Aufbau einer wirksamen Compliance-Organisation

24. Juli 2011

Für jedes Unternehmen ist die Einrichtung eines effektiven Compliance-Systems unumgänglich. Dies muss jedoch nicht immer die Einstellung eines Chief Compliance Officers (CCO) bedeuten. Im Folgenden werden verschiedene Modelle für eine Compliance-Organisation beleuchtet.

Modelle für eine Compliance-Organisation

Im Groben lassen sich drei Modelle unterscheiden: zum einen die Einrichtung eines zentralen Compliance-Bereichs, der alle Fragen der Compliance an einer Stelle im Unternehmen bündelt; zum anderen die Aufstellung eines Compliance-Gremiums (Committee), das sich aus Vertretern aller relevanten Funktionsbereiche des Unternehmens zusammensetzt und damit dezentral organisiert ist. Schließlich gibt es für die meisten Unternehmen die Möglichkeit, keine eigene Compliance-Organisation aufzusetzen, sondern die Compliance-Verantwortung bei der Geschäftsleitung zu belassen.

Zentraler Compliance-Bereich

Die Einrichtung eines eigenen Compliance-Bereichs ist der vorzugswürdigste Ansatz. Hierbei kommen verschiedene Ausprägungen in Betracht. Weit verbreitet ist die Angliederung eines Compliance-Beauftragten an die Rechtsabteilung. Im Falle eines eigenen Rechtsvorstandes berichtet der Compliance-Beauftragte oder Chief Compliance Officer (CCO) an diesen Chief Legal Officer (CLO). Die Ressorts Recht und Compliance werden mittlerweile häufig in einem Vorstandsbereich gebündelt. Dieses Modell wurde beispielsweise von der Deutschen Telekom gewählt, nachdem die Datenschutzaffäre im Jahr 2008 die Einrichtung eines eigenen Compliance-Bereichs nahegelegt hatte. Denkbar ist auch eine weitere Verselbständigung des Compliance-Bereichs, indem der Compliance-Beauftragte durch ein Mitglied der Unternehmensführung gestellt wird. Mit dem Chief Compliance Officer wird ein eigener Vorstandsposten geschaffen, der separat vom Rechtsbereich besteht. In der Praxis findet sich diese Version kaum, weil Recht und Compliance naturgemäß nahe beisammen liegen.

Die Vorteile eines zentralen Compliance-Bereichs liegen auf der Hand. Es gibt einen Ansprechpartner für alle Fragen der Compliance. Die Verantwortung und Zuständigkeit kann damit einfach und eindeutig delegiert werden. Von größtem Vorteil ist jedoch die Unabhängigkeit des Compliance-Beauftragten von anderen Unternehmenseinheiten. Die Befugnisse und Pflichten des Compliance-Beauftragten lassen sich vergleichsweise einfach und nach außen hin transparent gestalten.

Nachteilig wirken sich die mit einer eigenen Organisation verbundenen Kosten für zusätzliches Personal aus. Für größere Unternehmen mit komplexen Rechtsrisiken sollte dies allerdings kein Argument sein.

Teilweise wird die Effektivität einer zentralen Organisation angezweifelt. Ein eigenständiger Verantwortungsbereich würde den Unternehmensangehörigen nicht genügend vermitteln, dass Compliance eine Gemeinschaftsaufgabe aller im Unternehmen Beschäftigten sei (Gößwein/Hohmann, Betriebs-Berater 2011, S. 963, 965). Dagegen ist jedoch anzuführen, dass die Gemeinsamkeit der Verantwortung auch anders ausgedrückt werden kann, beispielsweise durch entsprechende Informationen und Schulungen der Mitarbeiter. Die Einrichtung eines eigenen Compliance-Beauftragten und die Benennung eines Vorstandsposten mit expliziten Compliance-Funktionen bringt oft erst zum Ausdruck, dass Compliance für das Unternehmen eine ernstzunehmende Aufgabe darstellt.

Compliance-Gremium

Alternativ lassen sich die Aufgaben der Compliance dezentral erfüllen. Aus verschiedenen Unternehmensbereichen werden Compliance-Beauftragte bestellt, die sich regelmäßig in einem Gremium zusammensetzen und dort Empfehlungen und Richtlinien ausarbeiten. Das Gremium berichtet in regelmäßigen Abständen und bei Bedarf an die Unternehmensleitung.

Ein solches Modell lässt sich vergleichsweise kostengünstig umsetzen, da kein eigener Bereich geschaffen und auf bestehendes Personal zurückgegriffen werden kann. Ein weiterer Vorteil ist die Nähe der Compliance-Beauftragten zum operativen Geschäft und der damit verbundene höhere Informationsfluss über akute Risiken.

Nachteilig ist zum einen die fehlende Unabhängigkeit der Compliance-Beauftragten vom operativen Segment und die oft bestehende Weisungsbefugnis von leitenden Angestellten, die gerade durch das Compliance-System überwacht werden sollen. Ferner sind Mitglieder von Compliance-Ausschüssen oft nur nebenbei mit Compliance-Aufgaben betreut und bereits mit anderen Verpflichtungen ausgelastet.

Schließlich wird durch eine kollegiale Compliance-Organisation die Verantwortung der Mitglieder verwässert und die Zuständigkeiten sind nicht eindeutig ablesbar. Was gilt, wenn ein Compliance-Beauftragter über mangelhafte Umsetzungen von rechtlichen Vorgaben in einem anderen Bereich weiß oder wissen müsste? Wer hat die Verantwortung, der Unternehmensführung zu berichten? Darf er ohne Zustimmung des Kollegen diesem „in die Suppe spucken“? Gremien haben in der Praxis oft Kompetenzgerangel zur Folge und laufen Gefahr, internen Machtkämpfen zu unterliegen.

Keine Compliance-Organisation

Nicht außer acht gelassen werden kann die Option, auf eigenständige Compliance-Bereiche oder Gremien zu verzichten. Für die meisten Unternehmen besteht keine rechtliche Pflicht, Compliance-Organisationen zu schaffen. Gerade für kleinere und mittlere Unternehmen kann aus Kostengründen nichts anderes gelten. Wenn sich für die Geschäftsführung keine besonderen Rechtsrisiken ergeben kann es sinnvoll sein, die Aufgaben der Compliance auf eine bestehende Rechtsabteilung zu übertragen, oder bei der Geschäftsführung zu belassen. Spezifische Aufgaben der Compliance, die rechtliche Expertise bedürfen, wie etwa die Überprüfung der Rechtsrisiken oder Schulungen von Mitarbeitern, können effektiv auch durch externe Rechtsexperten durchgeführt werden.

Fazit

Alle Modelle haben Vor- und Nachteile, die gegeneinander abzuwägen sind. Insbesondere in großen Unternehmen mit vielen Mitarbeitern ist die zentrale Organisation empfehlenswert. Mittlere Unternehmen werden im Hinblick auf die Kosten eines solchen Unternehmensbereichs die dezentrale Organisation in Form eines Gremiums bevorzugen. Kleine Unternehmen werden es bei der Beratung der Geschäftsführung durch externe Rechtsexperten belassen können.

Welches Modell gewählt wird, hängt von Umfang der Geschäftstätigkeit, der Komplexität der Unternehmensorganisation und den spezifischen Rechtsrisiken des Unternehmen ab. Wichtiger als das gewählte Organisationsmodell ist in jedem Fall, dass die mit der Compliance Beauftragten auch tatsächlich effektiv ihrer Verantwortung nachgehen können.

Über den Autor

Dr. Kay E. Winkler LL.M. M.A. ist Rechtsanwalt und Inhaber der Vertretungsprofessur für Internationales Wirtschaftsrecht an der Hochschule Rhein-Waal.