rechtssicher-konform.de

 

Auditoren 

Beauftragten

Compliance Officer  

Managementsysteme

Meldestelle HinSchG

Ombudsperson

Sachverständiger

"Das Übel erkennen, heisst 

schon ihm teilweise abhelfen." 

Otto von Bismark



"Man hat kaum einen Fehler, der nicht verzeihlicher wäre, als die Mittel, die man anwendet, um sie zu verbergen."

Francois VI. Duc de La Rochefoucold



 „Beurteile einen Menschen

lieber nach seinem Handeln

als nach Worten, denn viele

handeln schlecht und

sprechen vortrefflich.“

Matthias Claudius

Partner und Beauftragter der KMU mit ganzheitlichen operativen Fach- und Sachkompetenzen

 

Sicherheit anstatt Risiko - Schaden - Haftung

 

 

„Compliance ist Chefsache" – sowie deren persönliche Haftung!

Urteilsbegründung des vorsitzenden Richter des LG München I Urteil vom 10.12.2013 - 5 HKO 1387/10  gegen einen Vorstand der Siemens AG -  Organisationsverschulden 

(Von den 10 Vorständen der Siemens AG haben sich 9 Vorstände bereits 2010 "freiwillig" vor Gericht per Vergleich zur Zahlung von Schadensersatz geeinigt)

 

Ein ganzheitliches, transparentes und funktionales Compliance System wird im Zusammenhang mit der Haftungsvorsorge (Exculpation) in Unternehmen für Verantwortlichen immer wichtiger und existenziell.

 

Deshalb ist es für Unternehmen elementar in Zukunft ihre 3 Compliance Officer bzw. Rechtskonformität Beauftragten für die 3 nachfolgenden Compliance Bereiche als Stabsstellen zu implementieren, wie folgt:

 

  1. Finanzen/Buchhaltung/Steuern/Gesellschaftsrecht  -  Wirtschaftsprüfer/innen i.V.m. Notar/e
  2. Recht/Verträge/Anti-Korruption/Behörden/Organisation   -   Rechtsanwälte/innen
  3. Prozesse/Fachbereiche/Organisation -  Generalisten/Beauftagten/Sachverständige

 

In der Regel hat jedes Unternehmen die ersten 2 Compliance  Bereiche mit ihren erwählten Compliance Officer implementiert, sowie  ihre Compliance Pflichten - Rechtskonformität - in diesen Bereichen bis zur mitteleren Verantwortungsebene gegenüber den Behörden, sowie deren strategischen Organisationsstruktur und Unternehmerpflichten adefiniert. Jedoch die regelmäßige und anlassbezogene  Aufsichts-, Kontroll- und Prüfpflicht der strategischen Verantwortlichen, wie die die des Vorstandes oder Geschäftsleitung zu deren unterstellten Führungskräfte, Stabsstellen und Beauftragten sind in der Regel nicht an die 2 Compliance Officer übertragen, noch ein solches Mandat erteilt oder angenommen. Noch werden diese in der Regel von der Organisation angemessen ausgeführt, sowie in deren Managementsystemen brücksichtigt und vogesehen, in Form von befähigten Personen praktiziert. In den meisten KMU oder die der Industrie wird gerade der Compliance Officer Operativ meist übersehen oder als ein nicht wichtiger 3. Baustein ihres Compliance Managment System gewertet und verkannt.

 

Die grundsätzlich bestehende Pflicht zur Schaffung einer angemessenen, ganzheitlichen und funktionalen Compliance Organisation mit deren Kontrollsysteme wird von vielen – gerade auch mittelständischen – Unternehmen in der Praxis nicht die Bedeutung beigemessen, die dieser Pflicht mittlerweilen zukommt.

Der Gesetzgeber und die Rechtsprechung dies aber in jedem Unternehmen hierzu bedarf, zu implementieren und anzuwenden ist. Die nachstehend skizzierten Entwicklungen zeigen jedoch, dass das Vorhandensein eines effizienten ganzheitlichen Compliance Systems mit den eingesetzten Compliance Officer der vorgenannten Compliance Bereiche für fast jedes Unternehmen unverzichtbar wird.

 

Das Landgericht München I hat im Dezember 2013 das ehemalige Vorstandsmitglied der Siemens AG, Heinz-Joachim Neubürger, zu Schadenersatz in Höhe von 15 Millionen Euro wegen der Verletzung von Compliance Pflichten verurteilt. Damit hat sich ein Gericht – soweit ersichtlich – erstmals explizit mit den zivilrechtlichen Folgen der Verletzung von Compliance Pflichten befasst und ein Organmitglied wegen Verletzung dieser gesetzlichen Pflichten zu Schadenersatz verurteilt.

 

Aufgrund der vorstehenden Entwicklungen müssen sich alle Unternehmen – nicht nur börsennotierte Aktiengesellschaften – dringend ernsthaft mit dem Thema Legal Compliance, Frühwarn- und Kontrollsystem, sowie ein Risikomanagement als CMS der vorgeannten 3 Compliance Bereichen befassen, wie auch dementsprechende organisatorische Vorkehrungen, sowie notwendige Maßnahmen einleiten und umsetzen.

 

Organisationspflichten – Haftung bei Verletzung

Der Vorstand oder die Geschäftsführer einer Kapitalgesellschaft sind verpflichtet, das Unternehmen so zu organisieren, dass die gesetzlichen Bestimmungen und sonstigen Rechtsvorschriften eingehalten werden. Es besteht für die Untenrehmensleitung einer Kapitalgesellschaft oder einer Personengesellschaft grundsätzlich eine Rechtspflicht zur Einhaltung der rechtlichen, behördlichen und sonstigen bindenden Anforderungen (Compliance) ihrer Organisations-, Unternehmens- Verkehrssicherungs- und Betreiberpflichten, sowie ihrer selbst auferlegten Anforderungen, aber auch ihrer internen Kontroll- und Rechenschaftsberichtspflichten.

 

Im Fall der schuldhaften Verletzung dieser Pflichten droht der Unternehmensleitung eine Haftung unter dem Gesichtspunkt des Organisationsverschuldens. Auf diese Weise können Rechtsverstöße, die Mitarbeiter des Unternehmens begehen, zu einer Haftung der Unternehmensleitung wegen einer eigenen Pflichtverletzung führen. Der Vorstand, die Geschäftsführer oder Inhaber haftet in diesen Fällen nicht deshalb, weil er sich in eigener Person an Rechtsverstößen beteiligt haben, sondern weil sie es unterlassen haben, eine Organisation und Kontrollsystem IKS und Frühwarnsystem (Aufsichts-, Prüf- und Kontrollpflicht) zu schaffen, in der vor allem Rechtsverstöße rechtzeitig erkannt und vermieden werden. Dieses Unterlassen stellt eine eigene zur Haftung führende Pflichtverletzung des betreffenden Vorstands, der Geschäftsführer oder eines Inhabers dar.


"Compliance ist Chefsache" - sowie deren persönlichen Haftung! Aber auch die der untergeordenten Führungsebenen (Verantwotlichen) mit deren übertragenen und delegierten Verantwortungsbereichen!


Ziel: Die richtige Organisation des Unternehmens, insbesondere das Vorhandensein eines transparenten, effizienten, ganzheitlichen und funktionalen Systems, dient somit unmittelbar der   Haftungsvorsorge und -vermeidung (Exculpation - exculpieren).

  

Compliance-Managementsystem CMS (HLS) ISO 37301:2021

enthalten Anti-Korruption Managementsystem (HLS) ISO 37001:2018 Anti-Korruption MS 

Es liegt von der ISO 19600 die Version 2020 vor und legt international einheitliche Rahmenbedingungen fest. Die nun von der ISO 37301:2021 hierzu abgelöst wurde.

 

Die ISO 37301:2021 wird nun als erstes internationales akkreditiertes Compliance Managementsystem als anerkannter Stand der Technik, mit deren zertifizierbaren Freigabe in 2021 herangezogen, wenn künftig im Rahmen behördlicher Ermittlungs-, Straf- oder zivilrechtlicher Haftungs- und Schadensersatzverfahren die Frage beantwortet werden muss, ob der Vorstand, die Geschäftsleitung oder Inhaber, wie auch die der strategischen und operativen Führungskräfte (Linien-Verantwortlichen) ihrer gesetzlichen Garanten- und Schutzstellung ihrer Organisations-, Betreiber-, Verkehrssicherungs- und Unternehmerpflichten bestehen. Sodass diese deren Auswahl-, Anweisungs-, sowie deren regelmäßigen und anlassbezogenen Aufsichts-, Kontroll-, Prüf- und Berichtspflichten ausreichend und angemessen nach den geltenden eigenen bindenden Richtlinien, Beauftragungen und Anweisungen, sowie die der rechtlichen, behördlichen, bindenden und sonstigen Anforderungen bedarfsgerecht nachgekommen sind.


Das bedeutet, dass in Zukunft eine ganzheitliche Betrachtung für Unternehmen zwigend erforderlich macht, vor allem die bisher vernachlässigte 3. Säule des Compliance Officer Operativ. Wie auch die der vernachlässigten risikobehafeteten operativen Verantwortlichen, mit deren relevanten Kern- und Unterstützungsprozessen ihrer rechtlichen, behördlichen, bindenden und sonstigen bindenden Anforderungen. Sowie deren erforderlichen widerspruchsfreien und unmissverständlichen Pflichtenübertragungen mit deren Zuordnung der Unternehmens-, Betreiber-, Verkehrssicherungs- und Organisationspflichten auf deren bestehende Organisationsstruktur mit Ableitung der detaillierten Aufgaben, Pflichten und ihrer Berichtspflichten. Mit dem Ziel, deren Bewertung der Erfüllung bzw. Zustand ihrer Risiken und Chancen deren rechtlichen, behördlichen und sonstigen bindenden Anforderungen der Organisation, für deren Entlastung.


Ethisches Verhalten bekommt größere Bedeutung im Compliance-Systemen zu. Integrität und Redlichkeit, d.h. angemessenes Verhalten unabhängig von gesetzlichen Regelungen sind nach ISO 37301 wesentliche Kriterien der Corporate Governance (bezeichnet den rechtlichen und faktischen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens). Diese Gesichtspunkte waren in Folge der Compliance Definition der Deutschen Corporate Governance Kommission – Einhaltung externer und interner Regelungen und Prinzipien – in den Hintergrund getreten.


Wichtig - Nichtwissen schützt vor Strafe nicht

Die Notwendigkeit zur Einhaltung gesetzlicher Regelungen durch Unternehmen ergibt sich aus dem Grundsatz, dass Gesetze − auch durch juristische Personen − einzuhalten sind. Unternehmen und Unternehmensverantwortliche sind über StGB § 13 (Garanten) und der Straftatbestände definiert, sowie vor allem §§ 9, 30 und 130 Ordnungswidrigkeitengesetz (OWiG) gefordert, dafür Sorge zu tragen, dass aus dem Unternehmen heraus keine Gesetzesverstöße erfolgen. Werden die Beschützer- und Überwachuhngsgaranten mit deren entsprechenden Betreiber-, Verkehrssicherungs-, Fürsorge-, Organisations-, Überwachungs-, Kontroll-, Prüf- und allgemeinen Aufsichtspflichten nicht ergriffen, können Unternehmensleitung, sowie deren unterstellten Verantwortlichen, sowie das Unternehmen selbst zu Strafen und Ordnungswidrigkeiten verurteilt werden, wenn es aus dem Unternehmen zu Gesetzesverstößen, Ordnungswidrigkeiten und sonstigen bindenden (auch eigene) Verletzungen gekommen ist.

 

Deshalb sind vom Unternehmen von deren strategischen Führungskräfte die erforderlichen und notwendigen Ressourcen und Mittel bedarfsgemäß sowie angemessen bereit zu stellen, um die notwendigen Compliance Systeme und Compliance Officer als unabhängige, befähigte und neutrale Beauftragten oder Sachkundigen zu bestellen, die somit ein ganzheitliches System und Rechtskonformität für das Unternehmen gewährleisten !


Inhalte der EU-Whistleblower-Richtlinie

Gemäß der EU-Whistleblower-Richtlinie, die zum 16.12.2019 beschlossen wurde und bis zum 16.12.2021 national umgesetzt werden muss, werden Unternehmen mit mehr als 50 Mitarbeitern (Nationalstaaten können die Schwelle jedoch auf bis zu 250 Mitarbeiter anheben) sowie Behörden und Kommunen mit mehr als 10.000 Einwohnern dazu verpflichtet, Kanäle einzurichten, über die Verstöße gegen nationales und EU-Recht gemeldet werden können. Die auch bei Nichtumsetzung in nationales Gesetz, ab dem 17.12.2021 bindend als EU Recht mit deren hierzu definierten Kriterien für jedes EU Mitgliedsland der Regierung, der Behörden, der Gerichte und der Unternhmen deren bindenden Anwendung, sowie Gewährung verpflichtet sind.


Grundlegendes Ziel der Richtlinie ist es, die Aufdeckung und Unterbindung von Verstößen zu forcieren, gleichzeitig jedoch auch denHinweisgeber(„Whistleblower“) sowie gegebenenfalls Dritte/Vermittler, die bei der Meldung unterstützen,besser zu schützen, sodass für diese keine negativen zivil-, straf- oder verwaltungsrechtlichen oder internen Konsequenzen als Folge der Meldung zu befürchten sind.

Im Wesentlichen lässt sich dasMeldeverfahren in drei Stufenunterteilen:

  • Interne Meldung.
  • Meldung an die zuständige Behörde.
  • Meldung an die Öffentlichkeit.


Der Hinweisgeber ist nicht zur Einhaltung dieser Hierarchie verpflichtet, jedoch wird empfohlen, zunächst die internen Kanäle der Organisation zu nutzen, bevor auf die Kanäle der externen Behörde oder gar die öffentlichen Medien zurückgegriffen wird.


Hinweisgeberschutzgesetz (HinSchG)

Am 02. Juli 2023 trat das „Gesetz für einen besseren Schutz hinweisgebender Personen“, kurz: Hinweisgeberschutzgesetz (HinSchG) in Kraft. Das Gesetz soll einerseits die Hinweisgebenden vor Sanktionen (z.B. Kündigung…) schützen und andererseits den Arbeitgeber verpflichten, kurzfristig die Meldung zu bearbeiten. Dies muss der Arbeitgeber nachweisen!


Während Unternehmen mit mehr als 250 Mitarbeiter seit dem 02.07.2023 ein solches Hinweisgebersystem eingerichtet haben müssen, können sich Unternehmen mit 50 bis 250 Mitarbeiter bis zum 17.12.2023 damit Zeit lassen. Unternehmen mit weniger als 50 Mitarbeiter sind dazu nicht verpflichtet. Die Zählung der Beschäftigten erfolgt als reine "Kopfzahl", d.h. Teilzeitbeschäftige zählen voll.


Folgende Meldungen sollen gem. §2 des Hinweisgeberschutzgesetzes von der Meldestelle entgegengenommen und mit Unterstützung durch die Fachvorgesetzten und die GF bearbeitet werden u.a.:

  • Straftatbestände
  • Ordnungswidrigkeiten, soweit es um den Schutz von Leben, Leib oder Gesundheit oder den Schutz der Rechte von Beschäftigten oder deren Vertretungen geht
  • bestimmte weitere Rechtsvorschriften auf Bundes-, Landes- oder EU-Ebene, die in § 2 HinSchG einzeln benannt werden, u.a.:
  • Vorschriften zur Geldwäsche-Bekämpfung
  • Vorgaben zur Produktsicherheit
  • Vorgaben zum Umweltschutz
  • Datenschutz


Der Gesetzgeber sieht ein Bußgeld von 20.000€ für Unternehmen vor, die das geforderte Hinweisgebersystem nicht eingeführt haben. Andererseits müssen alle Hinweisgeber mit einem Bußgeld von 20.000€ rechnen, wenn sie bewusst Falschmeldungen abgegeben haben. 


Von den drei Möglichkeiten 1) Meldestelle bei einer externen Stelle, 2) interne Meldestelle oder 3) ein zertifiziertes elektronisches Meldesystem mit der Festlegung der Meldestelle zu 1) und 2).


Sodass die Wahl der Einrichtung einer internen oder externen Meldestelle und ein / eine Hinweisgeberschutz-Beauftragte(r) oder Ombudsperson zu bestimmen und zu bestellen ist. Sie /er erhält von der Firma oder die externe stellt ein eigenes Mobiltelefon mit einer eigenen Telefonnummer, unter der die Meldestelle während der allgemeinen Geschäftszeiten für die Beschäftigten erreichbar ist. Ansonsten steht ein Anrufbeantworter zu Verfügung. Ferner unterhält die Meldestelle eine E-Mail- und eine Post-Adresse.


Es ist sichergestellt, dass der/die Hinweisgeberschutz-Beauftragte (r) oder Ombudsperson in dieser Funktion unabhängig, neutral und weisungsfrei ist, sowie kein Interessenskonflikt mit seinen / ihren anderen Aufgaben bestehen.

Der / Die Hinweisschutzgeber-Beauftragte oder Ombudsperson ist in seiner /ihrer Tätigkeit unabhängig und unterliegt bei der Erfüllung der Aufgaben aus dem Hinweisgeberschutzgesetz keinen Weisungen der Geschäftsführung, Vorstand oder Inhaber des betroffenen Unternehmen oder Gesellschaft.


Entgegen internationalen Regelungen und der DIN ISO 32002:2022 gibt es keine Verpflichtung zur Bearbeitung von anonym abgegebenen Meldungen. Jedoch soll der Hinweisgeberschutz-Beauftragte oder Ombudsperson auch solche Meldungen prüfen, um zu entscheiden, ob sie aus Dringlichkeitsgründen (relevanter Rechtsverstoß oder bindender Anforderungen begründet) bearbeitet werden. Die ebenfalls dokumentiert und die Aufbewahrungsfristen eingehalten werden.


Der Sinn und Zweck des Hinweisgeberschutzgesetzes ist in erster Linie das Erleichtern von Meldungen und der Schutz der Hinweisgeber vor Repressalien. Das HinSchG schreibt keine bestimmte Vorgehensweise vor.


Folgende Maßnahmen sind gem. §18 HinSchG zum Beispiel möglich:

  • Durchführung interner Untersuchungen und Kontaktaufnahme mit
  • Betroffenen
  • Verweisung des Hinweisgebers an andere zuständige Stellen
  • Abschließen des Verfahrens aus Mangel an Beweisen oder aus anderen
  • Gründen
  • Abgabe zwecks weiterer Untersuchungen an eine für interne Stelle


Wenn sich Hinweise im Nachhinein als unzutreffend herausstellen, sorgt die Meldestelle dafür, dass alle an dem Fall betroffenen Fakten geprüft werden. Sowie nach deren abschließenden Bewertung eine erforderliche Meldung an die Verantwortlichen der Organisation, zur weiteren Vorgehensweise und Bestimmung der Maßnahmen erfolgen kann.


Auch die interne oder externe Meldestelle kann zuküntig ein Teil des Compliance Management System, als eine unparteiische und weisungsfreie Aufgabe und Pflicht einer oder mehreren

der 3 Compliance Officer ihrer Tätigkeit und Dienstleistung gegenüber ihren tätigen Kapitalgesellschaften, Unternehmen und Organisationen hierzu beauftragt werden.


Lieferkettensorgfaltspflichtengesetz (LkSG)

DasLieferkettensorgfaltspflichtengesetzist eine Regelung zur Verbesserung der internationalen Umwelt- und Menschenrechtslage. Das Kernziel des Gesetzes soll die Einhaltung von Menschenrechten und umweltbezogener Pflichten entlang globaler Lieferketten sein.

Um dieses Ziel umzusetzen, verpflichtet das Gesetz in der Bundesrepublik Deutschland ansässige Unternehmen zur Umsetzung von Sorgfaltspflichten. Diese definieren sich nach den §§ 3 ff. des LkSG. Die neun Sorgfaltspflichten, die sich aus den genannten §§ des LkSG ergeben, stellen den Mittelpunkt des Gesetzes da. Sie legen fest, welchen Maßnahmen sich ein deutsches Unternehmen zu unterziehen hat, um individuelle menschrechtliche oder umweltbezogene Risiken zu vermeiden.


Verstöße gegen Menschen- und Umweltrecht, die sich aus § 2 LkSG ergeben, können unter anderem darstellen:

  • Ungleichbehandlungen etwa aufgrund von Gesundheitsstatus, Behinderung, Weltanschauung oder sexueller Orientierung, insbesondere durch Zahlung eines ungleichen Entgelts für gleichwertige Arbeit.
  • Alle Formen und Arten von Kinderarbeit und Sklaverei.
  • Vorenthalten eines angemessenen Lohns (mindestens der nach geltendem Recht festgelegte Mindestlohn).
  • Gewässerverunreinigung, Luftverunreinigung, schädliche Lärmemission.
  • Die nicht umweltgerechte Handhabung, Sammlung, Lagerung und Entsorgung von Abfällen.

Die Sorgfaltspflichten verpflichten Unternehmen unter anderem zur Einrichtung einesBeschwerdeverfahrenssowie eines Risikomanagements. Das Gesetz verpflichtet Unternehmen zu Abhilfemaßnahmen, sollte eine Pflichtverletzung im eigenen Geschäftsbereich oder der Lieferkette bekannt werden


Bei der Umsetzung der Sorgfaltspflichten sind Unternehmen nicht zu einem Erfolg verpflichtet. Diese Zielbestimmung ergibt sich aus dem hinteren Teil des Paragrafen drei und wurde auf Empfehlung des Ausschusses für Arbeit und Soziales durch den Gesetzgeber mit in das Gesetz aufgenommen. Die betroffenen Unternehmen müssen folglich nur nachweisen, dass sie die Sorgfaltspflichten aus § § 4 ff. LkSG in angemessener Weise umgesetzt haben.

Dabei sind jedoch die Pflicht zur Ergreifung von Präventionsmaßnahmen (§ 6 Abs. 1 LkSG) sowie die Pflicht Abhilfemaßnehmen zu ergreifen (§ 7 Abs. 1 S. 1 LkSG) nicht als Bemühens sondern als Erfolgspflichten konzipiert.


Erkennbar wird dadurch auch noch mal der präventive Charakter des Gesetzes, indem es heißt, das Risiken vorzubeugen ist. Die Regierungsbegründung nennt als weiteres Ziel des Gesetze Rechtssicherheit und faire Wettbewerbsbedingungen auf dem wirtschaftlichen Markt.

Mit Verabschiedung dieses Gesetzes ist die Verantwortung für Menschenrechte nicht mehr nur allein die Aufgabe des Staates. Unternehmen müssen erstmals eigenverantwortlich auf die Einhaltunginternational anerkannter Menschenrechte in ihrem eigenen Geschäftsbereich sowie der Lieferkette achten.