Heute noch belächelt, morgen schon sanktioniert

Welche Lehren sich aus den Compliance-Skandalen von heute für die Compliance-Anforderungen von morgen ziehen lassen

Compliance ist längst nicht mehr nur „nice to have“, sondern solide Compliance-Maßnahmen stellen inzwischen ein klares „must have“ dar! Dabei sehen sich Unternehmen in zunehmendem Maße einer Fülle regulatorischer Anforderungen ausgesetzt, die von einer steigenden Verfolgungsintensität zuständiger Ermittlungsbehörden und einer wachsenden Konfliktbereitschaft betroffener Stakeholder (z. B. Gesellschafter/Investoren) flankiert werden.

Die daraus resultierenden Sanktionsrisiken machen jedoch nicht am Werkstor halt, sondern erreichen mehr und mehr als persönliche Haftungsrisiken auch die Geschäftsleitung. Nicht zuletzt ist eine deutliche Tendenz in der Rechtsprechung erkennbar, dass Compliance-Verstöße geahndet und nicht vorhandene oder mangelhafte Sicherungssysteme in der Unternehmensorganisation sanktioniert werden.

Compliance-Pflicht

Die allgemeine Überwachungspflicht der Geschäftsleitung hat sich in jüngerer Zeit – befeuert durch entsprechende obergerichtliche Entscheidungen – zu einer sog. Compliance-Pflicht verdichtet, wonach die Geschäftsleitung über ihre eigene Rechtstreue auch auf den nachgeordneten Unternehmensebenen für regelgetreues Verhalten sorgen muss. Diese Compliance-Verantwortung verpflichtet sie, bei entsprechendem Gefahrenpotential geeignete organisatorische Maßnahmen zur Haftungsvermeidung und zur Risikokontrolle umzusetzen, d.h. konkrete ComplianceMaßnahmen zu ergreifen und zu implementieren.

Fehlen derartige Maßnahmen bzw. sind diese mangelhaft, drohen – wie aktuelle und vergangene Compliance-Skandale eindrucksvoll veranschaulichen – empfindliche Konsequenzen und zwar sowohl auf Ebene des betroffenen Unternehmens (1) als auch persönlich für den oder die Verantwortlichen der Geschäftsleitung (2):

Dabei ist zu beobachten, dass der skizzierte Eskalationsverlauf regelmäßig dem gleichen Muster folgt:

Zunächst treten neue Compliance-Vorgaben und regulatorische Anforderungen in Kraft, führen in der Anfangsphase eine Art Exotendasein – sowohl aus Sicht der davon betroffenen Unternehmen, der zuständigen Verwaltungs-/Ermittlungsbehörden, also auch in der öffentlichen Wahrnehmung – und verdichten sich erst mit zunehmendem Zeitablauf zu tatsächlichem „hard law“. Sind Expertise und Kapazitäten bei den relevanten Behörden dann geschaffen, folgt – zu einem deutlich nachgelagerten Zeitpunkt – die eigentliche Nachverfolgung der darin statuierten Pflichten. Diese zeitliche Verzögerung erfordert eine fortwährende Neubewertung der Risikoeinschätzung.

Compliance-Vorfälle und -Skandale

Auf diese Weise sind die aktuellen Compliance-Vorfälle und -Skandale das typische Ergebnis einer bereits gewisse Zeit zurückliegenden Gesetzgebung und Regulierungstendenz.

Dies bestätigt ein Blick auf den thematischen Kern aktueller sowie zurückliegender Compliance-Skandale:

• Siemens, Daimler, MAN etc.: Anti-Korruptions-Compliance (ABC)
• Deutsche Telekom: illegale Untersuchungsmethoden („Spitzelaffäre“)
• Volkswagen: Betriebsratsbestechung
• Diesel-Skandal: Produkt-Compliance
• Deutsche Bank: Libor-Euribor-Skandal
• Daimler: HR-Compliance
• Deutsche Wohnen, H&M: DSGVO-Compliance
• DWS: Greenwashing
• diverse Großbanken: Cyber-Angriffe, Geldwäsche-Compliance, CEO-Fraud
• diverse Banken: Cum-Ex
• diverse Industriekonzerne: Kartellrechts-Compliance (Schienenkartell, Zementkartell usw.)
• „me-too“ Aufarbeitungen

Mit anderen Worten: 
Die Nichtbeachtung der Compliance-Vorgaben von heute stellen die Einfallstore für die Compliance-Skandale von morgen dar! 

Grundsätzlich muss beachtet werden, dass aufgrund der stark zunehmenden Regelungsdichte auch die jeweils zuständigen Aufsichtsbehörden eine gesteigerte Kontrollfunktion wahrnehmen. Potenzielle Verstöße werden demnach immer häufiger durch BaFin, Landesdatenschutzbeauftragte, BAFA oder den Zoll festgestellt und verfolgt bzw. nicht selten unmittelbar an die Staatsanwaltschaft abgegeben.

Konsequenzen für Unternehmen

Infolge dieser Diagnose besteht für eine Geschäftsleitung aufgrund ihrer Compliance-Verantwortung (s.o.) konkreter Handlungsbedarf in doppelter Hinsicht:

Aufarbeitung „Altfälle“:

Prüfung, welchen Altrisiken das Unternehmen im Hinblick auf bereits zurückliegende Rechtsetzung unterliegt und ob bereits Verstöße eingetreten sind (Durchführung Compliance-Audit).

Antizipation „Neufälle“:

Analyse Compliance-Risiken im Hinblick auf aktuelle Regelungstendenzen und Implementierung präventiver Maßnahmen zwecks Erfüllung aktueller Vorgaben und Vermeidung der Compliance-Verstöße von morgen (Compliance-Risikoanalyse und Implementierung angemessener Präventionsmaßnahmen).

Vor diesem Hintergrund sollte auch der Blick in die Zukunft, genauer gesagt auf aktuelle Compliance-Trends und -Entwicklungen, gelenkt und geprüft werden, ob und ggf. welche Risiken damit konkret für das Unternehmen verbunden sein können. Anlass hierzu geben insbesondere die folgenden aktuellen Compliance-Themen:

• Umwelt-, Sozial- und Governance-Vorschriften (ESG) 
• Vorschriften zum Nachhaltigkeitsreporting (CSRD) 
• Whistleblowing (HinschG) 
• Lieferketten-Compliance (z. B. LkSG) 
• Corporate Sustainability Due Diligence Directive (CSDDD) 
• Finanzkriminalitätsbekämpfungsgesetz (FKBG) 
• Datenschutz und Datensicherheit
• Artificial Intelligence 
• Neue EU-Digitalgesetzgebung: u. a. Data Act, AI Act, DSA, DMA

Haben Sie Fragen oder sind Sie an einem Austausch interessiert? Wir freuen uns auf ein Gespräch mit Ihnen! Aktuelle Insights zu den rechtlichen Themen haben wir für Sie verlinkt.

Download Präsentation