Thought Leadership
Unter dem Begriff Compliance versteht man – vereinfacht – die Gesamtheit aller Grundsätze und Maßnahmen eines Unternehmens zur Einhaltung bestimmter Regeln und damit zur Vermeidung von Regelverstößen. Ein Interview mit Dr. Thomas Altenbach, CEO von LegalTegrity.
Der deutsche Corporate Governance Codex definiert Compliance eher funktionsbezogen als „die in der Verantwortung des Vorstands liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien.“ Sicher ist, durch ein funktionierendes Compliance Management können Verstöße aufgedeckt oder frühzeitig verhindert werden. Die Notwendigkeit, sich intensiv mit der Compliance-Thematik auseinander zu setzen, ist nicht nur für Konzerne und internationale Organisationen elementar wichtig, sie wird ab Ende 2021 auch für den Mittelstand bindend sein. Ab Dezember 2021 verpflichtet die so genannte EU-Hinweisgeberrichtlinie auch auf nationaler Ebene Unternehmen ab einer Mitarbeiteranzahl von 50 und einem Jahresumsatz von 10 Millionen Euro zur Bereitstellung einer Hinweisgeberlösung. Diese Lösung soll den Schutz des Hinweisgebers gewährleisten und gleichzeitig DSGVO-konform sein. In Deutschland betrifft das allein rund 80.000 Unternehmen ab 50 Mitarbeitern, zuzüglich ca. 18.000 kleineren Unternehmen ab 20 Mitarbeitern sowie: Behörden, Schulen, Universitäten, Unternehmen der Kommunen wie Stadtwerke, Müllabfuhr etc.
Welche Auswirkungen die EU-Hinweisgeberrichtlinie auf die Compliance-Maßnahmen kleiner und mittständischer Unternehmen haben wird, erläutert Ihnen Dr. Thomas Altenbach, CEO von LegalTegrity in diesem Interview:
Herr Dr. Altenbach, Sie gelten als Compliance-Experte, waren für Konzerne wie die Deutsche Bank und die Daimler AG tätig. Beide Unternehmen haben in der Vergangenheit Schlagzeilen wegen Verstößen gegen das Geldwäschegesetz, wegen Korruption und anderer Skandale gemacht? Waren die Urheber ganz normale Mitarbeiter oder sitzen diese doch eher im oberen Management?
Dr. Thomas Altenbach: Die Skandale, die so prominent in die Öffentlichkeit gelangten, wurden von Managern auf unterschiedlichen Hierarchieebenen ausgeübt, allerdings unterhalb der jeweiligen Vorstandsetage. Die „normalen“ Mitarbeiter haben häufig aufgrund ihrer eingeschränkten Handlungsmöglichkeiten gar nicht die „Chance“ derart publicity-trächtige Skandale zu produzieren. Das heißt aber nicht, dass auf deren Ebene keine Fehltritte passieren. Dies ist der Fall, wenn zum Beispiel Produktionsmitarbeiter sich alle Einzelteile einer G-Klasse über mehrere Monate hinweg aus dem Werk „zusammenstehlen“ oder Wertpapierhändler immer wieder über einen Broker handeln, der ihnen für jede Transaktion einen Kick-back zahlt. Das können auch Mitarbeiter sein, die Taxi-Rechnungen handschriftlich erhöhen und so bei der Spesenabrechnung betrügen. Man kann sagen, dass im Schnitt jedes Unternehmen einen Schaden von rund 5 Prozent des Umsatzes durch Wirtschaftskriminalität erleidet. Bei einem großen Anteil davon sind die eigenen Mitarbeiter beteiligt, entweder durch Wegsehen oder durch aktives Teilnehmen.
Es heißt Compliance soll auch im Mittelstand eine immer größere Rolle spielen. Können Sie uns erklären, warum das so ist?
Dr. Thomas Altenbach: Eine Erklärung hierfür ist, dass Gesetzesverstöße heute viel einfacher begangen werden können, ganz einfach, weil es viel mehr Regeln gibt, die beachtet werden müssen. Dazu kommt, dass Vorfälle viel schneller über soziale Medien oder Messaging-Dienste nach draußen, in die Öffentlichkeit und zu den Medien gelangen. Das reicht häufig schon für eine vorschnelle Verurteilung des Unternehmens aus. Darüber hinaus werden heute Geschäftsführer ohne weiteres für die Fehler ihrer Mitarbeiter persönlich zur Verantwortung gezogen.
Können Sie uns Beispiele nennen, bei denen Compliance für den Mittelstand eine Rolle spielt? Betrifft das nur bestimmte Branchen oder sollte sich jedes Unternehmen einen Compliance-Katalog zusammenstellen?
Dr. Thomas Altenbach: Ich erinnere mich an das Beispiel eines Maschinenbauunternehmens, das sich eine Position als Weltmarktführer in einer ganz bestimmten Nische erarbeitet hatte. Für eine Lieferung von Ersatzteilen nach Russland wurde die Rechnung nicht vom Endkunden in Russland, sondern von einer anderen Firma mit Sitz auf Zypern bezahlt, deren Konto sich auf einer Bank in der Karibik befand. Nun könnte man denken: Rechnung bezahlt, Geschäft abgeschlossen. Leider handelte es sich bei der zypriotischen Firma um ein Unternehmen, das im Rahmen des Panama-Paper-Skandals wegen Geldwäsche im großen Stil, speziell für russische Potentaten, in den Medien bekannt wurde. Plötzlich stand auch der in Deutschland ansässige, mittelständische Maschinenbauer wegen Geldwäsche im Fokus. Es kann jedes Unternehmen treffen, das mit sensiblen Geschäftspartnern, in verschiedenen Regionen dieser Welt zusammenarbeitet oder bei Geschäften mit hohen Bargeldbeträgen.
Was sollten Firmen bei der Erstellung eines optimalen Risk- und Compliance-Managements beachten?
Dr. Thomas Altenbach: Die Firmen sollten sich die Mühe am Anfang machen, die potenziellen Compliance-Risiken mit Unterstützung eines Experten zu erfassen und zu bewerten. Ihr Geschäft und dessen Risiken kennen die Firmen am besten. Der Experte kann dann bei der Einordnung aufgrund der Erfahrungen in einer Vielzahl von Branchen unterstützen. Es gibt hier kein System, das für alle passt. Der Erfolg hängt in erster Linie davon ab, dass das Management und die Leitung in ihrer Funktion als Vorbild auch tatsächlich vorleben, was von allen erwartet wird. Wichtig ist dabei vor allem: Tue Gutes und spreche darüber.
Welche Auswirkung hat die EU-Hinweisgeberrichtlinie, die ab Dezember 2021 auch auf nationaler Ebene durchgesetzt werden muss, auf deutsche Unternehmen?
Dr. Thomas Altenbach: Diese Richtlinie verpflichtet die Unternehmen, ein Hinweisgebersystem einzurichten, über das Mitarbeiter, Geschäftspartner und Kunden mögliche Gesetzesverstöße mündlich oder schriftlich, offen oder anonym, melden können und die Unternehmen diesen Hinweisen dann auch nachgehen müssen. Die Unternehmen, die noch kein Compliance Management haben, trifft es am meisten, weil sie mit der verpflichtenden Einführung eines Hinweisgebersystems den ersten Baustein eines Compliance-Managements implementieren. Die Person im Unternehmen, die Meldungen entgegennimmt oder bearbeitet, muss hierfür unabhängig sein und darf bei der Tätigkeit nicht in Interessenkonflikte kommen. Das ist quasi ein Compliance-Mitarbeiter, der auch andere Tätigkeiten daneben ausüben darf.
Wie können sich Firmen auf die EU-Hinweisgeberrichtlinie vorbereiten und diese ihren geltenden Compliance-Regeln anpassen?
Dr. Thomas Altenbach: Die Unternehmen müssen für sich in den nächsten Wochen und Monaten überprüfen, ob die konkrete Ausgestaltung des eigenen Compliance-Programms den Anforderungen der EU-Hinweisgeberrichtlinie entspricht, z.B. sind konkrete Vorgaben enthalten, wer Hinweise im Unternehmen bearbeiten darf, wie der Hinweisgeber über den laufenden Prozess der Bearbeitung der Meldung eingebunden ist und noch einiges mehr.
Kann es im Ernstfall bedeuten, dass mit der Einführung der EU-Hinweisgeberrichtlinie Firmen ihr Compliance-Management ändern müssen?
Dr. Thomas Altenbach: Ich gehe fest davon aus, dass alle Unternehmen Teile ihres Compliance Management anpassen müssen, es wäre wirklich ein Zufall, wenn ein Unternehmen genau die Anforderungen der EU-Richtlinie getroffen hätte. Dies ist aber ein guter Anlass für die Unternehmen, das gesamte System noch einmal auf Anpassungsbedarf aufgrund des geänderten Risikoumfelds, z.B. aufgrund von Corona, zu überprüfen. Am Ende dieses Prozesses sollte ein gut funktionierendes, anonymisiertes Hinweisgebersystem als Kernelement der Compliance-Maßnahmen eines Unternehmens stehen.
