Compliance Management System jetzt einrichten –
gesteigerte Compliance-Anforderungen in zahlreichen Gesetzen
Hintergrund
Die Einrichtung eines Compliance Management Systems (CMS) kann dazu beitragen, bei internen und externen Untersuchungen im Fall von Gesetzesverstößen den Haftungs- und Imageschaden zu begrenzen. Dabei sind von einem CMS sämtliche Maßnahmen, Strukturen und Prozesse umfasst, die ein Unternehmen einrichtet, um Gesetzestreue und Regelkonformität sicherzustellen.
Aktueller Anlass
Zu Beginn des Jahres wurde die Reform des Deutschen Corporate Governance Kodex (DCGK) angestoßen. Künftig wird das interne Kontroll- und Risikomanagement auch ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System umfassen.
Darüber hinaus ergeben sich aus zahlreichen Gesetzen neben verpflichtenden Anordnungen zur Einrichtung von Compliance Systemen verstärkte Bestrebungen, ein CMS zum Bestandteil der Unternehmensstruktur zu machen.
So hat das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) dazu geführt, dass der Vorstand künftig dazu verpflichtet ist, ein wirksames internes Kontrollsystem und ein Risikomanagementsystem einzuführen (§ 91 Abs. 3 AktG). Das interne Kontrollsystem umfasst nach Vorstellung des Gesetzgebers dabei die Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Sicherung der Ordnungsmäßigkeit der Rechnungslegung sowie zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften. Damit ist die Verpflichtung zur Einrichtung dieser Systeme für börsennotierte Gesellschaften gesetzlich verankert.
Im Lieferkettensorgfaltspflichtengesetz (LkSG) ist vorgesehen, dass Unternehmen ein angemessenes und wirksames Risikomanagement zur Einhaltung der Sorgfaltspflichten einrichten und dieses in allen maßgeblichen Geschäftsabläufen durch angemessene Maßnahmen verankern müssen (§ 4 Abs. 1 LkSG). Hierdurch sollen menschenrechtliche und umweltbezogene Risiken identifiziert sowie menschenrechtlichen und umweltbezogenen Rechtsgüterverletzungen vorgebeugt und etwaige Verletzungen beendet werden.
Auch das Geschäftsgeheimnisschutzgesetz und die Konkretisierung von bestimmten Rechtsbegriffen durch die Rechtsprechung sehen die Einrichtung eines Geschäftsgeheimnisschutzkonzeptes vor. Dieses lässt sich leicht in ein umfassenderes CMS integrieren.
Datenschutzkonzepte bauen ebenfalls auf den gleichen Grundlagen wie ein CMS auf. Eine neuere Entscheidung zu Schadensersatzansprüchen nach DSGVO zeigt, dass auch eine Haftung des Gesellschaftsorgans auf Schadensersatz nach DSGVO denkbar ist. Danach kommt der datenschutzrechtlichen Compliance nicht nur in größeren Gesellschaften künftig eine noch größere Relevanz zu.
Die Meldepflichten des wirtschaftlich Berechtigten zum Transparenzregister – die nach Ablauf der Übergangsfristen – auch GmbHs betreffen, wird künftig ebenfalls ein Compliance Thema sein. Veränderungen der Gesellschaftsstrukturen, Änderungen beim Gesellschafterkreis und bei tiefgreifenden Satzungsanpassungen sowie schuldrechtlichen Vereinbarungen müssen gemeldet werden. Unabhängig von derartigen Änderungen sollte jährlich eine Überprüfung der abgegebenen Mitteilungen erfolgen und das Ergebnis dieser Prüfung dokumentiert werden. Dies kann den späteren Vorwurf entsprechender Pflichtverletzungen vermeiden. Ein CMS kann hier die Prüfung erleichtern.
Noch nicht in deutsches Recht umgesetzt ist dagegen die EU-Whistleblower-Richtlinie („RL“). Im bislang nur als Referentenentwurf vorliegenden Hinweisgeberschutzgesetz (Umsetzung der RL) sind zahlreiche Regelungen enthalten, die neben der Einrichtung einer internen oder externen Meldestelle für Hinweisgeber auch zwingend die Schaffung einer Stelle eines Compliance Beauftragten ab einer bestimmten Unternehmensgröße vorsehen. Die gesetzliche Umsetzung der WBRL wird voraussichtlich im Sommer 2022 erfolgen, dann ist jedoch mit einem zeitnahen Inkrafttreten zu rechnen.
Umsetzung eines CMS und Vorteile der Schaffung
Viele Unternehmen haben ein CMS bereits eingerichtet und können dieses bei Gesetzesänderungen (z. B. Neueinführung des Hinweisgeberschutzgesetzes) an die neuen gesetzlichen Vorgaben anpassen und ggfs. erweitern. Eine konsequente Umsetzung von Compliance Strukturen und die Verfolgung von Verstößen kann die Haftung von Vorstand und Geschäftsführung sowie Schadensersatzforderungen begrenzen.
Große Unternehmen lassen insbesondere ihre Risikomanagementsysteme nach ISO-Standard (z. B. ISO 31000, ISO 27001) zertifizieren, um den Risikomanagementprozess zu optimieren. Dabei werden die ISO-Standards aber häufig an bereits bestehende Managementsysteme angewendet. Eine Verpflichtung zur ISO-Zertifizierung der Risiko- oder internen Kontrollsysteme besteht nicht. Insbesondere für kleinere Unternehmen sollten die ISO-Standards also keine Hemmschwelle sein, ein geeignetes CMS zu installieren.
Fazit
Es besteht dringender Handlungsbedarf für Unternehmen, die Compliance Maßnahmen bislang nicht auf ihrer Agenda haben. Insbesondere die Anforderungen an eine sorgfältige Dokumentation der ergriffenen Compliance Maßnahmen sind deutlich gestiegen. Die Einrichtung eines CMS kann insbesondere bei Verstößen gegen die DSGVO und die Meldepflichten zum Transparenzregister helfen, drohende und empfindliche Geldbußen zu vermeiden.
Auch Mandatsträger von Gesellschaften können die gestiegenen Compliance Anforderungen aus haftungsrechtlichen Gründen künftig nur schwer ignorieren und sollten die Organisations- und Überwachungspflichten (gegebenenfalls durch fachkundige rechtliche Betreuung und Beratung) auf ihrer Agenda haben.
Ansprechpartner
Alexander Hausner, LL. M.
Rechtsanwalt,
Fachanwalt für Arbeitsrecht,
zert. Datenschutzbeauftragter
Telefon: +49 40 4223 6660-44