Compliance-Themen beschäftigen heute Verwaltungsräte, Geschäftsvorsitzende international vernetzter Grosskonzerne und lokal tätiger KMU in stärkerem Masse als bisher. Bereits der Begriff Compliance löst unterschiedliche Reaktionen aus:
Die einen stellen einen Auswuchs staatlicher Regulierungsbestrebungen fest, um private Geschäftstätigkeiten vermehrt zu kontrollieren. Diese Gruppe ist sich bewusst, dass der Staat im Falle einer Verletzung von Compliance-Vorschriften hart durchgreift. Die anderen wiederum sehen in dieser Thematik einen Kniefall des schweizerischen Gesetzgebers vor den Drohgebärden internationaler Organisationen und politischer Grossmächte. Einige wiederum setzen Compliance mit einem attraktiven Geschäftsfeld für spezialisierte Beratungsfirmen und Wirtschaftskanzleien gleich.
Die folgenden Ausführungen richten den Fokus auf die rechtlich und wirtschaftlich relevanten Fragestellungen von Compliance.
Allgemein formuliert bedeutet Compliance die Einhaltung von Gesetzen, Standards und national wie international anerkannter Regeln. In einem etwas erweiterten Rahmen wird Compliance nicht nur auf die Respektierung von Normen und Vorschriften bezogen, sondern umfasst auch ein sozial verantwortliches, ethisch vertretbares und integres Geschäftsverhalten gegenüber der Umwelt, den Kunden sowie den Mitarbeitenden. Allein diese begriffliche Umschreibung zeigt, dass das Thema alle Unternehmen betrifft, und nicht nur Grosskonzerne oder Unternehmen der Finanz- und Versicherungsbranche. Selbst KMU mit lokaler Geschäftstätigkeit sehen sich mit Compliance-Themen konfrontiert. Die firmeninterne Ausgestaltung von Weisungen und Reglementen ist bei diesen KMU jedoch unternehmensspezifisch vorzunehmen. Genügen bei einer KMU in der Regel wenige Anweisungen und Verhaltensvorgaben des Firmeninhabers, braucht es in international tätigen Konzernen ein Regelwerk zu verschiedenen Compliance-Themen, verbunden mit einem eigentlichen Compliance-Management-System.
Noch vor kurzer Zeit wurden Compliance-Themen dem Aufgabenbereich einzelner Stellen oder bestimmter Fachpersonen zugeordnet. Dies trifft vor allem auf KMU zu. Oftmals waren diese Fachpersonen zugleich für das Riskmanagement, den Datenschutz und die Datensicherheit sowie für weitere IT- und Sicherheits-Themen verantwortlich. Heute besteht die feste Überzeugung, dass die Überwachung der Einhaltung von Compliance-Vorschriften zum Aufgabenbereich des Verwaltungsrates einer Firma gehört und als zentrale Aufgabe von ihm wahrzunehmen ist. Eine strengere Gerichtspraxis bei Verantwortungsklagen gegenüber Verwaltung, oberster Geschäftsleitung und Revisionsstellen trägt zu diesem Verständnis gegenüber Compliance bei. Verletzungen von Compliance-Vorschriften stellen keine Kavaliersvergehen mehr dar, die firmenintern einfach „ausgesessen“ werden können. Im Gegenteil. Als Folge von Verletzungen von Compliance-Vorschriften müssen Grossfirmen gleichermassen wie KMU einen Reputationsverlust in der Geschäftswelt, verbunden mit finanziellen Folgen, in Kauf nehmen. Oftmals werden auch drakonische Strafen verhängt, die sich in hohen Geldbussen ausdrücken. Gelegentlich werden Firmen auch in langwierige und kostspielige Prozesse verwickelt, insbesondere, wenn die Verletzung von Regeln des Wettbewerbs oder eine Verletzung der Firmenreputation Streitgegenstand bilden. Die Verwaltungsräte sämtlicher Firmen sind sich verstärkt bewusst, dass die Anordnung von Compliance-Vorschriften, verbunden mit entsprechenden Kontrollen, zu den unübertragbaren Aufgaben der obersten Leitung jeder Firma gehören muss. Der Verwaltungsrat kann zwar die operative Umsetzung innerhalb der Firma an die Geschäftsleitung oder an eine Fachperson delegieren, bleibt aber stets in der Verantwortung für die Einhaltung von Compliance. Kommt hinzu, dass die Compliance-Vorschriften von der Gerichtspraxis als bekannt vorausgesetzt werden. Kein Verantwortungsträger einer Unternehmung kann sich aus dieser Verantwortung befreien, indem er beispielsweise Unkenntnis über den Bestand und die Rechtsfolgen dieser Bestimmungen vorgibt.
Für die KMU stellt sich hier allenfalls die Frage, ob nicht alter Wein in neuen Schläuchen verkauft wird und die Compliance-Diskussion nicht eine seit Langem bekannte Thematik aufgreift und neu verpackt. Dieses Argument ist zum Teil berechtigt. Heute darf grundsätzlich davon ausgegangen werden, dass der Verwaltungsrat die Oberaufsicht über die Geschäftsleitung wahrnimmt, auch im Hinblick auf die Befolgung der Gesetze, Statuten, Reglemente oder internen Weisungen. Ob allerdings sämtliche Mitarbeitenden auf allen Hierarchiestufen im Geschäftsleben wissen, welche Vorschriften gelten und zu befolgen sind, steht in einem anderen Kapitel.
Werden KMU auf Compliance im Zusammenhang mit den Prozessen im Geschäftsalltag angesprochen, wird sofort auf die betriebsinterne Organisation und die einzelnen Abläufe hingewiesen. Ergänzend wird betont, dass die Geschäftstätigkeiten im Hinblick auf die Einhaltung der gesetzlichen Vorschriften und firmeninternen Reglemente und Weisungen regelmässig kontrolliert werden. Diese Aussagen treffen in der Regel beispielsweise auf die Buchführung, die gesetzeskonforme Abrechnung der Mehrwertsteuer oder die Aktenaufbewahrung zu. Weder der Verwaltungsrat noch die Geschäftsleitung sprechen bei diesen Themen von Compliance.
Hingegen rücken Compliance-Themen in den Vordergrund, wenn die Frage im Raum steht, ob der Verwaltungsrat beispielsweise die firmeninterne korrekte Abrechnung gegenüber den Sozialversicherungen überprüft und allfällige Mängel korrigiert hat. Es ist allgemein bekannt, dass die Gerichte im Falle von Unregelmässigkeiten bei der Abrechnung gegenüber den Sozialversicherungen den Verwaltungsrat eines Grosskonzerns gleichermassen wie den einer KMU zur Rechenschaft ziehen. Das fehlbare Verhalten besteht darin, dass die Einhaltung der gesetzlichen Vorschriften nicht überprüft wird und keine Massnahmen ergriffen werden, falls ein Fehler festgestellt wird. Es handelt sich hier um ein Compliance-Thema, das im Geschäftsalltag jedoch kaum als solches bezeichnet wird.
Spätestens seit spektakuläre Fälle im Zusammenhang mit Datenklau, Cyberkriminalität oder Datenschutzverletzungen in den Medien aufgegriffen werden, erschallt der Ruf nach vermehrter Sicherheit und Kontrolle. Die Politik glaubt, mit rigorosen gesetzlichen Bestimmungen ein wirksames Heilmittel gegen Verletzungen der Persönlichkeit, des Datenschutzes oder der Geschäftsgeheimnisse gefunden zu haben. Der Gesetzgeber befasst sich in der EU und in der Schweiz zurzeit mit der Revision der Datenschutz- und Datensicherheitsgesetzgebung. Somit rücken zentrale Fragen von Compliance ins politische und mediale Rampenlicht.
Bei der Auswahl der Massnahmen und deren Umsetzung in Weisungen und Vorschriften im Zusammenhang mit Compliance gilt es, das Augenmass zu behalten. Compliance wirkt in präventiver Hinsicht, schliesst aber auch die Kontrollen ein. Dieser Grundsatz prägt zum Beispiel die künftige Datenschutz- und Datensicherheitsgesetzgebung. Betroffen sind sämtliche Unternehmen, Organisationen oder die öffentliche Verwaltung. KMU müssen sich mit diesen Themen ebenfalls befassen, wenn sie Daten von Personen bearbeiten.
Die Compliance-Anforderungen im Bereich des Persönlichkeitsschutzes, worunter der Datenschutz fällt, sind hoch. Es braucht also ein firmeninternes Regelwerk, das mit den gesetzlichen Vorschriften übereinstimmt. Von den datenbearbeitenden Firmen werden wirksame Schutz- und Sicherheitsmassnahmen verlangt, um Datenschutzverletzungen zu vermeiden. Für die Firmen bedeuten diese Entwicklungen neue Herausforderungen an ihr Risiko- und Sicherheitsmanagement. Gestützt auf diese Rechtsgrundlagen sind auch die internen Kommunikationskanäle, die Nutzung des Internets oder der Gebrauch von Social-Media-Instrumenten firmenintern zu überprüfen und allenfalls zu reglementieren. Diese Themen werden prioritär den Compliance-Massnahmen zugeordnet.
Im Weiteren zählen auch die Verhaltensvorschriften der Mitarbeitenden gegenüber Kunden und Konkurrenten zur Compliance. Verfehlungen, beispielsweise wegen Bestechung, Korruption, unlauteren Wettbewerbs oder Rufschädigung des Konkurrenten, können sich negativ auf die Reputation und die finanzielle Situation eines Unternehmens auswirken und zudem rechtliche Sanktionen zur Folge haben. Im Rahmen von Compliance müssen somit zusätzlich zu den gesetzlichen Bestimmungen auch firmeninterne Reglemente und Weisungen zu diesen Themen erlassen werden.
Wie aber lassen sich Compliance-Massnahmen wirksam umsetzen? Diese Frage stellen sich heute alle Firmen. Der Erlass von Reglementen und Weisungen ist eine zwingend notwendige Voraussetzung, um den Compliance-Anforderungen zu entsprechen. Die Sensibilisierung aller Mitarbeitenden und eine zweckdienliche Instruktion stellen einen weiteren Schritt zur erfolgreichen Anwendung dar. Wichtig und letztlich entscheidend ist, dass Compliance auf allen Hierarchiestufen echt gelebt wird. Zu erwähnen ist beispielsweise die Rolle des Geschäftsinhabers, des Patrons einer KMU, der eine Vorbildfunktion im Compliance-Bereich wahrnimmt. Das Verhalten der Führungspersonen prägt dasjenige der Mitarbeitenden. Dies ist eine Binsenwahrheit, trifft aber auf die Respektierung von Compliance vollumfänglich zu.
Jeder Verwaltungsrat ist gut beraten, wenn er Compliance-Themen ernst nimmt und die notwendigen firmeninternen Massnahmen anordnet und durchsetzt. Eine erfolgreiche Umsetzung von Compliance darf nicht an internen Ressourcen, ungenügendem Fachwissen, fehlender Erfahrung oder einem Führungsfehlverhalten scheitern. Die ComplianceVorschriften sind auch regelmässig auf ihre Aktualität hin zu überprüfen und gegebenenfalls anzupassen. Compliance befasst sich zu einem grossen Teil mit präventiv wirkenden Schutz- und Verhaltensregeln. Eine umfassende Compliance schliesst aber auch Massnahmen für den Krisenfall ein. Ein solcher Fall liegt beispielsweise vor, wenn Compliance-Vorschriften verletzt werden und ein Gerichtsverfahren bevorsteht.
KMU haben sich in ihrer wirtschaftlichen Tätigkeit den Herausforderungen von Compliance zu stellen. Die staatlichen Interventionen, verbunden mit einer drastischen Zunahme von Vorschriften, engen die Handlungsfreiheit ein und fördern ein eher wirtschaftsfeindliches Klima.
Die KMU reagieren mit Augenmass auf diese neue Situation und schaffen die notwendigen internen Grundlagen, um die staatlichen Vorschriften zu erfüllen. Andernfalls drohen drakonische Geldbussen. Besondere Beachtung wird dem Schutz der Persönlichkeit und der Personendaten zu widmen sein. Es lohnt sich für alle Firmen, welche Personendaten bearbeiten, Compliance präventiv zu betreiben, um Verletzungen von gesetzlichen Vorschriften zu vermeiden.
Die Massnahmen zur Einhaltung von Compliance legen Unternehmen selber fest. Indes können sie in gewissen Themen dank externen Beratungsleistungen den zweckmässigen und gesetzeskonformen Weg effizienter finden. Die Planung, Umsetzung und Kontrolle sowie die Anordnung von Massnahmen im Compliance-Bereich stellen heute wichtige Themen für jede Unternehmung dar. Die Verantwortung dafür trägt der Verwaltungsrat eines jeden Grosskonzerns – und einer jeden KMU.