DENKSTE – ODER AUCH NICHT

DER BEIRAT ALS HORTUS COGITANDI, DENKEN, FÖRDERN + FORDERN

Die Frage, was ein Beirat (oder Aufsichtsrat) in der deutschen Wirtschaftslandschaft eigentlich macht ist wegen der Vielzahl der Erscheinungsformen nur kursorisch zu beantworten. Oder man macht es zu einem sehr umfassenden Thema. Letzteres wollen wir hier erst gar nicht versuchen. Wir wollen aber einen Aspekt konstruktiver und produktiver Beiratsarbeit herausnehmen.

Sowohl in einem (nur) beratenden als auch in einem (auch) kontrollierenden Beirat ist ein wichtiger Aspekt der Beiratsarbeit, dass die Personen, die ihm angehören sich mit dem Unternehmen, seinem Markt und seinen Fragestellungen identifizieren, anstehenden Probleme unternehmerisch betrachten und hinterfragen, Anregungen geben, aber auch Grenzen aufzeigen. Selbstverständlich verlangt das nach einer ehrlichen Kommunikation zwischen Unternehmen und deren Mitarbeiter + (vor allem) Führungskräften, ein Mithören und Miterfahren durch geeignete, das operative Geschäft aber auch nicht störenden, Austausch von Informationen. Im weitesten Sinn eine transparente Kommunikation. Und es verlangt von den Beteiligten die Fähigkeit damit umzugehen und mit den angemessenen methodischen Verfahren auch eine Kontinuität der Prozesse und Entwicklungen sicherzustellen.

Die Beiratsarbeit könnte man so kategorisieren:

VorDenken, NachDenken und MitDenken

VorDenken

Der Beirat ist in erster Linie eine strategische Option. Was man im Tagesgeschäft immer gerne hintenanstellt sollte im Beirat eine Kernaufgabe sein. Die strategischen Aspekte von Entwicklungen zu identifizieren, eine Verifikation und Falsifikation – eine Überprüfung oder eine Ablehnung – auf den Weg zu setzen. Nicht zwingend muss das eine originäre Betätigung des Beirats sein, also aus eigener Kompetenz erwachsen. Es reicht aus, das Problem zu identifizieren und den Prozess der Verifikation und des Ausschlusses (also der Nicht-Relevanz bezogen auf das Unternehmen) anzustoßen und zu begleiten. In diesem Sinne ist VorDenken nicht als ein beispielhaftes Bedenken zu verstehen, sondern eher im Sinne einer Vorausschau. Umstände aufzugreifen, die aus der Erfahrung der Vergangenheit zu Problemsituationen führen, oder Entwicklungen die sich abzeichnen zum Gegenstand prognostischer Betrachtungen zu machen. Eine typische Situation bei Start-ups (aber auch bei gestandenen Unternehmen, die sich in neue Märkte/Marktsegmente begeben) ist das Übersehen der Expansionsfallen. Schnelle positive Entwicklungen des Nachfragemarktes werden nicht geplant, so das Lieferprobleme auftauchen oder die personellen und finanziellen Mittelanforderungen (insbesondere im Bereich der Vorfinanzierung der Wareneinkäufe) nicht ausreichend eskomptiert sind.  Das hier ein  „Weniger ist Mehr“ Ansatz der sinnvollere Weg sein kann drängt sich auf. Nicht jeder muss den Weg von Zalando[1], Uber oder AirBnB (die letzten beiden immer noch mit erheblichen Verlusten) gehen. Ein Beirat sollte das bei der Diskussion von Planungen und Strategien berücksichtigen und mit der Führungsebene diskutieren.

Ähnlich ist es bei Entwicklungen die am Markt eintreten. Das können vordergründig erst einmal wenig wahrscheinliche oder eher nicht anwendbare Aspekte sein, die bei einer näheren Betrachtung aber durchaus zu starken Trends (sowohl auf der Absatz- als auch auf der Produktionsseite) oder wichtigen Absatzmittel /-mittlern werden können. Den Zug zu verpassen ist immer der schlechtere Weg, den Zug mit in Bewegung zu bringen, in aller Regel der richtige Ansatz. Wer sich aktuell nur kursorisch mit Themen wie der Blockchain (Ethereum mit Ether, evtl. auch Bitcoin oder anderen Erscheinungsformen), AI (Artificial intelligence als selbstlernender Algorithmus), Arbeitsplatzstrukturierungen und den damit zusammenhängenden technischen + kommunikativen Methoden auseinandersetzt wird auf Sicht verlieren.

Ob die Blockchain[2] in den Lieferketten eine signifikante Größe wird oder auch im Rahmen von Finanzierungen die klassischen Bankfunktionen ersetzen kann, vielleicht auch den gewerblichen Immobilienerwerb[3] methodisch und finanziell vom heutigen Markt abkoppelt, gilt es abzuwarten. Eine Beschäftigung damit ist aber ein „Muss“, weil alleine die Beschäftigung mit diesen Methoden eine Erhöhung der eigenen Expertise verursacht. Um aus der Vielzahl der Möglichkeiten die auf das Unternehmen passende Auswahl zu verbessern ist die Einbindung eines Beirates in jedem Fall sinnvoll, bei einer dynamischen Beiratsstruktur – z.B. durch Kooptierungsmodelle[4] – auch sehr effizient und zeitraum- und problemangepasst zu gestalten.

Themen der letzten Dekade gibt es genug. Die Globalisierung, Clash of Civilisation (also Migrationsfragen, Kulturprobleme der weltweiten Mobilität) und die technischen Entwicklungen und ihre Auswirkungen auf die Organisation und Strukturierung von Prozessen, haben viele „kleine“ schwarze Schwäne aufgetan. Wie man mit ihnen umgeht entscheidet – auch – über Erfolg oder Mißerfolg.

Ein nach wie vor aktuelles Thema: die reduzierten Angebote an fachqualifizierten Kräften. Das ist nicht nur ein Mengenthema (u.a. als Auswirkung des Pillenknicks), sondern auch die Akademisierung von Berufen (mit längerer Ausbildungszeit[5]), daran anknüpfende  (Un-)Sitte den eigentlichen Berufseintritt in die späten 20er und beginnenden 30er Lebensjahre zu legen. Im Gegenteil: gravierender scheint hier auch die Änderung der Bedeutung von beruflicher Tätigkeit. Nicht mehr Erfüllung im Privaten + Beruflichen, sondern in erster Linie im Privaten[6]. Einhergehend mit einer geringeren Frustrationsfähigkeit, auch aus einer Erziehungsorientierung der 68er Generation gespeist. Die Vorgeneration hatte das Ziel, „das es die Kinder besser haben“, und trotz vieler anderweitigen Meinungsbildungen in der 68er Generation kann man diesen Hang für die eigenen Kinder und Enkel ebenfalls feststellen. In der Konsequenz behütet, kollidiert diese Generation dann oft mit unrealistischen Vorstellungen über angemessene  Bezahlung + Freizeitansprüche, mit der beruflichen Realität und einem (jedenfalls noch) weit verbreitetem Leistungsdruck bis hin zum fehelenden Durchhalten bei Schwierigkeiten.

Ein Umstand, denn das Unternehmen nicht ändern, aber zur Kenntnis nehmen, kann und muss. Und damit auch ein Aspekt der  Einfluss für die Beiratsarbeit haben sollte. Ob Generation X,Y,Z oder Millenniums; der Schwund an geeigneten Mitarbeiter muss kompensiert werden. Spezielle Trainees, Mehraufwand im Bereich der Motivation oder Incentives – mag man das auch für unangemessen halten – dienen der Sicherung einer ausreichenden Teilhabe am Arbeitsmarkt. Eine andere Möglichkeit bleibt die Verschlankung (und damit Entpersonalisierung) von Prozessen. Verringerung von Leerlaufzeit, unnötigen Fahraufwendungen für Besprechungen und Treffen. Homeoffice, schlanke Prozesse, umfassende Verfügbarkeit von Unterlagen, Daten und Entscheidungs-Tools. Was andererseits entsprechende Konsequenzen jenseits der eigentlichen Organisationslehre und -strukturierung hat.[7]

Verfügbarkeiten von Material in einer globalisierten Lieferketten, gerade in Zeiten des just-in-time, 7/24 Stunden Verfügbarkeiten und kurzfristigen Lieferungen, sind Engpässe wie sie beim Steckenbleiben der Ever-Given im Suez-Kanal für viele Versorgungsstränge von erheblichem Gewicht und für eine entsprechende Liefersicherheit , aber auch die Kalkulation anderweitiger Beschaffung/-wege oder Schadensersatzes, von entscheidende Bedeutung sind.

NachDenken

Aufgabe des Beirates wird es aber auch sein zwischen dem gestern und morgen den Bogen zu schlagen. Also über die Ereignisse der Vergangenheit, wie die eben angesprochenen Lieferprobleme im globalen Verbund, nach zu denken und den begangen Weg mit den Entwicklungen abzugleichen. Einen prüfenden Blick auf bisher Geschehenes zu werfen, positive und negative Entwicklung zu erkennen und daraus Schlüsse für die Zukunft zu entwickeln. Durch das darüber NachDenken eine Chance der Verbesserung der Prozesse und/oder der Bestätigung der Methoden und Vorgehensweisen zu erhalten.

Nabelschau eben.

Auch die geht im Tagesgeschäft häufig genug unter. Wird auf die Tage der strategischen Planung verschoben. Und die finden dann – leider, wegen des Tagesgeschäftes – nicht statt. Navigation in einer globalisierten Welt, in der jeden Moment neue Varianten und Vorgehensweisen auftauchen ist zwingend.

Deshalb muss der Beirat dann auch die Funktion des Lotsen wahrnehmen. Mahnen, fordern und soweit ihm das seine eigene Geschäftsordnung und die von den Gesellschaftern eingeräumten Möglichkeiten erlaubt auch durchsetzt.

MitDenken

Die Führungsverantwortung im Unternehmen liegt bei der Führung. Die kann und soll der Beirat, erst recht kein Aufsichtsrat[8], nicht übernehmen. Er soll aber Hinweise geben (und geben können), was die operative Umsetzung einmal getroffener strategischer Entscheidungen betrifft. Oder eben notwendige Strukturänderungen im laufenden operativen Prozess in den Fokus nehmen.

Dabei kann es sich um Entwicklungen im Kommunikationsbereich handeln: zur Zeit sehr beliebt die „wilde“ Einführung von Software-Modulen mit starker Kommunikationsausrichtung. Vorne dabei: MS Teams. Hier sind von Yammer (Kommunikation), Trello (Kanban) und einfachem Chat, Videokonferenz-techniken und Dateiablagen in MS Teams und OneDrive alle möglichen Entwicklungen erkennbar. Auch wenn ein Freiraum in der Entwicklung (neben der Frage der Kosten solcher Systeme) kein Negativum sein muss, die Entwicklung von Prozessabläufen – Teams organisieren sich in bester Scrum  (s.a. unser Beitrag zur ZeitNahme in diesem Blog) Manier selber, aber eben ohne eine Basislinie für das Unternehmen – kann dabei schnell aus dem Blick geraten. Spätere Anpassungen zu menschlichen (Beharren auf der gefundenen Lösung) und (personal-)rechtlichen korrekten Lösungen mit erheblichen Kosten und organisatorischen Konsequenzen führen.

Beobachtet der Beirat solche Entwicklungen steht es im gut an, auf die Risiken hinzuweisen und Konzepte und Erklärungen, vielleicht auch nur Erläuterungen einzufordern.

Gleiches gilt in den Fällen, in denen zwar Ziele definiert, Überwachungs-prozesse vereinbart und Revisionskontrollen eingefordert sind, aber in der Praxis nicht oder nicht ausreichend umgesetzt werden. Die Aufgabe des Beirats ist – jenseits von der „heiligen Kuh“ der Compliance Vorgaben – in solchen Fällen die Einhaltung der selbstgesetzten Vorgaben einzufordern und deren Verfolgung in den wichtigen strategischen und operativen Fragen auch selber zu kontrollieren.

Bei auslaufenden Finanzierungsvereinbarung – so insbesondere Konsortialkrediten, die viele Verhandlungspartner betreffen und komplexe Vertragsstrukturen verlangen – frühzeitig auf neue Verhandlungen hinzuwirken oder die Diskussion über Alternativen anzuregen. Auch wenn die ABS (asset back securities) Finanzierung etwas aus der Mode gekommen ist, andere Hybrid-Strukturen (Borrowing base Konzepte u.ä.) schon fast ein alter Hut sind, so kann die Prüfung von Blockchain basierter Kredite, im Einzelfall auch Crowd Finanzierungen (z.B. beim Erwerb langfristig zu nutzender Immobilien) eine Herausforderung und eine Lösung sein. Hier durch kooptierten oder vorhandener Expertise im Beirat Gesprächspartner zu sein, ist eine wichtige Aufgabe.

DenkMittel

Übersehen wir häufig, dass diese Mitwirkung des Beirats nur dann eingefordert werden kann, wenn der Beirat selber diese aktive Teilhabe an Entscheidungsprozessen anstrebt, aber er auch die notwendigen Informationen und Informationsmittel zur Verfügung hat.

Noch aus nicht digitalisierten Zeit bekannt, ist die Teilhabe an den einschlägigen Presseveröffentlichung, Zeitschriften und Informationsbörsen im Marktbereich des jeweiligen Unternehmens. Vulgo: auch der Beirat hat Zugriff auf die einschlägigen Publikationen durch Überlassen eigener Abonnements oder den Zugriff auf diese in digitaler Art und Weise. Selbstverständlich muss ein auf die Bedürfnisse des Beirats ausgerichtetes Reporting/Berichtswesen vorhanden sein. Das nicht nur als Bring-Schuld des Unternehmens verstanden werden darf, sondern ebenso als Hol-Schuld des Beirats. Kommen Mitglieder des Beirats zu dem Schluss anderweitige, darüber hinausgehende Informationen zu benötigen, so hat dies selbstverständlich der Beirat der Geschäftsleitung mitzuteilen und gegebenenfalls ist dann durch beide eine ausreichende Informationsgrundlage zu schaffen.

Von Bedeutung ist der originäre, nicht geleitete Zugriff des Beirats auf Unterlagen und Informationen. Dabei kann man sich, wenn auch nach Absprache mit der Führungsebene, auch des direkten Gespräches bedienen, wichtiger ist aber eine Teilhabe an Kommunikationsstrukturen des Unternehmens, die es erlauben den Beirat als Teil des Unternehmens zu begreifen.[9]

Welche Strukturen hier notwendig und sinnvoll sind, ist oftmals nicht auf Dauer festzulegen. Gerade bei Unternehmen in einem dynamischen Markt oder denen selber eine dynamische Struktur eigen ist (allem voran natürlich die landläufig als start-ups bezeichneten, aber durchaus nicht darauf beschränkt) eine Festlegung immer auch temporär zu betrachten. Was heute passt, kann morgen nicht mehr das Richtige sein und „alte Konzepte“ können sich als die „modernde“ Lösung entpuppen.

So sind Beiräte auch in Netzwerkanalysen einzubinden und selbstverständlich sollten sie Teil eines – funktionierenden und aktiv genutzten –  Intranets sein.

Eine Dokumentation und Archivierung der Präsentationen, Berichte und notwendigen Basismaterials in einem für alle Beiräte zugänglichen Bereich der heutigen DV Struktur sollte ebenso selbstverständlich sein .[10]

 


Fussnoten

[1] Die angelsächsische Taktik “Größe schlägt den Markt“ scheint hier aufzugehen, Zalando schreibt seit einiger Zeit Gewinne. Uber und AirBnB, die ein weitaus merkantilistischeres Modell favorisieren (Private zu gewerblicher Vermietung veranlassen und die Steuer- und Sozialversicherungslast auszugrenzen; bzw. angestellte Fahrer zu Selbstausbeuter zu dequalifizieren und auch insoweit „Kosten im Unternehmen“ zu sparen und auf die Fahrer zu verlagern, die das oftmals erst nach Monaten – wenn die Steuerbehörden auf den Plan treten – zur  Kenntnis nehmen.

[2] Eine interessante Erscheinungsform der Blockchain ist die Möglichkeit Vertragsregelungen entlang einer Lieferkette (allerdings in der Regel in geschlossenen Benutzerkreisen) zu organisieren und damit die notwendigen Unterlagen (Lieferscheine, Rechnungstellungen, Auftragsmeldungen etc. bis hin zur Zahlungsabwicklung – so z.B. bei ethereum über deren eigene Verrechnungseinheit) auszutauschen. Dazu können auch reverse Steuerung der Produktionskapazitäten durch Meldungen der Vertriebsstrukturen an den Produzenten gehören (ohne hier die Frage der Wissentransparenz in beide Richtungen und sich daraus ergebende Einkaufs- /Verkaufsnachteile oder evtl. rechtliche + steuerliche Implikationen zu vergessen).

[3] Das betrifft vor allem auch Finanzierungen von großen gewerblichen Immobilien oder technische Anlage, die im Rahmen einer Crowd-Finanzierung ohne Einbindung von Banken als Finanzierungsmittler stattfinden können.

[4] Der Beirat kann nach diesem Modell zeitweise fachliche Expertise zuweisen und damit in die aktuelle Diskussion einbringen.

[5] Eine späte Folge des Abiturs für jedermann der 70er Jahre

[6] Was jedem unbenommen sein soll

[7] Die europarechtlich vorgeschriebene Arbeitszeiterfassung – gerade aktuell mit dem kruden Ergebnis, dass Soldaten eine 40 Stunden-Woche zugestanden werden musss – ist da nur ein Hindernis, das in BR-betroffenen Betrieben zu vielen Diskussion führen dürfte, aber auch Themen des Datenschutz im Bereich der Steuerung solcher Prozesse durch Netzwerkanalysen oder den – häufig als Blackbox fungierenden – AI Centern, also Algorithmen, die z.B. die Verfügbarkeiten von Mitarbeitern unter Beachtung der Terminkalender, Präsenzmeldungen und Diskussionsverläufen in der Telefonberatung ermitteln. Was immer auch das Negativum einer Kontrolle (nicht nur des Controlling) von Leistungsdaten der Mitarbeiter umfasst und damit die Zuständigkeit eines Betriebsrates oder zumindest des Datenschutzbeauftragten verlangt.

[8] Der hier rechtlich auch weitaus eingebundener und beschränkt ist.

[9] Insbesondere bei Merger Situationen kann es z.B. sinnvoll sein, eine direkte Ansprache (auch anonymisiert) durch Mitarbeiter der Unternehmen herzustellen, um Meinungsbilder und Strukturen der oftmals von der Führungs- und Unternehmenskultur differenten Betriebsstrukturen aufzugreifen.

[10] Ob diese im Unternehmen oder in einer separaten Cloud, jenseits der DSGV Fragestellungen, vorgehalten wird, ist eine Geschmacksfrage, aber in jedem Fall sollte das Material bei einem Wechsel der Beiräte, vielleicht auch des gesamten Beirats nicht  „verloren“ sein.

Compliance im Mittelstand

..oder doch nur Risikomanagement ?…

 

Der Begriff der Compliance ist in populären betriebswirtschaftlichen Publikationen en vogue. Auch wenn Inhalt und Bedeutung in den meisten Fällen nicht zutreffend beschrieben sind.

Rechtlich erheblich ist der Begriff von eine Relevanz für börsennotierte Aktiengesellschaften. Nicht für mittelständische Unternehmen.

 

       I.          Grundsätzliches

 

Unter dem Begriff „Compliance“ wird im Allgemeinen – in Anlehnung an die Beschreibung im Deutschen Corporate Governance Kodex (DCGK) – die Gesamtheit aller Maßnahmen verstanden, die erforderlich sind, um ein rechtmäßiges Verhalten des Unternehmens, seiner Organmitglieder und Mitarbeiter mit Blick auf alle gesetzlichen Gebote und Verbote zu gewährleisten[1].

Als Ausprägung des allgemeinen Legalitätsprinzips geht Compliance dabei über eine bloße, in aller Regel rückwärtsgewandte, Rechtmäßigkeitskontrolle des Unternehmenshandelns hinaus und beschreibt ein systematisches Konzept zur Sicherstellung regelkonformen Verhaltens im Innenverhältnis sowie im Außenverhältnis gegenüber Dritten. Compliance –verstanden als konzerndimensionales Konzept zur Rechtmäßigkeitsgewähr – beinhaltet dabei drei wesentliche Elemente: Die Vermeidung von Fehlverhalten, die Aufdeckung von Rechtsverstößen sowie die angemessene Reaktion hierauf. Die Compliance-Verantwortung trifft den Vorstand der (börsennotierten) Aktiengesellschaft oder, allgemeiner gesprochen, die Unternehmensleitung.

Das Thema steht seit ca. dem Jahr 2007 im Blickpunkt der Öffentlichkeit, nachdem es damals zur Aufdeckung der Korruptionsaffäre bei SIEMENS gekommen war. Razzien, Verhaftungen, Ermittlungsverfahren der Staatsanwaltschaft, Rücktritte von Aufsichtsrats- und Vorstandsmitgliedern und eine Geldbuße in dreistelliger Millionenhöhe waren in der Öffentlichkeit stark beachtete Folgen.

Zu einem in Compliance-Fachkreisen breit diskutierten zivilgerichtlichen Urteil kam es Dezember 2013, als das LG München I einen ehemaligen SIEMENS-Manager zu einer Schadensersatzzahlung von 15 Mio. EUR verurteilte, weil er gegen die Compliance-Pflichten des Konzerns verstoßen hatte, wie das Gericht in den Urteils-Leitsätzen ausdrücklich feststellte[2]. Die anderen Manager waren übrigens auch in Anspruch genommen worden, hatten sich jedoch mit SIEMENS außergerichtlich verglichen.

Wie aktuell die Diesel-Abgasskandale bei deutschen Autoherstellern zeigen, kommt es immer wieder zu Compliance-Fällen, die zu existentiellen Krisen der betroffenen Unternehmen führen können[3]. Tagesaktuell ist das von AUDI akzeptierte Bußgeld von 800 Mio. EUR wegen Verstosses gegen §§ 130, 30 OWiG[4] (siehe dazu unten).

 

     II.          Adressaten und Normierung von Compliance-Pflichten

 

Ausdrückliche Adressaten von Compliance-Verpflichtungen sind zunächst einmal (börsennotierte) Aktiengesellschaften und Unternehmen der Finanzwirtschaft (diese werden hier nicht behandelt). Dies ergibt sich aus den Vorschriften des Aktiengesetzes sowie dem Deutschen Corporate Governance Kodex, der in Ziff. 4.1.3. eine entsprechende Verpflichtung enthält[5]:

Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.“

 

Relevant ist in dem Zusammenhang auch Ziff. 4.1.4.:

Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen.“

Anzumerken ist jedoch, dass der DCGK selbst kein Gesetz ist, sondern eine freiwillige Selbstverpflichtung der Wirtschaft darstellt (Vgl. die Formulierung auf dcgk.de: „Ausdruck einer Selbstverpflichtung der Wirtschaft zu guter Corporate Governance“). Allerdings werden in ihm auch wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften dargestellt. Die „Gesetzlichkeit“ des Kodex ergibt sich aus § 161 AktG, der wie folgt ausdrücklich Bezug auf den Kodex nimmt:

Aktiengesetz
§ 161 Erklärung zum Corporate Governance Kodex

(1) Vorstand und Aufsichtsrat der börsennotierten Gesellschaft erklären jährlich, dass den vom Bundesministerium der Justiz und für Verbraucherschutz im amtlichen Teil des Bundesanzeigers bekannt gemachten Empfehlungen der „Regierungskommission Deutscher Corporate Governance Kodex“ entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden oder werden und warum nicht. Gleiches gilt für Vorstand und Aufsichtsrat einer Gesellschaft, die ausschließlich andere Wertpapiere als Aktien zum Handel an einem organisierten Markt im Sinn des § 2 Absatz 11 des Wertpapierhandelsgesetzes ausgegeben hat und deren ausgegebene Aktien auf eigene Veranlassung über ein multilaterales Handelssystem im Sinn des § 2 Absatz 8 Satz 1 Nummer 8 des Wertpapierhandelsgesetzes gehandelt werden.

(2) Die Erklärung ist auf der Internetseite der Gesellschaft dauerhaft öffentlich zugänglich zu machen.

 

Ferner weist § 91 II AktG in Richtung Compliance:

Aktiengesetz
§ 91 Organisation. Buchführung

(1) Der Vorstand hat dafür zu sorgen, daß die erforderlichen Handelsbücher geführt werden.

(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

Das o.g. Urteil des LG München stellte zur Haftungsbegründung des ehemaligen SIEMENS-Vorstandsmitglieds auf § 93 AktG ab:

Aktiengesetz
§ 93 Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder

(1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.

(…)

 

 

 

 

Die Leitungsfunktion des AG-Vorstandes folgt aus § 76 AktG:

Aktiengesetz
§ 76 Leitung der Aktiengesellschaft

(1) Der Vorstand hat unter eigener Verantwortung die Gesellschaft zu leiten.

(…)

 

Eine gesetzlich normierte, rechtsformneutrale Aufsichtspflicht des Betriebsinhabers, die also für jeden Betriebsinhaber gilt, egal in welcher Rechtsform, ergibt sich aus § 130 OWiG:

Gesetz über Ordnungswidrigkeiten (OWiG)
§ 130 

(1) Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterläßt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen.

(2) Betrieb oder Unternehmen im Sinne des Absatzes 1 ist auch das öffentliche Unternehmen.

(3) Die Ordnungswidrigkeit kann, wenn die Pflichtverletzung mit Strafe bedroht ist, mit einer Geldbuße bis zu einer Million Euro geahndet werden. § 30 Absatz 2 Satz 3 ist anzuwenden. Ist die Pflichtverletzung mit Geldbuße bedroht, so bestimmt sich das Höchstmaß der Geldbuße wegen der Aufsichtspflichtverletzung nach dem für die Pflichtverletzung angedrohten Höchstmaß der Geldbuße. Satz 3 gilt auch im Falle einer Pflichtverletzung, die gleichzeitig mit Strafe und Geldbuße bedroht ist, wenn das für die Pflichtverletzung angedrohte Höchstmaß der Geldbuße das Höchstmaß nach Satz 1 übersteigt.

 

Nach § 30 OWiG kann bei Verstoß gegen unternehmensbezogene straf- oder owi-rechtliche Pflichten eine Geldbuße direkt gegen das Unternehmen selbst verhängt werden:

Gesetz über Ordnungswidrigkeiten (OWiG)
§ 30 Geldbuße gegen juristische Personen und Personenvereinigungen

(1) Hat jemand

1.als vertretungsberechtigtes Organ einer juristischen Person oder als Mitglied eines solchen Organs,

2.als Vorstand eines nicht rechtsfähigen Vereins oder als Mitglied eines solchen Vorstandes,

3.als vertretungsberechtigter Gesellschafter einer rechtsfähigen Personengesellschaft,

4.als Generalbevollmächtigter oder in leitender Stellung als Prokurist oder Handlungsbevollmächtigter einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung oder

5.als sonstige Person, die für die Leitung des Betriebs oder Unternehmens einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung verantwortlich handelt, wozu auch die Überwachung der Geschäftsführung oder die sonstige Ausübung von Kontrollbefugnissen in leitender Stellung gehört,

eine Straftat oder Ordnungswidrigkeit begangen, durch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder die juristische Person oder die Personenvereinigung bereichert worden ist oder werden sollte, so kann gegen diese eine Geldbuße festgesetzt werden.

(2) Die Geldbuße beträgt

1.im Falle einer vorsätzlichen Straftat bis zu zehn Millionen Euro,

2.im Falle einer fahrlässigen Straftat bis zu fünf Millionen Euro.

(…)

Diese Gesetze gelangten im Abgasskandal gegen die börsennotierte VW AG und deren Tochter-unternehmen AUDI AG zur Anwendung, die die Bußgelder nebst Gewinnabschöpfung in Höhe von 1 Mrd. EUR bzw. 800 Mio. EUR akzeptierten.

 

   III.          Compliance –Pflicht: Auch im GmbH- und

                  Personen-gesellschaftsrecht ?

 

Es stellt sich die Frage, ob abseits des allgemein geltenden OWi-Rechts und des Aktienrechts auch für das Recht der GmbH und der Personengesellschaften bzw. für typengemischte Rechtsformen wie die GmbH & Co. KG  Compliance-Pflichten wie für eine Aktiengesellschaft gelten.  Für die AG wird überwiegend vertreten, dass ein Compliance-System eingerichtet werden muß (Frage des „ob“), strittig ist lediglich, in welcher Intensität und mit welchen Mitteln („wie“) dies zu erfolgen hat[6].

  • Eine explizite gesetzliche Regelung, die das Einrichten eines Kontrollsystems wie § 91 II AktG fordert, existiert für das Recht der GmbH und der Personengesellschaften nicht.
  • Allerdings gilt der oben dargestellte Haftungsmaßstab für das Verhalten der Vorstandsmitglieder (§ 93 AktG) und auch die Haftungsfolge der Schadensersatzpflicht bei Pflichtverstößen in sehr ähnlicher Weise auch für den GmbH-Geschäftsführer (§ 43 GmbHG). Dies zeigt bereits der Gesetzes-Wortlaut und auch die Rechtsprechung legt beide Vorschriften ähnlich aus.

 

Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG)
§ 43 Haftung der Geschäftsführer

(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

 

Auch gilt das „Legalitätsprinzip“ bei der GmbH (bei der GmbH & Co. KG gilt dies wegen der Geschäftsführungsaufgabe des GmbH-GF entsprechend) für den Geschäftsführer wie beim Vorstand bzw. das einzelne Vorstandsmitglied der AG.

  • In der Literatur ist umstritten, ob für die GmbH eine Verpflichtung besteht, ein Compliance-System einzurichten:

 

  • Teilweise wird dies bejaht, dies folge aus der Legalitätspflicht auch des GmbH- Geschäftsführers. Allenfalls die nähere Ausgestaltung des Compliance-Systems stehe zur Disposition des Geschäftsführers und sei von den Gegebenheiten des Einzelfalles abhängig[7].

 

  • Vermittelnde Auffassungen stellen auf den Einzelfall nach Art, Größe und Organisation des Unternehmens, die zu beachtenden Vorschriften, die geografische Präsenz sowie Verdachtsfälle aus der Vergangenheit sollen Kriterien bilden[8].

 

  • Nach anderer Auffassung ist bei der GmbH eine allgemeine Rechtspflicht zur Compliance-Organisation abzulehnen. Kleinere Gesellschaften würden überfordert und mit zusätzlicher Organisation überfrachtet, ohne ein Mehr an Rechtstreue zu gewinnen. Je größer die Gesellschaft, desto mehr böte sich die Schaffung eines systematischen Risiko-Managements an – und umgekehrt. Auch nach dieser Meinung ist dabei relevant die Struktur des Unternehmens, die der Geschäftstätigkeit immanenten Gefahren, die jeweilige Branche, bereits vorgekommenen Rechtsverstöße usw [9].

 

  • Auch für die Personengesellschaft wird hinsichtlich einer nicht näher differenzierenden Übertragung der für die AG geltenden Anforderungen zur Zurückhaltung gemahnt, zugleich aber darauf hingewiesen, dass die Geschäftsleitung sicherzustellen hat, dass sie ihrer Legalitätsverantwortung nachkommt[10]. Unabhängig von der Rechtsform sei die Einrichtung einer Compliance-Organisation in allen Unternehmen zu prüfen, die über ein entsprechendes Gefahrenpotential verfügen, das sich etwa aus der Branchenzugehörigkeit, der Größe oder Komplexität des Unternehmens, seiner weltweiten Marktpräsenz oder aus Missständen in der Vergangenheit ergeben kann.

  IV.          Eigene Stellungnahme

 

 

Mangels gesetzlicher Grundlage kann es eine direkte Rechtspflicht zur Einrichtung einer spezifischen oder gar solcher zertifizierten Compliance-Organisation bei der GmbH und noch mehr bei der Personengesellschaft (mangels vergleichbaren Haftungsregimes der Unternehmensleiter, mangels Vergleichbarkeit mit der von der Rechtsordnung geschaffenen und daher auch schützenswerten juristischen Person, aufgrund des Prinzips der persönlichen Haftung und der Eigenorganschaft) nicht geben.

 

Wie die unterschiedlichen Rechtsregime und ihre jeweiligen Zweckrichtungen zeigen –weitgehend zwingendes, am Schutz der Anleger und der Öffentlichkeit orientiertes AktG einerseits, eher binnen- und gläubigerschutzorientiertes GmbHG und Personengesellschaftsrecht (HGB, BGB) andererseits-, ist ein struktureller Unterschied gerade bei aufwendigen Organisationsanforderungen gerechtfertigt: Wer sich für die Rechtsform der AG entscheidet, muss deren hohen Regelungsgrad akzeptieren, sie ist für das kleine „Start Up“ wenig  geeignet, dafür umso mehr als Großunternehmen und als „Kapitalsammelstelle“ (Börse).

 

Die typischerweise im Mittelstand angesiedelten Organisationsformen unternehmerischen Handelns müssen ihre Flexibilität bewahren können, soweit dies im Zeitalter ohnehin schon mannigfacher gesetzlicher und regulativer Vorgaben möglich ist (Stichwort: DSGVO).

 

Der Unternehmer muss letztlich selbst entscheiden, wie er die ihm obliegende Legalitätspflicht für das von ihm geleitete und ggfs. ohnehin bereits organschaftlich überwachte (Beirat!) erfüllt.  In einer größeren Organisation kann der GF ohnehin nicht selbst all die ihn treffenden Pflichten abarbeiten und ist auf Organisation und Delegation angewiesen.

 

Auch die Haftungsvermeidung und Risikominimierung, Grundanliegen der Compliance, werden auf diese Weise  organisiert. Es ist eine Führungs-aufgabe, fortlaufend zu überprüfen, welche Risiken und Gefahrenpotentiale für das Unternehmen bestehen, die sich etwa aus der Branchenzugehörigkeit, der Unternehmensgröße oder der Komplexität oder auch Internationalität des Geschäfts (s. SIEMENS) ergeben. Ebenfalls liegt es auf der Hand, aus Mißständen und „Rechtstreue-Problemen“ der Vergangenheit Lehren zu ziehen und darauf ein besonderes Augenmerk zu legen. Dies ist aber kein Spezifikum der „Corporate Compliance“, sondern bei jeder Aufsichts- oder Verkehrssicherungspflicht so, ob über ein Haustier, die Kinder, den Gehweg vor dem Haus oder eben das eigene Unternehmen. Kernelement ist jeweils die spezifische Risikoanalyse, aus der dann ggfs. weitere Schlußfolgerungen gezogen werden (müssen).

 

Umfang, Inhalte und Ressourcen eines adäquaten Risikomanagements (Compliance = Risiko des Rechtsverstosses) sind unternehmensindividuell zu bemessen. Eine 1-Mann-Firma trägt andere Risiken als ein Konzern, ein „Start Up“ folgt anderen Prinzipien als der Traditionsbetrieb.

 

 

GablerVerlag/RiskManagement

Gewiss geben Compliance-Management-Systeme wertvolle Hinweise und erlauben durch ihre Standardisierung eine vereinfachte Handhabung in dem Sinne, dass das „Rad nicht neu erfunden werden muß“ und Dienstleister existieren, die dem Unternehmen diese Aufgabe (gegen Entgelt) abnehmen und es unterstützen (ähnlich wie Zertifizierungssysteme oder fachliche Fortbildungen). Aber Compliance-Systeme dürfen auch nicht zum „Tugend-Terror“ verkommen (wie z.B. teilweise QM-Systeme) und dann als bürokratische Belastung oder bloße Pflichtübung empfunden werden – sie verlieren so an Wirkung und Nutzen und das Unternehmerische kapituliert vor der Unternehmens-Verwaltung.[12]

Bei der Compliance handelt es sich  im Kern um eine Form des Risk-Managements und erst die Risikoanalyse kann beantworten, welche Maßnahmen erforderlich sind und wo genauer hingesehen und dann auch gehandelt werden muß. Als eigenständige Compliance-Instrumente können etwa die Implementierung von Anreizsystemen (auch im DCGK berücksichtigt, s.o.) oder die Etablierung einer Compliance-Kultur („Tone oft the Top“) angesehen werden, welche regelkonformes Verhalten fördern.[11] Auch dieses Implementations-Erfordernis hängt aber davon ab, wie offen die Kommunikation im Unternehmen bereits ist. Ob man das Gebilde als altem Wein in neuen Schläuchen nun als Compliance bezeichnen will oder wie seit Jahrzehnten als Risikomangement oder Revisionskontrolle bleibt jedem selber überlassen. Sinnvoll ist die Strukturierung einer Risikovorsorge gestern wie heute.

 

Also packen wir es an.


 

[1] vgl. Reichert/Ott, NZG 2014, 241 ff.

[2] Urt. v. 10.12.2013, Az. 5 HK O 1387/10, NZG 2014, 345

[3] Hoffmann/Schiefer, NZG 2017, 401

[4] Ad-hoc-Mitteilung der Volkswagen AG: https://www.dgap.de/dgap/News/adhoc/volkswagen-ordnungswidrigkeitenverfahren-der-staatsanwaltschaft-muenchen-gegen-die-audi-wird-mit-erlass-eines-bussgeldbescheids-beendet-die-audi-akzeptiert-das-bussgeld-und-bekennt-sich-damit-ihrer-verantwortung/?newsID=1101597

[5] Hervorhebungen d.d. Unterzeichner, nicht im Original

[6] Siehe in der Anlage den Auszug aus dem MüKo-AktG

[7] BeckOK-GmbHG-Haas/Ziemons, 36. Ed. 2017, § 43, Rn. 124

[8] Beckmann, GmbHR 2014,R113/114

[9] Beck-Heeb in Gehrlein u.a. GmbHG, 2. Aufl. 2015, vor § 35 GmbHG Rn. 9

[10] Karrer, Münchener Anw.hdb. PersonenGesR, 2. Aufl. 2015, § 14 Rn. 150

[11] https://www.roedl.de/themen/kompass-gesundheit-soziales/08-2015/risikomanagement-compliance-management

[12] Anschaulich der Beitrag im MM: http://www.manager-magazin.de/unternehmen/artikel/compliance-und-risikomanagement-die-dosis-macht-das-gift-a-1021334-2.html