Compliance Management

Compliance Management schlank und digitalisiert bewältigen

In den letzten Jahren neigte der Gesetzgeber und auch die Europäische Kommission zu immer weitergehenden gesetzlichen Anforderungen an die Unternehmen im Hinblick auf Veröffentlichungspflichten, Dokumentationspflichten, Organisationspflichten, Haftungspflichten. Aktuell werden die Anforderungen an ein Compliance Management System (CMS), an ein Risikomanagementsystem, etc. massiv erhöht.

Wer es nicht schafft, Compliance schlank und digitalisiert zu organisieren, läuft Gefahr, sich mehr mit sich selbst als mit seinen Kunden und Wettbewerbern zu beschäftigen. Zudem entstehen potenzielle Haftungs-, Finanz- und Reputationsrisiken mit den im Schadensfall einhergehenden Kosten.

Tax Compliance Verstoß kostet Porsche 40 Mio. Euro

Wegen der Verletzung von Aufsichtspflichten bei Porsche im Zuge von Steuererklärungen hat die Staatsanwaltschaft Stuttgart eine Geldbuße in Höhe von 40 Millionen Euro gegen das Unternehmen verhängt. In den Jahren 2009 bis 2016 seien steuerliche Sachverhalte unvollständig oder falsch verbucht worden, teilte die Behörde am Mittwoch, den 21.7.2021 in Stuttgart mit. Dadurch seien Steuerverkürzungen durch Mitarbeiter zumindest erleichtert worden und der Autobauer profitierte davon.

Porsche wird eine Pflichtverletzung mit Organisationsverschulden vorgeworfen, da das Management seine Sorgfalts- und Aufsichtspflichten verletzt hat. Da offensichtlich kein wirksames  Tax-Compliance-Management-System (TCMS) installiert war, wurde Porsche automatisch grob fahrlässiges Verhalten[1] vorgeworfen. Hätte Porsche ein wirksames TCMS nachweisen können, hätte das Unternehmen nicht auf die Einlegung eines Rechtsmittels verzichtet.

Arbeitsschutzverstöße kosten Automobilzulieferer die Lieferfähigkeit

Nach einem Arbeitsunfall an einer selbst gebauten Maschine ohne CE-Kennzeichnung und ohne Konformität zur Maschinenrichtlinie[2] schließt die Berufsgenossenschaft den Betrieb.

Die Möglichkeiten nicht compliant zu sein sind groß. Der Aufwand ein wirksames Compliance-Management-System aufzubauen ist überschaubar. Am Ende ist immer der Vorstand bzw. Geschäftsführer verantwortlich, wenn das Compliance-Management System nicht wirksam war. Deshalb ist es ist es entscheidend, Compliance zur Chefsache zu machen.

Von der Sorgfaltspflicht zur Legalitätspflicht

Der Begriff Sorgfalt findet sich in § 276 (2) BGB wieder. Hier wird auch die Fahrlässigkeit definiert und das in § 276 (1) BGB festgelegte Verschuldensprinzip, also die Verantwortlichkeit für Vorsatz und Fahrlässigkeit, als Grundsatz der Haftung präzisiert. Fahrlässigkeit bedeutet nach § 276 (2) BGB das Außerachtlassen der im Verkehr erforderlichen Sorgfalt. Die im Verkehr erforderliche Sorgfalt stellt den Sorgfaltsmaßstab dar – also diejenige Sorgfalt, die eine gewissenhafte, besonnene Person an den Tag legen würde. Der Sorgfaltsmaßstab ist der Verschuldensmaßstab und kann als Mindestmaß beschrieben werden, mit dem die Sorgfalt ausgeübt werden muss.

Das OLG Köln vertritt in seinem berühmten „Trinkhallen-Urteil[3] folgende Rechtsauffassung bei Gesetzesverstößen: „Der Inhaber eines Betriebes darf nichts unversucht lassen, um erkannten oder erkennbaren Zuwiderhandlungsverfahren entgegenzuwirken.“

Eine weitere gängige Rechtsauffassung repräsentiert die Begründung des BGH im „Presseangriffs-Urteil“[4]: „Die Kosten zur Vermeidung von Rechtsverletzungen bei der Risikoabwehr müssen unbeachtet bleiben. Sie dürfen nicht in die Interessenabwägung einfließen.“

Der Sorgfaltsmaßstab kann dabei als „Wie-Pflicht“ bezeichnet werden. Das heißt er legt fest, wie bzw. in welcher Art und Weise Geschäftsführer und Führungskräfte ihren Tätigkeiten nachzugehen haben und gleichzeitig die notwendige Sorgfalt sicherstellen.

Die einzelnen Sorgfaltspflichten im engeren Sinne können als „Was-Pflichten“ bezeichnet werden, das heißt, sie beschreiben und präzisieren, was der jeweilige Verantwortliche zu unternehmen hat, um seiner Legalitätspflicht nachzukommen.

Was sind die generellen Anforderungen, um compliant zu sein?

Dies bedeutet konkret, dass Pflichtenverantwortliche sämtliche für sie geltenden Pflichten ermitteln, delegieren, aktualisieren, erfüllen und dokumentieren müssen. Der Vorstand bzw. Geschäftsführer hat die Oberaufsicht und Kontroll- und Nachweispflicht, dass dies auch gemacht wird. Zudem hat die Geschäftsleitung dafür zu sorgen und nachzuweisen, dass sich alle Mitarbeiter nach dem Gesetz, der Satzung sowie internen unternehmensspezifischen Regelungen verhalten. Zusätzlich hat die Geschäftsleitung die Pflicht zur Risikoabwehr. Um sich zu exkulpieren ist der schriftliche Nachweis erforderlich, dass die genannten Anforderungen systematisch erfüllt werden.

Rechtsprechung und Rechtslehre leiten aus den Sorgfaltspflichten verschiedene Organisations- und Aufsichtspflichten ab:

Rechtspflicht zur Informationsbeschaffung der Pflichten

Die Juristen von Porsche wussten, dass Entlastungsversuche unter Berufung auf persönliche Unkenntnis immer wieder an dem gleichen Argument der Rechtsprechung scheitern: Der Geschäftsführer hätte sich erforderliche Informationen beschaffen müssen[5].

Sich auf Unkenntnis zu berufen ist keine Entlastung, sondern eine Selbstbelastung. Diese Erklärung legt nämlich offen, dass die Organisationspflicht zur Informationsbeschaffung und zum Informationsmanagement verletzt wurde. Im Strafrecht schützt Unkenntnis nicht vor Strafe[6]. Im Zivilrecht schützt Unkenntnis nicht vor der Haftung.

Da jeder Vorstand bzw. Geschäftsführer die Pflicht hat, für die Einhaltung aller gesetzlichen Vorschriften zu sorgen, ist die erste Aufgabe, alle relevanten Rechtsinformationen zu beschaffen. Das bedeutet, die Rechtspflichten und daraus abgeleiteten Handlungspflichten zu recherchieren und diese auf dem aktuellen Stand zu halten.

Rechtspflicht zur Delegation und Dokumentation der Pflichten

Bei einer rechtskonformen Delegation haben mündliche Anweisungen keinen Bestand und Stellenbeschreibungen, die für die ISO-9001-Zertifizierung gepflegt werden, reichen nicht aus.

Für alle Pflichten, die der Vorstand bzw. Geschäftsführer nicht explizit und schriftlich an geeignete Führungskräfte delegiert, haftet er selbst. Wenn er die Pflichten an geeignete Führungskräfte delegiert und diesen die Voraussetzungen zur Pflichterfüllung ermöglicht, dann hat er seiner Sorgfaltspflicht[7] im Wesentlichen Genüge geleistet.

Rechtspflicht zur Überwachung der Pflichtenerfüllung

Um schriftlich nachweisen zu können, dass die Geschäftsprozesse gesetzeskonform abgewickelt und gelebt werden, ist regelmäßiges Feedback des Teams zu den aus den Rechtspflichten abgeleiteten Handlungspflichten, z.B. bei einem Tax Compliance Managementsystem nach dem Prüfungsstandard des Instituts der deutschen Wirtschaftsprüfer[8], unumgänglich[9].

Es ist sicherzustellen, dass die Verantwortlichen der Rechtspflichten die Feedbacks kontrollieren. Sie müssen überprüfen, welche Handlungspflichten nicht konform erfüllt werden konnten. Die Führungsaufgabe ist es, die Teamleiter dabei zu unterstützen, dass die Handlungspflichten stets erfüllt werden können. Wenn der Pflichtenverantwortliche strukturelle Probleme erkennt, ist er verpflichtet, entsprechende Maßnahmen einzuleiten und diese zu seiner Entlastung bestenfalls im Kontext seiner Rechtspflicht zu dokumentieren.

Der Zusammenhang von Pflichten und eingeleiteten Maßnahmen ist ein wichtiger Baustein, um den Nachweis eines gelebten CMS zu erbringen. Die Grundlage jedes Managementsystems ist ein Regelkreis im Verständnis von Plan, Do, Check, Act. Die Festlegung von Rechts- und Handlungspflichten (Plan), die pflichtenkonforme Abwicklung der Geschäftsprozesse (Do), die Kontrolle, ob die Abwicklung planmäßig erfolgt (Check) und die Einleitung von Korrekturmaßnahmen (Act), um erkannten Pflichtverletzungen gegenzusteuern.

Bei einem Corporate Compliance System mit dem Zweck, Organisationsverschulden zu vermeiden, geht es nicht nur um die Delegation der Pflichten an Führungskräfte, sondern zudem um die Delegation und Kontrolle der pflichtenkonformen Ausführung der Aufgaben durch die Mitarbeiter im Tagesgeschäft.

Rechtspflicht zur Risikoanalyse und Risikovorsorge

Die Geschäftsführung ist verpflichtet die Risiken der Pflichtenerfüllung abzuschätzen und entsprechende Gegensteuerungsmaßnahmen zur Risikovermeidung einzuleiten. Weiterhin ist sie angehalten Risikovorsorge zu betreiben.

Dies gelingt am besten, wenn zusätzlich zum regelmäßigen Feedback auf die Handlungspflichten (Rückschau, ob im letzten Monat konform gearbeitet wurde) auch eine Prognose (Vorschau, ob die Pflichten auch in der Zukunft konform erledigt werden können) erfolgt. Diese monatliche Prognose, die von den Verantwortlichen entsprechend erläutert ist, dient der Risikovorsorge. So kann frühzeitig[10] auf Probleme reagiert werden, die noch gar nicht eingetreten sind.

Fazit

Ein stark redundantes System geltender Gesetze und Verordnungen konkretisiert in Urteilen von Oberlandesgerichten oder dem Bundesgerichtshof schließt immer mehr Spielräume und Gestaltungslücken beim Aufbau eines CMS.

Bei den zu erfüllenden Organisationspflichten und der organisatorischen Komplexität in mittelständischen Unternehmen ist es aussichtslos, mit "Bordmitteln" den Nachweis einer rechtskonformen (sicheren) Organisation erbringen zu können.

Beim Organisationsverschulden gilt die Beweislastumkehr. Das bedeutet, dass die Organisation beweisen muss, dass alle relevanten Rechts- und Organisationspflichten eingehalten wurden. Bei jedem Schadensfall steht der zu entkräftende Vorwurf im Raum, dass der Schaden nicht eingetreten wäre, wenn das Unternehmen ein wirksames CMS im Einsatz gehabt hätte.

Ist kein wirksames CMS in der Organisation implementiert, mit dem der Vorwurf eines Organisationsverschuldens entkräftet werden kann, dann bleibt dem Unternehmen keine Alternative. Wie im Fall Porsche ist es in der Regel alternativlos keine Rechtsmittel einzulegen und das Bußgeld zu akzeptieren.

Compliance schlank und digitalisiert bewältigen mit der Führungs- und Compliancesoftware Vision.iC

Pflichtencockpit in Vision.iC Web
Pflichtencockpit in Vision.iC Web
Informationsbeschaffungspflicht

Kommen Ihre Abteilungsleiter neben ihren Führungsaufgaben und dem Tagesgeschäft mit der Informationsbeschaffung der relevanten Pflichten zunehmend an ihre Leistungsgrenzen?

Für das umfangreiche Steuerrecht bietet Communic mit der Compliance-Lösung Vision.iC  in Zusammenarbeit mit Steuerexperten eine Datenbank an Steuerpflichten, die via Updateservice an die Verantwortlichen der Organisation weitergeleitet werden. Die Informationsbeschaffung der Steuerpflichten ist somit vollständig an Steuerexperten ausgelagert. Die Führungskräfte haben mit der Informationsbeschaffung keinen Aufwand mehr.

Delegationspflicht

Mit Vision.iC ist die Dokumentation der delegierten Pflichten einfach umsetzbar. Die importieren steuerlichen Pflichten werden in der Software Vision.iC den Pflichtenverantwortlichen zugewiesen. Anschließend wird ein Delegationsschreiben per Knopfdruck als Bericht aus Vision.iC erstellt. In diesem Prozess werden die offenen Fragen der Pflichtenverantwortlichen gemeinsam mit einem Steuerexperten geklärt.

Überwachungspflicht

In der Regel haben Geschäftsführer anfänglich enormen Respekt vor der Vorstellung, dass alle ihre Führungskräfte und ausgewählte Mitarbeiter monatlich eine Rückmeldung zur konformen Pflichtenerfüllung eintragen sollen.

Am Ende ist der Aufwand für das monatliche Feedback zu vernachlässigen. Weniger als 10 Minuten monatlich benötigten die meisten Teamleiter für das Feedback der Handlungspflichten. Die Verantwortlichen der Rechtspflichten schauen sich anschließend die Feedbacks in ihrem Pflichtencockpit an. Sie sehen, welche Handlungspflichten nicht konform erfüllt werden konnten. Die Führungsaufgabe ist es, die Teamleiter dabei zu unterstützen, dass die Handlungspflichten stets erfüllt werden können. Wenn der Pflichtenverantwortliche im Cockpit strukturelle Probleme erkennt, leitet er entsprechende Maßnahmen ein, die im Führungskreis besprochen werden.

Der Geschäftsführer sieht auf einen Blick, welche Pflichten im grünen, gelben oder roten Bereich liegen und welche Maßnahmen laufen oder abgeschlossen sind – alles digital oder schwarz auf weiß.

Rechtspflicht zur Risikoanalyse und Risikovorsorge

Die Digitalisierung des Compliance-Prozesses zahlt sich auch bei der Risikoanalyse und Risikovorsorge aus. Die Erfüllung der importierten Liste an relevanten Rechts- und Handlungspflichten ist der Zielzustand. Bei der Besprechung der Pflichten durch den Steuerexperten mit den Verantwortlichen wird erörtert, wie die Pflichtenanforderungen in den Geschäftsprozessen umgesetzt sind.

Die Erfahrung zeigt, dass bei der Delegation der konkreten Handlungspflichten sich bei etwa zehn Prozent der importieren Pflichten keine Person findet, die sich um die Steuersachverhalte explizit kümmert und in Folge die Wahrscheinlichkeit groß ist, dass kein steuerlicher Prozess vorhanden ist. In der Pflichtenübersicht in Vision.iC wird transparent, wie viele einschlägige Handlungspflichten noch nicht delegiert sind.

Die sich daraus ergebenden Risiken werden in Vision.iC dokumentiert und bei Bedarf Maßnahmen eingeleitet. Dies ist dann der Fall, wenn erforderliche Kontrollen, oder klare Verfahren oder Arbeitsanweisungen fehlen. Mit der Dokumentation der Maßnahmen wird der Nachweis erbracht, wie mit erkannten Risiken umgegangen wird. Nach Umsetzung der Maßnahmen, z.B. in Form von Schulungen, werden die restlichen Handlungspflichten delegiert.

Die Software Vision.iC ermöglicht den Verantwortlichen neben dem Feedback (Rückschau, ob im letzten Monat konform gearbeitet wurde) auch eine Prognose (Vorschau, ob die Pflichten auch in der Zukunft konform erledigt werden können). Diese monatliche Prognose, die entsprechend erläutert werden kann, dient der Risikovorsorge. So kann frühzeitig auf Probleme reagiert werden, die noch gar nicht eingetreten sind.

 

[1] Lt. Anwendungserlass zu § 153 AO des Bundesministeriums der Finanzen (BMF) vom 23.05.2016

[2] Richtlinie 2006/42/EG

[3] OLG Köln, Beschluss vom 29.01.2010 - III-1RBs 24/10

[4] BGH, 10.5.1957 – I ZR 234/55, BGHZ 24 (1957), 200

[5] OLG Stuttgart, 29.2.2012 – 20 U 3/11, zur „Sardinien-Äußerung“ eines Aufsichtsrats, ZIP 2012, 625–636, bestätigt durch BGH, 6.11.2012 – II ZR 111/12, NZG 2013, 339

[6] § 17 StGB

[7] § 831 BGB

[8] IDW PS 980

[9] Die Weiterleitung und Speicherung rechtserheblicher Informationen wird durch das Grundsatzurteil zur Wissensaufspaltung des V. Zivilsenats vom 02.02.1996 verpflichtend. BGHZ 132, 30 (36f)

[10] Risikofrüherkennung und Pflichten bei drohender Zahlungsunfähigkeit. Das StaRUG regelt, wie von der EU-Restrukturierungsrichtlinie vorgesehen, die Thematik der Risikofrüherkennung. § 1 StaRUG sieht eine fortlaufende Risikofrüherkennung und frühzeitiges Krisenmanagement durch die Geschäftsleiter vor.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Scroll to top