Das Thema Compliance ist schon lange nicht mehr nur ein Rechtsgebiet, mit dem sich vornehmlich Großunternehmen beschäftigen müssen – die Rechtsprechung und Gesetzgebung der letzten Jahre zeigt, dass Compliance-Anforderungen auch in verschiedensten kleinen bis mittelständischen Unternehmen einzuhalten sind und Verstöße hiergegen zu erheblichen Haftungsrisiken führen können. Die Einführung von sog. Compliance-Management-Systemen (CMS) in mittelständischen Unternehmen scheitert allerdings oft bereits an mangelnden Ressourcen oder dem hierfür notwendigen „Know-How“ in der Geschäftsleitung. Der „Expertenrat Mittelstands-Compliance e.V.“ möchte hier entgegenwirken und hat daher kürzlich den „Leitfaden für Compliance-Management-Systeme in kleinen und mittleren Unternehmen DIN SPEC 91524“ (nachfolgend auch „der Leitfaden“) veröffentlicht. Er stellt beispielhaft eine Art „Compliance-Anleitung“ für mittelständische Unternehmen dar und soll insbesondere für Risikofaktoren des Unternehmens sensibilisieren und den IST-Zustand eines eventuell bestehenden CMS bei der Bewertung helfen.
Risikoidentifikation
Entsprechend des Leitfadens ist die zentrale Voraussetzung der Compliance-Prüfung in mittelständischen Unternehmen zunächst einmal, unternehmensinterne Prozesse zu identifizieren und ein Bewusstsein für Risikofaktoren zu schaffen. Danach, sind zunächst die Prozesse in Steuerungs-, Wertschöpfungs- und Unterstützungsprozesse einzuordnen, um aus der Funktionsweise des Unternehmens entstehende Risiken identifizieren zu können.
Als risikobehaftete Themenfelder für den Mittelstand werden im Leitfaden z.B. das Arbeitsrecht, das Außenwirtschaftsrecht und Lieferketten bis hin zum Umwelt- und Datenschutzrecht sowie Cyber-Strafrecht, Korruption, Wettbewerbs- und Kartellrecht und Geldwäsche genannt. Aufgrund der Fülle der möglichen Risiken bewährt es sich entsprechend den Leitlinien in der Praxis zunächst einschlägige und nicht einschlägige Themen- bzw. Rechtsfelder zu identifizieren und sodann im Anschluss in den als einschlägig identifizierten Bereichen fortzufahren und die dabei vorhandenen Risiken sowie notwendigen Handlungsbedürfnisse zu identifizieren – diese variieren je nach Unternehmen und können daher nicht pauschal definiert und jedem Unternehmen unterschiedslos „übergestülpt werden“; schließlich gibt es kein „one size fits all“ CMS.
Dreistufiges Vorgehen
Nachdem die relevanten Risikofaktoren identifiziert wurden, müssen sodann die notwendigen Handlungen umgesetzt und implementiert werden. Der Leitfaden differenziert hier zwischen drei Kategorien: Prävention, Detektion und Reaktion.
- Prävention
Sobald Risikofaktoren im Unternehmen identifiziert wurden, können bereits verschiedene (Präventions-)Maßnahmen ergriffen werden. Diese können von einfacher interner Kommunikation durch die Geschäftsleitung („tone from the top“) über die Festlegung von (Handlungs-)Kompetenzen bis hin zu entsprechenden Schulungen, IT-Vorkehrungen und dokumentierter Arbeitszeiterfassung reichen. Maßnahmen wie interne Schulungen können dabei auf spezielle Mitarbeitergruppen – je nach Kompetenz und Verantwortung – oder durch externe Unterstützung zugeschnitten werden, wenn ein besonders hohes Risiko besteht. Auch die Ernennung eines Compliance-Beauftragten ist eine sinnvolle Maßnahme zur Prävention von Compliance-Verstößen.
- Detektion
Auch wenn es das gewünschte Ziel eines CMS ist, so ermöglicht es zumeist in der Praxis keine lückenlose Prävention hinsichtlich sämtlicher möglicher (Rechts-)Verstöße. Daher müssen auch Maßnahmen zur Detektion solcher Verstöße ergriffen werden. Hierfür liefert die Leitlinie elf mögliche Maßnahmen, welche vor allem als Kontrollen ausgestaltet sind. Diese reichen von internen „Audits“ und Mitarbeiterbefragungen bis hin zu automatisierten IT-Kontrollen und der entsprechenden Dokumentation sämtlicher Vorgänge. Ebenso sinnvoll ist die Implementierung des sog. „Vier-Augen-Prinzips“ sowie die Einrichtung eines Hinweisgebersystems (sofern nicht ohnehin entsprechend des HinSchG wegen der Mitarbeiterzahl verpflichtend), bei dem Mitarbeitende (anonym) Verstöße melden können.
Um Misstrauen vorzubeugen, ist auch für die Detektion die interne Kommunikation essenziell. Wenn Maßnahmen den Mitarbeitenden frühzeitig und nachvollziehbar kommuniziert werden, kann ein entsprechendes Verständnis von Beginn an erreicht werden.
- Reaktion
Sollte es dennoch einmal zu einem Compliance-Verstoß kommen, muss die Geschäftsführung konsequent reagieren. Hier können beispielsweise unabhängige Ermittlungen sowie entsprechende Sanktionen angezeigt sein.
In jedem Fall sollten Verstöße intern kommuniziert werden, spätestens jedoch, wenn diese drohen an die Öffentlichkeit zu geraten. Auch die Inanspruchnahme von externen Beratern kann in derartigen Fällen sinnvoll sein, um wirksames Krisenmanagement zu betreiben und die Reputation des Unternehmens nicht nachhaltig zu schädigen.
Self-Check
Der Faktor, der die DIN SPEC 91524 von anderen Compliance-Leitfäden abhebt, ist dass sie auch einen „Compliance-Self-Check“ bereitstellt. Dieser enthält 30 Fragen, bei denen das Unternehmen das jeweilige Risiko auf einer Skala von eins bis zehn einschätzen soll. Anhand dieses Self-Checks soll ein erster Überblick über Compliance-Risiken erlangt werden. Auf der so ermittelten Grundlage finden sich im Self-Check verschiedene Handlungsempfehlungen, wodurch mittelständische Unternehmen kosteneffizient und vergleichsweise einfach ein Fundament für ein wirksames CMS schaffen können.
Fazit & Praxis
Durch Leitfäden wie die DIN SPEC 91524 ist es auch für kleine und mittelständische Unternehmen relativ einfach möglich, einen ersten Überblick zu compliance-relevanten Rechtsgebieten zu erlangen und auf dieser Basis mit einfachen Mitteln ein für das jeweilige Unternehmen passendes CMS aufzubauen. Abhängig von der Unternehmensgröße und dem jeweilig identifizierten Risiko ist jedoch regelmäßig zusätzlich die Inanspruchnahme von externen Rechtsberatern sinnvoll, da die jeweils bestehenden rechtlichen Fallstricke nicht selten nur mit entsprechender Expertise bewältigt werden können.
