Wie würden Sie jemandem, der noch nie etwas davon gehört hat, Compliance und ein Compliance-Management-System erklären?
Bei Compliance geht es um die Einhaltung von Recht und Gesetz (bzw. unternehmensinterner Richtlinien) in einem Unternehmen. Aufbau und Betrieb eines Compliance-Management-Systems (CMS) helfen dem Unternehmen und seinen Beschäftigten bei der Erfüllung dieser Aufgabe. Unter anderem sind Compliance-Trainings fester Bestandteil eines CMS.
Warum werden diese aus Ihrer Sicht auch für den Mittelstand immer wichtiger?
Zum einen, weil große Konzerne, in denen Compliance bereits seit Jahren fester Bestandteil des Managements ist, ein Interesse daran haben, dass auch bei ihren Zulieferern und Geschäftspartnern aus dem Mittelstand Compliance-Strukturen vorhanden sind. Zum anderen, weil sich die gesetzlichen und durch die Rechtsprechung zunehmend strenger interpretierten Organisations-, Auswahl- und Überwachungspflichten ebenso an Geschäftsführer mittelständischer GmbHs wie an Geschäftsführer oder Organe von Konzerngesellschaften richten.
Gibt es derzeit besondere Brennpunkte bzw. Bedrohungsfelder?
„Brennpunkte, Bedrohung…“. Das klingt mir zu apokalyptisch. Auch wenn viele anders agieren, ich distanziere mich vom „Geschäft mit der Angst“. Ich finde, ein Bewusstsein für Compliance sollte nicht aus einem Zwang oder gar einer Angst heraus entstehen. Compliance sollte von einer ehrlichen Überzeugung und dem Bekenntnis zu integrem Handeln getragen werden – an dem auch der Mittelstand nicht vorbeikommt.
Große Unternehmen nehmen Compliance- Risiken ernst – der Mittelstand laut Studien eher weniger. Warum unterschätzt der Mittelstand Compliance- Themen?
Compliance ist auch in großen Unternehmen häufig nicht aus einer Überzeugung, sondern erst im Zuge der Aufarbeitung großer Skandale eingeführt worden. Da die öffentliche Wahrnehmung über Compliance-Schwierigkeiten großer Unternehmen in der Regel sehr viel stärker ausgeprägt ist, fällt auch der Handlungsdruck umso höher aus. An den auch für den Mittelstand geltenden Rahmenbedingungen ändert das aber nichts.
Warum ist Compliance so wichtig – insbesondere für GmbHs und KMUs?
Ich versuche meinen Kunden immer vor Augen zu führen, dass sie Jahre, häufig sogar Jahrzehnte investiert haben, um den guten Ruf ihrer Firma, ihrer Produkte oder ihrer Dienstleistungen aufzubauen. Um den guten Ruf zu beschädigen oder sogar irreparabel zu zerstören, sind dagegen oft genug nur wenige Momente und falsche Entscheidungen erforderlich. Und genau das gilt es zu verhindern, oder zumindest die Risiken und Konsequenzen zu mindern. Und dabei geht es mir nicht um das eingangs erwähnte „Geschäft mit der Angst“, sondern um nüchterne Fakten. Nehmen Sie zu Illustrationszwecken ein besonders eingängiges Beispiel: der Dieselmotor und dessen Abgasmanipulation. Niemand wird ernsthaft bestreiten, dass die moderne Dieseltechnologie zu den wichtigsten Antriebstechnologien zählte und weiterhin zählt, um die zumindest mittelfristigen Klimaziele zu erreichen. Die deutsche Automobilindustrie hat sich auch und gerade bezüglich der Diesel-Technologie in den vergangenen Jahrzehnten einen exzellenten Ruf erarbeitet. Die Machenschaften – mutmaßlich weniger Manager und Ingenieure – haben diese an und für sich unverzichtbare Motorentechnologie an den Rand des Abgrunds geführt. Diese Mechanismen gelten für Konzerngesellschaften ebenso wie für KMUs.
Gibt es besonders gefährdete Branchen?
Natürlich gibt es Statistiken und Studien, die bestimmten Branchen besonders hohe Compliance-Risiken attestieren. Grundsätzlich bin ich aber kein Anhänger davon, bestimmte Unternehmen schon allein aufgrund ihrer Branchenzugehörigkeit unter eine Art von Generalverdacht zu stellen. Am Ende des Tages hat jedes Unternehmen, das geschäftlich am Markt auftritt » Interview Compliance wird für den Mittelstand immer wichtiger. Auch ranken sich immer noch viele Vorurteile und Unsicherheiten um das Thema. Im Interview mit gmbhchef spricht der erfahrene Compliance-Experte Stephan Rheinwald, Gründer der „Compliance Officer Services GmbH“, über effiziente Lösungen, seine Überzeugungen und das Geschäft mit der Angst. Haftungsrisiken rund um die GmbH Korruptions- und Kartellrisiken, die es zu minimieren gilt.
Zugespitzt gefragt: Agiert eine GmbH ohne CMS fahrlässig?
Sie handelt zumindest dann fahrlässig, wenn sie – wie man in Köln sagt – nach dem Motto verfährt „Et hätt noch immer jot jejange“. Ob in allen Situationen immer ein formales CMS erforderlich ist, sei dahingestellt. Häufig sind bereits wenige, effiziente Maßnahmen ausreichend, um einen vernünftigen organisatorischen Rahmen zu setzen und Risiken zu minimieren.
Ist Compliance nur Chefsache?
Um eine alte Redewendung zu bemühen: „Der Fisch stinkt bekanntlich vom Kopf her…“. Sprich: Ohne eine aufrichtige Compliance-Haltung der Geschäftsführung geht es nicht! Mit diesem Element eines CMS ist gemeint, dass die Führung eines Unternehmens die Beschäftigten nicht nur regelmäßig an Compliance erinnert, sondern auch einen entsprechenden organisatorischen Rahmen schafft bzw. Schulungen initiiert. Ebenso wichtig ist es aber, Compliance auf der Führungsebene authentisch vorzuleben. Nur so erfährt Compliance – abseits arbeitsrechtlicher Pflichten – die notwendige Akzeptanz bei den Beschäftigten des Unternehmens.
Wie kann ein GmbH-Geschäftsführer seine persönlichen Haftungsrisiken minimieren?
Der Geschäftsführer einer GmbH haftet grundsätzlich nach § 43 Abs. 2 GmbHG im Innenverhältnis für alle Schäden, die er aufgrund einer ihm obliegenden Pflicht schuldhaft verursacht. Im Rahmen der sogenannten Legalitätspflicht besteht ein Teil dieser Pflicht in der Einhaltung aller für das jeweilige Unternehmen relevanter Rechtsvorschriften. Diese Pflicht kann der Geschäftsführer einer GmbH zwar partiell in der Organisation delegieren, aber auch in diesem Fall verbleiben in seiner Person noch Auswahl, Einweisungs- und Überwachungsverpflichtungen. Die Einhaltung genau dieser Überwachungspflichten kann durch die Einrichtung eines Compliance- Systems gewährleistet werden.
Gibt es Verpflichtungen für GmbHGeschäftsführer im Zusammenhang mit Compliance? Wenn ja, wie kann ein Geschäftsführer diesen nachkommen?
Von bestimmten Branchen (z.B. Banken und Versicherungen) einmal abgesehen, bestehen derzeit (noch) keine gesetzlichen Verpflichtungen zur umfänglichen Einrichtung einer Compliance-Organisation. Allerdings haben die Geschäftsführer einer GmbH auch ohne eine dem § 91 Abs. 2 AktG entsprechende Norm die Pflicht ein Überwachungssystem einzurichten, das erlaubt, den wirtschaftlichen Stand der Gesellschaft abzufragen und Gefahren frühzeitig zu erkennen. Sie müssen das Unternehmen zudem so organisieren und beaufsichtigen, dass betriebsbezogene Gesetzesverstöße verhindert bzw. wesentlich erschwert werden (§ 130 OWiG). Durch ein vernünftiges und das Geschäftsmodell des jeweiligen Unternehmens reflektierendes CMS kann hier vieles erreicht werden. Ganz aktuell gibt es relativ weit gediehene Gesetzesinitiativen auf europäischer Ebene, die auch KMUs (ab 50 Mitarbeitern) die Verpflichtung zur Einrichtung einer internen Meldestelle für Compliance Fälle auferlegt.
Gibt es aktuelle Herausforderungen und Trends? Insbesondere im Zusammenhang mit der Digitalisierung?
Die „Digitalisierung“ ist derzeit in aller Munde und überall ein Thema. Richtig verstanden kann die Digitalisierung sicher auch im Rechts- und Compliance-Bereich gravierende Erleichterungen bringen. Dabei gilt es aus meiner Sicht jedoch zwei Dinge zu verinnerlichen. Digitalisierung darf kein Selbstzweck sein und muss Dinge in der Anwendung vereinfachen. Digitalisierung muss zum Ziel haben, den Menschen in ihrer täglichen Arbeit zu helfen und die Arbeit zu erleichtern. Viele digitale Anwendungen werden aber heute bewusst so positioniert, jedenfalls aber so wahrgenommen, dass sie den Menschen und seine Arbeit ersetzen. Ich glaube, dies ist ein gravierender Fehler, den es schnellstmöglich zu korrigieren gilt, um vielen hilfreichen digitalen Anwendungen zum Durchbruch zu verhelfen. Bei vielen Juristen und Compliance- Experten stößt ein solcher, digitaler Beratungsansatz auf Skepsis, weil er als Bedrohung der eigenen Beratungspraxis wahrgenommen wird. In Wirklichkeit ist genau das Gegenteil richtig. Mit der Lösung werden Beschäftigte im Unternehmen adressiert, die sich ansonsten gar nicht an Compliance wenden würden und die die Anonymität der Anfrage zu schätzen wissen. Darüber hinaus steht es außer Frage, dass es Sachverhalte gibt, die individuell zu besprechen sind und für die so mehr Zeit aufgebracht werden kann.
Wie lautet ihre Einschätzung zur viel diskutierten DSGVO?
Ich denke, es handelt sich um ein Gesetz, das wesentlich besser als sein Ruf ist und die richtigen Ziele verfolgt, dabei aber (zumindest soweit es die Dokumentationspflichten angeht) an der einen oder anderen Stelle über das Ziel hinausschießt. Daher glaube ich, dass das Gesetz zumindest für KMU in den nächsten Jahren noch einige Erleichterungen erfahren wird. Aus meiner persönlichen Sicht und Erfahrung kann ich sagen, dass sich auch mit der heutigen Gesetzeslage effektive Lösungen erzielen lassen.
Wäre Outsourcing von Compliance eine Möglichkeit?
Meine Antwort wird Sie sicherlich nicht überraschen: Ja! Ein Unternehmen wird immer vor der Herausforderung stehen, dass der Aufbau und die Implementierung eines CMS wesentlich zeit-, personal- und kostenintensiver ist als sein späterer Betrieb. Diese Volatilität lässt sich durch ein Outsourcing unter Einbindung interner Unternehmensressourcen deutlich besser und günstiger abbilden Dabei gilt: Ein Compliance-Outsourcing-Modell kann nur funktionieren, wenn es eine funktionierende Schnittstelle ins Unternehmen gibt und das Unternehmen wirklich „compliant“ handeln will. Der Anbieter eines Compliance-Outsourcings wird mithin nicht lediglich als „Versicherer“ fehlinterpretiert.
