besteht darin, dass die Geschäftsleitung nicht aus Opportunitätserwägungen heraus Rechtsvorschriften missachten sollte, auch sog. „nützliche Pflichtverletzungen“ sind regelmäßig Compliance-Verstöße.239 Allerdings besteht Konsens dahingehend, dass Compliance-Maßnahmen unter den Aspekten der Erforderlichkeit und Zumutbarkeit zu beurteilen sind.240 Dementsprechend erscheint es beispielsweise zulässig, dass sich die Unternehmensleitung in einem ersten Schritt auf die wichtigsten Risiken (z.B. Korruption, Kartellrechtsverstöße) konzentriert. Im Hinblick auf die oben aufgezeigten vielfältigen Rechts- und Compliance-Risiken sollte diese Schwerpunktsetzung jedoch nicht isoliert erfolgen, sondern Bestandteil eines ganzheitlichen Risikomanagements für das Unternehmen sein. Der Erfassung, Analyse und Steuerung der schwerwiegendsten Risiken sollten umgehend die sonstigen Compliance-Risiken folgen.
cc) Entwicklung von Risikosteuerungsmaßnahmen
61
Nach der Analyse und Bewertung der Rechts- und Compliance-Risiken folgt die Konzeption von Maßnahmen der Risikosteuerung, die sich nach dem jeweiligen Risiko richten. So kann die Analyse im Ergebnis etwa zu einer Risikovermeidungsmaßnahme dahingehend führen, dass sich das Unternehmen aus einem bestimmten Markt vollständig zurückzieht bzw. einen bestimmten neuen Markt gar nicht betritt.241 Andere – weniger radikale – Risikosteuerungsmaßnahmen betreffen die Konzeption spezifischer Schulungen zur Risikovermeidung (etwa im Zusammenhang mit Vertriebsstrukturen). Dabei kann ein zuvor erstelltes Rechtspflichten-Verzeichnis als Ausgangspunkt für spezielle Schulungsmaßnahmen dienen, mit denen die Unternehmensangehörigen hinsichtlich relevanter Rechts- und Compliance-Risiken in ihren Einheiten sensibilisiert und geschult werden.242
62
Im Hinblick auf ein integriertes und effektives Integritäts- und Compliance Management ist bei Konzeption und Durchführung passender Risikosteuerungsmaßnahmen die aktive Einbeziehung von Führungskräften und Mitarbeitern der relevanten Fachabteilungen und Unternehmenseinheiten wünschenswert – diese kennen regelmäßig das Risikoprofil ihrer Umgebung und können als „Process Owner“243 ihrer Geschäftsabläufe wertvolle Hinweise zur Risikosteuerung geben. Zudem kann durch die aktive Einbeziehung der Geschäftseinheiten die Akzeptanz von Compliance Management erhöht werden, denn zur Vermeidung von Compliance-Risiken ist eine Compliance-Kultur erforderlich, in der ein entsprechendes Risikoverhalten nicht toleriert wird.244
dd) Berichterstattung zu Compliance-Risiken
63
Die Konzeption einer Compliance-Risikostrategie umfasst auch die Einführung eines entsprechenden Reportings bzw. die Integration dieser Berichte über Compliance-Risiken in die allgemeine Risikoberichterstattung, sofern diese im Unternehmen bereits existiert.245
ee) Regelmäßige Compliance-Audits
64
Die ständige Veränderung des Umfelds für Unternehmen erfordert eine regelmäßige Überprüfung der Compliance-Maßnahmen sowie die Anpassung des Compliance-Risikomanagements an veränderte Umstände. Frequenz und Umfang der sog. „Compliance Audits“ richten sich nach den jeweiligen Besonderheiten des Unternehmens. So folgt aus § 91 Abs. 2 AktG, § 317 Abs. 4 HGB für börsennotierte Aktiengesellschaften, dass eine Prüfung der Einhaltung und der Wirksamkeit des Compliance Managements mindestens einmal jährlich erfolgen sollte.246 Da das System nach § 91 Abs. 2 AktG zumindest teilweise mit einem Compliance-Verfahren identisch ist, sind Teilaspekte des Compliance Managements so zu aktualisieren, dass sie nicht bei der jährlichen Prüfung durch den Wirtschaftsprüfer beanstandet werden können.247 Bei kleineren Gesellschaften kann dagegen eine Überprüfung in größeren Abständen ausreichend sein, etwa wenn das Umfeld des Unternehmens keinen größeren Änderungen unterworfen ist und es auch in der Vergangenheit nicht zu Fällen von „Non-Compliance“ im Unternehmen gekommen ist.248 Für alle Unternehmen können sich allerdings besondere Anforderungen an ein Compliance-Audit aus einzelnen Rechtsgebieten ergeben, beispielsweise erfordert der Datenschutz eine Folgeabschätzung und ein spezielles Audit.249
d) Klärung von Zuständigkeiten und Delegationsfragen
65
Wie oben ausgeführt, ist die Compliance-Pflicht eine besondere Ausprägung der Leitungssorgfaltspflicht der Geschäftsleiter.250 Compliance ist „Chefsache“251 – dementsprechend verbleibt ein unveräußerlicher Kernbereich der Compliance-Pflicht stets bei der Geschäftsleitung.252 In diesem Rahmen muss sie dafür sorgen, dass eindeutige Zuständigkeiten, Verantwortungsbereiche und Berichtswege für Compliance-Maßnahmen bestehen.253 Während etwa in der kleinen und mittelständischen GmbH mit einem (Allein-)Geschäftsführer dieser meist höchstpersönlich die Compliance-Verantwortung wahrnimmt, werden in größeren Unternehmen Compliance-Aufgaben an eines von mehreren Geschäftsleitungsmitgliedern übertragen (sog. horizontale Delegation).254 In großen Unternehmen und Konzernen werden Compliance-Aufgaben häufig an sog. Compliance Officer oder andere Unternehmenseinheiten (wie Rechtsabteilung, Risikomanagement oder Interne Revision) delegiert (sog. vertikale Delegation).255
66
In jedem Fall sind die allgemeinen rechtlichen Anforderungen an eine wirksame Delegation zu beachten: Danach führt eine Delegation von Aufgaben nicht zu einer vollständigen Pflichtbefreiung der übertragenden Personen, vielmehr wandelt sich ihre Pflicht in eine Kontroll- und Überwachungspflicht um: Bei einer horizontalen Delegation an einzelne Geschäftsführungsmitglieder müssen die übrigen Geschäftsführungsmitglieder die Aufgabenwahrnehmung ihrer Kollegen beobachten und sind verpflichtet, im Fall von Compliance-Verstößen zu intervenieren.256 Im Fall der vertikalen Delegation von Compliance-Aufgaben (z.B. an Compliance Officer) verbleiben bei den Auftraggebern bestimmte Auswahl-, Instruktions- und Überwachungspflichten, d.h. die jeweiligen Auftragnehmer müssen sorgfältig ausgewählt, eingearbeitet und kontrolliert werden.257
e) Eigenständige und unabhängige Positionierung der Compliance Officer
67
Angesichts der vielfältigen Rechtspflichten und daraus resultierenden Compliance-Risiken empfiehlt es sich für viele Unternehmen, eine eigene Stelle für Compliance Management bzw. einen Compliance Officer zu etablieren, der die vielfältigen Anforderungen im Rahmen eines eigenständigen Aufgabenbereichs koordiniert.258 Soweit Unternehmen Compliance Officer beschäftigen, spielen diese bei der Einführung und der dauerhaften Implementierung des Compliance Managements eine Schlüsselrolle. Das Aufgabenspektrum der Compliance Officer ist vielfältig,259 dennoch lassen sich einige typische Aufgaben beschreiben, die unabhängig von den Besonderheiten des jeweiligen Unternehmens oder speziellen Branchenvorgaben gelten und sich an den Zielen und Funktionen von Compliance Management orientieren.260 Zu diesen Aufgaben der Compliance Officer gehört die umfassende Beratung der Geschäftsleitung hinsichtlich aller für das Unternehmen relevanter Normen (Gesetze, Richtlinien und Verhaltensstandards) und hinsichtlich der Prävention bzw. Evaluierung sowie Bewältigung von Compliance-Risiken.261 Eine weitere wichtige Aufgabe besteht in der Steuerung von relevanten Informationsflüssen (Informations- und Wissensmanagement).262 Der Compliance Officer fungiert dabei als „Informationsschnittstelle“.263 Dabei sollte der Compliance Officer einerseits alle relevanten Informationen bzw. entsprechende Informationszugriffsrechte in Bezug auf Compliance-Themen erhalten.264 Ein funktionierendes Informations- und Wissensmanagement ist auch die Grundlage für die erfolgreiche Kommunikation von Compliance-Themen und entsprechende Schulungsmaßnahmen.265 Zu den Aufgaben der Compliance Officer gehören ferner Überwachungs- und Kontrollpflichten bezüglich Compliance-relevanter Vorgaben sowie Berichts- und Dokumentationspflichten hinsichtlich
