese weitergehenden Verpflichtungen können die Einhaltung von Compliance-Grundsätzen im Unternehmen zusätzlich verkomplizieren. Führungskräfte oder Fachabteilungen sind aus diesem Grund auf noch bessere, fachliche Handlungsanweisungen angewiesen. Verfehlungen gegen einen freiwilligen Branchenkodex sind in zweierlei Weise schädlich:

    • Unternehmen müssen die Konsequenzen des Branchenverbandes tragen.
    • Gleichzeitig wird ihr Fehlverhalten öffentlich und wirkt geschäftsschädigend.

    Um dies zu verhindern, stellen zukunftsorientierte Unternehmen sicher, dass Compliance Regeln zu jeder Zeit beachtet werden können. Sie achten auf ausreichende finanzielle und personelle Ressourcen. Gleichzeitig schulen sie alle Betriebsangehörigen bei gesetzlichen Novellierungen mit Kompetenz. Auf diese Weise wird garantiert, dass interne, gesetzliche und branchenspezifische Vorgaben in ihrer Gesamtheit beachtet werden.

    Welchen Benefit haben Unternehmen mittel- und langfristig von einem funktionierenden Compliance-Management-System?

    In vielen Fällen zeigt ein Compliance-Management-System bereits nach kurzer Zeit erste Erfolge. Dies ist zum Beispiel beobachtet werden, wenn gravierende Problemfelder durch zielgerichtete Maßnahmen eliminiert werden können. Steht ein Unternehmen in der Gefahr, Strafzahlungen für die Übertretung der DSGVO zu erhalten, sind Aktionen erforderlich. Eine einfache Veränderung der internen Abläufe kann das Risiko signifikant minimieren. Durch das Anpassen von Stellschrauben in der internen Datenverarbeitung werden die Vorgaben der DSGVO eingehalten. Einen kurzfristigen Benefit eines Compliance-Management-Systems können Unternehmen zusammenfassend vor allem dann erwarten, wenn klare Regeln und Gesetze verletzt wurden. Durch das Einhalten minimiert sich das Risiko von Strafzahlungen und Sanktionen spürbar.

    Langwieriger in der Umsetzung ist die Anpassung von unternehmensinternen Strukturen. Dies gilt vor allem, wenn die Implementierung unter Beteiligung der Belegschaft umgesetzt werden soll. In diesem Fall können Workshops und Meetings Veränderungspotenziale aufzeigen. Im nächsten Schritt müssen Führungskräfte Wert darauf legen, Gewohnheiten und das Verhalten von Mitarbeitern zu verändern. Dies gelingt vor allem, wenn Betriebsangehörige mehrwertorientiert geschult werden. Sie müssen verstehen, welchen Vorteil sie persönlich und das Unternehmen von Korrekturen haben. Dieser als Chance-Management bezeichnete Prozess bedarf Kommunikation, Empathie und einer klaren Struktur.

    Praxisbeispiel eines funktionierenden Compliance-Management-System

    Das Befolgen von Compliance-Regeln kann für Angestellte mit Mehrarbeit verbunden sein. Dies ist beispielsweise der Fall, wenn Veränderungen in der Datenverarbeitung zusätzlichen individuellen Schriftverkehr mit einem Kunden bedeuten. Zeigt das Unternehmen seinen Mitarbeitern zum gleichen Zeitpunkt auf, dass die Mehrarbeit zu Rechtssicherheit führt, ist der Mehrwert ersichtlich. Investieren Unternehmen zusätzlich in neue Planstellen, um die Mehrarbeit aufzufangen, wirkt dies mitarbeiterzentriert. Trotz des zusätzlichen Aufwands steigt die Motivation signifikant. Gleichzeitig besteht für den Betrieb und für die Mitarbeiter nicht die Gefahr von Strafzahlungen.

    Ein funktionierendes Compliance-Management-System gibt Führungskräften darüber hinaus langfristige Planungssicherheit. Es zeigt auf, dass eine Firma in der Außendarstellung und im Innenverhältnis alles daransetzt, gesetzeskonform zu handeln. Mit einer Zertifizierung nach ISO 19600 und eindeutigem Fokus auf Compliance verfügen Unternehmen über einen Wettbewerbsvorteil. Sie haben die Möglichkeit, mehr öffentliche oder internationale Aufträge von Unternehmen oder Behörden zu erhalten, die ebenfalls Compliance fokussieren.

    Umso mehr sich Betriebe bemühen, gesetzeskonform zu handeln, desto stärker sinkt das Sanktionierungsrisiko. Sowohl der Betrieb wie einzelne Manager können werden aufgrund von Rechtsverletzungen weniger angeklagt oder bestraft. Für ein Unternehmen bedeutet dies ebenfalls eine Professionalisierung des Employer Branding. Die besten Mitarbeiter können eher von einem zukunftsorientierten und gesetzeskonformen Unternehmen überzeugt werden. Ist ein Betrieb im Gegensatz für eine labile Rechtsauffassung bekannt, nehmen Bewerber Abstand.

    Objektiv betrachtet ist es für jedes Unternehmen zielführend, der Einhaltung von Compliance-Regeln einen wesentlichen Stellenwert einzuräumen. Die höheren Kosten für Fachkräfte, Rechtsanwälte oder eine Rechtsabteilung amortisieren sich. Darüber hinaus steigt die Motivation der Belegschaft. Durch die Risikominimierung können sich Unternehmen auf ihre Kernkompetenz konzentrieren. Eine stringente und nachvollziehbare Führung auf Basis betriebsinterner und externer Vorgaben ist möglich.

    Zusammenfassung und Fazit zu Compliance im Unternehmen

    Compliance im Unternehmen  bedeutet vor allem, Gesetze und betriebsinterne Regelungen und Vorgaben zu beachten. Dies ist zum einen wichtig, um die Gefahr von Strafzahlungen und Sanktionen von Behörden bei Übertretungen zu minimieren. In der Außendarstellung ist es für Unternehmen darüber hinaus essenziell, als moderne und gesetzeskonforme Organisation bekannt zu sein. Ein positiver Ruf sichert öffentliche oder internationale Aufträge und professionalisiert das Employer Branding.

    Der Wunsch, Gesetze und Richtlinien im Betrieb zu beachten reicht nicht aus. Führungskräfte und die Unternehmensleitung sind in der Pflicht, zielgerichtete Maßnahmen einzuleiten. Diese garantieren, dass jeder Betriebsangehörige rechtliche und juristische Aspekte in seiner täglichen Arbeit erkennt und beachtet. Aus Unternehmenssicht macht es aus diesem Grund Sinn, ein Compliance-Management-System aufzubauen. Dieses garantiert, die einheitliche Umsetzung von Richtlinien und Gesetzen im Betrieb. Ein Unternehmenskodex kann zum Beispiel die allgemeine Interaktion zwischen Betriebsangehörigen und der Unternehmensleitung beschreiben.

    Er kann aufschlüsseln, welche Erwartungshaltung die Geschäftsführung an die Belegschaft hat. Gleichzeitig können der Vorstand und die leitenden Angestellten darstellen, dass sie selbst zu jedem Zeitpunkt compliant handeln. Die ISO-19600-Norm kann als Richtschnur und Rahmen für ein Compliance-Management-System dienen. Wesentlich ist, dass jeder Betrieb individuelle Compliance-Regeln aufbaut, die auf die spezifischen Risiken im Unternehmen abgestimmt sind. Die Beteiligung von Führungskräften und Angestellten kann ein Compliance-Management-System professionalisieren und praxisnah gestalten. Fortlaufende Controllings und regelmäßige Audits stellen sicher, dass es aktuell bleibt und im Betrieb gelebt wird.

    Der Benefit für Unternehmen, die sich gesetzeskonform verhalten ist vielfältig. Neben einer eindeutigen Risikominimierung steigt die allgemeine Motivation signifikant. In der Außendarstellung wirken Betriebe, die compliant agieren, kompetent und qualifiziert. Vor allem garantiert ein funktionierendes Compliance-Management-System, dass Kernkompetenzen statt Risiken und Herausforderungen im Vordergrund stehen.

    Autor: Redaktion Personalwissen