Com­pli­an­ce Manage­ment Sys­tem jetzt ein­rich­ten –
gestei­ger­te Com­pli­an­ce-Anfor­de­run­gen in zahl­rei­chen Gesetzen

Hin­ter­grund

Die Ein­rich­tung eines Com­pli­an­ce Manage­ment Sys­tems (CMS) kann dazu bei­tra­gen, bei inter­nen und exter­nen Unter­su­chun­gen im Fall von Geset­zes­ver­stö­ßen den Haf­tungs- und Image­scha­den zu begren­zen. Dabei sind von einem CMS sämt­li­che Maß­nah­men, Struk­tu­ren und Pro­zes­se umfasst, die ein Unter­neh­men ein­rich­tet, um Geset­zes­treue und Regel­kon­for­mi­tät sicherzustellen.


Aktu­el­ler Anlass


Zu Beginn des Jah­res wur­de die Reform des Deut­schen Cor­po­ra­te Gover­nan­ce Kodex (DCGK) ange­sto­ßen. Künf­tig wird das inter­ne Kon­troll- und Risi­ko­ma­nage­ment auch ein an der Risi­ko­la­ge des Unter­neh­mens aus­ge­rich­te­tes Com­pli­an­ce Manage­ment Sys­tem umfassen.

Dar­über hin­aus erge­ben sich aus zahl­rei­chen Geset­zen neben ver­pflich­ten­den Anord­nun­gen zur Ein­rich­tung von Com­pli­an­ce Sys­te­men ver­stärk­te Bestre­bun­gen, ein CMS zum Bestand­teil der Unter­neh­mens­struk­tur zu machen.

So hat das Gesetz zur Stär­kung der Finanz­markt­in­te­gri­tät (FISG) dazu geführt, dass der Vor­stand künf­tig dazu ver­pflich­tet ist, ein wirk­sa­mes inter­nes Kon­troll­sys­tem und ein Risi­ko­ma­nage­ment­sys­tem ein­zu­füh­ren (§ 91 Abs. 3 AktG). Das inter­ne Kon­troll­sys­tem umfasst nach Vor­stel­lung des Gesetz­ge­bers dabei die Grund­sät­ze, Ver­fah­ren und Maß­nah­men zur Siche­rung der Wirk­sam­keit und Wirt­schaft­lich­keit der Geschäfts­tä­tig­keit, zur Siche­rung der Ord­nungs­mä­ßig­keit der Rech­nungs­le­gung sowie zur Siche­rung der Ein­hal­tung der maß­geb­li­chen recht­li­chen Vor­schrif­ten. Damit ist die Ver­pflich­tung zur Ein­rich­tung die­ser Sys­te­me für bör­sen­no­tier­te Gesell­schaf­ten gesetz­lich verankert.

Im Lie­fer­ket­ten­sorg­falts­pflich­ten­ge­setz (LkSG) ist vor­ge­se­hen, dass Unter­neh­men ein ange­mes­se­nes und wirk­sa­mes Risi­ko­ma­nage­ment zur Ein­hal­tung der Sorg­falts­pflich­ten ein­rich­ten und die­ses in allen maß­geb­li­chen Geschäfts­ab­läu­fen durch ange­mes­se­ne Maß­nah­men ver­an­kern müs­sen (§ 4 Abs. 1 LkSG). Hier­durch sol­len men­schen­recht­li­che und umwelt­be­zo­ge­ne Risi­ken iden­ti­fi­ziert sowie men­schen­recht­li­chen und umwelt­be­zo­ge­nen Rechts­gü­ter­ver­let­zun­gen vor­ge­beugt und etwai­ge Ver­let­zun­gen been­det werden.

Auch das Geschäfts­ge­heim­nis­schutz­ge­setz und die Kon­kre­ti­sie­rung von bestimm­ten Rechts­be­grif­fen durch die Recht­spre­chung sehen die Ein­rich­tung eines Geschäfts­ge­heim­nis­schutz­kon­zep­tes vor. Die­ses lässt sich leicht in ein umfas­sen­de­res CMS integrieren.

Daten­schutz­kon­zep­te bau­en eben­falls auf den glei­chen Grund­la­gen wie ein CMS auf. Eine neue­re Ent­schei­dung zu Scha­dens­er­satz­an­sprü­chen nach DSGVO zeigt, dass auch eine Haf­tung des Gesell­schafts­or­gans auf Scha­dens­er­satz nach DSGVO denk­bar ist. Danach kommt der daten­schutz­recht­li­chen Com­pli­an­ce nicht nur in grö­ße­ren Gesell­schaf­ten künf­tig eine noch grö­ße­re Rele­vanz zu.

Die Mel­de­pflich­ten des wirt­schaft­lich Berech­tig­ten zum Trans­pa­renz­re­gis­ter – die nach Ablauf der Über­gangs­fris­ten – auch GmbHs betref­fen, wird künf­tig eben­falls ein Com­pli­an­ce The­ma sein. Ver­än­de­run­gen der Gesell­schafts­struk­tu­ren, Ände­run­gen beim Gesell­schaf­ter­kreis und bei tief­grei­fen­den Sat­zungs­an­pas­sun­gen sowie schuld­recht­li­chen Ver­ein­ba­run­gen müs­sen gemel­det wer­den. Unab­hän­gig von der­ar­ti­gen Ände­run­gen soll­te jähr­lich eine Über­prü­fung der abge­ge­be­nen Mit­tei­lun­gen erfol­gen und das Ergeb­nis die­ser Prü­fung doku­men­tiert wer­den. Dies kann den spä­te­ren Vor­wurf ent­spre­chen­der Pflicht­ver­let­zun­gen ver­mei­den. Ein CMS kann hier die Prü­fung erleichtern.

Noch nicht in deut­sches Recht umge­setzt ist dage­gen die EU-Whist­leb­lower-Richt­li­nie („RL“). Im bis­lang nur als Refe­ren­ten­ent­wurf vor­lie­gen­den Hin­weis­ge­ber­schutz­ge­setz (Umset­zung der RL) sind zahl­rei­che Rege­lun­gen ent­hal­ten, die neben der Ein­rich­tung einer inter­nen oder exter­nen Mel­de­stel­le für Hin­weis­ge­ber auch zwin­gend die Schaf­fung einer Stel­le eines Com­pli­an­ce Beauf­trag­ten ab einer bestimm­ten Unter­neh­mens­grö­ße vor­se­hen. Die gesetz­li­che Umset­zung der WBRL wird vor­aus­sicht­lich im Som­mer 2022 erfol­gen, dann ist jedoch mit einem zeit­na­hen Inkraft­tre­ten zu rechnen.


Umset­zung eines CMS und Vor­tei­le der Schaffung

Vie­le Unter­neh­men haben ein CMS bereits ein­ge­rich­tet und kön­nen die­ses bei Geset­zes­än­de­run­gen (z. B. Neu­ein­füh­rung des Hin­weis­ge­ber­schutz­ge­set­zes) an die neu­en gesetz­li­chen Vor­ga­ben anpas­sen und ggfs. erwei­tern. Eine kon­se­quen­te Umset­zung von Com­pli­an­ce Struk­tu­ren und die Ver­fol­gung von Ver­stö­ßen kann die Haf­tung von Vor­stand und Geschäfts­füh­rung sowie Scha­dens­er­satz­for­de­run­gen begrenzen. 

Gro­ße Unter­neh­men las­sen ins­be­son­de­re ihre Risi­ko­ma­nage­ment­sys­te­me nach ISO-Stan­dard (z. B. ISO 31000, ISO 27001) zer­ti­fi­zie­ren, um den Risi­ko­ma­nage­ment­pro­zess zu opti­mie­ren. Dabei wer­den die ISO-Stan­dards aber häu­fig an bereits bestehen­de Manage­ment­sys­te­me ange­wen­det. Eine Ver­pflich­tung zur ISO-Zer­ti­fi­zie­rung der Risi­ko- oder inter­nen Kon­troll­sys­te­me besteht nicht. Ins­be­son­de­re für klei­ne­re Unter­neh­men soll­ten die ISO-Stan­dards also kei­ne Hemm­schwel­le sein, ein geeig­ne­tes CMS zu installieren.


Fazit

Es besteht drin­gen­der Hand­lungs­be­darf für Unter­neh­men, die Com­pli­an­ce Maß­nah­men bis­lang nicht auf ihrer Agen­da haben. Ins­be­son­de­re die Anfor­de­run­gen an eine sorg­fäl­ti­ge Doku­men­ta­ti­on der ergrif­fe­nen Com­pli­an­ce Maß­nah­men sind deut­lich gestie­gen. Die Ein­rich­tung eines CMS kann ins­be­son­de­re bei Ver­stö­ßen gegen die DSGVO und die Mel­de­pflich­ten zum Trans­pa­renz­re­gis­ter hel­fen, dro­hen­de und emp­find­li­che Geld­bu­ßen zu vermeiden.

Auch Man­dats­trä­ger von Gesell­schaf­ten kön­nen die gestie­ge­nen Com­pli­an­ce Anfor­de­run­gen aus haf­tungs­recht­li­chen Grün­den künf­tig nur schwer igno­rie­ren und soll­ten die Orga­ni­sa­ti­ons- und Über­wa­chungs­pflich­ten (gege­be­nen­falls durch fach­kun­di­ge recht­li­che Betreu­ung und Bera­tung) auf ihrer Agen­da haben.

Ansprechpartner


Alexander Hausner, LL. M.

Rechtsanwalt,
Fachanwalt für Arbeitsrecht,
zert. Datenschutzbeauftragter

Telefon: +49 40 4223 6660-44

Wir verwenden die nachfolgend aufgeführten Cookies, um die Zugriffe auf unsere Website zu analysieren und um die Nutzerfreundlichkeit zu erhöhen. Dadurch erhobene Daten geben wir an unsere Partner für Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Die jeweilige Einwilligung für die Nutzung der Cookies ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden. Weitere Informationen finden Sie in unseren Datenschutzhinweisen.