1. Grundstruktur

1.1 Vorgaben

  • Analyse der unternehmensspezifischen Compliance-Risiken
  • Dokumentation der Compliance-Organisation und mindestens jährlicher Bericht über deren Arbeit
  • Eindeutig bezeichneter Compliance-Verantwortlicher mit angemessener Schulung und angemessener hierarchischer Stellung
  • Hinweisgeberstelle mit der Möglichkeit für die Mitarbeiter, zunächst vertraulich über compliance-relevante Sachverhalte zu berichten
  • Schulungen und Erfa-Gruppen der Geschäftsleitung und der Mitarbeiter zur Verhinderung von Compliance-Verstößen

1.2 Erläuterungen

1.2.1 Risikoanalyse

Bei Aufbau und Ausgestaltung der Compliance-Organisation muss gewährleistet werden, dass diese zum einen den spezifischen Bedingungen des Unternehmens und zum anderen den individuellen Compliance-Risiken des Unternehmens gerecht wird. Dies erfolgt im Rahmen einer Risikoanalyse, die am Beginn des Aufbaus der Compliance-Organisation steht. Basis hierfür ist eine Erfassung der Unternehmensstruktur, die einen ausreichenden Eindruck des Unternehmens vermittelt. Die Risikoanalyse sollte laufend fortgeschrieben werden, um den veränderten Anforderungen an das Unternehmen einerseits und den getroffenen Compliance-Maßnahmen andererseits zu entsprechen.

Durch die Risikoanalyse müssen die spezifischen Risiken, die sich insbesondere aus der Struktur des Unternehmens, der Branche, der regionalen Ausrichtung, der Struktur des Vertriebes, sowie den Besonderheiten der Produkte ergeben, erfasst werden. Dabei sind die jeweils geltenden nationalen und internationalen gesetzlichen Anforderungen zu berücksichtigen.

Auf Grundlage dieser Risikoanalyse sind die erforderlichen Compliance-Maßnahmen auszuwählen und umzusetzen. Bei der regelmäßigen Fortschreibung der Risikoanalyse ist zu prüfen, inwieweit den ursprünglich erfassten Risiken wirksam begegnet worden ist, inwieweit sich neue Risikofelder eröffnet haben und wie mit diesen umgegangen werden kann.

Die Risikoanalyse ist zu dokumentieren. Über Ihre Fortschreibung ist in im Rahmen der jährlichen Berichterstattung (siehe Ziffer 1.2.2.) zu informieren.

1.2.2 Organisation und Dokumentation

Bei der Erfassung und Darstellung der Compliance-Organisation des Unternehmens sind die Größe und Struktur des Unternehmens zu berücksichtigen, denn mittelständische Unternehmen verfügen in der Regel nicht über die finanziellen und personellen Ressourcen, wie dies bei einem großen Konzern der Fall sein mag. Gleichwohl kann dies keinen völligen Verzicht auf eine Compliance-Organisation bedeuten. Dies gilt auch im Hinblick auf die organisatorischen Dokumente wie etwa Handbücher, Richtlinien, Arbeitsanweisungen, Prozessbeschreibungen oder die Beschreibung der gesamten Compliance-Organisation. Insbesondere die Dokumentation, also die Nachweise über die getroffenen Compliance-Maßnahmen im Einzelnen, sowie die Dokumentation von Lenkungsmaßnahmen hängt von der Größe und Struktur des jeweiligen Unternehmens ab. Die Dokumentation der Compliance-Maßnahmen dient ganz entscheidend der Minimierung des Haftungsrisikos der Geschäftsleitung. Gleichwohl muss dabei berücksichtigt werden, dass eine ausufernde Dokumentierung und Bürokratisierung nicht Sinn und Zweck einer Compliance-Organisation sein kann. Der Umfang der Dokumentation steht dabei im Spannungsfeld mit dem Haftungsrisiko der Geschäftsleitung. Die Schwerpunktsetzung steht im Ermessen des jeweiligen Unternehmens. Von besonderer Bedeutung ist jedoch eine regelmäßige, mindestens jährliche Berichterstattung über die Wirkung der Compliance-Organisation. Soweit es keine relevanten Vorfälle gegeben hat, kann dieser Bericht auch entsprechend kurz ausfallen.

1.2.3 Compliance-Officer

Für die Umsetzung einer Compliance-Organisation ist es erforderlich, dass ein Compliance-Officer oder Compliance-Beauftragter benannt ist und über klar definierte Zuständigkeiten und Befugnisse verfügt. Bei größeren Unternehmen handelt es sich bei dem Compliance-Officer in der Regel um ein eigenständiges Ressort, das auf einer Ebene mit der Rechtsabteilung und der internen Revision oder Ähnlichem angesiedelt ist. Dies ist für mittelständische Unternehmen nicht zwingend erforderlich. Hier sind verschiedene Gestaltungen und Positionen denkbar. Selbstverständlich ist es auch möglich, dass die Aufgabe des Compliance-Officers von der Geschäftsführung mit übernommen wird. An welcher Stelle der Compliance-Officer im Unternehmen positioniert ist, hängt dabei von der Größe und Struktur des Unternehmens ab.

Entscheidend ist, dass der Compliance-Officer mit den für die Implementierung und Aufrechterhaltung der Compliance-Organisation erforderlichen Kenntnissen, Mitteln und Befugnissen ausgestattet ist, so dass er insbesondere gewährleisten kann, dass die erforderlichen Maßnahmen und Prozesse eingeführt und laufend umgesetzt werden, gewährleisten kann, dass die Compliance-Anforderungen und -Werte innerhalb des gesamten Unternehmens nachhaltig kommuniziert werden, Compliance-relevante Vorgänge und Verstöße erfassen und dokumentieren kann, laufend und uneingeschränkt an die Geschäftsleitung berichten kann.

Wesentlich ist, dass der Compliance-Officer bei der Wahrnehmung seiner Aufgaben unabhängig ist und keinen Weisungen unterliegt.

1.2.4 Hinweisgeberstelle

Zentrales Element einer Compliance-Organisation ist ein Hinweisgebersystem. Hierbei handelt es sich um eine idealerweise externe Anlaufstelle (auch Ombudsmann, Vertrauensanwalt, Whistleblower-Hotline, o.ä.), die es Mitarbeitern und gegebenenfalls auch externen Personen ermöglicht, compliance-relevante Hinweise mitzuteilen. Dabei ist es von entscheidender Bedeutung, dass der Hinweisgeber anonym bleiben und die den Hinweis aufnehmende Stelle sich auf eine berufsrechtliche Verschwiegenheitspflicht berufen kann. Um dies zu gewährleisten, sollte eine externe Stelle mit dieser Aufgabe betraut werden. Als externe Hinweisgeberstelle im Rahmen des Hamburger Compliance Zertifikats fungiert Pro Honore e.V. und kann von Unternehmen beauftragt werden. Es können aber auch andere, gleichwertige Stellen eingeschaltet werden. Interne Lösungen sind grundsätzlich möglich, müssen aber besonders sorgfältig im Rahmen der Zertifizierung geprüft werden.

Für die Effizienz des Hinweisgebersystems ist es erforderlich, dass dessen Vorhandensein und Vertraulichkeit gegenüber den Mitarbeitern kommuniziert wird. Gegenüber den Mitarbeitern muss nachhaltig vermittelt werden, dass die Meldung bei der Hinweisgeberstelle nicht zu negativen arbeitsrechtlichen Konsequenzen führt.

1.2.5 Schulungen und Erfa-Gruppen

Straftaten werden nicht durch das Unternehmen, sondern durch die handelnden Mitarbeiter begangen. Zur Umsetzung und Durchsetzung des Compliance-Gedankens kommt es daher entscheidend auf die Wissensvermittlung bei den Mitarbeitern an. Ob dies durch Schulungen durch interne oder externe Personen und / oder durch andere Maßnahmen wie etwa Gruppengespräche zum Erfahrungsaustausch ("Erfa-Gruppen") erfolgt, steht im Ermessen des Unternehmens. Entscheidend ist jedoch, dass dies von einem nachhaltigen und dokumentierbaren Erfolg gekennzeichnet ist. Auch hier ist im Hinblick auf die Dokumentation zu beachten, dass dies für den Fall eines Compliance-Verstoßes der Haftungsreduzierung dienen kann.