Warum ist Compliance für Aufsichtsräte von Bedeutung?
Der Aufsichtsrat ist für die Kontrolle und Beratung des Vorstands zuständig und stellt damit als höchste Kontrollinstanz sicher, dass sich ein Unternehmen regelkonform verhält. Im Deutschen Corporate Governance Kodex (DCGK) wird Compliance als Aufgabe des Vorstands definiert: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmerischen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance).“
Der Aufsichtsrat steht selbst in der Haftung, wenn er seinen Kontrollpflichten in Bezug auf den Vorstand und dessen Pflicht zur Einhaltung von Compliance-Regelungen nicht nachkommt. Ignoriert oder übersieht er Compliance-Mängel, kann der Aufsichtsrat dafür haftbar gemacht werden.
Zu den gesetzlichen Bestimmungen gehören Regelungen, die zunächst auf EU-Ebene und als Teil der Umsetzung im Anschluss von der Bundesregierung beschlossen wurden. Das EU-Parlament hatte Ende 2019 die Whistleblower-Richtlinie verabschiedet, die unter anderem die Einführung von internen Hinweisgebersystemen für Unternehmen ab 50 Mitarbeitenden vorschreibt.
Das deutsche Hinweisgeberschutzgesetz ist seit Juli 2023 in Kraft und regelt die Abläufe und Gestaltung für die internen Meldekanäle in den Unternehmen. Das neue Gesetz empfiehlt außerdem die Bearbeitung von anonymen Meldung von Missständen. Diese konkreten Vorgaben müssen Unternehmen und Organisationen rechtssicher erfüllen, um weder hohe Bußgelder noch irreparable Reputationsschäden zu riskieren,
Welche Rolle kann der Aufsichtsrat bei Compliance spielen?
Um ihrer Kontrollfunktion nachzukommen, müssen die Mitglieder des Aufsichtsrats sich mit dem Thema Compliance vertraut machen. Sie sollten sich in die aktuelle Gesetzeslage, Themen wie den Code of Conduct, elektronische Hinweisgebersysteme und den Umgang mit Whistleblowern einarbeiten. Nur wer die rechtlichen Vorgaben und Best Practices für Unternehmen versteht, kann ein Compliance-Management-System kenntnisreich auf Schwachstellen prüfen.
Denn der Aufsichtsrat überwacht nicht nur, ob es ein Compliance Management System gibt, sondern auch ob es effektiv aufgebaut ist und betrieben wird. Nicht jedes einzelne Mitglied im Aufsichtsrat muss sich in das Thema einarbeiten; das Gremium kann auch einzelne Mitglieder als ExpertInnen für diesen Bereich bestimmen.
Compliance ist dabei keine Einbahnstraße. Wenn alle Mitarbeitenden im Unternehmen dazu angehalten sind, sich an geltende Gesetze, unternehmerische und ethische Vorgaben zu halten und für Transparenz im Unternehmen zu sorgen, muss Compliance auch auf der obersten Ebene ernst genommen, vorgelebt und positiv kommuniziert werden (“Tone from the top”).
Nur wenn das Top-Management zeigt, dass es das Thema ernst nimmt und Transparenz nicht bestraft, sondern wertgeschätzt wird, kann sich im Unternehmen eine offene Speak-Up-Kultur etablieren.
Welche Bedeutung haben Hinweisgebersysteme?
Die Einrichtung eines Hinweisgebersystems ist nicht nur ein wichtiger Baustein im Compliance Management des Unternehmens, sondern kann auch den Aufsichtsrat direkt in seiner Kontrollfunktion unterstützen. Ein Hinweisgebersystem gibt Mitarbeitenden die Möglichkeit, Verstöße und Fehlverhalten gegen Gesetze oder unternehmensinterne Vorgaben zu melden.
Unternehmen sollten solche Meldungen nicht als Bedrohung ansehen, sondern als Chance: Werden Verstöße intern gemeldet, ist den Mitarbeitenden daran gelegen, im Unternehmen eine Veränderung zu bewirken. Nur wenn sie ignoriert werden oder Repressalien erfahren, besteht die Gefahr, dass sie sich an Regulierungsbehörden oder die Medien wenden.
Hinweisgebersysteme können als Telefon-Hotline oder webbasierte Systeme eingerichtet werden. Letztere gelten als Best Practice, weil sie rund um die Uhr, von überall auf der Welt und in zahlreichen Sprachen verfügbar sind – gerade für Unternehmen mit internationalen Niederlassungen die effektivste Lösung.
Zur Best Practice gehört mittlerweile außerdem eine anonyme Meldefunktion. Denn viele Hinweisgebende befürchten Repressionen, wenn sie sich zu erkennen geben. Dies belegt auch der Whistleblowing Report 2021, eine internationale Studie der Fachhochschule Graubünden. Demnach wurde im Jahr 2020 jeder zweite Hinweis ohne Angaben zur Person eingereicht, sofern dies möglich war. Fast 40 Prozent der Gesellschaften deckten über 80 Prozent des finanziellen Gesamtschadens durch Hinweisgebende auf. Für Unternehmen wäre es daher eine große Gefahr, wenn bestimmte Meldungen sie nicht mehr erreichen.
Anonyme Meldeoptionen erhöhen daher die Chance eines Unternehmens, Fehlverhalten oder Missstände frühzeitig zu erkennen und unternehmensintern darauf zu reagieren.
Webbasierte Hinweisgebersysteme können außerdem hervorragend an weitere digitale Tools angebunden werden, um Meldungen zu bündeln, leichter weiterverarbeiten und auswerten zu können. Auf diese Weise erleichtern sie die Arbeit der Compliance-Abteilung und helfen auch dem Aufsichtsrat in seiner Kontrollfunktion.
Wie verhält sich der Aufsichtsrat bei einer Meldung?
Wird eine Pflichtverletzung im Unternehmen gemeldet, ist die Geschäftsleitung zur Aufklärung des Vorfalls verpflichtet. Dem Aufsichtsrat obliegt es wiederum, zu überwachen, dass die Geschäftsleitung dieser Pflicht auch nachkommt. Unmittelbar zuständig ist der Aufsichtsrat, wenn der Verdacht auf Fehlverhalten oder eine Meldung über Compliance-Verstöße beim Vorstand vorliegt. Erwächst aus dem Regelverstoß eines Vorstands sogar ein Schadenersatzanspruch, muss der Aufsichtsrat diesen gerichtlich verfolgen.
Zum Hinweisgebersystem gehört auch der Schutz von Whistleblowern, der nicht zuletzt durch das aktuelle Hinweisgeberschutzgesetz geregelt wird. Der Gesetzgeber schreibt damit vor, dass Whistleblower im Falle einer Meldung im Unternehmen keine Nachteile erfahren dürfen. Auch hier obliegt es dem Aufsichtsrat in seiner Kontrollfunktion sicherzustellen, dass im Unternehmen entsprechende Regelungen gelten und beachtet werden.
Besonders effektiv ist es, wenn die Compliance-Abteilung des Unternehmens in regelmäßigen Abständen an den Aufsichtsrat berichtet. Rechtlich festgeschrieben ist das zwar nicht und die Entscheidung darüber liegt bei der Geschäftsführung, aber ein regelmäßiger Bericht hilft den Aufsichtsräten, bei den Bemühungen des Compliance-Managements im Unternehmen auf dem aktuellen Stand zu bleiben und von Compliance-Verstößen zu erfahren, auf die er zügig reagieren kann.
Fit für’s HinSchG in nur 3 Schritten
Das Hinweisgeberschutzgesetz einfach und schnell umsetzen.