Häufige gestellte Fragen (FAQs) zum Thema „Compliance“ und „Whistleblowing-Richtlinie“

In meiner Praxis als Compliance-Officer werde ich immer wieder mit denselben Fragen zum Thema „Compliance“ konfrontiert. Aus diesem Grund habe ich beschlossen, eine kleine Auswahl an Themen und Fragen zusammenzustellen. Dadurch soll ein grober Überblick zu ausgewählten Themen möglich sein.

„Dem guten Frager ist schon halb geantwortet“ (Friedrich Nietzsche) … in diesem Sinne:

Was bedeutet „Compliance“?

„Compliance“ leitet sich von „to comply with“ ab und beschreibt Verhalten in Übereinstimmung mit rechtlichen sowie unternehmensinternen Vorgaben (vgl. Kampffmeyer, Compliance, 2004, 4). Vereinfacht lässt sich „Compliance“ mit „Regelkonformität“ übersetzen (vgl. Jansen/Rösch, Grundsätze ganzheitlicher Compliance, 2010, 3).

Wer ist im Unternehmen für „Compliance“ verantwortlich?

Die Verantwortung für Compliance liegt ohne Zweifel bei der Geschäftsführung. Diese muss entsprechende Maßnahmen setzen und eine effektive Organisation implementieren, die rechtskonformes Handeln (sowohl für Mitarbeiter als auch für andere Stakeholder, wie zB Lieferanten) ermöglicht. Compliance – sohin Regelkonformität – im Unternehmen funktioniert jedoch nur, wenn die Geschäftsleitung das Thema auch ernsthaft betreibt und mit gutem Vorbild voranschreitet („tone from the top“).

Ist „Compliance“ verpflichtend?

Eine – für alle Unternehmen in Österreich geltende – ausformulierte Verpflichtung zur Implementierung effektiver Compliance-Strukturen bzw. einer entsprechenden Compliance-Organisation gibt es nicht. Es bedarf jedoch keiner expliziten Ausformulierung derartiger Vorgaben, zumal sich entsprechende Verpflichtungen bereits aus bestehenden Bestimmungen ableiten lassen (zB § 22 GmbHG, § 25 GmbHG; § 82 AktG, § 84 AktG).

Diese Gesetzesbestimmungen weisen Führungskräfte an, dass sie der Ausübung ihrer Geschäftsleitungstätigkeit „die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden“ und „interne Kontrollsysteme“ zu implementieren haben“. Selbst der OGH hat hierzu bereits entschieden, dass der Aufbau einer adäquaten Organisation verpflichtend ist (siehe OGH, 3 Ob 34/97i).

Gibt es Standards im Bereich „Compliance“?

Tatsächlich gibt es Normen und Standards, die die Gestaltung und Aufrechterhaltung von effektiven CMS (Compliance Management Systemen) zum Inhalt haben. Unter anderem kennt man die ISO 19600:2014 12 15 (Compliance Management System), die ISO 37001:2016 10 15 (Anti-Bribery Management System), die ON-Regel 192050:2013 02 01 (Compliance Management Systeme (CMS) – Anforderungen und Anleitung zur Anwendung), den FCPA Guide (Forreign Corruption Practices Act), den OECD Leitfaden, den UK Bribery Act 2010-Guidance, etc.

Was ist ein „Compliance Management System“?

Das Institut der Wirtschaftsprüfer in Deutschland hat in seinem Standard IDW PS 980 eine Definition gefunden. Unter einem CMS versteht man „sämtliche auf der Grundlage der definierten Unternehmensziele eingeführten Grundsätze und Maßnahmen eines Unternehmens, die auf die Sicherstellung eines regelkonformen Verhaltens der gesetzlichen Vertreter und Mitarbeiter sowie ggf von Dritten abzielen.“ (Zitat aus IDW PS 980, Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen)

Wie implementieren? HIER

Wann spricht man von wirksamen Compliance-Strukturen?

Ein wirksames und effektives Compliance-System liegt dann vor, wenn die drei Säulen „Vorbeugung“, „Erkennung“ und „Reaktion“ implementiert, mit „Leben gefüllt“ und angewendet werden. Voraussetzung ist jedoch, dass das Unternehmen seine Risiken identifiziert und die gesetzlichen Vorschriften, die für die Organisation relevant sind, kennt. Präventive Maßnahmen umfassen zB die Erstellung unternehmensinterner Richtlinien, Compliance-Schulungen, Kommunikationsaktivitäten im Zusammenhang mit Compliance etc.

Die Einführung von Kontrollmechanismen, Hinweisgebersystem, Risk-Assessments, Revisionen etc. führen zu einem raschen Erkennen von Risiken. Festgestellte Verstöße sind zu sanktionieren. Jedes regelwidrige Verhalten muss zu einer Maßnahme führen, ansonsten das Vertrauen in die Wirksamkeit einer Compliance-Organisation schwindet oder überhaupt verloren geht.

Wozu „Compliance“? Was sind die Funktionen von „Compliance“?

Compliance hat eine Schutz- (das Unternehmen und seine Organe/Mitarbeiter sollen durch entsprechende Vorkehrungen von Nachteilen jeglicher Art bewahrt werden), Beratungs-/Schulungs- (die Compliance-Organisation sensibilisiert und klärt auf), Monitoring-/Überwachungs- und Marketingfunktion (Compliance ist ein Wettbewerbsvorteil).

Was ist ein „Compliance Officer“ und was sind seine Aufgaben?

Im Hinblick auf Fragen im Rahmen der „Compliance“ ist der „Compliance Officer“ die beratende, vorbereitende und ausführende Institution im Unternehmen. Gemäß einer Definition der Ethics and Compliance -Officer Asociation (ECOA) versteht man darunter: „Compliance Officer is tasked with integrating their organizations ethics and values initiatives, compliance activities, and business conduct practices into decision-making processes at all levels of the organization“.

Konkret unterstützt der Compliance Officer die Geschäftsleitung bei der Implementierung, Überwachung und Weiterentwicklung der Compliance-Strukturen/der Compliance-Organisation. (vgl. Transparency International – Austrian Chapter; Verein zur Korruptionsbekämpfung, Das ABC der Antikorruption, 2013, 17)

Ausbildung? Ich persönliche empfehle die Ausbildung zum „Corporate Compliance Officer“ über Business Circle.

Was ist ein „Code of Conduct“?

Der „Code of Conduct“ ist ein Verhaltenskodex des Unternehmens. Mit diesem Dokument wird Mitarbeitern verdeutlicht, welches Verhalten von ihnen erwartet wird. Dieses Dokument fasst prägnant und allgemeinverständlich alle wesentlichen Verhaltenshinweise zusammen. (vgl. Walter in Lexisnexis, Compliance Solutions 2018, 2018, 14)

Der „Code of Conduct“ ist daher keinesfalls dazu gedacht, das gesamte Regelwerk eines Unternehmens abzubilden. Es bedarf daher noch weiterer – das gewünschte Verhalten der Mitarbeiter konkretisierender – Richtlinien.

Wie sieht ein „Code of Conduct“ aus?

Ich empfehle ein Vorwort der Geschäftsleitung, mit dem sich diese zu den Werten und Regeln (zur Compliance) bekennt. Dadurch wird dem Erfordernis „tone from the top“ entsprechend Rechnung getragen. Der Code of Conduct enthält zudem die wesentlichen Themenbereiche sowie die Erwartung zur Einhaltung der Vorgaben.

Aus eigener Erfahrung erachte ich es als wichtig, dass der Code of Conduct auch gleich die Konsequenzen/Sanktionen beinhaltet, die jemand bei Nichteinhaltung der Vorgaben zu erwarten hat. Wichtig ist, dass das Dokument auch entsprechende Informationen darüber enthält, wer in Compliance-Angelegenheiten der Ansprechpartner ist.

Was versteht man unter „Whistleblowing“?

„Whistleblowing“ bedeutet frei übersetzt „einen Hinweis geben“/“Missstände aufzeigen“. (vgl. Rapberger in Sartor/Freiler-Waldburger, Praxisleitfaden Compliance, 2015, 128)

Als „Whistleblower“ werden sohin Personen verstanden, die einen Gesetzes- oder Regelverstoß aufdecken und auch melden.

Gibt es eine gesetzliche Verpflichtung zur Implementierung eines „Whistleblowing- (Hinweisgeber-)Systems?

Nein, derzeit gibt es in Österreich keine gesetzliche Verpflichtung. Das EU-Parlament hat jedoch nun die sogenannte „Whistleblowing-Richtlinie“ erlassen (mehr Info HIER I auf www.2imRecht.at I bei Anbietern von digitalen Hinweisgebersystemen und automatisierten Compliance-Tools).

Die nationalen Gesetzgebungsorgane haben nun zwei bis vier Jahre Zeit, die Richtlinie in nationales Recht umzuwandeln und entsprechende Regelungen zu treffen. Klar ist, dass Unternehmen verpflichtet werden, entsprechende Hinweisgebersysteme einzurichten. So bedeutet die Whistleblower-Richtlinie zwar durchaus mehr Aufwand im Bereich Compliance, führt aber in weiterer Folge auch zu mehr Compliance (und somit zu einer Reduzierung von potentiellen Risiken, Nachteilen und sonstigen Schäden für Unternehmen).

Nichtsdestotrotz gibt es bereits aber jetzt schon zB im Deutschen Corporate Governance Kodex, in der Fassung vom 07.02.2017 (dessen Anforderungen durchaus auch für Österreich Anwendung finden) die konkrete Empfehlung zur entsprechenden Ausgestaltung: „Der Vorstand hat für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch Konzernunternehmen hin (Compliance). Er soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigen soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützte Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.“ (siehe Punkt 4.1.3 in Deutscher Corporate Governance Kodex, 2017, 6)

Mittlerweile wurde der Kodex überarbeitet – die Verpflichtung zur Einführung entsprechender Compliance-Maßnahmen hat sich jedoch nicht geändert.

Was sieht die Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden („Whistleblowing-Richtlinie“) vor?

Der Zweck der Whistleblower-Richtlinie liegt darin, es potenziellen Hinweisgebern leichter und sicherer zu machen, etwaige Unregelmäßigkeiten zu melden, ohne dass dieser entsprechende – aufgrund der Meldung mögliche – persönliche Nachteile befürchten muss. Der Hinweisgeber wird durch ein umfassendes Verbot von Repressalien geschützt.

Welche Repressalien sind im Zusammenhang mit dem Melden von Missständen durch die Whistleblower-Richtlinie verboten?

Unter anderem sind etwa Suspendierungen, Entlassungen, Gehaltsminderungen oder die Ausstellung eines nachteiligen Arbeitszeugnisses verboten. Zudem kommt der Hinweisgeber in einem etwaigen Gerichtsverfahren in den Genuss der „Beweislastumkehr“. dh es muss der Arbeitgeber beweisen, dass es sich bei der möglicherweise gesetzten Maßnahme um keine Vergeltungsmaßnahme handelt.

Welche Anforderungen hat die Whistleblowing-Richtlinie an ein Hinweisgebersystem?

  • Meldungen müssen schriftlich und mündlich möglich sein; dem Wunsch nach einem persönlichen Vorsprechen muss man entsprechen können
  • Unternehmen müssen eine zur Entgegennahme und Bearbeitung von Hinweisen zuständige Person oder Abteilung bestimmen
  • Die eingelangten Hinweise müssen sorgfältig untersucht werden, wobei der Kontakt mit dem Whistleblower zu suchen ist (zB Bestätigung des Empfangs der Meldung binnen 7 Tagen)
  • Das Hinweisgebersystem muss Vertraulichkeit gewährleisten (insbesondere im Hinblick auf die Identität des Whistleblowers; daher ist der Zugang zu den Informationen nur für autorisierte Personen einzuräumen)
  • Rückmeldung an den Whistleblower innerhalb von drei Monaten (max. jedoch 6 Monaten)

Was bedeutet „need-to-know“?

Das need-to-know-Prinzip schränkt die Verarbeitung von geheimen/vertraulichen Informationen auf jene Personen ein (zB Compliance-Officer), die diese Informationen zur Erfüllung ihrer Aufgaben benötigen. Das schließt eine umfassende Bearbeitung durch Dritte aus und führt daher zu mehr Sicherheit und Vertraulichkeit im Umgang mit entsprechenden Informationen/Hinweisen.

Weitere Fragen?

Bei Fragen stehe ich gerne zur Verfügung. Müssen erst neue Strukturen implementiert werden? Es gibt Unternehmen, die sich auf Compliance und Whistleblowing (digitale Hinweisgebersysteme, automatisierte Compliance-Tools) spezialisiert haben.