Compliance: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
= Compliance (Recht) =
== Compliance (Recht) ==
Im rechtlichen Bereich beschreibt man mit dem Begriff '''Compliance''' grundsätzlich die Einhaltung von Regeln in Form von Recht und Gesetz („Rechtstreue“, „Regelkonformität“).  
Im rechtlichen Bereich beschreibt man mit dem Begriff '''Compliance''' grundsätzlich die Einhaltung von Regeln in Form von Recht und Gesetz („Rechtstreue“, „Regelkonformität“).
* Darüber hinaus findet der Begriff auch als [[Synonym]] für Maßnahmen zur Verhinderung von Rechtsverstößen Verwendung.  
* Darüber hinaus findet der Begriff auch als [[Synonym]] für Maßnahmen zur Verhinderung von Rechtsverstößen Verwendung.
* So steht er im unternehmerischen Zusammenhang für die Gesamtheit aller betrieblichen Maßnahmen, die das rechtmäßige Verhalten aller Unternehmensangehörigen sicherstellen sollen.
* So steht er im unternehmerischen Zusammenhang für die Gesamtheit aller betrieblichen Maßnahmen, die das rechtmäßige Verhalten aller Unternehmensangehörigen sicherstellen sollen.


== Rechtsbegriff ==
=== Rechtsbegriff ===
Seinen Ursprung hat der Rechtsbegriff Compliance im angloamerikanischen Rechtskreis.  
Seinen Ursprung hat der Rechtsbegriff Compliance im angloamerikanischen Rechtskreis.
* Dort hat er sich seit seinen Anfängen in den 1930er und 40er Jahren zu einem Synonym für ein eigenständiges Rechtskonzept entwickelt, das auf dem Gedanken der [[Regulierte Selbstregulierung|regulierten Selbstregulierung]] („enforced self-regulation“) beruht.  
* Dort hat er sich seit seinen Anfängen in den 1930er und 40er Jahren zu einem Synonym für ein eigenständiges Rechtskonzept entwickelt, das auf dem Gedanken der [[Regulierte Selbstregulierung|regulierten Selbstregulierung]] („enforced self-regulation“) beruht.
* Mittels inzentivierender Rahmenbedingungen und konkreter Regularien schreibt das angloamerikanische Recht Unternehmen eine wesentliche Verantwortung bei der Verhinderung betrieblicher Rechtsverstöße zu.  
* Mittels inzentivierender Rahmenbedingungen und konkreter Regularien schreibt das angloamerikanische Recht Unternehmen eine wesentliche Verantwortung bei der Verhinderung betrieblicher Rechtsverstöße zu.
* Seinen Ausdruck findet dieses Rechtskonzept heute vor allem in den gesetzlichen Regelungen des [[Foreign Corrupt Practices Act]], der ''US Federal Sentencing Guidelines'' und des [[Sarbanes-Oxley Act]].
* Seinen Ausdruck findet dieses Rechtskonzept heute vor allem in den gesetzlichen Regelungen des [[Foreign Corrupt Practices Act]], der ''US Federal Sentencing Guidelines'' und des [[Sarbanes-Oxley Act]].


== Situation in Deutschland ==
=== Situation in Deutschland ===
=== Deutscher Corporate Governance Kodex (DCGK) ===
==== Deutscher Corporate Governance Kodex (DCGK) ====
Im deutschen Rechtssystem hat der Begriff Compliance bislang keine gesetzliche Definition ([[Legaldefinition]]) erfahren.  
Im deutschen Rechtssystem hat der Begriff Compliance bislang keine gesetzliche Definition ([[Legaldefinition]]) erfahren.
* Lediglich der [[Deutscher Corporate Governance Kodex|Deutsche Corporate Governance Kodex]] (DCGK) enthält in Ziff. 4.1.3 eine grundlegende Begriffsbestimmung.
* Lediglich der [[Deutscher Corporate Governance Kodex|Deutsche Corporate Governance Kodex]] (DCGK) enthält in Ziff. 4.1.3 eine grundlegende Begriffsbestimmung.


<blockquote>'''''Ziff. 4.1.3 Deutscher Corporate Governance Kodex'''''
<blockquote>'''''Ziff. 4.1.3 Deutscher Corporate Governance Kodex'''''


''Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).  
''Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).
* Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen.  
* Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen.
* Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.''</blockquote>Der DCGK enthält Empfehlungen zur [[Nachhaltige Unternehmensführung|nachhaltigen Unternehmensführung]] von Aktiengesellschaften und besitzt als Maßnahme wirtschaftlicher Selbstregulierung keine rechtliche Verbindlichkeit.  
* Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.''</blockquote>Der DCGK enthält Empfehlungen zur [[Nachhaltige Unternehmensführung|nachhaltigen Unternehmensführung]] von Aktiengesellschaften und besitzt als Maßnahme wirtschaftlicher Selbstregulierung keine rechtliche Verbindlichkeit.
* Gem. {{§|161|aktg|juris|text=§ 161 Abs. 1}} AktG müssen Aktiengesellschaften zwar jährlich eine Entsprechungserklärung veröffentlichen.  
* Gem. {{§|161|aktg|juris|text=§ 161 Abs. 1}} AktG müssen Aktiengesellschaften zwar jährlich eine Entsprechungserklärung veröffentlichen.
* Abweichungen von den Empfehlungen des DCGK sind unter Angabe von Gründen jedoch stets möglich.
* Abweichungen von den Empfehlungen des DCGK sind unter Angabe von Gründen jedoch stets möglich.


=== Finanz- und Versicherungsrecht ===
==== Finanz- und Versicherungsrecht ====
Gesetzliche Erwähnung findet der Begriff Compliance bislang vor allem in den Organisationspflichten des [[Finanzrecht|Finanz-]] und [[Versicherungsrecht]]s. [[Kreditinstitut|Kredit-]] und [[Finanzdienstleistungsinstitut]]e müssen gem. {{§|25a|kredwg|juris|text=§ 25a Abs. 1}} KWG, [[Wertpapierdienstleistungsunternehmen]] gem. {{§|80|wphg|juris|text=§ 80 Abs. 1}} WpHG und [[Versicherungsunternehmen]] gem. {{§|29|vag_2016|juris|text=§ 29 Abs. 1}} VAG ein [[internes Kontrollsystem]] (IKS) betreiben, das insbesondere eine „Compliance-Funktion“ umfasst.  
Gesetzliche Erwähnung findet der Begriff Compliance bislang vor allem in den Organisationspflichten des [[Finanzrecht|Finanz-]] und [[Versicherungsrecht]]s. [[Kreditinstitut|Kredit-]] und [[Finanzdienstleistungsinstitut]]e müssen gem. {{§|25a|kredwg|juris|text=§ 25a Abs. 1}} KWG, [[Wertpapierdienstleistungsunternehmen]] gem. {{§|80|wphg|juris|text=§ 80 Abs. 1}} WpHG und [[Versicherungsunternehmen]] gem. {{§|29|vag_2016|juris|text=§ 29 Abs. 1}} VAG ein [[internes Kontrollsystem]] (IKS) betreiben, das insbesondere eine „Compliance-Funktion“ umfasst.
* Für Versicherungsunternehmen beschreibt § 29 Abs. 2 VAG außerdem das Aufgabenfeld der Compliance-Funktion.
* Für Versicherungsunternehmen beschreibt § 29 Abs. 2 VAG außerdem das Aufgabenfeld der Compliance-Funktion.


<blockquote>'''''§ 29 VAG. Internes Kontrollsystem'''''
<blockquote>'''''§ 29 VAG. Internes Kontrollsystem'''''


''(2) <sup>1</sup>Zu den Aufgaben der Compliance-Funktion gehört die Beratung des Vorstands in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die für den Betrieb des Versicherungsgeschäfts gelten. <sup>2</sup>Außerdem hat die Compliance-Funktion die möglichen Auswirkungen von Änderungen des Rechtsumfeldes für das Unternehmen zu beurteilen und das mit der Verletzung der rechtlichen Vorgaben verbundene Risiko (Compliance-Risiko) zu identifizieren und zu beurteilen.''</blockquote>Das IKS samt Compliance-Funktion sehen die einschlägigen Gesetze als wesentlichen Bestandteil eines in die Geschäftsorganisation eingebundenen [[Risikomanagement]]s.  
''(2) <sup>1</sup>Zu den Aufgaben der Compliance-Funktion gehört die Beratung des Vorstands in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die für den Betrieb des Versicherungsgeschäfts gelten. <sup>2</sup>Außerdem hat die Compliance-Funktion die möglichen Auswirkungen von Änderungen des Rechtsumfeldes für das Unternehmen zu beurteilen und das mit der Verletzung der rechtlichen Vorgaben verbundene Risiko (Compliance-Risiko) zu identifizieren und zu beurteilen.''</blockquote>Das IKS samt Compliance-Funktion sehen die einschlägigen Gesetze als wesentlichen Bestandteil eines in die Geschäftsorganisation eingebundenen [[Risikomanagement]]s.
* Ziel des Risikomanagements ist es, durch eine bewusste Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der betrieblichen Risiken die Grundlage für eine „nachhaltige“ ({{§|25a|kredwg|juris|text=§ 25a Abs. 1 S. 3 Nr. 1}} KWG) bzw. „solide“ ({{§|23|vag_2016|juris|text=§ 23 Abs. 1 S. 2}} VAG) [[Unternehmensführung]] zu schaffen.  
* Ziel des Risikomanagements ist es, durch eine bewusste Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der betrieblichen Risiken die Grundlage für eine „nachhaltige“ ({{§|25a|kredwg|juris|text=§ 25a Abs. 1 S. 3 Nr. 1}} KWG) bzw. „solide“ ({{§|23|vag_2016|juris|text=§ 23 Abs. 1 S. 2}} VAG) [[Unternehmensführung]] zu schaffen.
* Die konkrete Ausgestaltung der betrieblichen Maßnahmen machen {{§|25a|kredwg|juris|text=§ 25a Abs. 1 S. 4}} KWG und {{§|26|vag_2016|juris|text=§ 26 Abs. 2}} VAG von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit abhängig.
* Die konkrete Ausgestaltung der betrieblichen Maßnahmen machen {{§|25a|kredwg|juris|text=§ 25a Abs. 1 S. 4}} KWG und {{§|26|vag_2016|juris|text=§ 26 Abs. 2}} VAG von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit abhängig.


=== Rechtsphänomen ===
==== Rechtsphänomen ====
Angetrieben von den Empfehlungen des DCGK sowie den Entwicklungen auf dem Finanz- und Versicherungsmarkt hat sich der Begriff Compliance im deutschen Recht zum Synonym eines risikoakzessorischen und -präventiven Rechtsverständnisses entwickelt.  
Angetrieben von den Empfehlungen des DCGK sowie den Entwicklungen auf dem Finanz- und Versicherungsmarkt hat sich der Begriff Compliance im deutschen Recht zum Synonym eines risikoakzessorischen und -präventiven Rechtsverständnisses entwickelt.
* Bis auf die Ansätze des Finanz- und Versicherungsrechts haben die Strukturen und Zusammenhänge dieses Rechtsverständnisses im deutschen Recht aber noch keine gesetzliche Konkretisierung erfahren, sodass sich das Thema Compliance im Gegensatz zum angloamerikanischen Recht noch weitestgehend als [[Phänomen]] darstellt. [[Phänomenologie|Wesensmerkmal]] dieses Phänomens ist eine interaktive [[Methodik]], die sich die Gesamtheit der rechtlichen, ökonomischen und ethischen Steuerungsmöglichkeiten zu Nutze macht, um Gefahren und insbesondere der Gefahr von Rechtsverstößen zu begegnen (sozioökonomischer Regulierungsansatz).  
* Bis auf die Ansätze des Finanz- und Versicherungsrechts haben die Strukturen und Zusammenhänge dieses Rechtsverständnisses im deutschen Recht aber noch keine gesetzliche Konkretisierung erfahren, sodass sich das Thema Compliance im Gegensatz zum angloamerikanischen Recht noch weitestgehend als [[Phänomen]] darstellt. [[Phänomenologie|Wesensmerkmal]] dieses Phänomens ist eine interaktive [[Methodik]], die sich die Gesamtheit der rechtlichen, ökonomischen und ethischen Steuerungsmöglichkeiten zu Nutze macht, um Gefahren und insbesondere der Gefahr von Rechtsverstößen zu begegnen (sozioökonomischer Regulierungsansatz).
* Ermöglicht wird dies durch das Konzept der [[Ko-Regulierung|Koregulierung]], die [[Neue Institutionenökonomik|Neue Institutionenökonomie]] und die [[Wirtschaftsethik]].
* Ermöglicht wird dies durch das Konzept der [[Ko-Regulierung|Koregulierung]], die [[Neue Institutionenökonomik|Neue Institutionenökonomie]] und die [[Wirtschaftsethik]].


==== Koregulierung ====
===== Koregulierung =====
Im Rahmen der [[Ko-Regulierung|Koregulierung]] überträgt der Staat der Zivil- und insbesondere der Wirtschaftsgesellschaft eine [[Verantwortung]], sich an der [[Prävention]] von Gefahren zu beteiligen.  
Im Rahmen der [[Ko-Regulierung|Koregulierung]] überträgt der Staat der Zivil- und insbesondere der Wirtschaftsgesellschaft eine [[Verantwortung]], sich an der [[Prävention]] von Gefahren zu beteiligen.
* Die inhaltliche Ausgestaltung der Präventionsverantwortung wird bis auf spezialgesetzliche Vorgaben weitestgehend den Unternehmen überlassen und lediglich durch die rechtlichen Haftungsmechnismen abgesichert ([[regulierte Selbstregulierung]]).
* Die inhaltliche Ausgestaltung der Präventionsverantwortung wird bis auf spezialgesetzliche Vorgaben weitestgehend den Unternehmen überlassen und lediglich durch die rechtlichen Haftungsmechnismen abgesichert ([[regulierte Selbstregulierung]]).


==== Neue Institutionenökonomie ====
===== Neue Institutionenökonomie =====
Ausgestalten lässt sich die betriebliche Präventionsverantwortung mithilfe der [[Neue Institutionenökonomik|Neuen Institutionenökonomie]], die in Abkehr vom neoklassischen Wirtschaftsverständnis die verhaltenssteuernde Wirkung institutioneller Strukturen einbezieht.  
Ausgestalten lässt sich die betriebliche Präventionsverantwortung mithilfe der [[Neue Institutionenökonomik|Neuen Institutionenökonomie]], die in Abkehr vom neoklassischen Wirtschaftsverständnis die verhaltenssteuernde Wirkung institutioneller Strukturen einbezieht.
* Grundlage ist nicht mehr das realitätsferne Postulat allumfassender Information, sondern das kognitiv begrenzte Leistungsspektrum jedes Menschen.  
* Grundlage ist nicht mehr das realitätsferne Postulat allumfassender Information, sondern das kognitiv begrenzte Leistungsspektrum jedes Menschen.
* Dementsprechend bedarf es zur Entfaltung der betrieblichen Selbstregulierungspotenziale auch gezielter Regelungen, deren Effizienz und [[Effektivität]] stark von ihrer [[Unternehmenskultur|unternehmenskulturellen]] Akzeptanz abhängen.
* Dementsprechend bedarf es zur Entfaltung der betrieblichen Selbstregulierungspotenziale auch gezielter Regelungen, deren Effizienz und [[Effektivität]] stark von ihrer [[Unternehmenskultur|unternehmenskulturellen]] Akzeptanz abhängen.


==== Wirtschaftsethik ====
===== Wirtschaftsethik =====
Aufschluss über die kulturellen Prozesse wirtschaftlicher Organisationen liefert die [[Wirtschaftsethik]], die sich mit dem Konflikt zwischen wirtschaftlichem [[Eigennutz]] und sozialer [[Verantwortung]] beschäftigt.  
Aufschluss über die kulturellen Prozesse wirtschaftlicher Organisationen liefert die [[Wirtschaftsethik]], die sich mit dem Konflikt zwischen wirtschaftlichem [[Eigennutz]] und sozialer [[Verantwortung]] beschäftigt.
* Als zentrale Orte dieses Konflikts sieht die Wirtschaftsethik jedes an wirtschaftlichen Maximen orientierte Kollektiv, weshalb vor allem Unternehmen in ganzem besonderem Maße dafür verantwortlich sind, durch kulturelle Maßnahmen nachhaltige Anreize zur Beachtung rechtlicher und moralischer Standards zu setzen ([[Corporate Social Responsibility]]).
* Als zentrale Orte dieses Konflikts sieht die Wirtschaftsethik jedes an wirtschaftlichen Maximen orientierte Kollektiv, weshalb vor allem Unternehmen in ganzem besonderem Maße dafür verantwortlich sind, durch kulturelle Maßnahmen nachhaltige Anreize zur Beachtung rechtlicher und moralischer Standards zu setzen ([[Corporate Social Responsibility]]).


=== Risikoprävention ===
==== Risikoprävention ====
Zum Ausdruck kommen die präventiven Strukturen des [[Phänomen]]s Compliance nicht nur in den Vorschriften des [[Finanzrecht|Finanz-]] und [[Versicherungsrecht]]s.  
Zum Ausdruck kommen die präventiven Strukturen des [[Phänomen]]s Compliance nicht nur in den Vorschriften des [[Finanzrecht|Finanz-]] und [[Versicherungsrecht]]s.
* Auch in zahlreichen anderen Rechtsbereichen existieren Vorschriften, die den Begriff Compliance zwar nicht ausdrücklich verwenden, seinen Gedanken der Risikoprävention aber dennoch transportieren, indem sie einen bewussten Umgang mit Gefahren einfordern.
* Auch in zahlreichen anderen Rechtsbereichen existieren Vorschriften, die den Begriff Compliance zwar nicht ausdrücklich verwenden, seinen Gedanken der Risikoprävention aber dennoch transportieren, indem sie einen bewussten Umgang mit Gefahren einfordern.


==== Allgemeine Präventionspflichten ====
===== Allgemeine Präventionspflichten =====
Allgemeine betriebliche Präventionspflichten ergeben sich in erster Linie aus dem [[Gesellschaftsrecht (Deutschland)|Gesellschaftsrecht]] (Corporate Compliance) sowie den Vorschriften des [[Strafrecht (Deutschland)|Straf-]] und [[Ordnungswidrigkeit]]enrechts (Criminal Compliance).  
Allgemeine betriebliche Präventionspflichten ergeben sich in erster Linie aus dem [[Gesellschaftsrecht (Deutschland)|Gesellschaftsrecht]] (Corporate Compliance) sowie den Vorschriften des [[Strafrecht (Deutschland)|Straf-]] und [[Ordnungswidrigkeit]]enrechts (Criminal Compliance).
* Darüber hinaus kennt auch das [[Privatrecht]] gewisse Präventionspflichten, die sich sowohl an Unternehmen als auch an Privatpersonen richten.
* Darüber hinaus kennt auch das [[Privatrecht]] gewisse Präventionspflichten, die sich sowohl an Unternehmen als auch an Privatpersonen richten.


===== Legalitätskontrolle =====
====== Legalitätskontrolle ======
Die Unternehmensleitung hat im Rahmen ihrer allgemeinen gesellschaftsrechtlichen Sorgfaltspflichten (v.&nbsp;a. {{§|76|aktg|juris|text=§§ 76 Abs. 1}}, {{§|93|aktg|juris|text=93 Abs. 1}} AktG und {{§|43|gmbhg|juris|text=§ 43 Abs. 1}} GmbHG) für ein rechtstreues Verhalten aller Unternehmensangehörigen zu sorgen, indem sie der Gefahr betrieblicher Rechtsverstöße durch entsprechende Maßnahmen begegnet.  
Die Unternehmensleitung hat im Rahmen ihrer allgemeinen gesellschaftsrechtlichen Sorgfaltspflichten (v.&nbsp;a. {{§|76|aktg|juris|text=§§ 76 Abs. 1}}, {{§|93|aktg|juris|text=93 Abs. 1}} AktG und {{§|43|gmbhg|juris|text=§ 43 Abs. 1}} GmbHG) für ein rechtstreues Verhalten aller Unternehmensangehörigen zu sorgen, indem sie der Gefahr betrieblicher Rechtsverstöße durch entsprechende Maßnahmen begegnet.
* Soweit keine spezialgesetzlichen Vorgaben bestehen, gewährt das [[Gesellschaftsrecht (Deutschland)|Gesellschaftsrecht]] bei der inhaltlichen Ausgestaltung der Legalitätskontrolle zwar grundsätzlich einen Ermessensspielraum ([[Business Judgement Rule]]).  
* Soweit keine spezialgesetzlichen Vorgaben bestehen, gewährt das [[Gesellschaftsrecht (Deutschland)|Gesellschaftsrecht]] bei der inhaltlichen Ausgestaltung der Legalitätskontrolle zwar grundsätzlich einen Ermessensspielraum ([[Business Judgement Rule]]).
* Ihre Entscheidungen muss die Unternehmensleitung jedoch stets auf der Grundlage einer angemessenen [[Risikoanalyse]] treffen (Risikoakzessorietät).  
* Ihre Entscheidungen muss die Unternehmensleitung jedoch stets auf der Grundlage einer angemessenen [[Risikoanalyse]] treffen (Risikoakzessorietät).
* Diesen gesellschaftsrechtlichen Grundsätzen entsprechend entschied das [[Landgericht München I|LG München I]] im Jahre 2013 in einem der bislang wenigen Urteile zum Thema Compliance („[[Heinz-Joachim Neubürger|Neubürger]]-Urteil“ im Rahmen des [[Siemens#Korruptionsaffäre 2006–2008|Korruptionsskandals]] bei der [[Siemens]] AG):
* Diesen gesellschaftsrechtlichen Grundsätzen entsprechend entschied das [[Landgericht München I|LG München I]] im Jahre 2013 in einem der bislang wenigen Urteile zum Thema Compliance („[[Heinz-Joachim Neubürger|Neubürger]]-Urteil“ im Rahmen des [[Siemens#Korruptionsaffäre 2006–2008|Korruptionsskandals]] bei der [[Siemens]] AG):
<blockquote>„Im Rahmen seiner Legalitätspflicht hat ein Vorstandsmitglied dafür Sorge zu tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße wie Schmiergeldzahlungen an Amtsträger eines ausländischen Staates oder an ausländische Privatpersonen erfolgen.  
<blockquote>„Im Rahmen seiner Legalitätspflicht hat ein Vorstandsmitglied dafür Sorge zu tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße wie Schmiergeldzahlungen an Amtsträger eines ausländischen Staates oder an ausländische Privatpersonen erfolgen.
* Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet.  
* Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet.
* Entscheidend für den Umfang im Einzelnen sind dabei Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit.“</blockquote>Werden Risiken entdeckt, die den Bestand des Unternehmens gefährden können, so verlangt {{§|91|aktg|juris|text=§ 91 Abs. 2}} AktG außerdem ein [[Internes Kontrollsystem]] (IKS).  
* Entscheidend für den Umfang im Einzelnen sind dabei Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit.“</blockquote>Werden Risiken entdeckt, die den Bestand des Unternehmens gefährden können, so verlangt {{§|91|aktg|juris|text=§ 91 Abs. 2}} AktG außerdem ein [[Internes Kontrollsystem]] (IKS).
* Zwingend zu überwachen sind mithilfe des IKS jedoch nicht die Bestandsgefahren an sich, sondern lediglich die betrieblichen Maßnahmen, die zur Beherrschung der Bestandsgefahren erforderlich sind.
* Zwingend zu überwachen sind mithilfe des IKS jedoch nicht die Bestandsgefahren an sich, sondern lediglich die betrieblichen Maßnahmen, die zur Beherrschung der Bestandsgefahren erforderlich sind.


===== Kriminalitätsbekämpfung =====
====== Kriminalitätsbekämpfung ======
Auch das [[Strafrecht (Deutschland)|Straf-]] und [[Ordnungswidrigkeit]]enrecht kennt eine Pflicht zur Verhinderung betrieblicher Rechtsverstöße.  
Auch das [[Strafrecht (Deutschland)|Straf-]] und [[Ordnungswidrigkeit]]enrecht kennt eine Pflicht zur Verhinderung betrieblicher Rechtsverstöße.
* Eine Selbstkontrolle des Unternehmens kann eine staatliche Kontrolle nicht ersetzen.  
* Eine Selbstkontrolle des Unternehmens kann eine staatliche Kontrolle nicht ersetzen.
* Der Umfang der Präventionspflicht ist im Vergleich zur gesellschaftsrechtlichen Legalitätskontrollpflicht jedoch kleiner, da lediglich der Gefahr betrieblicher Straftaten und Ordnungswidrigkeiten ([[Wirtschaftskriminalität|Unternehmenskriminalität]]) begegnet werden muss.  
* Der Umfang der Präventionspflicht ist im Vergleich zur gesellschaftsrechtlichen Legalitätskontrollpflicht jedoch kleiner, da lediglich der Gefahr betrieblicher Straftaten und Ordnungswidrigkeiten ([[Wirtschaftskriminalität|Unternehmenskriminalität]]) begegnet werden muss.
* Eine ausdrückliche Formulierung hat diese Pflicht zur Bekämpfung von Unternehmenskriminalität in {{§|130|owig_1968|juris}} OWiG erfahren.  
* Eine ausdrückliche Formulierung hat diese Pflicht zur Bekämpfung von Unternehmenskriminalität in {{§|130|owig_1968|juris}} OWiG erfahren.
* Sowohl die Anwendbarkeit des § 130 OWiG auf Konzernsachverhalte als auch die Reichweite auf Auslandssachverhalte ist bislang nicht abschließend geklärt.   <blockquote>'''''§ 130 OWiG.  
* Sowohl die Anwendbarkeit des § 130 OWiG auf Konzernsachverhalte als auch die Reichweite auf Auslandssachverhalte ist bislang nicht abschließend geklärt. <blockquote>'''''§ 130 OWiG.
* Aufsichtspflicht'''''
* Aufsichtspflicht'''''


''(1) <sup>1</sup>Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.''</blockquote>
''(1) <sup>1</sup>Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.''</blockquote>
Im [[Strafrecht (Deutschland)|Strafrecht]] existiert bislang zwar keine ausdrückliche Präventionspflicht.  
Im [[Strafrecht (Deutschland)|Strafrecht]] existiert bislang zwar keine ausdrückliche Präventionspflicht.
* Nichtsdestotrotz hat sich aber insbesondere im Rahmen der allgemeinen strafrechtlichen Zurechnungsmechanismen ({{§|13-15|stgb|buzer|text=§§ 13–15}} StGB sowie {{§|25-27|stgb|buzer|text=§§ 25–27}} StGB) ebenfalls eine Pflicht der Unternehmensleitung zur Bekämpfung von Unternehmenskriminalität etabliert.  
* Nichtsdestotrotz hat sich aber insbesondere im Rahmen der allgemeinen strafrechtlichen Zurechnungsmechanismen ({{§|13-15|stgb|buzer|text=§§ 13–15}} StGB sowie {{§|25-27|stgb|buzer|text=§§ 25–27}} StGB) ebenfalls eine Pflicht der Unternehmensleitung zur Bekämpfung von Unternehmenskriminalität etabliert.
* Grundlage ist wie im [[Ordnungswidrigkeit]]enrecht auch die durch betriebliche Delegationsverhältnisse erhöhte Gefahr von Unternehmenskriminalität und die Fähigkeit der Unternehmensleitung, auf diese Gefahr mithilfe der betrieblichen Organisationsstrukturen einzuwirken (Risiko- und Organisationsherrschaft).
* Grundlage ist wie im [[Ordnungswidrigkeit]]enrecht auch die durch betriebliche Delegationsverhältnisse erhöhte Gefahr von Unternehmenskriminalität und die Fähigkeit der Unternehmensleitung, auf diese Gefahr mithilfe der betrieblichen Organisationsstrukturen einzuwirken (Risiko- und Organisationsherrschaft).


Der Kreis der im Rahmen der straf- und ordnungswidrigkeitenrechtlichen Präventionspflicht zu beachtenden Vorschriften ergibt sich aus dem Tätigkeitsbereich des Unternehmens.  
Der Kreis der im Rahmen der straf- und ordnungswidrigkeitenrechtlichen Präventionspflicht zu beachtenden Vorschriften ergibt sich aus dem Tätigkeitsbereich des Unternehmens.
* Zu den straf- oder bußgeldbewährten Pflichten, die jeden Inhaber eines Betriebs oder Unternehmens treffen, zählt aber in jedem Fall die [[Wettbewerbsrecht (Deutschland)|Achtung des freien Wettbewerbs]].  
* Zu den straf- oder bußgeldbewährten Pflichten, die jeden Inhaber eines Betriebs oder Unternehmens treffen, zählt aber in jedem Fall die [[Wettbewerbsrecht (Deutschland)|Achtung des freien Wettbewerbs]].
* Zum Schutz des freien Wettbewerbs bedrohen das [[Strafgesetzbuch (Deutschland)|Strafgesetzbuch]] ({{§|298-301|stgb|buzer|text=§§ 298–301}} StGB), das [[Gesetz gegen den unlauteren Wettbewerb]] ({{§|16-20|uwg_2004|buzer|text=§§ 16–20}} UWG) und das [[Gesetz gegen Wettbewerbsbeschränkungen]] ({{§|81|gwb|juris}} GWB) [[Korruption|korrupte]], [[Unlauterer Wettbewerb|unlautere]] und verzerrende Praktiken mit Strafen oder [[Geldbuße (Verwaltungsrecht)|Geldbußen]].
* Zum Schutz des freien Wettbewerbs bedrohen das [[Strafgesetzbuch (Deutschland)|Strafgesetzbuch]] ({{§|298-301|stgb|buzer|text=§§ 298–301}} StGB), das [[Gesetz gegen den unlauteren Wettbewerb]] ({{§|16-20|uwg_2004|buzer|text=§§ 16–20}} UWG) und das [[Gesetz gegen Wettbewerbsbeschränkungen]] ({{§|81|gwb|juris}} GWB) [[Korruption|korrupte]], [[Unlauterer Wettbewerb|unlautere]] und verzerrende Praktiken mit Strafen oder [[Geldbuße (Verwaltungsrecht)|Geldbußen]].


Ihre Kenntnisse zu Regelverstößen können Hinweisgeber den Strafverfolgungsbehörden auch anonym übermitteln, da nach dem [[Legalitätsprinzip]] die Polizei auch anonymen Anzeigen nachgehen muss.
Ihre Kenntnisse zu Regelverstößen können Hinweisgeber den Strafverfolgungsbehörden auch anonym übermitteln, da nach dem [[Legalitätsprinzip]] die Polizei auch anonymen Anzeigen nachgehen muss.


===== Verkehrssicherung =====
====== Verkehrssicherung ======
Unternehmen und Privatpersonen sind im Rahmen der allgemeinen zivilrechtlichen Sorgfaltsmaßstäbe ({{§|823,276|BGB|buzer|text=§§&nbsp;823, 276}} BGB) dazu verpflichtet, die Allgemeinheit vor Gefahren zu schützen, die ihrem Einflussbereich unterliegen.
Unternehmen und Privatpersonen sind im Rahmen der allgemeinen zivilrechtlichen Sorgfaltsmaßstäbe ({{§|823,276|BGB|buzer|text=§§&nbsp;823, 276}} BGB) dazu verpflichtet, die Allgemeinheit vor Gefahren zu schützen, die ihrem Einflussbereich unterliegen.


==== Spezielle Präventionspflichten ====
===== Spezielle Präventionspflichten =====
Der Gedanke der Risikoprävention findet auch zunehmend Eingang in einzelne Bereiche des Rechtssystems.  
Der Gedanke der Risikoprävention findet auch zunehmend Eingang in einzelne Bereiche des Rechtssystems.
* Diese spezialgesetzlichen Vorgaben stellen eine bereichsspezifische Konkretisierung der allgemeinen Präventionspflichten dar.
* Diese spezialgesetzlichen Vorgaben stellen eine bereichsspezifische Konkretisierung der allgemeinen Präventionspflichten dar.


===== Datenschutz =====
====== Datenschutz ======
Seit 25. Mai 2018 haben Unternehmen und Privatpersonen bei jeder Verarbeitung von [[Personenbezogene Daten|personenbezogenen Daten]], die in einem [[Dateisystem]] gespeichert sind oder werden sollen, die [[Datenschutz-Grundverordnung]] (VO EU Nr. 2016/679) zu beachten.  
Seit 25. Mai 2018 haben Unternehmen und Privatpersonen bei jeder Verarbeitung von [[Personenbezogene Daten|personenbezogenen Daten]], die in einem [[Dateisystem]] gespeichert sind oder werden sollen, die [[Datenschutz-Grundverordnung]] (VO EU Nr. 2016/679) zu beachten.
* Ausgenommen ist lediglich die Verarbeitung zu ausschließlich persönlichen oder familiären Zwecken ({{Art.|2|DSGVO|dejure|text=2 Abs. 2 lit. c DSGVO}}).  
* Ausgenommen ist lediglich die Verarbeitung zu ausschließlich persönlichen oder familiären Zwecken ({{Art.|2|DSGVO|dejure|text=2 Abs. 2 lit. c DSGVO}}).
* Die DSGVO verlangt insbesondere, dass bei der Verarbeitung personenbezogener Daten risikoadäquate Vorkehrungen zum Datenschutz zu treffen sind.
* Die DSGVO verlangt insbesondere, dass bei der Verarbeitung personenbezogener Daten risikoadäquate Vorkehrungen zum Datenschutz zu treffen sind.


<blockquote>'''''Art. 24 DSGVO. Verantwortung des für die Verarbeitung Verantwortlichen'''''
<blockquote>'''''Art. 24 DSGVO. Verantwortung des für die Verarbeitung Verantwortlichen'''''


''(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.''</blockquote>Dies erfordert die Führung von Verzeichnissen aller Verarbeitungstätigkeiten ({{Art.|30|DSGVO|dejure}} DSGVO), die Gewährleistung eines angemessenen Datenschutzniveaus ({{Art.|32|DSGVO|dejure}} DSGVO) und die Meldung von Verstößen ({{Art.|33|DSGVO|dejure}} DSGVO).  
''(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.''</blockquote>Dies erfordert die Führung von Verzeichnissen aller Verarbeitungstätigkeiten ({{Art.|30|DSGVO|dejure}} DSGVO), die Gewährleistung eines angemessenen Datenschutzniveaus ({{Art.|32|DSGVO|dejure}} DSGVO) und die Meldung von Verstößen ({{Art.|33|DSGVO|dejure}} DSGVO).
* Eines [[Datenschutzbeauftragter (Datenschutz-Grundverordnung)|Datenschutzbeauftragten]] bedarf es zwingend nur in bestimmten Fällen ({{Art.|37|DSGVO|dejure}} DSGVO).
* Eines [[Datenschutzbeauftragter (Datenschutz-Grundverordnung)|Datenschutzbeauftragten]] bedarf es zwingend nur in bestimmten Fällen ({{Art.|37|DSGVO|dejure}} DSGVO).


===== Arbeitsschutz =====
====== Arbeitsschutz ======
Das [[Arbeitsschutzgesetz]] (ArbSchG) verpflichtet Arbeitgeber zu Maßnahmen des Arbeitsschutzes.  
Das [[Arbeitsschutzgesetz]] (ArbSchG) verpflichtet Arbeitgeber zu Maßnahmen des Arbeitsschutzes.
* Dies umfasst gem. {{§|2|arbschg|juris|text=§ 2 Abs. 1}} ArbSchG Maßnahmen zur Verhütung von Unfällen bei der Arbeit und arbeitsbedingten Gesundheitsgefahren einschließlich Maßnahmen der menschengerechten Gestaltung der Arbeit. <blockquote>'''''§ 3 ArbSchG.  
* Dies umfasst gem. {{§|2|arbschg|juris|text=§ 2 Abs. 1}} ArbSchG Maßnahmen zur Verhütung von Unfällen bei der Arbeit und arbeitsbedingten Gesundheitsgefahren einschließlich Maßnahmen der menschengerechten Gestaltung der Arbeit. <blockquote>'''''§ 3 ArbSchG.
* Grundpflichten des Arbeitgebers'''''
* Grundpflichten des Arbeitgebers'''''


''(1) <sup>1</sup>Der Arbeitgeber ist verpflichtet, die erforderlichen Maßnahmen des Arbeitsschutzes unter Berücksichtigung der Umstände zu treffen, die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit beeinflussen. <sup>2</sup>Er hat die Maßnahmen auf ihre Wirksamkeit zu überprüfen und erforderlichenfalls sich ändernden Gegebenheiten anzupassen. <sup>3</sup>Dabei hat er eine Verbesserung von Sicherheit und Gesundheitsschutz der Beschäftigten anzustreben.''</blockquote>Die Maßnahmen des Arbeitsschutzes sind an den allgemeinen Grundsätzen auszurichten ({{§|4|arbschg|juris}} ArbSchG), anhand einer [[Risikoanalyse]] zu ermitteln ({{§|5|arbschg|juris}} ArbSchG), mithilfe einer geeigneten [[Organisation]] und interner [[Kontrolle|Kontrollmaßnahmen]] zu planen und durchzuführen ({{§|3|arbschg|juris|text=§ 3 Abs. 2}} ArbSchG) und zu dokumentieren ({{§|6|arbschg|juris}} ArbSchG).
''(1) <sup>1</sup>Der Arbeitgeber ist verpflichtet, die erforderlichen Maßnahmen des Arbeitsschutzes unter Berücksichtigung der Umstände zu treffen, die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit beeinflussen. <sup>2</sup>Er hat die Maßnahmen auf ihre Wirksamkeit zu überprüfen und erforderlichenfalls sich ändernden Gegebenheiten anzupassen. <sup>3</sup>Dabei hat er eine Verbesserung von Sicherheit und Gesundheitsschutz der Beschäftigten anzustreben.''</blockquote>Die Maßnahmen des Arbeitsschutzes sind an den allgemeinen Grundsätzen auszurichten ({{§|4|arbschg|juris}} ArbSchG), anhand einer [[Risikoanalyse]] zu ermitteln ({{§|5|arbschg|juris}} ArbSchG), mithilfe einer geeigneten [[Organisation]] und interner [[Kontrolle|Kontrollmaßnahmen]] zu planen und durchzuführen ({{§|3|arbschg|juris|text=§ 3 Abs. 2}} ArbSchG) und zu dokumentieren ({{§|6|arbschg|juris}} ArbSchG).


===== Geldwäschebekämpfung =====
====== Geldwäschebekämpfung ======
Das Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten ([[Geldwäsche]]gesetz – GwG) schreibt Akteuren der Finanz-, Versicherungs-, Rechtsberatungs-, Wirtschaftsprüfungs-, Treuhand-, Immobilien-, Glücksspiel- und Güterhandelsbranche eine Verantwortung bei der Verhinderung von Geldwäsche und [[Terrorismus]]finanzierung zu ({{§|2|gwg_2017|juris}} GwG). <blockquote>'''''§ 4 GwG.  
Das Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten ([[Geldwäsche]]gesetz – GwG) schreibt Akteuren der Finanz-, Versicherungs-, Rechtsberatungs-, Wirtschaftsprüfungs-, Treuhand-, Immobilien-, Glücksspiel- und Güterhandelsbranche eine Verantwortung bei der Verhinderung von Geldwäsche und [[Terrorismus]]finanzierung zu ({{§|2|gwg_2017|juris}} GwG). <blockquote>'''''§ 4 GwG.
* Risikomanagement'''''
* Risikomanagement'''''


''(1) Die Verpflichteten müssen zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung über ein wirksames Risikomanagement verfügen, das im Hinblick auf Art und Umfang ihrer Geschäftstätigkeit angemessen ist.''</blockquote>Bestandteile der Präventionsstrategie sind eine [[Risikoanalyse]] ({{§|5|gwg_2017|juris}} GwG), interne Sicherungsmaßnahmen ({{§|6|gwg_2017|juris}} GwG), Verhaltensstandards ({{§|10-17|GwG|buzer|text=§§ 10–17}} GwG) sowie die Meldung von Verdachtsfällen ({{§|43|gwg_2017|juris}} GwG).
''(1) Die Verpflichteten müssen zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung über ein wirksames Risikomanagement verfügen, das im Hinblick auf Art und Umfang ihrer Geschäftstätigkeit angemessen ist.''</blockquote>Bestandteile der Präventionsstrategie sind eine [[Risikoanalyse]] ({{§|5|gwg_2017|juris}} GwG), interne Sicherungsmaßnahmen ({{§|6|gwg_2017|juris}} GwG), Verhaltensstandards ({{§|10-17|GwG|buzer|text=§§ 10–17}} GwG) sowie die Meldung von Verdachtsfällen ({{§|43|gwg_2017|juris}} GwG).


===== Produktsicherheit =====
====== Produktsicherheit ======
Eine besondere Ausprägung hat die allgemeine Verkehrssicherungspflicht in Bezug auf Produkte erfahren.  
Eine besondere Ausprägung hat die allgemeine Verkehrssicherungspflicht in Bezug auf Produkte erfahren.
* Zwar formuliert das [[Produkthaftungsgesetz (Deutschland)|Produkthaftungsgesetz]] (ProdHaftG) keine spezialgesetzlichen Präventionspflichten.  
* Zwar formuliert das [[Produkthaftungsgesetz (Deutschland)|Produkthaftungsgesetz]] (ProdHaftG) keine spezialgesetzlichen Präventionspflichten.
* Für die Folgen eines fehlerhaften Produkts trägt ein Hersteller aber dann keine Verantwortung, wenn er die Rechtsvorschriften und den aktuellen [[Stand der Wissenschaft und Technik]] beachtet hat ({{§|1|prodhaftg|juris|text=§ 1 Abs. 2 Nr. 4 und 5}} ProdHaftG).
* Für die Folgen eines fehlerhaften Produkts trägt ein Hersteller aber dann keine Verantwortung, wenn er die Rechtsvorschriften und den aktuellen [[Stand der Wissenschaft und Technik]] beachtet hat ({{§|1|prodhaftg|juris|text=§ 1 Abs. 2 Nr. 4 und 5}} ProdHaftG).


=== Präventionsmaßnahmen ===
==== Präventionsmaßnahmen ====
Eine allgemeingültige Beschreibung der erforderlichen Präventionsmaßnahmen kennt das deutsche Recht bislang nicht.  
Eine allgemeingültige Beschreibung der erforderlichen Präventionsmaßnahmen kennt das deutsche Recht bislang nicht.
* Nichtsdestotrotz hat sich entsprechend der interaktiven [[Methodik]] des [[Phänomen]]s Compliance ein gewisser Standard an betrieblichen Präventionsmaßnahmen herausgebildet.  
* Nichtsdestotrotz hat sich entsprechend der interaktiven [[Methodik]] des [[Phänomen]]s Compliance ein gewisser Standard an betrieblichen Präventionsmaßnahmen herausgebildet.
* Dieser verschmilzt im Rahmen eines strategischen [[Risikomanagement]]s kulturelle Lern- und formale Kontrollmaßnahmen zu einem systematischen Umgang mit der Gefahr betrieblicher Regelverstöße ([[Compliance Management System]]).
* Dieser verschmilzt im Rahmen eines strategischen [[Risikomanagement]]s kulturelle Lern- und formale Kontrollmaßnahmen zu einem systematischen Umgang mit der Gefahr betrieblicher Regelverstöße ([[Compliance Management System]]).


==== Strategisches Risikomanagement ====
===== Strategisches Risikomanagement =====
Grundlage des [[Compliance Management System]]s ist eine fortlaufende Identifikation und Bewertung ([[Risikoanalyse]]) sowie Steuerung und Überwachung der Gefahr betrieblicher Regelverstöße.  
Grundlage des [[Compliance Management System]]s ist eine fortlaufende Identifikation und Bewertung ([[Risikoanalyse]]) sowie Steuerung und Überwachung der Gefahr betrieblicher Regelverstöße.
* Diese Notwendigkeit eines strategischen [[Risikomanagement]]s bringen vor allem der vom Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) veröffentlichte [[Liste der IDW-Prüfungsstandards|Prüfungsstandard]] IDW PS 980 („Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“) sowie die von der [[Internationale Organisation für Normung|International Organization for Standardization]] (ISO) veröffentlichte Norm [[ISO 19600]] („Compliance management systems – Guidelines“) zum Ausdruck.
* Diese Notwendigkeit eines strategischen [[Risikomanagement]]s bringen vor allem der vom Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) veröffentlichte [[Liste der IDW-Prüfungsstandards|Prüfungsstandard]] IDW PS 980 („Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen“) sowie die von der [[Internationale Organisation für Normung|International Organization for Standardization]] (ISO) veröffentlichte Norm [[ISO 19600]] („Compliance management systems – Guidelines“) zum Ausdruck.


==== Kultureller Lernprozess ====
===== Kultureller Lernprozess =====
Die Risikosteuerung erfolgt durch den Einsatz [[Unternehmenskultur|unternehmenskultureller]] Maßnahmen.  
Die Risikosteuerung erfolgt durch den Einsatz [[Unternehmenskultur|unternehmenskultureller]] Maßnahmen.
* Ziel ist es, mithilfe eines vorbildlichen [[Führungsstil]]s sowie einer [[Demokratie|demokratischen]] Wertevermittlung eine von allen Unternehmensangehörigen tatsächlich gelebte Legalitätskultur zu etablieren, die Rechtsverstöße in keinem Fall duldet.  
* Ziel ist es, mithilfe eines vorbildlichen [[Führungsstil]]s sowie einer [[Demokratie|demokratischen]] Wertevermittlung eine von allen Unternehmensangehörigen tatsächlich gelebte Legalitätskultur zu etablieren, die Rechtsverstöße in keinem Fall duldet.
* Dazu sind folgende Maßnahmen erforderlich:
* Dazu sind folgende Maßnahmen erforderlich:


* unmissverständliches Bekenntnis aller Führungspersonen zur [[Legalität]] als indisponiblen betrieblichen Wert,
* unmissverständliches Bekenntnis aller Führungspersonen zur [[Legalität]] als indisponiblen betrieblichen Wert,


* [[Dokumentation]] und [[Kommunikation]] allgemeiner Verhaltensstandards ([[Verhaltenskodex]]) und spezieller Verhaltensrichtlinien (z.&nbsp;B.  
* [[Dokumentation]] und [[Kommunikation]] allgemeiner Verhaltensstandards ([[Verhaltenskodex]]) und spezieller Verhaltensrichtlinien (z.&nbsp;B.
* Anti-Korruptions-Richtlinie),
* Anti-Korruptions-Richtlinie),
* adäquate [[Lehrgang|Schulung]] der Unternehmensangehörigen.
* adäquate [[Lehrgang|Schulung]] der Unternehmensangehörigen.


==== Formaler Kontrollprozess ====
===== Formaler Kontrollprozess =====
Zur Risikoüberwachung kommen formale [[Kontrolle|Kontrollmaßnahmen]] zum Einsatz.  
Zur Risikoüberwachung kommen formale [[Kontrolle|Kontrollmaßnahmen]] zum Einsatz.
* Ihr Ziel besteht darin, die präventive Wirkung der [[unternehmenskultur]]ellen Maßnahmen abzusichern und zu verstärken ([[Prävention]]), Verdachtsfälle aufzudecken, aufzuklären (Detektion) und bei Verdachtsbestätigung zu sanktionieren ([[Sanktion]]) sowie entdeckte Schwachstellen des Systems zu beseitigen ([[Optimierung]]).  
* Ihr Ziel besteht darin, die präventive Wirkung der [[unternehmenskultur]]ellen Maßnahmen abzusichern und zu verstärken ([[Prävention]]), Verdachtsfälle aufzudecken, aufzuklären (Detektion) und bei Verdachtsbestätigung zu sanktionieren ([[Sanktion]]) sowie entdeckte Schwachstellen des Systems zu beseitigen ([[Optimierung]]).
* Dies erfordert folgende Maßnahmen:
* Dies erfordert folgende Maßnahmen:


Zeile 155: Zeile 155:
* Aufklärung von Verdachtsfällen und Sanktion von bestätigten Regelverstößen.
* Aufklärung von Verdachtsfällen und Sanktion von bestätigten Regelverstößen.


=== Haftung ===
==== Haftung ====
Die Wahrnehmung der Präventionsverantwortung wird entsprechend dem Konzept der [[Regulierte Selbstregulierung|regulierten Selbstregulierung]] durch die rechtlichen Haftungsstrukturen abgesichert.  
Die Wahrnehmung der Präventionsverantwortung wird entsprechend dem Konzept der [[Regulierte Selbstregulierung|regulierten Selbstregulierung]] durch die rechtlichen Haftungsstrukturen abgesichert.
* Kommt es infolge ungenügender Präventionsmaßnahmen zu einem Rechtsverstoß, so drohen den Präventionsverantwortlichen [[Schadensersatz]]pflichten, [[Geldbuße (Verwaltungsrecht)|Geldbußen]] und [[Geldstrafe (Deutschland)|Geld-]] oder [[Freiheitsstrafe]]n.
* Kommt es infolge ungenügender Präventionsmaßnahmen zu einem Rechtsverstoß, so drohen den Präventionsverantwortlichen [[Schadensersatz]]pflichten, [[Geldbuße (Verwaltungsrecht)|Geldbußen]] und [[Geldstrafe (Deutschland)|Geld-]] oder [[Freiheitsstrafe]]n.


==== Schadensersatz ====
===== Schadensersatz =====
Schadensersatzpflichten ergeben sich aus Spezialgesetzen (z.&nbsp;B. {{§|83|bdsg_2018|juris}} BDSG, {{§|1|prodhaftg|juris}} ProdHaftG) und allgemeinen Regelungen (z.&nbsp;B. {{§|823|bgb|juris}} BGB, {{§|280-292|bgb|buzer|text=§§ 280 ff.}} BGB).  
Schadensersatzpflichten ergeben sich aus Spezialgesetzen (z.&nbsp;B. {{§|83|bdsg_2018|juris}} BDSG, {{§|1|prodhaftg|juris}} ProdHaftG) und allgemeinen Regelungen (z.&nbsp;B. {{§|823|bgb|juris}} BGB, {{§|280-292|bgb|buzer|text=§§ 280 ff.}} BGB).
* Für Schäden im Zusammenhang mit betrieblichen Pflichtverstößen haftet grundsätzlich das Unternehmen.  
* Für Schäden im Zusammenhang mit betrieblichen Pflichtverstößen haftet grundsätzlich das Unternehmen.
* Durch eine Verletzung der betrieblichen Präventionspflichten entsteht gem. {{§|93|aktg|juris|text=§ 93 Abs. 2 S. 1}} AktG, {{§|43|gmbhg|juris|text=§ 43 Abs. 2}} GmbHG allerdings auch eine [[Schadensersatz]]pflicht der Unternehmensleitung gegenüber dem Unternehmen.  
* Durch eine Verletzung der betrieblichen Präventionspflichten entsteht gem. {{§|93|aktg|juris|text=§ 93 Abs. 2 S. 1}} AktG, {{§|43|gmbhg|juris|text=§ 43 Abs. 2}} GmbHG allerdings auch eine [[Schadensersatz]]pflicht der Unternehmensleitung gegenüber dem Unternehmen.
* Begründet wird diese Ersatzpflicht allerdings nicht schon durch jede unternehmerische Fehlentscheidung, sondern erst bei Missachtung der Grenzen des unternehmerischen Ermessensspielraums nach {{§|93|aktg|juris|text=§ 93 Abs. 1 S. 2}} AktG ([[Business Judgement Rule]]).
* Begründet wird diese Ersatzpflicht allerdings nicht schon durch jede unternehmerische Fehlentscheidung, sondern erst bei Missachtung der Grenzen des unternehmerischen Ermessensspielraums nach {{§|93|aktg|juris|text=§ 93 Abs. 1 S. 2}} AktG ([[Business Judgement Rule]]).


==== Geldbuße ====
===== Geldbuße =====
Der Verstoß gegen spezielle Präventionspflichten wird in der Regel bereits durch die entsprechenden Spezialgesetze mit [[Geldbuße (Verwaltungsrecht)|Geldbußen]] geahndet (z.&nbsp;B. {{§|56|kredwg|juris}} KWG, {{§|120|wphg|juris}} WpHG, {{§|332|vag_2016|juris}} VAG, {{§|56|gwg_2017|juris}} GwG).  
Der Verstoß gegen spezielle Präventionspflichten wird in der Regel bereits durch die entsprechenden Spezialgesetze mit [[Geldbuße (Verwaltungsrecht)|Geldbußen]] geahndet (z.&nbsp;B. {{§|56|kredwg|juris}} KWG, {{§|120|wphg|juris}} WpHG, {{§|332|vag_2016|juris}} VAG, {{§|56|gwg_2017|juris}} GwG).
* Daneben bedroht {{§|130|owig_1968|juris|text=§ 130 Abs. 3}} OWiG den Verstoß gegen die allgemeine betriebliche Kriminalitätspräventionspflicht mit einer Geldbuße bis zu einer Million Euro.  
* Daneben bedroht {{§|130|owig_1968|juris|text=§ 130 Abs. 3}} OWiG den Verstoß gegen die allgemeine betriebliche Kriminalitätspräventionspflicht mit einer Geldbuße bis zu einer Million Euro.
* Gegenüber Unternehmen können gem. {{§|30|owig_1968|juris|text=§§ 30}}, {{§|9|owig_1968|juris|text=9}} OWiG sogar Geldbußen bis zu einer Höhe von zehn Millionen Euro verhängt werden. Über {{§|17|owig_1968|juris|text=§ 17 Abs. 4}} OWiG kommt es außerdem zu einer Abschöpfung des gesamten wirtschaftlichen Vorteils, der aus einem Pflichtverstoß gezogen worden ist ([[Gewinnabschöpfung]]).
* Gegenüber Unternehmen können gem. {{§|30|owig_1968|juris|text=§§ 30}}, {{§|9|owig_1968|juris|text=9}} OWiG sogar Geldbußen bis zu einer Höhe von zehn Millionen Euro verhängt werden. Über {{§|17|owig_1968|juris|text=§ 17 Abs. 4}} OWiG kommt es außerdem zu einer Abschöpfung des gesamten wirtschaftlichen Vorteils, der aus einem Pflichtverstoß gezogen worden ist ([[Gewinnabschöpfung]]).


==== Geld- und Freiheitsstrafe ====
===== Geld- und Freiheitsstrafe =====
Zum Teil sind Verstöße gegen spezielle Präventionspflichten bereits spezialgesetzlich unter [[Strafe]] gestellt (z.&nbsp;B. {{§|54a|kredwg|juris}} KWG).  
Zum Teil sind Verstöße gegen spezielle Präventionspflichten bereits spezialgesetzlich unter [[Strafe]] gestellt (z.&nbsp;B. {{§|54a|kredwg|juris}} KWG).
* Daneben können Leitungspersonen über {{§|13-15|stgb|buzer|text=§§ 13–15}} StGB ([[Geschäftsherrenhaftung]]) und {{§|25-27|stgb|buzer|text=§§ 25–27}} StGB ([[Beteiligung (Strafrecht)|Beteiligung an einer Straftat]]) auch strafrechtlich für [[Strafrecht|Straftaten]] anderer Angehöriger einer Organisation / eines Unternehmens zur Verantwortung gezogen werden.  
* Daneben können Leitungspersonen über {{§|13-15|stgb|buzer|text=§§ 13–15}} StGB ([[Geschäftsherrenhaftung]]) und {{§|25-27|stgb|buzer|text=§§ 25–27}} StGB ([[Beteiligung (Strafrecht)|Beteiligung an einer Straftat]]) auch strafrechtlich für [[Strafrecht|Straftaten]] anderer Angehöriger einer Organisation / eines Unternehmens zur Verantwortung gezogen werden.
* Bei ungenügenden Maßnahmen zur Sicherstellung der Produktsicherheit droht außerdem eine Strafbarkeit wegen Körperverletzung nach {{§|223,224,226,227-230|StGB|buzer|text=§§&nbsp;223, 224, 226 und 227 bis 230}} StGB oder wegen Tötung nach {{§|211-213,222|StGB|buzer|text=§§&nbsp;211 bis 213 und 222}} StGB (strafrechtliche Produkthaftung).  
* Bei ungenügenden Maßnahmen zur Sicherstellung der Produktsicherheit droht außerdem eine Strafbarkeit wegen Körperverletzung nach {{§|223,224,226,227-230|StGB|buzer|text=§§&nbsp;223, 224, 226 und 227 bis 230}} StGB oder wegen Tötung nach {{§|211-213,222|StGB|buzer|text=§§&nbsp;211 bis 213 und 222}} StGB (strafrechtliche Produkthaftung).
* Eine strafrechtliche Verantwortlichkeit von Unternehmen kennt das deutsche Strafrecht bislang nicht ([[Unternehmensstrafrecht]]).
* Eine strafrechtliche Verantwortlichkeit von Unternehmen kennt das deutsche Strafrecht bislang nicht ([[Unternehmensstrafrecht]]).


== Siehe auch ==
=== Siehe auch ===
* [[Compliance (BWL)]]
* [[Compliance (BWL)]]
* [[Compliance Management System]]
* [[Compliance Management System]]
Zeile 189: Zeile 189:
* [[Comprechtspraktiker]]
* [[Comprechtspraktiker]]


== Weblinks ==
=== Weblinks ===
# https://de.wikipedia.org/wiki/Compliance_(Recht)
# https://de.wikipedia.org/wiki/Compliance_(Recht)
# [https://bdi.eu/themenfelder/recht/compliance/ ''Compliance''] im Themenfeld ''Recht'' auf der Website des [[Bundesverband der Deutschen Industrie|Bundesverbands der Deutschen Industrie]]
# [https://bdi.eu/themenfelder/recht/compliance/ ''Compliance''] im Themenfeld ''Recht'' auf der Website des [[Bundesverband der Deutschen Industrie|Bundesverbands der Deutschen Industrie]]


= Compliance (BWL) =
== Compliance (BWL) ==
'''Compliance''' ist die [[Betriebswirtschaftslehre|betriebswirtschaftliche]] und rechtswissenschaftliche Umschreibung für die '''Regeltreue''' (auch ''Regelkonformität'') von [[Unternehmen]], also die Einhaltung von Gesetzen, Richtlinien und freiwilligen [[Verhaltenskodex|Kodizes]].  
'''Compliance''' ist die [[Betriebswirtschaftslehre|betriebswirtschaftliche]] und rechtswissenschaftliche Umschreibung für die '''Regeltreue''' (auch ''Regelkonformität'') von [[Unternehmen]], also die Einhaltung von Gesetzen, Richtlinien und freiwilligen [[Verhaltenskodex|Kodizes]].
* Die Gesamtheit der Grundsätze und Maßnahmen eines Unternehmens zur Einhaltung bestimmter Regeln und damit zur Vermeidung von Regelverstößen wird als „[[Compliance Management System]]“ bezeichnet (in Deutschland [[Liste der IDW-Prüfungsstandards|IDW PS]] [[IDW Prüfungsstandard 980|980]] Tz.6 von der „[[Deutscher Corporate Governance Kodex|Regierungskommission Deutscher Corporate Governance Kodex]]“).
* Die Gesamtheit der Grundsätze und Maßnahmen eines Unternehmens zur Einhaltung bestimmter Regeln und damit zur Vermeidung von Regelverstößen wird als „[[Compliance Management System]]“ bezeichnet (in Deutschland [[Liste der IDW-Prüfungsstandards|IDW PS]] [[IDW Prüfungsstandard 980|980]] Tz.6 von der „[[Deutscher Corporate Governance Kodex|Regierungskommission Deutscher Corporate Governance Kodex]]“).


== Definition ==
=== Definition ===
Der [[Deutscher Corporate Governance Kodex|Deutsche Corporate Governance Kodex]] (DCGK) definiert ''Compliance'' als die in der Verantwortung des [[Vorstand]]s liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien.
Der [[Deutscher Corporate Governance Kodex|Deutsche Corporate Governance Kodex]] (DCGK) definiert ''Compliance'' als die in der Verantwortung des [[Vorstand]]s liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien.


Zeile 205: Zeile 205:
Bei Kreditinstituten steht insbesondere die Einhaltung der Vorschriften aus dem [[Wertpapierhandelsgesetz]] im Fokus.
Bei Kreditinstituten steht insbesondere die Einhaltung der Vorschriften aus dem [[Wertpapierhandelsgesetz]] im Fokus.


== Regeltreue als Anforderung an Unternehmen ==
=== Regeltreue als Anforderung an Unternehmen ===
Die Notwendigkeit zur Einhaltung gesetzlicher Regelungen durch Unternehmen ergibt sich aus dem Grundsatz, dass Gesetze&nbsp;– auch durch [[juristische Person]]en&nbsp;– einzuhalten sind.  
Die Notwendigkeit zur Einhaltung gesetzlicher Regelungen durch Unternehmen ergibt sich aus dem Grundsatz, dass Gesetze&nbsp;– auch durch [[juristische Person]]en&nbsp;– einzuhalten sind.
* Unternehmen und Unternehmensverantwortliche sind über die [[Paragraph]]en §§&nbsp;9, 30 und 130 des [[Gesetz über Ordnungswidrigkeiten|Gesetzes über Ordnungswidrigkeiten]] (OWiG) gefordert, dafür Sorge zu tragen, dass aus dem Unternehmen heraus keine [[Rechtsbruch|Gesetzesverstöße]] erfolgen.  
* Unternehmen und Unternehmensverantwortliche sind über die [[Paragraph]]en §§&nbsp;9, 30 und 130 des [[Gesetz über Ordnungswidrigkeiten|Gesetzes über Ordnungswidrigkeiten]] (OWiG) gefordert, dafür Sorge zu tragen, dass aus dem Unternehmen heraus keine [[Rechtsbruch|Gesetzesverstöße]] erfolgen.
* Werden entsprechende Organisations- und Aufsichtsmaßnahmen nicht ergriffen, können Unternehmensleitung und auch das Unternehmen selbst zu Strafen verurteilt werden, wenn es aus dem Unternehmen zu Gesetzesverstößen gekommen ist.  
* Werden entsprechende Organisations- und Aufsichtsmaßnahmen nicht ergriffen, können Unternehmensleitung und auch das Unternehmen selbst zu Strafen verurteilt werden, wenn es aus dem Unternehmen zu Gesetzesverstößen gekommen ist.
* Macht sich somit ein Mitarbeiter des Unternehmens durch [[Korruption]] strafbar, so drohen dem Unternehmen nicht nur zivilrechtliche Klagen des Geschäftspartners, dessen Mitarbeiter bestochen wurden.  
* Macht sich somit ein Mitarbeiter des Unternehmens durch [[Korruption]] strafbar, so drohen dem Unternehmen nicht nur zivilrechtliche Klagen des Geschäftspartners, dessen Mitarbeiter bestochen wurden.
* Vielmehr muss auch das Unternehmen damit rechnen, dass gegen das Unternehmen oder gegen die Unternehmensleitung ein [[Ordnungswidrigkeit]]enverfahren eingeleitet wird, weil den Organisations- und Aufsichtspflichten nicht nachgekommen wurde.
* Vielmehr muss auch das Unternehmen damit rechnen, dass gegen das Unternehmen oder gegen die Unternehmensleitung ein [[Ordnungswidrigkeit]]enverfahren eingeleitet wird, weil den Organisations- und Aufsichtspflichten nicht nachgekommen wurde.


Eine Sanktionierung nach §§&nbsp;130, 30 OWiG ist nicht zwingend nur auf das Einzelunternehmen beschränkt, sondern kann sich im Einzelfall auch gegen die Konzernobergesellschaft richten, obwohl die Bestechungshandlung (oder eine sonstige strafbewehrte Zuwiderhandlung) in der Sphäre der Tochtergesellschaft stattfindet.  
Eine Sanktionierung nach §§&nbsp;130, 30 OWiG ist nicht zwingend nur auf das Einzelunternehmen beschränkt, sondern kann sich im Einzelfall auch gegen die Konzernobergesellschaft richten, obwohl die Bestechungshandlung (oder eine sonstige strafbewehrte Zuwiderhandlung) in der Sphäre der Tochtergesellschaft stattfindet.
* Daneben regeln eine Vielzahl von gesetzlichen Vorschriften unmittelbare Pflichten und Verantwortungen des Unternehmens, die dieses einzuhalten hat und bei deren Nichteinhaltung dem Unternehmen unter Umständen empfindliche Strafzahlungen drohen (z.&#8239;B.  
* Daneben regeln eine Vielzahl von gesetzlichen Vorschriften unmittelbare Pflichten und Verantwortungen des Unternehmens, die dieses einzuhalten hat und bei deren Nichteinhaltung dem Unternehmen unter Umständen empfindliche Strafzahlungen drohen (z.&#8239;B.
* aus Kartellverstößen).
* aus Kartellverstößen).
Eine Pflicht zur Sicherstellung der Regeltreue ergibt sich somit auch aus §§&nbsp;91, 93 AktG – sowie §&nbsp;43 GmbHG zur Abwendung von wirtschaftlichen Schaden vom Unternehmen.
Eine Pflicht zur Sicherstellung der Regeltreue ergibt sich somit auch aus §§&nbsp;91, 93 AktG – sowie §&nbsp;43 GmbHG zur Abwendung von wirtschaftlichen Schaden vom Unternehmen.
Zeile 219: Zeile 219:
Die (Stand: 2011) weltweit strengsten Anforderungen an konkrete Compliancemaßnahmen in Unternehmen enthält das britische Anti-[[Korruption]]s-Gesetz ''[[Bribery Act 2010]]''.
Die (Stand: 2011) weltweit strengsten Anforderungen an konkrete Compliancemaßnahmen in Unternehmen enthält das britische Anti-[[Korruption]]s-Gesetz ''[[Bribery Act 2010]]''.


== Folgen von Regelbrüchen ==
=== Folgen von Regelbrüchen ===
Die Nichteinhaltung von Regeln kann zu Unternehmensstrafen, Bußgeldern, Gewinnabschöpfung oder dem Verfall des durch den Gesetzesverstoß erzielten Gewinns führen.  
Die Nichteinhaltung von Regeln kann zu Unternehmensstrafen, Bußgeldern, Gewinnabschöpfung oder dem Verfall des durch den Gesetzesverstoß erzielten Gewinns führen.
* Diese direkten Verluste werden durch zusätzliche externe und interne Kosten für Verfahren, Schadenersatzansprüche und Rückabwicklungen erhöht.
* Diese direkten Verluste werden durch zusätzliche externe und interne Kosten für Verfahren, Schadenersatzansprüche und Rückabwicklungen erhöht.


== Compliancekultur ==
=== Compliancekultur ===
Als Compliancekultur werden die Grundeinstellungen und Verhaltensweisen, die von der Unternehmensleitung vermittelt werden, bezeichnet.  
Als Compliancekultur werden die Grundeinstellungen und Verhaltensweisen, die von der Unternehmensleitung vermittelt werden, bezeichnet.
* Die Compliancekultur soll allen Unternehmensbeteiligten sowie auch Kunden und Lieferanten des Unternehmens die Bedeutung vermitteln, die das Unternehmen der Beachtung von Regeln beimisst, und damit bei allen Beteiligten die Bereitschaft zu regelkonformem Verhalten fördern.  
* Die Compliancekultur soll allen Unternehmensbeteiligten sowie auch Kunden und Lieferanten des Unternehmens die Bedeutung vermitteln, die das Unternehmen der Beachtung von Regeln beimisst, und damit bei allen Beteiligten die Bereitschaft zu regelkonformem Verhalten fördern.
* Compliancekultur wird häufig als Basis des CMS bezeichnet.  
* Compliancekultur wird häufig als Basis des CMS bezeichnet.
* Vielfach wird die Compliancekultur in besonderen Richtlinien oder [[Verhaltenskodex|Verhaltenskodizes]] (z.&#8239;B.: „[[Mission Statement]]“ oder „Code of Conduct“) festgehalten und auch im [[Intranet]]- oder [[Internet]]-Auftritt des Unternehmens veröffentlicht.
* Vielfach wird die Compliancekultur in besonderen Richtlinien oder [[Verhaltenskodex|Verhaltenskodizes]] (z.&#8239;B.: „[[Mission Statement]]“ oder „Code of Conduct“) festgehalten und auch im [[Intranet]]- oder [[Internet]]-Auftritt des Unternehmens veröffentlicht.


Eine wirksame Compliancekultur erfordert aber neben solchen „offiziellen“ Kommunikationen vor allem eine Spiegelung der Grundsätze im tatsächlichen Handeln und Auftreten aller Unternehmensverantwortlichen auf allen Managementebenen.  
Eine wirksame Compliancekultur erfordert aber neben solchen „offiziellen“ Kommunikationen vor allem eine Spiegelung der Grundsätze im tatsächlichen Handeln und Auftreten aller Unternehmensverantwortlichen auf allen Managementebenen.
* Werte können nur glaubhaft vermittelt werden, wenn diese auch erkennbar von den Vermittelnden selbst gelebt werden.
* Werte können nur glaubhaft vermittelt werden, wenn diese auch erkennbar von den Vermittelnden selbst gelebt werden.


Konkrete Regeln z.&#8239;B.  
Konkrete Regeln z.&#8239;B.
* zur Vermeidung von Korruption und [[Kartell]]absprachen, dem Einhalten von Vorgaben bezüglich [[Datenschutz]] und Gleichbehandlung, der Beachtung von Vorschriften zu [[Produktsicherheitsgesetz (Deutschland)|Produktsicherheit]] und [[Arbeitsschutzgesetz|Arbeitsschutz]], werden manchmal als Teil der Compliancekultur betrachtet, zählen aber eher zum konkreten Complianceprogramm.  
* zur Vermeidung von Korruption und [[Kartell]]absprachen, dem Einhalten von Vorgaben bezüglich [[Datenschutz]] und Gleichbehandlung, der Beachtung von Vorschriften zu [[Produktsicherheitsgesetz (Deutschland)|Produktsicherheit]] und [[Arbeitsschutzgesetz|Arbeitsschutz]], werden manchmal als Teil der Compliancekultur betrachtet, zählen aber eher zum konkreten Complianceprogramm.
* Gleiches gilt für Regelstrukturen wie z.&#8239;B.  
* Gleiches gilt für Regelstrukturen wie z.&#8239;B.
* Hotlines ([[Whistleblower|Whistleblowing]] Hotline), die unternehmensintern oder bei externen Ansprechpartnern eingerichtet sind, und bei denen Regelverstöße gemeldet werden können.
* Hotlines ([[Whistleblower|Whistleblowing]] Hotline), die unternehmensintern oder bei externen Ansprechpartnern eingerichtet sind, und bei denen Regelverstöße gemeldet werden können.


== Ziele ==
=== Ziele ===
[[Datei:Ziele Compliance.JPG|mini|hochkant=2|Ziele von Compliance]]
[[Datei:Ziele Compliance.JPG|mini|hochkant=2|Ziele von Compliance]]


Risikominimierung, Effizienzsteigerung und Effektivitätssteigerung sind die vorrangigen Ziele von Compliance.  
Risikominimierung, Effizienzsteigerung und Effektivitätssteigerung sind die vorrangigen Ziele von Compliance.
* Die Abbildung verdeutlicht in diesem Zusammenhang die betriebswirtschaftlichen Effekte des strategischen Einsatzes von Compliancemaßnahmen.
* Die Abbildung verdeutlicht in diesem Zusammenhang die betriebswirtschaftlichen Effekte des strategischen Einsatzes von Compliancemaßnahmen.


== Complianceprozesse ==
=== Complianceprozesse ===
Für die Durchführung der betrieblichen Complianceaktivitäten ist die Etablierung von [[Geschäftsprozess]]en erforderlich.  
Für die Durchführung der betrieblichen Complianceaktivitäten ist die Etablierung von [[Geschäftsprozess]]en erforderlich.
* Es handelt sich bei diesen Prozessen um [[Supportprozess]], d.&#8239;h.  
* Es handelt sich bei diesen Prozessen um [[Supportprozess]], d.&#8239;h.
* die Complianceprozesse beziehen sich auf die Unterstützung und risikoorientierte Steuerung der originären Geschäftsprozesse im Unternehmen.
* die Complianceprozesse beziehen sich auf die Unterstützung und risikoorientierte Steuerung der originären Geschäftsprozesse im Unternehmen.


Zeile 253: Zeile 253:
: Solche Prozesse werden ausgelöst, sofern der realisierte Ist-Wert einer Aktivität oder einer Aktivitätenfolge außerhalb des definierten Toleranzbereichs um den Soll-Wert liegt.
: Solche Prozesse werden ausgelöst, sofern der realisierte Ist-Wert einer Aktivität oder einer Aktivitätenfolge außerhalb des definierten Toleranzbereichs um den Soll-Wert liegt.
; Prozesse des Umgangs mit Ausnahmesituationen
; Prozesse des Umgangs mit Ausnahmesituationen
: Im Mittelpunkt steht das (potentielle) Eintreffen gravierender Ereignisse mit erheblicher kritischer Relevanz für das Unternehmen.  
: Im Mittelpunkt steht das (potentielle) Eintreffen gravierender Ereignisse mit erheblicher kritischer Relevanz für das Unternehmen.
* Es gilt, für solche Fälle mit vorstrukturierten Soll-Prozessen zum Zwecke der Aufklärung und Schadensbegrenzung vorbereitet zu sein.
* Es gilt, für solche Fälle mit vorstrukturierten Soll-Prozessen zum Zwecke der Aufklärung und Schadensbegrenzung vorbereitet zu sein.
; Prozesse der Eskalation
; Prozesse der Eskalation
: Gegenstand von Eskalationsprozessen ist die Auflösung bereits entstandener sowie die Verhinderung zu befürchtender Non-Compliance-Situationen.  
: Gegenstand von Eskalationsprozessen ist die Auflösung bereits entstandener sowie die Verhinderung zu befürchtender Non-Compliance-Situationen.
* Das Ziel dieser Prozesse besteht darin, kritische Aktivitäten zu eskalieren.  
* Das Ziel dieser Prozesse besteht darin, kritische Aktivitäten zu eskalieren.
* Dies bedeutet, dass derartige Aktivitäten transparent gemacht und zeitnah einer verantwortlichen Instanz zum Treffen regulierender Entscheidungen zwingend vorgetragen werden.
* Dies bedeutet, dass derartige Aktivitäten transparent gemacht und zeitnah einer verantwortlichen Instanz zum Treffen regulierender Entscheidungen zwingend vorgetragen werden.


== Zertifizierung des Compliancemanagementsystems ==
=== Zertifizierung des Compliancemanagementsystems ===
Der „Standard für Compliance Management Systeme“ (TR CMS 101:2011) richtet sich an Organisationen wie Unternehmen, Behörden und Nichtregierungsorganisationen (NGOs) und beschreibt die Elemente, die ein funktionsfähiges und wirksames Compliancemanagementsystem ausmachen.  
Der „Standard für Compliance Management Systeme“ (TR CMS 101:2011) richtet sich an Organisationen wie Unternehmen, Behörden und Nichtregierungsorganisationen (NGOs) und beschreibt die Elemente, die ein funktionsfähiges und wirksames Compliancemanagementsystem ausmachen.
* Er wurde vom [[TÜV Rheinland]] veröffentlicht und 2015 durch die neue Fassung „Standard für Compliance-Management-Systeme“ (TR CMS 101:2015) abgelöst und um den Compliance-Leitfaden (TR CMS 100:2015) ergänzt.  
* Er wurde vom [[TÜV Rheinland]] veröffentlicht und 2015 durch die neue Fassung „Standard für Compliance-Management-Systeme“ (TR CMS 101:2015) abgelöst und um den Compliance-Leitfaden (TR CMS 100:2015) ergänzt.
* Er zeigt auf, welche nachprüfbaren Maßnahmen zu treffen sind, um eine Complianceorganisation systematisch einzurichten, aufrechtzuerhalten, zu überwachen und ständig zu verbessern.  
* Er zeigt auf, welche nachprüfbaren Maßnahmen zu treffen sind, um eine Complianceorganisation systematisch einzurichten, aufrechtzuerhalten, zu überwachen und ständig zu verbessern.
* Dies dient dem Ziel, alle relevanten Complianceanforderungen erreichen zu können.  
* Dies dient dem Ziel, alle relevanten Complianceanforderungen erreichen zu können.
* Der Standard TR CMS 101:2011 dient damit zugleich als Maßstab für die Zertifizierung eines bestehenden Compliancemanagementsystems.  
* Der Standard TR CMS 101:2011 dient damit zugleich als Maßstab für die Zertifizierung eines bestehenden Compliancemanagementsystems.
* Er verlangt nicht das Schaffen bestimmter Strukturen oder Funktionen für das Erfüllen von Compliance, sondern fordert lediglich eine systematische Herangehensweise und die Umsetzung bestimmter (Mindest-)Elemente.  
* Er verlangt nicht das Schaffen bestimmter Strukturen oder Funktionen für das Erfüllen von Compliance, sondern fordert lediglich eine systematische Herangehensweise und die Umsetzung bestimmter (Mindest-)Elemente.
* Nach dem Standard müssen Compliancemanagementsysteme nicht einheitlich ausgestaltet sein, sondern können ausdrücklich den Besonderheiten der Organisation&nbsp;– wie Größe, Struktur, Aktivitäten, Produkte, spezifische Risiken etc.&nbsp;– Rechnung tragen.  
* Nach dem Standard müssen Compliancemanagementsysteme nicht einheitlich ausgestaltet sein, sondern können ausdrücklich den Besonderheiten der Organisation&nbsp;– wie Größe, Struktur, Aktivitäten, Produkte, spezifische Risiken etc.&nbsp;– Rechnung tragen.
* Organisationen haben damit ein hohes Maß an Flexibilität bei der Umsetzung ihres Compliancemanagementsystems.
* Organisationen haben damit ein hohes Maß an Flexibilität bei der Umsetzung ihres Compliancemanagementsystems.


Vergleichbar mit den Standards für [[Qualitätsmanagementsystem]]e (ISO 9001:2008) oder für [[Risikomanagementsystem]]e (ONR 49001:2004), enthält der Standard TR CMS 101:2011 Aussagen über das Festlegen von Complianceverantwortlichkeiten, die Bereitstellung von Ressourcen, die Durchführung von Audits und über die Notwendigkeit der kontinuierlichen Verbesserung.  
Vergleichbar mit den Standards für [[Qualitätsmanagementsystem]]e (ISO 9001:2008) oder für [[Risikomanagementsystem]]e (ONR 49001:2004), enthält der Standard TR CMS 101:2011 Aussagen über das Festlegen von Complianceverantwortlichkeiten, die Bereitstellung von Ressourcen, die Durchführung von Audits und über die Notwendigkeit der kontinuierlichen Verbesserung.
* Darüber hinaus führt er die spezifischen Merkmale auf, die ein wirksames und von Einzelpersonen unabhängiges Compliancemanagementsystem aufweisen muss.  
* Darüber hinaus führt er die spezifischen Merkmale auf, die ein wirksames und von Einzelpersonen unabhängiges Compliancemanagementsystem aufweisen muss.
* Im Sinne einer ganzheitlichen Sichtweise von Compliance berücksichtigt der Standard auch die Aspekte „[[Organisationskultur]]“ und „Kommunikation“.
* Im Sinne einer ganzheitlichen Sichtweise von Compliance berücksichtigt der Standard auch die Aspekte „[[Organisationskultur]]“ und „Kommunikation“.


Zeile 279: Zeile 279:
: Der Standard TR CMS 101:2011 ist national und international für alle Organisationen anwendbar.
: Der Standard TR CMS 101:2011 ist national und international für alle Organisationen anwendbar.
; Ziele des Compliancemanagementsystems
; Ziele des Compliancemanagementsystems
: Ziel jedes Compliancemanagementsystems ist es nach dem Standard, systematisch die Voraussetzungen in der Organisation zu schaffen, dass Verstöße gegen Complianceanforderungen vermieden bzw.  
: Ziel jedes Compliancemanagementsystems ist es nach dem Standard, systematisch die Voraussetzungen in der Organisation zu schaffen, dass Verstöße gegen Complianceanforderungen vermieden bzw.
* wesentlich erschwert werden und eingetretene Verstöße erkannt und behandelt werden können.
* wesentlich erschwert werden und eingetretene Verstöße erkannt und behandelt werden können.
; Begriffe:
; Begriffe:
: enthält Definitionen wichtiger Compliancebegriffe, die im Standard TR CMS 101:2011 verwendet werden.
: enthält Definitionen wichtiger Compliancebegriffe, die im Standard TR CMS 101:2011 verwendet werden.
; Compliancemanagementsystem
; Compliancemanagementsystem
: Damit die Anforderungen des Standards erfüllt werden können, muss ein Unternehmen eine systematische Complianceorganisation, das heißt ein Compliancemanagementsystem einführen, dokumentieren, verwirklichen und aufrechterhalten.  
: Damit die Anforderungen des Standards erfüllt werden können, muss ein Unternehmen eine systematische Complianceorganisation, das heißt ein Compliancemanagementsystem einführen, dokumentieren, verwirklichen und aufrechterhalten.
* Dazu sind folgende Maßnahmen notwendig:
* Dazu sind folgende Maßnahmen notwendig:
:* Die einzuhaltenden Prozesse sind festzulegen.
:* Die einzuhaltenden Prozesse sind festzulegen.
:* Die Verfügbarkeit der erforderlichen Ressourcen und Informationen ist sicherzustellen und
:* Die Verfügbarkeit der erforderlichen Ressourcen und Informationen ist sicherzustellen und
:* die Prozesse sind zu überwachen, zu messen und zu analysieren.
:* die Prozesse sind zu überwachen, zu messen und zu analysieren.
: Es gilt, das Compliancemanagementsystem selbst und seine Bestandteile, wie zum Beispiel Audit-Ergebnisse, Korrekturmaßnahmen etc., zu dokumentieren, um eine personenunabhängige Aufrechterhaltung und Funktionsfähigkeit des Systems sicherzustellen.  
: Es gilt, das Compliancemanagementsystem selbst und seine Bestandteile, wie zum Beispiel Audit-Ergebnisse, Korrekturmaßnahmen etc., zu dokumentieren, um eine personenunabhängige Aufrechterhaltung und Funktionsfähigkeit des Systems sicherzustellen.
* Auch der Umgang mit dieser Dokumentation, beispielsweise Freigaben, Aktualisierungen, Verteilung, Aufbewahrungspflichten, muss festgelegt werden.
* Auch der Umgang mit dieser Dokumentation, beispielsweise Freigaben, Aktualisierungen, Verteilung, Aufbewahrungspflichten, muss festgelegt werden.
; Verantwortung der Leitung
; Verantwortung der Leitung
: Im Einklang mit den gesetzlichen Organisations- und Aufsichtspflichten liegt ein Schwerpunkt des Standards auf der besonderen Verantwortung der „Leitung“ für die Einrichtung, Aufrechterhaltung, Bewertung und ständige Verbesserung des Compliancemanagementsystems.  
: Im Einklang mit den gesetzlichen Organisations- und Aufsichtspflichten liegt ein Schwerpunkt des Standards auf der besonderen Verantwortung der „Leitung“ für die Einrichtung, Aufrechterhaltung, Bewertung und ständige Verbesserung des Compliancemanagementsystems.
* Es ist Aufgabe der Leitung, die internen Verantwortlichkeiten und Befugnisse festzulegen und einen Compliancebeauftragten zu benennen.  
* Es ist Aufgabe der Leitung, die internen Verantwortlichkeiten und Befugnisse festzulegen und einen Compliancebeauftragten zu benennen.
* Nicht vorgegeben ist, auf welcher Führungsebene dieser Beauftragte angesiedelt sein soll.  
* Nicht vorgegeben ist, auf welcher Führungsebene dieser Beauftragte angesiedelt sein soll.
* Auch das Schaffen einer eigenen, neuen Compliancestelle wird nicht verlangt.  
* Auch das Schaffen einer eigenen, neuen Compliancestelle wird nicht verlangt.
* Allerdings muss es dem Compliancebeauftragten möglich sein, seine Complianceaufgaben unabhängig wahrnehmen zu können.  
* Allerdings muss es dem Compliancebeauftragten möglich sein, seine Complianceaufgaben unabhängig wahrnehmen zu können.
* Inhärente Interessenskonflikte aufgrund der gleichzeitigen Zuweisung anderer Aufgaben sind auszuschließen.  
* Inhärente Interessenskonflikte aufgrund der gleichzeitigen Zuweisung anderer Aufgaben sind auszuschließen.
* Darüber hinaus soll eine direkte Berichtsmöglichkeit an die Leitungsebene sichergestellt sein.  
* Darüber hinaus soll eine direkte Berichtsmöglichkeit an die Leitungsebene sichergestellt sein.
* Der Leitung obliegt es, den Mitarbeitern die Bedeutung von Complianceanforderungen und ihrer Erfüllung zu vermitteln.  
* Der Leitung obliegt es, den Mitarbeitern die Bedeutung von Complianceanforderungen und ihrer Erfüllung zu vermitteln.
* Von ihr wird ausdrücklich verlangt, ein Bekenntnis zur Schaffung einer Compliancekultur abzugeben.  
* Von ihr wird ausdrücklich verlangt, ein Bekenntnis zur Schaffung einer Compliancekultur abzugeben.
* Ferner sollte sie ihre Erwartung zum Ausdruck zu bringen, dass die Complianceanforderungen tatsächlich eingehalten werden.  
* Ferner sollte sie ihre Erwartung zum Ausdruck zu bringen, dass die Complianceanforderungen tatsächlich eingehalten werden.
* Als Bestandteil ihrer Aufsichtspflichten nimmt die Leitung selbst regelmäßige Bewertungen des Compliancemanagementsystems vor.  
* Als Bestandteil ihrer Aufsichtspflichten nimmt die Leitung selbst regelmäßige Bewertungen des Compliancemanagementsystems vor.
* Zudem stellt sie die Einhaltung ihrer Informations- und Berichtspflichten gegenüber den internen Aufsichtsorganen sicher.
* Zudem stellt sie die Einhaltung ihrer Informations- und Berichtspflichten gegenüber den internen Aufsichtsorganen sicher.
; Management von Ressourcen
; Management von Ressourcen
: stellt die Pflichten für die Ermittlung und das Bereitstellen von Ressourcen dar, die für ein wirksames Compliancemanagementsystem erforderlich sind.  
: stellt die Pflichten für die Ermittlung und das Bereitstellen von Ressourcen dar, die für ein wirksames Compliancemanagementsystem erforderlich sind.
* Der Schulungsbedarf soll systematisch ermittelt werden; erforderliche Schulungen sind durchzuführen.  
* Der Schulungsbedarf soll systematisch ermittelt werden; erforderliche Schulungen sind durchzuführen.
* Die Wirksamkeit der ergriffenen Maßnahmen ist regelmäßig zu beurteilen.
* Die Wirksamkeit der ergriffenen Maßnahmen ist regelmäßig zu beurteilen.
; Complianceprozesse und Umsetzung
; Complianceprozesse und Umsetzung
: In Kapitel 7, „Complianceprozesse und Umsetzung“, beschreibt der Standard TR CMS 101:2011 die Compliance-spezifischen Themen der Organisation.  
: In Kapitel 7, „Complianceprozesse und Umsetzung“, beschreibt der Standard TR CMS 101:2011 die Compliance-spezifischen Themen der Organisation.
* Gefordert werden systematische Risikoanalysen (sogenannte „Compliancerisikoassessments“).  
* Gefordert werden systematische Risikoanalysen (sogenannte „Compliancerisikoassessments“).
* Die anwendbaren Complianceregeln müssen systematisch analysiert, identifiziert, dokumentiert sowie aktualisiert und den Betroffenen kommuniziert werden.  
* Die anwendbaren Complianceregeln müssen systematisch analysiert, identifiziert, dokumentiert sowie aktualisiert und den Betroffenen kommuniziert werden.
* Arbeitsabläufe sollen so ausgestaltet werden, dass Complianceanforderungen problemlos erfüllt werden können.  
* Arbeitsabläufe sollen so ausgestaltet werden, dass Complianceanforderungen problemlos erfüllt werden können.
* Interessenskonflikte müssen identifiziert und organisatorisch nach Möglichkeit ausgeschlossen werden.  
* Interessenskonflikte müssen identifiziert und organisatorisch nach Möglichkeit ausgeschlossen werden.
* Alle Compliance-relevanten Vorkommnisse sind zu dokumentieren.
* Alle Compliance-relevanten Vorkommnisse sind zu dokumentieren.
; Systemüberwachung, -analyse und -verbesserung
; Systemüberwachung, -analyse und -verbesserung
: Wie andere Systemstandards betont der Standard TR CMS 101:2011 die Bedeutung einer kontinuierlichen Systemüberwachung und -analyse als Basis für einen ständigen Verbesserungsprozess.  
: Wie andere Systemstandards betont der Standard TR CMS 101:2011 die Bedeutung einer kontinuierlichen Systemüberwachung und -analyse als Basis für einen ständigen Verbesserungsprozess.
* Erforderlich sind definierte Prozesse für das Überwachen, Analysieren und Verbessern dieses Systems.  
* Erforderlich sind definierte Prozesse für das Überwachen, Analysieren und Verbessern dieses Systems.
* Der Standard erwähnt ausdrücklich [[internes Audit|interne Audits]] anhand eines geplanten Auditprogramms, Monitoring-Maßnahmen und die Pflicht zur Umsetzung der Erkenntnisse mit dem Ziel, das System zu verbessern.
* Der Standard erwähnt ausdrücklich [[internes Audit|interne Audits]] anhand eines geplanten Auditprogramms, Monitoring-Maßnahmen und die Pflicht zur Umsetzung der Erkenntnisse mit dem Ziel, das System zu verbessern.


Durch seinen organisationsübergreifenden und systematischen Ansatz ist es möglich, das Compliancemanagementsystem einer Organisation durch einen unabhängigen Dritten anhand des Standards TR CMS 101:2011 zertifizieren zu lassen.  
Durch seinen organisationsübergreifenden und systematischen Ansatz ist es möglich, das Compliancemanagementsystem einer Organisation durch einen unabhängigen Dritten anhand des Standards TR CMS 101:2011 zertifizieren zu lassen.
* Die Zertifizierung findet typischerweise in zwei Stufen statt:
* Die Zertifizierung findet typischerweise in zwei Stufen statt:


* Stufe 1 des Zertifizierungsaudits klärt die Zertifizierungsfähigkeit.  
* Stufe 1 des Zertifizierungsaudits klärt die Zertifizierungsfähigkeit.
* Dabei erfolgt eine Prüfung, ob die Zertifizierungsvoraussetzungen grundsätzlich gegeben sind, das heißt, ob das Compliancemanagementsystem und seine Elemente dokumentiert sind (sog. „Dokumentenaudit“), ob ein Complianceverantwortlicher benannt wurde und ob Systembewertungen durch das Management vorgenommen wurden.
* Dabei erfolgt eine Prüfung, ob die Zertifizierungsvoraussetzungen grundsätzlich gegeben sind, das heißt, ob das Compliancemanagementsystem und seine Elemente dokumentiert sind (sog. „Dokumentenaudit“), ob ein Complianceverantwortlicher benannt wurde und ob Systembewertungen durch das Management vorgenommen wurden.
* In Stufe 2 des Zertifizierungsaudits findet die Überprüfung aller Elemente eines Compliancemanagementsystems auf Basis von Stichproben statt.  
* In Stufe 2 des Zertifizierungsaudits findet die Überprüfung aller Elemente eines Compliancemanagementsystems auf Basis von Stichproben statt.
* Die Auditoren verfassen anschließend einen Bericht über das durchgeführte Audit.  
* Die Auditoren verfassen anschließend einen Bericht über das durchgeführte Audit.
* Im Falle eines positiven Befundes erteilt die Zertifizierungsstelle des Zertifizierers auf Empfehlung der Auditoren das Zertifikat.  
* Im Falle eines positiven Befundes erteilt die Zertifizierungsstelle des Zertifizierers auf Empfehlung der Auditoren das Zertifikat.
* Dieses hat eine Gültigkeitsdauer von drei Jahren.  
* Dieses hat eine Gültigkeitsdauer von drei Jahren.
* Während dieses Zeitraums finden jährliche Überwachungsaudits statt.
* Während dieses Zeitraums finden jährliche Überwachungsaudits statt.
Im Rahmen eines Voraudits kann optional vorab die Zertifizierbarkeit getestet werden.  
Im Rahmen eines Voraudits kann optional vorab die Zertifizierbarkeit getestet werden.
* Häufig empfehlen sich auch vorgelagerte „Complianceselfassessments“, die von der Organisation selbst durchgeführt werden können und die von Dienstleistern angeboten werden.
* Häufig empfehlen sich auch vorgelagerte „Complianceselfassessments“, die von der Organisation selbst durchgeführt werden können und die von Dienstleistern angeboten werden.


== Prüfung von Compliancemanagementsystemen ==
=== Prüfung von Compliancemanagementsystemen ===
Der Prüfungsstandard zur ordnungsmäßigen Durchführung der Prüfung von Compliancemanagementsystemen des Institut der Wirtschaftsprüfer Deutschlands e.&#8239;V.  
Der Prüfungsstandard zur ordnungsmäßigen Durchführung der Prüfung von Compliancemanagementsystemen des Institut der Wirtschaftsprüfer Deutschlands e.&#8239;V.
* legt die berufsständische Auffassung der deutschen Wirtschaftsprüfer fest, welche Anforderungen an Annahme, Planung und Durchführung von solchen Prüfungen zu stellen sind.  
* legt die berufsständische Auffassung der deutschen Wirtschaftsprüfer fest, welche Anforderungen an Annahme, Planung und Durchführung von solchen Prüfungen zu stellen sind.
* Darüber hinaus definiert der Standard auch erstmals allgemeingültige strukturelle Anforderungen an ein CMS, ohne dabei konkrete Maßnahmen oder Prozesse einzufordern.
* Darüber hinaus definiert der Standard auch erstmals allgemeingültige strukturelle Anforderungen an ein CMS, ohne dabei konkrete Maßnahmen oder Prozesse einzufordern.


; CMS-Teilbereich
; CMS-Teilbereich
: Eine nach diesem Standard durchgeführte Prüfung des CMS eines Unternehmens bezieht sich stets auf eindeutig abgegrenzte CMS-Teilbereiche.  
: Eine nach diesem Standard durchgeführte Prüfung des CMS eines Unternehmens bezieht sich stets auf eindeutig abgegrenzte CMS-Teilbereiche.
* Diese sind vom Unternehmen auf der Basis einer übergeordneten Risikobeurteilung zu definieren.  
* Diese sind vom Unternehmen auf der Basis einer übergeordneten Risikobeurteilung zu definieren.
* Es handelt sich um diejenigen einzuhaltenden Regelungen, denen das Unternehmen eine besondere Aufmerksamkeit zur Sicherstellung der Einhaltung widmen muss.  
* Es handelt sich um diejenigen einzuhaltenden Regelungen, denen das Unternehmen eine besondere Aufmerksamkeit zur Sicherstellung der Einhaltung widmen muss.
* Die Auswahl wird regelmäßig risikoorientiert erfolgen, d.&#8239;h., es wird für solche Compliance-Teilbereiche gesonderte CMS installiert werden, bei denen entweder ein besonders hohes Risiko für das Auftreten von Compliance-Verstößen besteht oder bei denen Compliance-Verstöße besonders schwerwiegende Folgen haben können.  
* Die Auswahl wird regelmäßig risikoorientiert erfolgen, d.&#8239;h., es wird für solche Compliance-Teilbereiche gesonderte CMS installiert werden, bei denen entweder ein besonders hohes Risiko für das Auftreten von Compliance-Verstößen besteht oder bei denen Compliance-Verstöße besonders schwerwiegende Folgen haben können.
* Der Prüfungsauftrag muss den zu prüfenden CMS-Teilbereich eindeutig abgrenzen.  
* Der Prüfungsauftrag muss den zu prüfenden CMS-Teilbereich eindeutig abgrenzen.
* Eine Abgrenzung wird meist nach genau zu benennenden Rechtsgebieten oder auch nach der Unternehmensorganisation erfolgen, z.&#8239;B.  
* Eine Abgrenzung wird meist nach genau zu benennenden Rechtsgebieten oder auch nach der Unternehmensorganisation erfolgen, z.&#8239;B.
* kann der Prüfungsauftrag sich ausschließlich auf relevante Anti-Korruptionsbestimmungen im Einkauf beziehen oder nur die Geschäftstätigkeit in einzelnen Ländern betrachten.  
* kann der Prüfungsauftrag sich ausschließlich auf relevante Anti-Korruptionsbestimmungen im Einkauf beziehen oder nur die Geschäftstätigkeit in einzelnen Ländern betrachten.
* Der Prüfer wird den Prozess zur Abgrenzung des Teilbereichs im Rahmen seiner Prüfung im Wesentlichen daraufhin betrachten, ob die Festlegung des Teilbereichs irreführend ist.
* Der Prüfer wird den Prozess zur Abgrenzung des Teilbereichs im Rahmen seiner Prüfung im Wesentlichen daraufhin betrachten, ob die Festlegung des Teilbereichs irreführend ist.
; CMS-Beschreibung
; CMS-Beschreibung
: Die Prüfung basiert auf einer vom Unternehmen anzufertigen Beschreibung des Compliancemanagementsystems für den ausgewählten Teilbereich (CMS-Beschreibung).  
: Die Prüfung basiert auf einer vom Unternehmen anzufertigen Beschreibung des Compliancemanagementsystems für den ausgewählten Teilbereich (CMS-Beschreibung).
* Diese Beschreibung soll ein umfassendes und verständliches Bild des CMS geben.  
* Diese Beschreibung soll ein umfassendes und verständliches Bild des CMS geben.
* Die CMS-Beschreibung muss auf alle sieben Grundelemente eines CMS eingehen und darf keine wesentlichen falschen Angaben sowie keine unangemessenen Verallgemeinerungen oder unausgewogenen und verzerrenden Darstellungen enthalten, die eine Irreführung der Berichtsadressaten zur Folge haben können.
* Die CMS-Beschreibung muss auf alle sieben Grundelemente eines CMS eingehen und darf keine wesentlichen falschen Angaben sowie keine unangemessenen Verallgemeinerungen oder unausgewogenen und verzerrenden Darstellungen enthalten, die eine Irreführung der Berichtsadressaten zur Folge haben können.
: Auf der Basis der CMS-Beschreibung prüft der Wirtschaftsprüfer das CMS mit der Zielsetzung eine Aussage dazu zu machen, ob
: Auf der Basis der CMS-Beschreibung prüft der Wirtschaftsprüfer das CMS mit der Zielsetzung eine Aussage dazu zu machen, ob
Zeile 356: Zeile 356:
:* und während des Prüfungszeitraums wirksam durchgeführt wurden.
:* und während des Prüfungszeitraums wirksam durchgeführt wurden.
; Hinreichende Sicherheit
; Hinreichende Sicherheit
: Die Prüfung richtet sich ausschließlich auf das System und dessen Eignung, mit hinreichender Sicherheit Verstöße zu verhindern oder zumindest wesentlich zu erschweren bzw.  
: Die Prüfung richtet sich ausschließlich auf das System und dessen Eignung, mit hinreichender Sicherheit Verstöße zu verhindern oder zumindest wesentlich zu erschweren bzw.
* trotzdem auftretende Verstöße zu erkennen und eine angemessene Reaktion sicherzustellen.  
* trotzdem auftretende Verstöße zu erkennen und eine angemessene Reaktion sicherzustellen.
* Die Prüfung ist nicht darauf ausgerichtet, selbst Verstöße aufzudecken.
* Die Prüfung ist nicht darauf ausgerichtet, selbst Verstöße aufzudecken.
: Eine hinreichende Sicherheit bedeutet dabei nicht absolute Sicherheit, da eine solche absolute Sicherheit mit angemessenen Mitteln durch kein System zu erreichen ist.  
: Eine hinreichende Sicherheit bedeutet dabei nicht absolute Sicherheit, da eine solche absolute Sicherheit mit angemessenen Mitteln durch kein System zu erreichen ist.
* Jedes CMS hat systemimmanente Grenzen, die dazu führen können, dass trotz eines wirksamen Systems Verstöße auftreten können oder aufgetretene Verstöße nicht zeitnah entdeckt werden.  
* Jedes CMS hat systemimmanente Grenzen, die dazu führen können, dass trotz eines wirksamen Systems Verstöße auftreten können oder aufgetretene Verstöße nicht zeitnah entdeckt werden.
* Dies ergibt sich bereits durch die Tatsache, dass Menschen das System versehentlich falsch anwenden oder auch durch erhebliche kriminelle Energie umgehen können.  
* Dies ergibt sich bereits durch die Tatsache, dass Menschen das System versehentlich falsch anwenden oder auch durch erhebliche kriminelle Energie umgehen können.
* In §&nbsp;130 des Gesetzes über Ordnungswidrigkeiten wird daher auch von der Pflicht zur wesentlichen Erschwerung von Verstößen gesprochen.
* In §&nbsp;130 des Gesetzes über Ordnungswidrigkeiten wird daher auch von der Pflicht zur wesentlichen Erschwerung von Verstößen gesprochen.
; Wirksamkeitsnachweis
; Wirksamkeitsnachweis
: Eine CMS-Prüfung nach dem Prüfungsstandard IDW PS 980 bietet eine sehr hohe Sicherheit dafür, dass eine zuverlässige Gesamtaussage über die Eignung und Wirksamkeit des CMS getroffen werden kann.
: Eine CMS-Prüfung nach dem Prüfungsstandard IDW PS 980 bietet eine sehr hohe Sicherheit dafür, dass eine zuverlässige Gesamtaussage über die Eignung und Wirksamkeit des CMS getroffen werden kann.
: Unternehmen und die Unternehmensverantwortlichen erhalten hiermit ein Instrument, das ihnen zum einen verlässlich Auskunft darüber gibt, ob das eingerichtete CMS angemessen und wirksam war.  
: Unternehmen und die Unternehmensverantwortlichen erhalten hiermit ein Instrument, das ihnen zum einen verlässlich Auskunft darüber gibt, ob das eingerichtete CMS angemessen und wirksam war.
* Zum anderen kann der Prüfungsbericht auch dazu dienen, gegenüber Dritten nachzuweisen, dass im Prüfungszeitraum tatsächlich ein solches System eingerichtet und wirksam war.  
* Zum anderen kann der Prüfungsbericht auch dazu dienen, gegenüber Dritten nachzuweisen, dass im Prüfungszeitraum tatsächlich ein solches System eingerichtet und wirksam war.
* Damit kann für den Fall, dass zu einem späteren Zeitpunkt ein Compliance-Verstoß im Prüfungszeitraum aufgedeckt wird, der Nachweis geführt werden, dass das Unternehmen seiner Pflicht zur gehörigen Aufsicht nachgekommen war und der Verstoß trotz eines wirksamen CMS aufgetreten ist und nicht wegen des Fehlens eines wirksamen CMS.
* Damit kann für den Fall, dass zu einem späteren Zeitpunkt ein Compliance-Verstoß im Prüfungszeitraum aufgedeckt wird, der Nachweis geführt werden, dass das Unternehmen seiner Pflicht zur gehörigen Aufsicht nachgekommen war und der Verstoß trotz eines wirksamen CMS aufgetreten ist und nicht wegen des Fehlens eines wirksamen CMS.


== Siehe auch ==
=== Siehe auch ===
* https://de.wikipedia.org/wiki/Compliance_(BWL)
* https://de.wikipedia.org/wiki/Compliance_(BWL)
* [[Tax-Compliance]]
* [[Tax-Compliance]]

Version vom 1. Oktober 2024, 22:06 Uhr

Compliance (Recht)

Im rechtlichen Bereich beschreibt man mit dem Begriff Compliance grundsätzlich die Einhaltung von Regeln in Form von Recht und Gesetz („Rechtstreue“, „Regelkonformität“).

  • Darüber hinaus findet der Begriff auch als Synonym für Maßnahmen zur Verhinderung von Rechtsverstößen Verwendung.
  • So steht er im unternehmerischen Zusammenhang für die Gesamtheit aller betrieblichen Maßnahmen, die das rechtmäßige Verhalten aller Unternehmensangehörigen sicherstellen sollen.

Rechtsbegriff

Seinen Ursprung hat der Rechtsbegriff Compliance im angloamerikanischen Rechtskreis.

  • Dort hat er sich seit seinen Anfängen in den 1930er und 40er Jahren zu einem Synonym für ein eigenständiges Rechtskonzept entwickelt, das auf dem Gedanken der regulierten Selbstregulierung („enforced self-regulation“) beruht.
  • Mittels inzentivierender Rahmenbedingungen und konkreter Regularien schreibt das angloamerikanische Recht Unternehmen eine wesentliche Verantwortung bei der Verhinderung betrieblicher Rechtsverstöße zu.
  • Seinen Ausdruck findet dieses Rechtskonzept heute vor allem in den gesetzlichen Regelungen des Foreign Corrupt Practices Act, der US Federal Sentencing Guidelines und des Sarbanes-Oxley Act.

Situation in Deutschland

Deutscher Corporate Governance Kodex (DCGK)

Im deutschen Rechtssystem hat der Begriff Compliance bislang keine gesetzliche Definition (Legaldefinition) erfahren.

Ziff. 4.1.3 Deutscher Corporate Governance Kodex

Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).

  • Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen.
  • Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.

Der DCGK enthält Empfehlungen zur nachhaltigen Unternehmensführung von Aktiengesellschaften und besitzt als Maßnahme wirtschaftlicher Selbstregulierung keine rechtliche Verbindlichkeit.

  • Gem. Vorlage:§ AktG müssen Aktiengesellschaften zwar jährlich eine Entsprechungserklärung veröffentlichen.
  • Abweichungen von den Empfehlungen des DCGK sind unter Angabe von Gründen jedoch stets möglich.
  • Finanz- und Versicherungsrecht

    Gesetzliche Erwähnung findet der Begriff Compliance bislang vor allem in den Organisationspflichten des Finanz- und Versicherungsrechts. Kredit- und Finanzdienstleistungsinstitute müssen gem. Vorlage:§ KWG, Wertpapierdienstleistungsunternehmen gem. Vorlage:§ WpHG und Versicherungsunternehmen gem. Vorlage:§ VAG ein internes Kontrollsystem (IKS) betreiben, das insbesondere eine „Compliance-Funktion“ umfasst.

    • Für Versicherungsunternehmen beschreibt § 29 Abs. 2 VAG außerdem das Aufgabenfeld der Compliance-Funktion.

    § 29 VAG. Internes Kontrollsystem (2) 1Zu den Aufgaben der Compliance-Funktion gehört die Beratung des Vorstands in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die für den Betrieb des Versicherungsgeschäfts gelten. 2Außerdem hat die Compliance-Funktion die möglichen Auswirkungen von Änderungen des Rechtsumfeldes für das Unternehmen zu beurteilen und das mit der Verletzung der rechtlichen Vorgaben verbundene Risiko (Compliance-Risiko) zu identifizieren und zu beurteilen.

    Das IKS samt Compliance-Funktion sehen die einschlägigen Gesetze als wesentlichen Bestandteil eines in die Geschäftsorganisation eingebundenen Risikomanagements.

    • Ziel des Risikomanagements ist es, durch eine bewusste Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der betrieblichen Risiken die Grundlage für eine „nachhaltige“ (Vorlage:§ KWG) bzw. „solide“ (Vorlage:§ VAG) Unternehmensführung zu schaffen.
    • Die konkrete Ausgestaltung der betrieblichen Maßnahmen machen Vorlage:§ KWG und Vorlage:§ VAG von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit abhängig.

    Rechtsphänomen

    Angetrieben von den Empfehlungen des DCGK sowie den Entwicklungen auf dem Finanz- und Versicherungsmarkt hat sich der Begriff Compliance im deutschen Recht zum Synonym eines risikoakzessorischen und -präventiven Rechtsverständnisses entwickelt.

    • Bis auf die Ansätze des Finanz- und Versicherungsrechts haben die Strukturen und Zusammenhänge dieses Rechtsverständnisses im deutschen Recht aber noch keine gesetzliche Konkretisierung erfahren, sodass sich das Thema Compliance im Gegensatz zum angloamerikanischen Recht noch weitestgehend als Phänomen darstellt. Wesensmerkmal dieses Phänomens ist eine interaktive Methodik, die sich die Gesamtheit der rechtlichen, ökonomischen und ethischen Steuerungsmöglichkeiten zu Nutze macht, um Gefahren und insbesondere der Gefahr von Rechtsverstößen zu begegnen (sozioökonomischer Regulierungsansatz).
    • Ermöglicht wird dies durch das Konzept der Koregulierung, die Neue Institutionenökonomie und die Wirtschaftsethik.
    Koregulierung

    Im Rahmen der Koregulierung überträgt der Staat der Zivil- und insbesondere der Wirtschaftsgesellschaft eine Verantwortung, sich an der Prävention von Gefahren zu beteiligen.

    • Die inhaltliche Ausgestaltung der Präventionsverantwortung wird bis auf spezialgesetzliche Vorgaben weitestgehend den Unternehmen überlassen und lediglich durch die rechtlichen Haftungsmechnismen abgesichert (regulierte Selbstregulierung).
    Neue Institutionenökonomie

    Ausgestalten lässt sich die betriebliche Präventionsverantwortung mithilfe der Neuen Institutionenökonomie, die in Abkehr vom neoklassischen Wirtschaftsverständnis die verhaltenssteuernde Wirkung institutioneller Strukturen einbezieht.

    • Grundlage ist nicht mehr das realitätsferne Postulat allumfassender Information, sondern das kognitiv begrenzte Leistungsspektrum jedes Menschen.
    • Dementsprechend bedarf es zur Entfaltung der betrieblichen Selbstregulierungspotenziale auch gezielter Regelungen, deren Effizienz und Effektivität stark von ihrer unternehmenskulturellen Akzeptanz abhängen.
    Wirtschaftsethik

    Aufschluss über die kulturellen Prozesse wirtschaftlicher Organisationen liefert die Wirtschaftsethik, die sich mit dem Konflikt zwischen wirtschaftlichem Eigennutz und sozialer Verantwortung beschäftigt.

    • Als zentrale Orte dieses Konflikts sieht die Wirtschaftsethik jedes an wirtschaftlichen Maximen orientierte Kollektiv, weshalb vor allem Unternehmen in ganzem besonderem Maße dafür verantwortlich sind, durch kulturelle Maßnahmen nachhaltige Anreize zur Beachtung rechtlicher und moralischer Standards zu setzen (Corporate Social Responsibility).

    Risikoprävention

    Zum Ausdruck kommen die präventiven Strukturen des Phänomens Compliance nicht nur in den Vorschriften des Finanz- und Versicherungsrechts.

    • Auch in zahlreichen anderen Rechtsbereichen existieren Vorschriften, die den Begriff Compliance zwar nicht ausdrücklich verwenden, seinen Gedanken der Risikoprävention aber dennoch transportieren, indem sie einen bewussten Umgang mit Gefahren einfordern.
    Allgemeine Präventionspflichten

    Allgemeine betriebliche Präventionspflichten ergeben sich in erster Linie aus dem Gesellschaftsrecht (Corporate Compliance) sowie den Vorschriften des Straf- und Ordnungswidrigkeitenrechts (Criminal Compliance).

    • Darüber hinaus kennt auch das Privatrecht gewisse Präventionspflichten, die sich sowohl an Unternehmen als auch an Privatpersonen richten.
    Legalitätskontrolle

    Die Unternehmensleitung hat im Rahmen ihrer allgemeinen gesellschaftsrechtlichen Sorgfaltspflichten (v. a. Vorlage:§, Vorlage:§ AktG und Vorlage:§ GmbHG) für ein rechtstreues Verhalten aller Unternehmensangehörigen zu sorgen, indem sie der Gefahr betrieblicher Rechtsverstöße durch entsprechende Maßnahmen begegnet.

    • Soweit keine spezialgesetzlichen Vorgaben bestehen, gewährt das Gesellschaftsrecht bei der inhaltlichen Ausgestaltung der Legalitätskontrolle zwar grundsätzlich einen Ermessensspielraum (Business Judgement Rule).
    • Ihre Entscheidungen muss die Unternehmensleitung jedoch stets auf der Grundlage einer angemessenen Risikoanalyse treffen (Risikoakzessorietät).
    • Diesen gesellschaftsrechtlichen Grundsätzen entsprechend entschied das LG München I im Jahre 2013 in einem der bislang wenigen Urteile zum Thema Compliance („Neubürger-Urteil“ im Rahmen des Korruptionsskandals bei der Siemens AG):

    „Im Rahmen seiner Legalitätspflicht hat ein Vorstandsmitglied dafür Sorge zu tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße wie Schmiergeldzahlungen an Amtsträger eines ausländischen Staates oder an ausländische Privatpersonen erfolgen.

    • Seiner Organisationspflicht genügt ein Vorstandsmitglied bei entsprechender Gefährdungslage nur dann, wenn er eine auf Schadensprävention und Risikokontrolle angelegte Compliance-Organisation einrichtet.
    • Entscheidend für den Umfang im Einzelnen sind dabei Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz wie auch Verdachtsfälle aus der Vergangenheit.“

    Werden Risiken entdeckt, die den Bestand des Unternehmens gefährden können, so verlangt Vorlage:§ AktG außerdem ein Internes Kontrollsystem (IKS).

  • Zwingend zu überwachen sind mithilfe des IKS jedoch nicht die Bestandsgefahren an sich, sondern lediglich die betrieblichen Maßnahmen, die zur Beherrschung der Bestandsgefahren erforderlich sind.
  • Kriminalitätsbekämpfung

    Auch das Straf- und Ordnungswidrigkeitenrecht kennt eine Pflicht zur Verhinderung betrieblicher Rechtsverstöße.

    • Eine Selbstkontrolle des Unternehmens kann eine staatliche Kontrolle nicht ersetzen.
    • Der Umfang der Präventionspflicht ist im Vergleich zur gesellschaftsrechtlichen Legalitätskontrollpflicht jedoch kleiner, da lediglich der Gefahr betrieblicher Straftaten und Ordnungswidrigkeiten (Unternehmenskriminalität) begegnet werden muss.
    • Eine ausdrückliche Formulierung hat diese Pflicht zur Bekämpfung von Unternehmenskriminalität in Vorlage:§ OWiG erfahren.
    • Sowohl die Anwendbarkeit des § 130 OWiG auf Konzernsachverhalte als auch die Reichweite auf Auslandssachverhalte ist bislang nicht abschließend geklärt.

      § 130 OWiG.

    • Aufsichtspflicht

    (1) 1Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.

    Im Strafrecht existiert bislang zwar keine ausdrückliche Präventionspflicht.

    • Nichtsdestotrotz hat sich aber insbesondere im Rahmen der allgemeinen strafrechtlichen Zurechnungsmechanismen (Vorlage:§ StGB sowie Vorlage:§ StGB) ebenfalls eine Pflicht der Unternehmensleitung zur Bekämpfung von Unternehmenskriminalität etabliert.
    • Grundlage ist wie im Ordnungswidrigkeitenrecht auch die durch betriebliche Delegationsverhältnisse erhöhte Gefahr von Unternehmenskriminalität und die Fähigkeit der Unternehmensleitung, auf diese Gefahr mithilfe der betrieblichen Organisationsstrukturen einzuwirken (Risiko- und Organisationsherrschaft).

    Der Kreis der im Rahmen der straf- und ordnungswidrigkeitenrechtlichen Präventionspflicht zu beachtenden Vorschriften ergibt sich aus dem Tätigkeitsbereich des Unternehmens.

    Ihre Kenntnisse zu Regelverstößen können Hinweisgeber den Strafverfolgungsbehörden auch anonym übermitteln, da nach dem Legalitätsprinzip die Polizei auch anonymen Anzeigen nachgehen muss.

    Verkehrssicherung

    Unternehmen und Privatpersonen sind im Rahmen der allgemeinen zivilrechtlichen Sorgfaltsmaßstäbe (Vorlage:§ BGB) dazu verpflichtet, die Allgemeinheit vor Gefahren zu schützen, die ihrem Einflussbereich unterliegen.

    Spezielle Präventionspflichten

    Der Gedanke der Risikoprävention findet auch zunehmend Eingang in einzelne Bereiche des Rechtssystems.

    • Diese spezialgesetzlichen Vorgaben stellen eine bereichsspezifische Konkretisierung der allgemeinen Präventionspflichten dar.
    Datenschutz

    Seit 25. Mai 2018 haben Unternehmen und Privatpersonen bei jeder Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder werden sollen, die Datenschutz-Grundverordnung (VO EU Nr. 2016/679) zu beachten.

    • Ausgenommen ist lediglich die Verarbeitung zu ausschließlich persönlichen oder familiären Zwecken (Vorlage:Art.).
    • Die DSGVO verlangt insbesondere, dass bei der Verarbeitung personenbezogener Daten risikoadäquate Vorkehrungen zum Datenschutz zu treffen sind.

    Art. 24 DSGVO. Verantwortung des für die Verarbeitung Verantwortlichen (1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

    Dies erfordert die Führung von Verzeichnissen aller Verarbeitungstätigkeiten (Vorlage:Art. DSGVO), die Gewährleistung eines angemessenen Datenschutzniveaus (Vorlage:Art. DSGVO) und die Meldung von Verstößen (Vorlage:Art. DSGVO).

    Arbeitsschutz

    Das Arbeitsschutzgesetz (ArbSchG) verpflichtet Arbeitgeber zu Maßnahmen des Arbeitsschutzes.

    • Dies umfasst gem. Vorlage:§ ArbSchG Maßnahmen zur Verhütung von Unfällen bei der Arbeit und arbeitsbedingten Gesundheitsgefahren einschließlich Maßnahmen der menschengerechten Gestaltung der Arbeit.

      § 3 ArbSchG.

    • Grundpflichten des Arbeitgebers

    (1) 1Der Arbeitgeber ist verpflichtet, die erforderlichen Maßnahmen des Arbeitsschutzes unter Berücksichtigung der Umstände zu treffen, die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit beeinflussen. 2Er hat die Maßnahmen auf ihre Wirksamkeit zu überprüfen und erforderlichenfalls sich ändernden Gegebenheiten anzupassen. 3Dabei hat er eine Verbesserung von Sicherheit und Gesundheitsschutz der Beschäftigten anzustreben.Die Maßnahmen des Arbeitsschutzes sind an den allgemeinen Grundsätzen auszurichten (Vorlage:§ ArbSchG), anhand einer Risikoanalyse zu ermitteln (Vorlage:§ ArbSchG), mithilfe einer geeigneten Organisation und interner Kontrollmaßnahmen zu planen und durchzuführen (Vorlage:§ ArbSchG) und zu dokumentieren (Vorlage:§ ArbSchG).

    Geldwäschebekämpfung

    Das Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz – GwG) schreibt Akteuren der Finanz-, Versicherungs-, Rechtsberatungs-, Wirtschaftsprüfungs-, Treuhand-, Immobilien-, Glücksspiel- und Güterhandelsbranche eine Verantwortung bei der Verhinderung von Geldwäsche und Terrorismusfinanzierung zu (Vorlage:§ GwG).

    § 4 GwG.

    • Risikomanagement

    (1) Die Verpflichteten müssen zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung über ein wirksames Risikomanagement verfügen, das im Hinblick auf Art und Umfang ihrer Geschäftstätigkeit angemessen ist.

    Bestandteile der Präventionsstrategie sind eine Risikoanalyse (Vorlage:§ GwG), interne Sicherungsmaßnahmen (Vorlage:§ GwG), Verhaltensstandards (Vorlage:§ GwG) sowie die Meldung von Verdachtsfällen (Vorlage:§ GwG).

    Produktsicherheit

    Eine besondere Ausprägung hat die allgemeine Verkehrssicherungspflicht in Bezug auf Produkte erfahren.

    Präventionsmaßnahmen

    Eine allgemeingültige Beschreibung der erforderlichen Präventionsmaßnahmen kennt das deutsche Recht bislang nicht.

    • Nichtsdestotrotz hat sich entsprechend der interaktiven Methodik des Phänomens Compliance ein gewisser Standard an betrieblichen Präventionsmaßnahmen herausgebildet.
    • Dieser verschmilzt im Rahmen eines strategischen Risikomanagements kulturelle Lern- und formale Kontrollmaßnahmen zu einem systematischen Umgang mit der Gefahr betrieblicher Regelverstöße (Compliance Management System).
    Strategisches Risikomanagement

    Grundlage des Compliance Management Systems ist eine fortlaufende Identifikation und Bewertung (Risikoanalyse) sowie Steuerung und Überwachung der Gefahr betrieblicher Regelverstöße.

    Kultureller Lernprozess

    Die Risikosteuerung erfolgt durch den Einsatz unternehmenskultureller Maßnahmen.

    • Ziel ist es, mithilfe eines vorbildlichen Führungsstils sowie einer demokratischen Wertevermittlung eine von allen Unternehmensangehörigen tatsächlich gelebte Legalitätskultur zu etablieren, die Rechtsverstöße in keinem Fall duldet.
    • Dazu sind folgende Maßnahmen erforderlich:
    • unmissverständliches Bekenntnis aller Führungspersonen zur Legalität als indisponiblen betrieblichen Wert,
    Formaler Kontrollprozess

    Zur Risikoüberwachung kommen formale Kontrollmaßnahmen zum Einsatz.

    • Ihr Ziel besteht darin, die präventive Wirkung der unternehmenskulturellen Maßnahmen abzusichern und zu verstärken (Prävention), Verdachtsfälle aufzudecken, aufzuklären (Detektion) und bei Verdachtsbestätigung zu sanktionieren (Sanktion) sowie entdeckte Schwachstellen des Systems zu beseitigen (Optimierung).
    • Dies erfordert folgende Maßnahmen:

    Haftung

    Die Wahrnehmung der Präventionsverantwortung wird entsprechend dem Konzept der regulierten Selbstregulierung durch die rechtlichen Haftungsstrukturen abgesichert.

    Schadensersatz

    Schadensersatzpflichten ergeben sich aus Spezialgesetzen (z. B. Vorlage:§ BDSG, Vorlage:§ ProdHaftG) und allgemeinen Regelungen (z. B. Vorlage:§ BGB, Vorlage:§ BGB).

    • Für Schäden im Zusammenhang mit betrieblichen Pflichtverstößen haftet grundsätzlich das Unternehmen.
    • Durch eine Verletzung der betrieblichen Präventionspflichten entsteht gem. Vorlage:§ AktG, Vorlage:§ GmbHG allerdings auch eine Schadensersatzpflicht der Unternehmensleitung gegenüber dem Unternehmen.
    • Begründet wird diese Ersatzpflicht allerdings nicht schon durch jede unternehmerische Fehlentscheidung, sondern erst bei Missachtung der Grenzen des unternehmerischen Ermessensspielraums nach Vorlage:§ AktG (Business Judgement Rule).
    Geldbuße

    Der Verstoß gegen spezielle Präventionspflichten wird in der Regel bereits durch die entsprechenden Spezialgesetze mit Geldbußen geahndet (z. B. Vorlage:§ KWG, Vorlage:§ WpHG, Vorlage:§ VAG, Vorlage:§ GwG).

    • Daneben bedroht Vorlage:§ OWiG den Verstoß gegen die allgemeine betriebliche Kriminalitätspräventionspflicht mit einer Geldbuße bis zu einer Million Euro.
    • Gegenüber Unternehmen können gem. Vorlage:§, Vorlage:§ OWiG sogar Geldbußen bis zu einer Höhe von zehn Millionen Euro verhängt werden. Über Vorlage:§ OWiG kommt es außerdem zu einer Abschöpfung des gesamten wirtschaftlichen Vorteils, der aus einem Pflichtverstoß gezogen worden ist (Gewinnabschöpfung).
    Geld- und Freiheitsstrafe

    Zum Teil sind Verstöße gegen spezielle Präventionspflichten bereits spezialgesetzlich unter Strafe gestellt (z. B. Vorlage:§ KWG).

    Siehe auch

    Weblinks

    1. https://de.wikipedia.org/wiki/Compliance_(Recht)
    2. Compliance im Themenfeld Recht auf der Website des Bundesverbands der Deutschen Industrie

    Compliance (BWL)

    Compliance ist die betriebswirtschaftliche und rechtswissenschaftliche Umschreibung für die Regeltreue (auch Regelkonformität) von Unternehmen, also die Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes.

    Definition

    Der Deutsche Corporate Governance Kodex (DCGK) definiert Compliance als die in der Verantwortung des Vorstands liegende Einhaltung der gesetzlichen Bestimmungen und unternehmensinternen Richtlinien.

    Vorlage:Zitat

    Bei Kreditinstituten steht insbesondere die Einhaltung der Vorschriften aus dem Wertpapierhandelsgesetz im Fokus.

    Regeltreue als Anforderung an Unternehmen

    Die Notwendigkeit zur Einhaltung gesetzlicher Regelungen durch Unternehmen ergibt sich aus dem Grundsatz, dass Gesetze – auch durch juristische Personen – einzuhalten sind.

    • Unternehmen und Unternehmensverantwortliche sind über die Paragraphen §§ 9, 30 und 130 des Gesetzes über Ordnungswidrigkeiten (OWiG) gefordert, dafür Sorge zu tragen, dass aus dem Unternehmen heraus keine Gesetzesverstöße erfolgen.
    • Werden entsprechende Organisations- und Aufsichtsmaßnahmen nicht ergriffen, können Unternehmensleitung und auch das Unternehmen selbst zu Strafen verurteilt werden, wenn es aus dem Unternehmen zu Gesetzesverstößen gekommen ist.
    • Macht sich somit ein Mitarbeiter des Unternehmens durch Korruption strafbar, so drohen dem Unternehmen nicht nur zivilrechtliche Klagen des Geschäftspartners, dessen Mitarbeiter bestochen wurden.
    • Vielmehr muss auch das Unternehmen damit rechnen, dass gegen das Unternehmen oder gegen die Unternehmensleitung ein Ordnungswidrigkeitenverfahren eingeleitet wird, weil den Organisations- und Aufsichtspflichten nicht nachgekommen wurde.

    Eine Sanktionierung nach §§ 130, 30 OWiG ist nicht zwingend nur auf das Einzelunternehmen beschränkt, sondern kann sich im Einzelfall auch gegen die Konzernobergesellschaft richten, obwohl die Bestechungshandlung (oder eine sonstige strafbewehrte Zuwiderhandlung) in der Sphäre der Tochtergesellschaft stattfindet.

    • Daneben regeln eine Vielzahl von gesetzlichen Vorschriften unmittelbare Pflichten und Verantwortungen des Unternehmens, die dieses einzuhalten hat und bei deren Nichteinhaltung dem Unternehmen unter Umständen empfindliche Strafzahlungen drohen (z. B.
    • aus Kartellverstößen).

    Eine Pflicht zur Sicherstellung der Regeltreue ergibt sich somit auch aus §§ 91, 93 AktG – sowie § 43 GmbHG zur Abwendung von wirtschaftlichen Schaden vom Unternehmen.

    Die (Stand: 2011) weltweit strengsten Anforderungen an konkrete Compliancemaßnahmen in Unternehmen enthält das britische Anti-Korruptions-Gesetz Bribery Act 2010.

    Folgen von Regelbrüchen

    Die Nichteinhaltung von Regeln kann zu Unternehmensstrafen, Bußgeldern, Gewinnabschöpfung oder dem Verfall des durch den Gesetzesverstoß erzielten Gewinns führen.

    • Diese direkten Verluste werden durch zusätzliche externe und interne Kosten für Verfahren, Schadenersatzansprüche und Rückabwicklungen erhöht.

    Compliancekultur

    Als Compliancekultur werden die Grundeinstellungen und Verhaltensweisen, die von der Unternehmensleitung vermittelt werden, bezeichnet.

    • Die Compliancekultur soll allen Unternehmensbeteiligten sowie auch Kunden und Lieferanten des Unternehmens die Bedeutung vermitteln, die das Unternehmen der Beachtung von Regeln beimisst, und damit bei allen Beteiligten die Bereitschaft zu regelkonformem Verhalten fördern.
    • Compliancekultur wird häufig als Basis des CMS bezeichnet.
    • Vielfach wird die Compliancekultur in besonderen Richtlinien oder Verhaltenskodizes (z. B.: „Mission Statement“ oder „Code of Conduct“) festgehalten und auch im Intranet- oder Internet-Auftritt des Unternehmens veröffentlicht.

    Eine wirksame Compliancekultur erfordert aber neben solchen „offiziellen“ Kommunikationen vor allem eine Spiegelung der Grundsätze im tatsächlichen Handeln und Auftreten aller Unternehmensverantwortlichen auf allen Managementebenen.

    • Werte können nur glaubhaft vermittelt werden, wenn diese auch erkennbar von den Vermittelnden selbst gelebt werden.

    Konkrete Regeln z. B.

    • zur Vermeidung von Korruption und Kartellabsprachen, dem Einhalten von Vorgaben bezüglich Datenschutz und Gleichbehandlung, der Beachtung von Vorschriften zu Produktsicherheit und Arbeitsschutz, werden manchmal als Teil der Compliancekultur betrachtet, zählen aber eher zum konkreten Complianceprogramm.
    • Gleiches gilt für Regelstrukturen wie z. B.
    • Hotlines (Whistleblowing Hotline), die unternehmensintern oder bei externen Ansprechpartnern eingerichtet sind, und bei denen Regelverstöße gemeldet werden können.

    Ziele

    Datei:Ziele Compliance.JPG
    Ziele von Compliance

    Risikominimierung, Effizienzsteigerung und Effektivitätssteigerung sind die vorrangigen Ziele von Compliance.

    • Die Abbildung verdeutlicht in diesem Zusammenhang die betriebswirtschaftlichen Effekte des strategischen Einsatzes von Compliancemaßnahmen.

    Complianceprozesse

    Für die Durchführung der betrieblichen Complianceaktivitäten ist die Etablierung von Geschäftsprozessen erforderlich.

    • Es handelt sich bei diesen Prozessen um Supportprozess, d. h.
    • die Complianceprozesse beziehen sich auf die Unterstützung und risikoorientierte Steuerung der originären Geschäftsprozesse im Unternehmen.
    Prozesse der Risikoanalyse
    Derartige Teilprozesse dienen der Identifikation von Bedrohungen und Gefahren im Rahmen der wertschöpfenden Aktivitäten des Unternehmens.
    Prozesse der Abweichungsanalyse
    Solche Prozesse werden ausgelöst, sofern der realisierte Ist-Wert einer Aktivität oder einer Aktivitätenfolge außerhalb des definierten Toleranzbereichs um den Soll-Wert liegt.
    Prozesse des Umgangs mit Ausnahmesituationen
    Im Mittelpunkt steht das (potentielle) Eintreffen gravierender Ereignisse mit erheblicher kritischer Relevanz für das Unternehmen.
    • Es gilt, für solche Fälle mit vorstrukturierten Soll-Prozessen zum Zwecke der Aufklärung und Schadensbegrenzung vorbereitet zu sein.
    Prozesse der Eskalation
    Gegenstand von Eskalationsprozessen ist die Auflösung bereits entstandener sowie die Verhinderung zu befürchtender Non-Compliance-Situationen.
    • Das Ziel dieser Prozesse besteht darin, kritische Aktivitäten zu eskalieren.
    • Dies bedeutet, dass derartige Aktivitäten transparent gemacht und zeitnah einer verantwortlichen Instanz zum Treffen regulierender Entscheidungen zwingend vorgetragen werden.

    Zertifizierung des Compliancemanagementsystems

    Der „Standard für Compliance Management Systeme“ (TR CMS 101:2011) richtet sich an Organisationen wie Unternehmen, Behörden und Nichtregierungsorganisationen (NGOs) und beschreibt die Elemente, die ein funktionsfähiges und wirksames Compliancemanagementsystem ausmachen.

    • Er wurde vom TÜV Rheinland veröffentlicht und 2015 durch die neue Fassung „Standard für Compliance-Management-Systeme“ (TR CMS 101:2015) abgelöst und um den Compliance-Leitfaden (TR CMS 100:2015) ergänzt.
    • Er zeigt auf, welche nachprüfbaren Maßnahmen zu treffen sind, um eine Complianceorganisation systematisch einzurichten, aufrechtzuerhalten, zu überwachen und ständig zu verbessern.
    • Dies dient dem Ziel, alle relevanten Complianceanforderungen erreichen zu können.
    • Der Standard TR CMS 101:2011 dient damit zugleich als Maßstab für die Zertifizierung eines bestehenden Compliancemanagementsystems.
    • Er verlangt nicht das Schaffen bestimmter Strukturen oder Funktionen für das Erfüllen von Compliance, sondern fordert lediglich eine systematische Herangehensweise und die Umsetzung bestimmter (Mindest-)Elemente.
    • Nach dem Standard müssen Compliancemanagementsysteme nicht einheitlich ausgestaltet sein, sondern können ausdrücklich den Besonderheiten der Organisation – wie Größe, Struktur, Aktivitäten, Produkte, spezifische Risiken etc. – Rechnung tragen.
    • Organisationen haben damit ein hohes Maß an Flexibilität bei der Umsetzung ihres Compliancemanagementsystems.

    Vergleichbar mit den Standards für Qualitätsmanagementsysteme (ISO 9001:2008) oder für Risikomanagementsysteme (ONR 49001:2004), enthält der Standard TR CMS 101:2011 Aussagen über das Festlegen von Complianceverantwortlichkeiten, die Bereitstellung von Ressourcen, die Durchführung von Audits und über die Notwendigkeit der kontinuierlichen Verbesserung.

    • Darüber hinaus führt er die spezifischen Merkmale auf, die ein wirksames und von Einzelpersonen unabhängiges Compliancemanagementsystem aufweisen muss.
    • Im Sinne einer ganzheitlichen Sichtweise von Compliance berücksichtigt der Standard auch die Aspekte „Organisationskultur“ und „Kommunikation“.

    Der Standard TR CMS 101:2011 ist gegliedert in:

    Anwendungsbereich
    Der Standard TR CMS 101:2011 ist national und international für alle Organisationen anwendbar.
    Ziele des Compliancemanagementsystems
    Ziel jedes Compliancemanagementsystems ist es nach dem Standard, systematisch die Voraussetzungen in der Organisation zu schaffen, dass Verstöße gegen Complianceanforderungen vermieden bzw.
    • wesentlich erschwert werden und eingetretene Verstöße erkannt und behandelt werden können.
    Begriffe
    enthält Definitionen wichtiger Compliancebegriffe, die im Standard TR CMS 101:2011 verwendet werden.
    Compliancemanagementsystem
    Damit die Anforderungen des Standards erfüllt werden können, muss ein Unternehmen eine systematische Complianceorganisation, das heißt ein Compliancemanagementsystem einführen, dokumentieren, verwirklichen und aufrechterhalten.
    • Dazu sind folgende Maßnahmen notwendig:
    • Die einzuhaltenden Prozesse sind festzulegen.
    • Die Verfügbarkeit der erforderlichen Ressourcen und Informationen ist sicherzustellen und
    • die Prozesse sind zu überwachen, zu messen und zu analysieren.
    Es gilt, das Compliancemanagementsystem selbst und seine Bestandteile, wie zum Beispiel Audit-Ergebnisse, Korrekturmaßnahmen etc., zu dokumentieren, um eine personenunabhängige Aufrechterhaltung und Funktionsfähigkeit des Systems sicherzustellen.
    • Auch der Umgang mit dieser Dokumentation, beispielsweise Freigaben, Aktualisierungen, Verteilung, Aufbewahrungspflichten, muss festgelegt werden.
    Verantwortung der Leitung
    Im Einklang mit den gesetzlichen Organisations- und Aufsichtspflichten liegt ein Schwerpunkt des Standards auf der besonderen Verantwortung der „Leitung“ für die Einrichtung, Aufrechterhaltung, Bewertung und ständige Verbesserung des Compliancemanagementsystems.
    • Es ist Aufgabe der Leitung, die internen Verantwortlichkeiten und Befugnisse festzulegen und einen Compliancebeauftragten zu benennen.
    • Nicht vorgegeben ist, auf welcher Führungsebene dieser Beauftragte angesiedelt sein soll.
    • Auch das Schaffen einer eigenen, neuen Compliancestelle wird nicht verlangt.
    • Allerdings muss es dem Compliancebeauftragten möglich sein, seine Complianceaufgaben unabhängig wahrnehmen zu können.
    • Inhärente Interessenskonflikte aufgrund der gleichzeitigen Zuweisung anderer Aufgaben sind auszuschließen.
    • Darüber hinaus soll eine direkte Berichtsmöglichkeit an die Leitungsebene sichergestellt sein.
    • Der Leitung obliegt es, den Mitarbeitern die Bedeutung von Complianceanforderungen und ihrer Erfüllung zu vermitteln.
    • Von ihr wird ausdrücklich verlangt, ein Bekenntnis zur Schaffung einer Compliancekultur abzugeben.
    • Ferner sollte sie ihre Erwartung zum Ausdruck zu bringen, dass die Complianceanforderungen tatsächlich eingehalten werden.
    • Als Bestandteil ihrer Aufsichtspflichten nimmt die Leitung selbst regelmäßige Bewertungen des Compliancemanagementsystems vor.
    • Zudem stellt sie die Einhaltung ihrer Informations- und Berichtspflichten gegenüber den internen Aufsichtsorganen sicher.
    Management von Ressourcen
    stellt die Pflichten für die Ermittlung und das Bereitstellen von Ressourcen dar, die für ein wirksames Compliancemanagementsystem erforderlich sind.
    • Der Schulungsbedarf soll systematisch ermittelt werden; erforderliche Schulungen sind durchzuführen.
    • Die Wirksamkeit der ergriffenen Maßnahmen ist regelmäßig zu beurteilen.
    Complianceprozesse und Umsetzung
    In Kapitel 7, „Complianceprozesse und Umsetzung“, beschreibt der Standard TR CMS 101:2011 die Compliance-spezifischen Themen der Organisation.
    • Gefordert werden systematische Risikoanalysen (sogenannte „Compliancerisikoassessments“).
    • Die anwendbaren Complianceregeln müssen systematisch analysiert, identifiziert, dokumentiert sowie aktualisiert und den Betroffenen kommuniziert werden.
    • Arbeitsabläufe sollen so ausgestaltet werden, dass Complianceanforderungen problemlos erfüllt werden können.
    • Interessenskonflikte müssen identifiziert und organisatorisch nach Möglichkeit ausgeschlossen werden.
    • Alle Compliance-relevanten Vorkommnisse sind zu dokumentieren.
    Systemüberwachung, -analyse und -verbesserung
    Wie andere Systemstandards betont der Standard TR CMS 101:2011 die Bedeutung einer kontinuierlichen Systemüberwachung und -analyse als Basis für einen ständigen Verbesserungsprozess.
    • Erforderlich sind definierte Prozesse für das Überwachen, Analysieren und Verbessern dieses Systems.
    • Der Standard erwähnt ausdrücklich interne Audits anhand eines geplanten Auditprogramms, Monitoring-Maßnahmen und die Pflicht zur Umsetzung der Erkenntnisse mit dem Ziel, das System zu verbessern.

    Durch seinen organisationsübergreifenden und systematischen Ansatz ist es möglich, das Compliancemanagementsystem einer Organisation durch einen unabhängigen Dritten anhand des Standards TR CMS 101:2011 zertifizieren zu lassen.

    • Die Zertifizierung findet typischerweise in zwei Stufen statt:
    • Stufe 1 des Zertifizierungsaudits klärt die Zertifizierungsfähigkeit.
    • Dabei erfolgt eine Prüfung, ob die Zertifizierungsvoraussetzungen grundsätzlich gegeben sind, das heißt, ob das Compliancemanagementsystem und seine Elemente dokumentiert sind (sog. „Dokumentenaudit“), ob ein Complianceverantwortlicher benannt wurde und ob Systembewertungen durch das Management vorgenommen wurden.
    • In Stufe 2 des Zertifizierungsaudits findet die Überprüfung aller Elemente eines Compliancemanagementsystems auf Basis von Stichproben statt.
    • Die Auditoren verfassen anschließend einen Bericht über das durchgeführte Audit.
    • Im Falle eines positiven Befundes erteilt die Zertifizierungsstelle des Zertifizierers auf Empfehlung der Auditoren das Zertifikat.
    • Dieses hat eine Gültigkeitsdauer von drei Jahren.
    • Während dieses Zeitraums finden jährliche Überwachungsaudits statt.

    Im Rahmen eines Voraudits kann optional vorab die Zertifizierbarkeit getestet werden.

    • Häufig empfehlen sich auch vorgelagerte „Complianceselfassessments“, die von der Organisation selbst durchgeführt werden können und die von Dienstleistern angeboten werden.

    Prüfung von Compliancemanagementsystemen

    Der Prüfungsstandard zur ordnungsmäßigen Durchführung der Prüfung von Compliancemanagementsystemen des Institut der Wirtschaftsprüfer Deutschlands e. V.

    • legt die berufsständische Auffassung der deutschen Wirtschaftsprüfer fest, welche Anforderungen an Annahme, Planung und Durchführung von solchen Prüfungen zu stellen sind.
    • Darüber hinaus definiert der Standard auch erstmals allgemeingültige strukturelle Anforderungen an ein CMS, ohne dabei konkrete Maßnahmen oder Prozesse einzufordern.
    CMS-Teilbereich
    Eine nach diesem Standard durchgeführte Prüfung des CMS eines Unternehmens bezieht sich stets auf eindeutig abgegrenzte CMS-Teilbereiche.
    • Diese sind vom Unternehmen auf der Basis einer übergeordneten Risikobeurteilung zu definieren.
    • Es handelt sich um diejenigen einzuhaltenden Regelungen, denen das Unternehmen eine besondere Aufmerksamkeit zur Sicherstellung der Einhaltung widmen muss.
    • Die Auswahl wird regelmäßig risikoorientiert erfolgen, d. h., es wird für solche Compliance-Teilbereiche gesonderte CMS installiert werden, bei denen entweder ein besonders hohes Risiko für das Auftreten von Compliance-Verstößen besteht oder bei denen Compliance-Verstöße besonders schwerwiegende Folgen haben können.
    • Der Prüfungsauftrag muss den zu prüfenden CMS-Teilbereich eindeutig abgrenzen.
    • Eine Abgrenzung wird meist nach genau zu benennenden Rechtsgebieten oder auch nach der Unternehmensorganisation erfolgen, z. B.
    • kann der Prüfungsauftrag sich ausschließlich auf relevante Anti-Korruptionsbestimmungen im Einkauf beziehen oder nur die Geschäftstätigkeit in einzelnen Ländern betrachten.
    • Der Prüfer wird den Prozess zur Abgrenzung des Teilbereichs im Rahmen seiner Prüfung im Wesentlichen daraufhin betrachten, ob die Festlegung des Teilbereichs irreführend ist.
    CMS-Beschreibung
    Die Prüfung basiert auf einer vom Unternehmen anzufertigen Beschreibung des Compliancemanagementsystems für den ausgewählten Teilbereich (CMS-Beschreibung).
    • Diese Beschreibung soll ein umfassendes und verständliches Bild des CMS geben.
    • Die CMS-Beschreibung muss auf alle sieben Grundelemente eines CMS eingehen und darf keine wesentlichen falschen Angaben sowie keine unangemessenen Verallgemeinerungen oder unausgewogenen und verzerrenden Darstellungen enthalten, die eine Irreführung der Berichtsadressaten zur Folge haben können.
    Auf der Basis der CMS-Beschreibung prüft der Wirtschaftsprüfer das CMS mit der Zielsetzung eine Aussage dazu zu machen, ob
    • die in der CMS-Beschreibung enthaltenen Aussagen über die dargestellten Grundsätze und Maßnahmen des CMS in allen wesentlichen Belangen angemessen dargestellt sind,
    • die dargestellten Grundsätze und Maßnahmen in Übereinstimmung mit den angewandten CMS-Grundsätzen geeignet sind, mit hinreichender Sicherheit sowohl Risiken für wesentliche Verstöße die betreffenden Regeln des abgegrenzten Teilbereicherechtzeitig zu erkennen als auch solche Regelverstöße zu verhindern und tatsächlich eingerichtet waren,
    • und während des Prüfungszeitraums wirksam durchgeführt wurden.
    Hinreichende Sicherheit
    Die Prüfung richtet sich ausschließlich auf das System und dessen Eignung, mit hinreichender Sicherheit Verstöße zu verhindern oder zumindest wesentlich zu erschweren bzw.
    • trotzdem auftretende Verstöße zu erkennen und eine angemessene Reaktion sicherzustellen.
    • Die Prüfung ist nicht darauf ausgerichtet, selbst Verstöße aufzudecken.
    Eine hinreichende Sicherheit bedeutet dabei nicht absolute Sicherheit, da eine solche absolute Sicherheit mit angemessenen Mitteln durch kein System zu erreichen ist.
    • Jedes CMS hat systemimmanente Grenzen, die dazu führen können, dass trotz eines wirksamen Systems Verstöße auftreten können oder aufgetretene Verstöße nicht zeitnah entdeckt werden.
    • Dies ergibt sich bereits durch die Tatsache, dass Menschen das System versehentlich falsch anwenden oder auch durch erhebliche kriminelle Energie umgehen können.
    • In § 130 des Gesetzes über Ordnungswidrigkeiten wird daher auch von der Pflicht zur wesentlichen Erschwerung von Verstößen gesprochen.
    Wirksamkeitsnachweis
    Eine CMS-Prüfung nach dem Prüfungsstandard IDW PS 980 bietet eine sehr hohe Sicherheit dafür, dass eine zuverlässige Gesamtaussage über die Eignung und Wirksamkeit des CMS getroffen werden kann.
    Unternehmen und die Unternehmensverantwortlichen erhalten hiermit ein Instrument, das ihnen zum einen verlässlich Auskunft darüber gibt, ob das eingerichtete CMS angemessen und wirksam war.
    • Zum anderen kann der Prüfungsbericht auch dazu dienen, gegenüber Dritten nachzuweisen, dass im Prüfungszeitraum tatsächlich ein solches System eingerichtet und wirksam war.
    • Damit kann für den Fall, dass zu einem späteren Zeitpunkt ein Compliance-Verstoß im Prüfungszeitraum aufgedeckt wird, der Nachweis geführt werden, dass das Unternehmen seiner Pflicht zur gehörigen Aufsicht nachgekommen war und der Verstoß trotz eines wirksamen CMS aufgetreten ist und nicht wegen des Fehlens eines wirksamen CMS.

    Siehe auch