Auf Nummer sicher

peterschreiber.media/Adobe Stock ©

---

Compliance, also die Regeltreue von Firmen, gewinnt zunehmend an Bedeutung. Bei der Umsetzung gibt es für Unternehmen jeder Betriebsgröße inzwischen zahlreiche Hilfen.

MELANIE RÜBARTSCH, Ausgabe 11/2022

Zu Beginn des neuen Jahres dürfte es verbindlich werden in Sachen Whistleblowing: Das Bundeskabinett hat den Entwurf des Hinweisgeberschutzgesetzes beschlossen, der Bundestag stimmt aller Voraussicht nach noch in diesem Herbst darüber ab. Nach dem neuen Gesetz müssen Unternehmen ab in der Regel 50 Beschäftigten nun ein Meldesystem einführen, über das – ohne Benachteiligungen befürchten zu müssen – auf Missstände im Unternehmen hingewiesen werden kann.

Meldestellen auch für KMUs

Die Beschäftigungsgeber müssen diesen Informationen nachgehen. Alternativ können sich Beschäftigte, zu denen auch arbeitnehmerähnliche Personen gehören, an zentrale Meldestellen der öffentlichen Hand wenden, die den Hinweis auf Plausibilität prüfen und bei Bedarf entsprechende Maßnahmen einleiten. Firmen mit 50 bis 249 Mitarbeitern sollen eine Übergangsfrist bis zum 17. Dezember 2023 erhalten.

Auch kleine und mittelständische Unternehmen (KMU) sind dann also verpflichtet, solch eine Meldestelle vorzuhalten. Damit ist die Umsetzung zugleich Teil der Compliance (siehe Kasten unten »Das Stichwort: Compliance«). Ein Thema, das nicht nur für Konzerne, sondern auch für KMU an Bedeutung gewinnt.

Pluspunkt im Wettbewerb

»Compliance ist heute im Grunde keine Option mehr. Es gibt inzwischen zu viele Bereiche, in denen ein Compliance-System der einzige Weg ist, finanzielle Risiken aus Bußgeldern oder Schadensersatzforderungen beschränken zu können«, sagt Tatjana Neuwald, Leiterin des Referats Wettbewerbsrecht bei der IHK für München und Oberbayern. Kommt es zu Aufsichtsverfahren oder Gerichtsprozessen, können dokumentierte Compliance-Strukturen zumindest für Strafmilderung sorgen. Von diesen rechtlichen Aspekten abgesehen, ist für Unternehmen Compliance im Wettbewerb eine Notwendigkeit.

»Viele öffentliche und große private Auftraggeber schauen inzwischen sehr genau auf die Compliance-Strukturen ihrer Zulieferer und Dienstleister«, weiß Neuwald. Dieser Aspekt erhält durch das neue Lieferkettensorgfaltspflichtengesetz zusätzliches Gewicht. Danach müssen ab Januar zunächst Unternehmen mit 3.000 oder mehr Mitarbeitern einen Prozess der unternehmerischen Sorgfalt mit Bezug auf die Achtung der Menschenrechte sowie auf umweltbezogene Pflichten im Verlauf ihrer Lieferkette sicherstellen – und werden sich daher ihre Auftragnehmer noch genauer anschauen.

Unterschiedliche Maßnahmen für KMUs

Anders als bei großen Unternehmen findet man eigene Compliance-Abteilungen bei kleinen Betrieben aber eher selten. Das hat sicherlich immer auch Ressourcengründe. Für die Umsetzung individueller Maßnahmen gibt es mittlerweile unterschiedliche Angebote für kleine und mittlere Firmen. »Essenziell ist in einem ersten Schritt immer, dass die Geschäftsleitung generell ihren Blick für mögliche Risiken schärft und sich der Chancen strukturierter Compliance-Strukturen bewusst ist«, sagt der Münchner Rechtsanwalt und Berater Stefan Klein.

Internes Meldesystem etablieren

Zum Hinweisgeberschutzgesetz etwa haben inzwischen auch verschiedene Kanzleien Services eingerichtet, die beim Etablieren eines unternehmenseigenen Meldesystems helfen sollen. Dazu zählt zum Beispiel der Münchner Rechtsanwalt Maximilian Degenhart mit seinem Unternehmen Compliance Beratung + Service GmbH (hinweisgeberexperte.de). Ziel ist es, ein zum jeweiligen Unternehmen passendes Hinweisgebersystem einzurichten und zugleich die Hinweise entgegenzunehmen, zu prüfen sowie zu bearbeiten.

»Ohr an der Belegschaft« haben

Degenhart hat dabei auch die Attraktivität des Hinweisgebersystems für Beschäftigte im Blick: »Je mehr sich die Mitarbeiter im eigenen Unternehmen abgeholt fühlen, desto eher scheuen sie den Weg zu Meldestellen der öffentlichen Hand.« Der Arbeitgeber behalte es damit selbst in der Hand, mögliche Missstände zu prüfen und zu beheben. Hinzu kommt: Er kann das Meldesystem nutzen, um Risiken frühzeitig zu erkennen. »Er hat das Ohr an der Belegschaft und erfährt, wo es nicht rundläuft«, sagt Degenhart.

Als eine Art Coach und Sparringspartner in Sachen Compliance- und Reputationsmanagement sieht sich auch der Berater Klein. »Insbesondere kleine und familiengeführte Unternehmen haben oft bereits ein sehr feines Gespür dafür, was richtig und was falsch ist«, beobachtet er. Dennoch seien schlicht die Fülle an immer neuen Anforderungen vor allem aus dem Umfeld ESG (Environment/Umwelt, Social/Soziales, Governance/ Unternehmensführung) sowie die zunehmenden Erwartungen von Geschäftspartnern, Kunden und der Gesellschaft in Sachen Nachhaltigkeitsmanagement herausfordernd.

Awareness-Training

Mit seiner mehrjährigen Erfahrung als Leiter der Compliance-Abteilung für Präventionsberatung eines global tätigen Münchner Unternehmen unterstützt er nun mittelständische Unternehmen bei der Risikoidentifikation und -strukturierung und begleitet sie bei ersten Umsetzungsschritten (complianceadvisory.info), Awareness-Trainings für die Geschäftsleitung, Entwürfen von Schulungs- und Kommunikationskonzepten, einem Verhaltenskodex und risikospezifischen Richtlinien. Ferner gehört dazu der Schutz der Unternehmensreputation.

Fester Compliance-Beauftragter

Was der Berater generell rät: Firmen sollten im ständigen Austausch mit Mitarbeitern, Kunden und Lieferanten über deren Erwartungen, Anforderungen sowie deren eigene Compliance-Wahrnehmung und -strukturierung bleiben. Auch sei es hilfreich, einen Mitarbeiter zu identifizieren, der die feste Rolle eines Compliance-Beauftragten übernimmt. »Diese Kandidaten sollten eine gewisse Nähe zu Integritäts- und Nachhaltigkeitsthemen haben und im Unternehmen gut vernetzt sein«, so Klein.

Online-Tool zur Risikoanalyse

Dem Ansatz, dass Compliance echte Maßarbeit ist, folgt auch Daniel Pfaff – allerdings auf digitalem Weg. Der Rechtsanwalt hat gemeinsam mit seinem Geschäftspartner Bernd Hoffmann die Compliance Canvas Unternehmensberatung GmbH & Co. KG gegründet und das Onlinetool CC-Risikoanalyse (www.compliance- canvas.com) entwickelt. Mit dessen Hilfe können Unternehmen ihr eigenes Compliance-Management-System erarbeiten. »Das Herzstück, die Risikoanalyse, richtet sich dabei nach dem jeweiligen Geschäftsmodell«, erklärt Pfaff.

Über detaillierte und benutzergesteuerte Fragen geben User zum Beispiel an, wie ihr Vertrieb strukturiert ist, welches Produkt sie wie herstellen, wie sie ihren Personaleinsatz gestalten oder welche Marketingmaßnahmen üblich sind. »Auf dieser Grundlage ermittelt das Programm, welche rechtlichen Vorgaben tangiert sind und wie hoch das konkrete Risiko ist, dass es zu Verstößen kommen kann«, so der Gründer. Am Ende erhält die Geschäftsführung einen umfassenden Risikobericht, der zugleich Hinweise auf mögliche adäquate Maßnahmen enthält.

Verantwortung verteilen

In die Bearbeitung sind jedoch nicht nur die Geschäftsführer eingebunden. Im Gegenteil: »Es ist wichtig, dass jeweils für einen Bereich ein Verantwortlicher die zu diesem Bereich gehörenden Fragen beantwortet«, rät Pfaff. So werde das Thema auf mehrere Schultern verteilt, die Schnittmengen im Unternehmen werden sichtbar und die Selbstverantwortung innerhalb des Betriebs wird gestärkt.

In jedem Fall ist Compliance ein ständig laufender Prozess, wie auch die anstehende Umsetzung der Whistleblowerrichtlinie und der deutschen Gesetzgebung dazu zeigt. Sobald sich im Unternehmen Abläufe verändern oder neue Vorschriften erlassen werden, muss nachgesteuert werden. Bei ihrer Entscheidung für ein Angebot sollten Unternehmen dies unter organisatorischen und unter Kostengesichtspunkten im Blick behalten und Angebote daraufhin prüfen.

Weitere Infos gibt es auf der IHK-Website zum neuen Hinweisgeberschutzgesetz und zum neuen Lieferkettensorgfaltspflichtengesetz.

Das Stichwort: Compliance

Compliance bedeutet wörtlich übersetzt »die Erfüllung von Anforderungen«. Es geht darum sicherzustellen, dass eine Firma rechtskonform agiert. Sowohl das Unternehmen als auch seine Mitarbeitenden sollten Gesetze und Vorschriften einhalten und sich insgesamt redlich verhalten.

Ziel ist es, strafrechtliche Verstöße, mögliche Bußgelder und Schadensersatzforderungen Dritter zu vermeiden. Ebenso sichern sich Unternehmen, die sich compliant verhalten, womöglich Wettbewerbsvorteile, weil große Auftraggeber oder Investoren inzwischen sehr viel genauer darauf achten, wie Lieferanten, Dienstleister oder Start-ups hier aufgestellt sind.

Um Compliance zu erreichen, müssen Unternehmen regelmäßig ihre individuellen Risiken in Bereichen analysieren, in denen sie aufgrund ihrer Geschäftstätigkeit bestimmte Vorschriften beachten und einhalten müssen. Auf dieser Basis haben sie Maßnahmen zu ergreifen, die einen Verstoß gegen diese Regeln ausschließen. Dazu zählen unter anderem die Bestellung von Compliance-Beauftragten, interne Richtlinien sowie Mitarbeiterschulungen.