Unternehmensführung

Compliance im Unternehmen: Worauf es ankommt

Große Unternehmen müssen es haben und immer mehr mittelständische Unternehmen richten es freiwillig ein: ein Compliance Management System (CMS). Denn die Geschäftsführung muss sicherstellen, dass im Unternehmen Recht und Gesetze eingehalten werden. Und zwar nicht nur als Lippenbekenntnis, sondern in Form von klaren und eindeutigen Handlungsanweisungen für die Mitarbeiter.

Zuletzt aktualisiert am 17.10.2023
Von Lothar Volkelt
© Nitat Termmee - gettyimages.com

Was genau bedeutet Compliance?

Der Begriff "Compliance" bedeutet im Unternehmenskontext einfach ausgedrückt, dass sich das Unternehmen und seine Mitarbeiter in ihren Handlungen an Recht, Gesetz und interne Unternehmensregeln halten. Oft werden unter dem Begriff "Compliance" auch die Maßnahmen im Unternehmen verstanden, die dafür sorgen sollen, dass die Geschäfte rechtskonform und redlich geführt werden.

Diese Compliance-Maßnahmen können z. B. Regeln und Richtlinien sein, die einerseits verhindern, dass es zu Pflichtverletzungen, Schadens- oder Haftungsfällen kommt, und die das Unternehmen andererseits in die Lage versetzen, bereits eingetretene Pflichtverstöße zeitnah aufzudecken. Auf diese Weise senken Compliance-Maßnahmen die rechtlichen Risiken für das Unternehmen.

Wer ist für die Einhaltung der Compliance-Regeln im Unternehmen verantwortlich?

Verantwortlich für die Einhaltung der Compliance im Unternehmen ist die Unternehmensleitung - also die Geschäftsführung oder der Vorstand. „Als Leitungsorgan haben Sie die Pflicht, geeignete Maßnahmen und organisatorische Vorkehrungen dafür zu treffen“ (§ 91 Abs. 2 AktG). 

Ist Ihr Compliance Management mangelhaft oder unzureichend oder geht der Geschäftsführer Hinweisen auf Verstöße gegen Compliance-Pflichten durch Mitarbeiter (z. B. Korruption) nicht nach, ist das eine Pflichtverletzung – mit entsprechenden rechtlichen Folgen (so z.  B. LG München, Urteil vom 10.12.2013, 5 HKO 1387/110). Für daraus entstandenen Schaden (Gerichts- und Anwaltskosten des Unternehmens) muss er Schadensersatz zahlen. Haben Sie im Betrieb aber entsprechende verbindliche Vorgaben eingeführt, wird das bei einem Verstoß der Mitarbeiter gegen diese Vorgaben als schuldmindernd für den Geschäftsführer gewertet.

Zumeist in größeren Unternehmen gibt es auch spezielle Compliance-Officer, die dafür verantwortlich sind, dass die Prozesse und Abläufe innerhalb des Unternehmens rechtskonform ausgestaltet sind. Jeder Mitarbeiter hat aber natürlich auch selbst dafür Sorge zu tragen, dass er oder sie durch seine Handlungen nicht gegen die Compliance-Vorgaben des Unternehmens verstößt. 

Wo lauern Compliance-Risiken in Unternehmen?

In jedem Unternehmen gibt es verschiedene Bereiche, in denen Compliance-Verstöße auftreten können. Beispiele für Bereiche, in denen es zu Compliance-Verstößen kommen kann, sind u. a.:

Tipp

Geben Sie allgemeine und spezielle Compliance-Leitlinien vor

Für den vorausschauenden Geschäftsführer einer mittelgroßen, aber auch der kleineren GmbH besteht Handlungsbedarf. Und zwar in fast allen unternehmerischen Bereichen. Das betrifft: Allgemeine Vorgaben für alle Mitarbeiter, Vorgaben zum Umgang mit den Mitarbeitern und unter den Mitarbeitern, aber auch speziellere Vorgaben für die einzelnen Fachabteilungen (Marketing, IT, Produktion usw.).

Compliance-Regeln für kleinere Unternehmen

Hinsichtlich der Compliance müssen Sie sich für die unterschiedlichen Bereiche Ihres Unternehmens Gedanken machen. Folgende Überlegungen sollten Sie sich machen:

Compliance im HR-Bereich

  • Compliance-Verpflichtung: Sind alle Mitarbeiter deutlich darauf hingewiesen, dass sie Rechte und Gesetze einhalten müssen und die Unternehmens-Leitlinien jederzeit beachten müssen (Formulierungen in den Arbeitsverträgen, Androhung von Konsequenzen)?
  • Gleichbehandlungsgrundsatz/Gendergerechtigkeit: Beachten Sie die gesetzlichen Vorgaben zur gendergerechten Besetzung von Gremien (z.B. § 36 GmbH-Gesetz, Zielgrößen und Fristen zur gleichberechtigten Teilhabe von Frauen und Männern)?
  • Geschenke: Gibt es verbindliche Vorgaben für die Ausgabe und Entgegennahme von Zuwendungen und Geschenken von Dritten und an Dritte?
  • Anzeige-Pflichten: Gibt es klare Vorgaben, wie sich Mitarbeiter verhalten (sollten), wenn sie von Verstößen gegen Gesetze, Vorschriften oder die Unternehmens-Leitlinien erfahren?
  • Mobbing: Gibt es ein Meldesystem, dass es ermöglicht, Mobbing-Fälle anzuzeigen?

Compliance im Bereich Datenschutz und IT-Sicherheit

  • Zugangskontrolle: Gibt es ein System, das sicherstellt, dass nur Befugte die Firmenräume betreten dürfen (Code, Chip, Schlüssel)?
  • Kontrolle: Gibt es ein Überwachungssystem, mit dem nicht Zutrittsberechtigte ermittelt und ggf. ausgeschlossen werden können (Videoerfassung, Besucherausweis)?
  • Dokumentation: Wer hat Zugang zu vertraulichen Unterlagen? Sind alle Geschäftsinformationen zusätzlich „extern“ gesichert?
  • Alarm: Gibt es ein Informationssystem, mit dem die Mitarbeiter informiert werden, wenn sich unbefugte Personen in der Firma aufhalten?
  • Sicherheitsbeauftragte: Ist ein Sicherheitsbeauftragter bestellt, der die Umsetzung aller Sicherheitsmaßnahmen regelmäßig prüft?
  • Verbindliche Richtlinien: Gibt es für alle Mitarbeiter klare Handlungsanweisungen, für den Umgang mit IT/Notebook/Internet und dem Mobil-Telefon?
  • Zugriffsbeschränkungen: Ist sichergestellt, dass nur berechtigte Mitarbeiter Zugriff auf Daten und Dokumente haben?
  • Passwort/Passwortwechsel: Werden die Passwörter (8-10 Stellen) in regelmäßigen zeitlichen Abständen erneuert? Ist sichergestellt, dass ausscheidende Mitarbeiter keinen externen Zugriff mehr auf die Firmendaten haben?
  • Dokumentation: Sind Unterlagen und Datenträger mit personenbezogenen Daten ausreichend gesichert (Tresor)?
  • Sperrfunktion: Ist sichergestellt, dass beim Verlust des Geräts kein unbefugter Dritter auf die Daten zugreifen kann?
  • USB-Stick: Sind die Daten ausreichend gesichert bzw. verschlüsselt?
  • WLAN: Sollte nur während der Nutzung eingeschaltet werden
  • Apps: Verwenden Sie ausschließlich geprüfte Apps Ihres Anbieters? Nutzen Sie zusätzliche Schutzprogramme?
  • Verschlüsselung: Werden vertrauliche Inhalte und personenbezogene Daten automatisch verschlüsselt?
  • Sicherheits-Checks: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet Sicherheits-Checks an, mit denen Sie feststellen können, ob Ihre E-Mail-Adressen gefährdet sind oder von fremden Diensten missbraucht werden können.
  • Soziale Medien: Ist sichergestellt, dass die Mitarbeiter keine betrieblichen Informationen in den Sozialen Medien (Facebook, Instagram, TikTok, WhatsApp, LinkedIn, YouTube, X) verwenden? 

Compliance im Bereich Gebäude- und Unfallschutz

  • Brandschutz: Gibt es Rauchmelder? Sind die Fluchtwege frei? Finden regelmäßig Übungen statt?
  • Unfallschutz: Gibt es Schulungen, ständig einsehbare Sicherheitsanweisungen und schnell verfügbare Notfall-Telefon-Listen (Aushang)? Gibt es Mitarbeiter, die in Erster Hilfe ausgebildet sind?
  • Versicherungen: Prüfen Sie regelmäßig, ob für Ihre Firma/Branche ein schlüssiges und vollständiges Versicherungskonzept besteht und alle Verträge dem möglichen Schadensumfang abdecken?
  • Melde-System: Wo können Mitarbeiter, denen Schäden (in der Elektrik, verklemmte Türen) oder Mängel (Kanten, verstellte Fluchtwege) auffallen, diese melden und so dazu angeleitet werden, in Sicherheitsfragen mitzudenken.