e:4.15 Compliance

Illustrative Fälle von Non-Compliance 

Eine Tochtergesellschaft des AlstomKonzerns wurde mit einem rechtskräftigen Strafbefehl der Schweizerischen Bundesanwaltschaft mit einer Busse von CHF 2.5 Mio. und einer Ersatzforderung von CHF 36.4 Mio. belegt. Ihr wurde angelastet, dass nicht alle erforderlichen und zumutbaren organisatorischen Vorkehrungen getro" en wurden, um Bestechungsgelder an fremde Amtsträger zu verhindern.

Der CEO von Von Roll wurde vom Schweizerischen Bundesstrafgericht wegen fahrlässiger Widerhandlung gegen das Kriegsmaterialgesetz verurteilt. Von Roll produzierte Komponenten für Saddam Husseins Super Gun. Dem CEO wurde vorgeworfen, dass es bei Von Roll keine organisatorischen Vorkehrungen gab, wie bei einem Verdacht auf vermutete Verstösse gegen das Kriegsmaterialgesetz vorzugehen war.

Ein CFO und Vorstand eines grossen, börsenkotierten deutschen Industrieunternehmens wurde von einem deutschen Gericht ausserhalb der D&O-Versicherung zu einer Schadenersatzzahlung an das Unternehmen verurteilt, weil er es unterlassen hat, für ein funktionierendes Compliance System zu sorgen. 

Compliance

Unter Compliance wird die Pflicht verstanden, dass sich Unternehmen bei ihrer geschäftlichen Tätigkeit an die Gesetze halten. Einige Compliance-Bereiche sind für alle Unternehmen relevant. Dazu gehören das Korruptionsstrafrecht, das Kartell- und Wettbewerbsrecht, das Arbeits- und Sozialversicherungsrecht, das Buchführungs- und Steuerrecht, das Datenschutzrecht sowie die Börsengesetzgebung und die Strafnormen zu Insiderdelikten. 

Andere Compliance-Bereiche sind branchenabhängig, z.B. die Finanzmarktkontrolle und Geldwäschereigesetzgebung für die Finanzindustrie oder das Vergaberecht, die Exportkontrolle, die Produktesicherheit, das Umweltrecht sowie der Patent- und Markenschutz für die Industrie.

Verantwortung für die Umsetzung der Compliance

Die Compliance Verantwortung liegt beim obersten Leitungsgremium, d.h. in einer Aktiengesellschaft beim Verwaltungsrat (Art. 716a Ziff. 5 OR). Zwar können Aufgaben im Zusammenhang mit der Compliance delegiert werden, nicht jedoch die Verantwortung an sich.

Compliance Risiken realisieren sich primär bei der Gesellschaft in Form von Bussen, Schadenersatzforderungen, Bewilligungsentzug, Reputationsrisiken etc. Immer häufiger wird aber auch das fehlbare Management in die Pflicht genommen. Kürzlich wurde in Deutschland ein Manager mit einer kartellrechtlichen Zivilklage neben der Gesellschaft solidarisch zu einer Schadenersatzzahlung von EUR 820'000 an einen benachteiligten Abnehmer verurteilt. Es nützte dem Manager auch nichts, sich auf seine Unwissenheit zu berufen. Ein Rechtsirrtum wäre nur dann beachtlich gewesen, wenn der Manager vorher rechtlichen Rat eingeholt hätte, aus welcher sich die Unbedenklichkeit des Verhaltens ergeben hätte.

Compliance Systeme

Compliance wird durch organisatorische Massnahmen erreicht. Wie ein Compliance System auszugestalten ist, hängt von verschiedenen Um[1]ständen ab wie der Grösse des Unternehmens und der Branche. 

Zu einem Compliance System gehören: 

• Die Definition einer Compliance Organisation (Compliance Committee, Compliance Officer)
• der Erlass von Weisungen (Code of Conduct)
• die Ausbildung der Mitarbeiter
• das Einrichten von Anlaufstellen (Hotline für Whistleblower)
• interne Untersuchungen 
• Sanktionen bei Compliance Fällen.

Bei der Ausgestaltung des Compliance Systems sind folgende Fragen im Auge zu behalten: Welches sind die gesetzlichen und regulatorischen Rahmenbedingungen? In welchen Bereichen und aus welchem Grund ist deren Einhaltung besonders gefährdet (Compliance Risiko Analyse)? 

Die Kontrollfunktion erfordert es, die Compliance Organisation von der Linienorganisation zu trennen. Ein Eskalationsverfahren hat sicherzustellen, dass bei gravierenden Verstössen das oberste Leitungsorgan zeitnah informiert wird.

Grosse Unternehmen verfügen heute alle über eine Compliance Organisation. Ihr Fokus liegt auf der Umsetzung, der Effizienz und der permanenten Anpassung an veränderte gesetzliche Rahmenbedingungen.

Kleine, vom Inhaber geführte Unternehmen haben keine Compliance Organisation. Hier sind alle Kompetenzen in einer Person vereinigt. Diese Person muss dann auch für ihr eigenes Fehlverhalten gerade stehen und ist sich dessen bewusst.

Gefährdete KMU

Dazwischen besteht eine Grauzone. Sind Unternehmen zu gross, als dass sie noch von einer Person kontrolliert werden können, aber zu klein, um eine eigenständige Compliance Organisation zu unterhalten, wird es gefährlich. In solchen Unternehmen wird Compliance erfahrungsgemäss zu wenig Beachtung geschenkt. Auch kann das Thema nicht einfach an den CFO delegiert werden, denn er verfügt dafür in der Regel weder über die zeitlichen Ressourcen noch über die erforderlichen Rechtskenntnisse.

Compliance «as a Service»

Der Aufbau und der Betrieb einer Compliance Organisation kann als Dienstleistung extern eingekauft werden. Insbesondere erfahrene Rechtsanwälte eignen sich für die Funktion eines externen Compliance Officers.

Compliance und Ethik 

Unter dem Begriff der Compliance wird von den Unternehmen heute immer öfter nicht mehr nur gesetzeskonformes Verhalten (strikte «Legal Compliance»), sondern auch ein ethisches Geschäftsgebaren (Business Ethics) gefordert. Das Konzept stammt aus den USA. Grosse, international tätige Unternehmen können sich diesem Trend nicht entziehen. Inwiefern auch europäische Gerichte «Business Ethics» rechtlich verbindlich einfordern, bleibt noch abzuwarten. Bis auf weiteres wird zumindest in der Schweiz nur mit harten rechtlichen Konsequenzen rechnen müssen, wer keine strikte «Legal Compliance» sicherstellen kann. 

Trotzdem kann die Ethik gute Dienste leisten. Gerade weil der Bereich der Compliance so unübersichtlich ist und sich manchmal schwierige Abgrenzungs- und Wertungsfragen stellen, bietet die Ethik eine Orientierungshilfe, z.B. der kategorische Imperativ von Immanuel Kant: «Handle so, dass die Maxime deines Willens jederzeit zugleich als Prinzip einer allgemeinen Gesetzgebung dienen könne» (oder in der verkürzten Form: «Was du nicht willst, dass man dir tu, das füg auch keinem anderen zu»).

Hilfreich ist es auch, sich über seine Geschäftspartner grundsätzliche Gedanken zu machen. Hier gilt: Trau, schau, wem! Hätten sich die Von Roll Verantwortlichen im eingangs erwähnten Fall an diese Regel gehalten, wären sie nicht in rechtliche Schwierigkeiten geraten.

Traditionelle Werte wie Loyalität und Verantwortung helfen bei der Umsetzung von Compliance. 

Bottom Line

1. Entscheidungsträger müssen die gesetzlichen und regulatorischen Rahmenbedingungen selber kennen.

2. Compliance Risiken können für ein Unternehmen geschäftsbedrohend sein. Verantwortliche 

Manager müssen damit rechnen, persönlich haftbar gemacht zu werden.

3. Die oberste Compliance Verantwortung kann nicht delegiert werden. Compliance gehört deshalb 

auf die Agenda des obersten Leitungsgremiums und zwar in Bezug auf 

•  die Compliance Risiko Analyse
• die Ausgestaltung einer adäquaten Compliance Organisation
• Funktionskontrolle der Compliance Organisation
• Eskalation.

4. Wer sich ethisch korrekt verhält, minimiert sein Risiko, gegen Gesetze zu verstossen.

Wir sind mit Ihrer Branche vertraut und unterstützten Sie gerne beim Aufbau und Betrieb einer Compliance Organisation.