Compliance Officer - CO

Anforderungen an einen Compliance Officer - CO

„Compliance“ - Rechtstreue/Regelkonformität lässt sich damit wie folgt übersetzen:

C = Competence; Fachkompetenz in Produkten, Verfahren/Prozessen sowie im für das Unternehmen

geltenden regulatorischen Umfeld.

O = Organisation; die Compliance Funktion ist unabhängig und dauerhaft eingerichtet und soll sich

wirksam durchsetzen können.

M = Management of compliance risks; zur Vermeidung von Reputationsschäden und regulatorischen,

strafrechtlichen sowie zivilrechtlichen Sanktionen sind Compliance Risiken im Rahmen des

Interessenkonfliktmanagements adäquat zu managen.

P = Preventive; proaktives und präventives Vorgehen schützt das Unternehmen und seine

Mitarbeiter vor Compliance-Verstößen.

L = Legitimacy; Compliance stellt stets auch die Frage des legitimen Vorgehens beim Verkauf von

Produkten oder Anbieten von Dienstleistungen, auch wenn alles im Rahmen der rechtlichen

Prüfung legal und damit zulässig wäre.

I = Internal control system; Compliance ist Teil des internen Kontrollsystems (IKS).

A = Advisory; Beratung ist wesentlicher Bestandteil der Compliance Funktion: Wer besser berät,

muss weniger kontrollieren.

N = No tolerance; Verstöße werden nicht gebilligt und sind adäquat zu verfolgen.

C = Communication; durch Schulungen und Trainings sind Compliance-Inhalte und Compliance

Kultur zu vermitteln. Der ständige Austausch mit den Geschäftsbereichen verbessert nach-

haltig das Verständnis für Compliance und trägt zur Verbesserung der Compliance Kultur bei.

E = Environment; das regulatorische Umfeld ist ständig zu beobachten und risikobasiert im

Unternehmen umzusetzen. Compliance soll die Umsetzung regulatorischer Vorgaben proaktiv

und präventiv begleiten.

„Officer“ - Beauftragte/r lässt sich damit wie folgt übersetzen:

O = Outsourcing; bleibt in bestimmten Grenzen möglich, die Verantwortung des Chief Compliance

Officers/ Compliance Beauftragten ist jedoch nicht teilbar; am Ende der Kette verbleibt die

Gesamtverantwortung für Compliance bei der Unternehmensleitung des auslagernden

Unternehmens.

F = Function; Compliance ist ein ganzheitlicher und funktionaler Ansatz; Ein Compliance-

Beauftragter leitet seinen Compliance Bereich; die Compliance-Funktionen umfassen alle mit der

Umsetzung von Compliance-Vorgaben betraute Mitarbeiter, auch Mitarbeiter in den

Geschäftsbereichen.

F = Forecast – expext the unexpected; jeden Tag können neue Verfehlungen begangen oder

entdeckt werden. Hierauf sollte man vorbereitet sein und flexibel reagieren können. „Ticking the

boxes“ ist schon lange nicht mehr das Credo einer zeitgemäßen Compliance Funktion.

I = Investigation; Die Compliance Funktion sollte nicht als „interne Polizei“ wahrgenommen werden.

Erfolgen allerdings interne Untersuchungen in Bezug auf Compliance-Verstöße, ist die

Compliance-Funktion zwingend zu involvieren.

C = Consumer protection; Compliance schützt nicht nur das eigene Unternehmen vor Verstößen,

sondern auch den Endkunden bzw. den Verbraucher in dem Sinne, dass dieser durch die

angebotenen Produkte und Dienstleistungen nicht geschädigt wird.

E = Escalation; Compliance hat das Recht und die Pflicht, Verstöße zu Compliance relevanten

Vorgaben zu berichten und zu eskalieren.

R = Risk based approach; risikobasierter Ansatz der Beratungs- und insbesondere der

Kontrollhandlungen basierend auf einem auf einer Risikoanalyse aufgebauten

Überwachungsplan.

Grundsätzliches:

Es gibt 3 Einsatz- und Tätigkeitsbereiche - somit 3 voneinander getrennt tätige Compliance Officer im Unternehmen - um ein ganzheitliches Compliance System rechtssicher und konform einzuführen, umzusetzen und aufrecht erhalten zu können. Die sich abstimmen, ergänzen, austauschen unter der Leitung eines Chief Compliance Officer oder Geschäftsführer, oder einzeln mit deren bestellten Aufgaben und Pflichten sich austauschen.

1. CO Bereich: Finanzen/Buchhaltung/Steuern/Gesellschaftsrecht    

2. CO Bereich: Recht(-skataster)/Vertragswesen/Verhalten/Richtlinien/  

3. CO Bereich: Operativ/Beauftragten/Prozesse/Produkte/Dienstleistungen

Die ersten 2 Compliance Bereiche werden von jedem Unternehmen bereits heute durch interne oder externe Compliance Officer besetzt oder per Beauftragung bestellt und erfüllt, wie:

1. Finanzen/Steuern/Gesellschaftrecht: Wirtschaftsprüfer, Steuerberater/in i.V.m. Notaren

2. Recht/Vertragswesen/Anti-Korruption/Verhalten/Richtlinien: Rechtsanwälte/-innen

3. Operativ/Beauftragten/Prozesse/betriebliche Belange/Produkte/Dienstleistungen: Aufgrund der Organisations-, Betreiber- und Unternehmerpflichten, zu bestellende gesetzlichen Beauftragten, freiwillige Beauftragten, Sachverständige, Spezialisten oder Generalisten mit Kenntnisse der Rechtsgrundlagen und Rechtsprechung, dies zum ersten Compliance und Organisationsrecht Urteil vom LG München I von 2013.

Der Einsatz eines 3. Compliance Officers Operativ ist seither dringend anzuraten. Da die operativen Prozesse mit deren enormen Anforderungen und hohem Risiko bisher vernachlässigt wurden, sowie unberücksichtigt blieben.

Sodass die mittlere Führung und die der operativen Linenverantwortlichen eher pauschal ohne ausreichende Detaillierung ihrer Aufgaben und Pflichten aller betroffenen Themenfelder übertragen bzw. delegiert und formuliert wurde. Das ebenfalls für die Stabstellen und die der Beauftragten gleichermaßen gilt.

Compliance ist die Regeltreue von Unternehmen, also die Einhaltung von Gesetzen, Richtlinien und freiwilligen Kodizes.

Die Verpflichtung eines jeden Unternehemens, laut geltender Rechtsprechung, wird

         wie folgt ausgelegt. Siehe unter anderem OLG Nürnberg, Endurteil vom 30.03.2022,

         Az. 12 U 1520 / 19, Rn. 110 ff. / 115 ff.:

Die Pflicht, für ein angemessenes und wirksames Compliance-, Risiko-Management und internes Kontroll-System zu sorgen. 

Hier sollten die Unternehmen zukünftig ihre/n 3. Compliance Officer Operativ bestellen

als unabhängigen, befähigten und neutralen Sachverständigen, Prozessmanager, Sachkundigen oder als ganzheitlichen Generalisten mit deren Verständnis der Abhängigkeiten und Wechselwirkungen zu deren betrieblichen Belange. Sowie die hiermit bindenden, rechtlichen, behördlichen und sonstigen Anforderungen zur Organisationsstruktur, Prozesslandschaft, Produkte und Dienstleistuhngen.

Denn, alleine das mittlerweile umfangreiche gesetzliche Beauftragtenwesen (Betreiber-, Verkehrssicherungs- und Unternehmerpflichten) der KMU und Industrie, mit deren vielfältigen und umfangriechen Prozess-, Sach- und Fachbereichen, stellen den Großteil der strategischen und operativen Risiken dar. 

Denn, die Organisationspflichten, wie der "Auswahl", der "Anweisung" und der "Aufsicht" stellen die wichtigsten Aufgaben und Pflichten der Verantwortlichen dar.

Bei den meisten Organisationen und Unternehmen, hat die oberste Leitung keine vollständige und ausreichende Kenntniss zu deren bestehenden tatsächlichen operativen Risiken, noch die der strategischen Risiken.

Dies liegt oft daran, dass es kein ausreichendes operatives Risikomanagement, internes Kontrollsystem, detaillierten Stellen- und Funktionsbeschreibungen, noch detaillierte erfolgte Bestellungen von gesetzlichen Beauftragten bzw. unmissverständliche Delegation von Unternehmerpflichten mit deren tatsächlichen defininierten Aufgaben und Pflichten. Noch ein hierauf abgestimmtes Berichtswesen mit deren festgelegten Häufigkeit, deren Inhalt und Form hierzu nicht nach den Anforderungen der Organisation bestimmt wurde. Vor allem, wenn die Organisation ein akkreditiertes Zertifizierungsverfahren eines Managamentsystem nach ISO 9001, 14001, 45001, 50001, 22000 und weiteren besteht.

Sodass vor allem für die obere und mittlere Führungsebene, wie auch die der Linien- und Anlagenverantwortlichen, sowie der Stabsstellen, gesetzlichen und freiwillig Beauftragten die vorgenannten 3 Absätze zutreffend und anwendbar sind. 

Mit deren Umstand, dass den Verantwortlichen ihrer tatsächlichen strategischen und operativen Risiken und verbundenen Compliance Anforderungen ihrer Organisations-, Betreiber- und Unternehemerpflichten weder ausreichend bewusst und bekannt sind. Noch diese deren Auswirkungen ihrer tatsächlichen Risiken und Compliance Verstöße ihrer auserwählten und bestellten Organisationstruktur, sowie die der Führungs-, Kern- und Unterstützungsprozesse, der Anlagen, der Produkte und Dienstleistungen in Form deren Risiken und bestehender Haftung hierzu ermittelt.

Sodass in der Regel hier, ein wirksames internes Kontrollsystem nicht ausreichend implementiert und bestimmt wurde.

Einer der Hauptursachen, dass bei der Beauftragung gesetzlichen Beauftragten (die im Rechtssinne, in Form eines "Dienst höheren Art" oder die eines "rechtlichen Garanten" nach Rechtsprechung weisungsfrei geleistet werden) zu deren Sach- und Fachgebiete hierzu von ihrem Besteller (Geschäftsführung oder Vorstand) nicht ausreichend deren Beratung einfordert oder sich befähigen lässt. Noch die Bestellungen nach auf die betriebliche Belange mit deren gesetzlichen und bindenden Anforderungen, deren erforderlichen detaillierten Aufgaben und Pflichten hierzu sachlich abgeleitet bzw. ermittelt wurden. Sodass die meisten Bestellungen nicht deren Umfang enthalten, noch geleistet wird.

Vor allem der hierzu fehlenden und bestimmten Berichtspflichten, in Form einer detaillierten Festlegung zugeschnitten für die Organisation, mit deren bestimmten Inhalt und Struktur, deren Inhalte und Themen, der Darstellung der Risken, sowie die Bewertungsform und der Berichtsintervall (1/12, 1/4, 1/2, jährlich). Das im Regelfall von den Verantwortlichen nicht ausreichend festgelegt und abgestimmt wurde. Sondern, lediglich die allgemeine gesetzliche Mindestpflichten hierzu in der Bestellung, sowie den Auszug des Gesetzestextes mit deren Aufgaben und Pflixchten bestimmt und bestellt.

Das in der Natur der Sache liegt, da die meisten Bestellter aufgrungd unseres Bildungs- und Rechtssystem hierzu im Regelfall nicht zu deren Betreiber- und Unternehmerpflichten ausgebildet oder befähigt wurde, noch hierzu umfassendes Wissen inne haben.

Desweiteren kommt hier erschwerend hinzu, dass somit die Besteller (Verantwortlichen) ihrer gesetzliche Pflicht der regelmäßigen und anlassbezogenen Aufsichtspflicht (Organisationspflicht) nicht ausreichend nachkommen, um sich entlasten zu können.

Darüber hinaus, sind in den meisten Unternehmen, keine Compliance Officer Operativ bestellt, die diese anstelle der Geschäftsleitung wahrnehmen.

Viele KMU und die der Industrie Unternehmen haben hierzu Managementsysteme eingeführt, sowie über akkreditierte Zertgesellschaften zertifiziert und überwacht.

In der Regel, delegiert und bestellt die Geschäftleitung hierzu Kümmerer an interne oder externe Beauftragten, wie die eines bestellten QMB, UMB, SGA-B, EnMB, wie auch die der internen Auditoren, oder weiteren befähigten Personen. Mit deren Auftrag und Pflicht, dass diese die hiermit verbundeneen rechtlichen, behördlichen, bindenden und sonstigen Anforderungen zu prüfen, bewerten, sowie zu in festgelegter Form/Inhalt zu berichten haben.

Hierbei wird oft vernachlässigt, dass hierzu von der Organisation zu ermitteln ist welches Wissen und Befähigung, sowie zu bestimmen wie das interne Kontrollsystem und Risikomanagement auszulegen ist, um sich entlasten zu können. Das im Rechtssine ein

4 Augen Prinzip (Aufsichtspflicht - Organisationspflicht) darstellt. Mit einem eingeführten und implementierten Managementsystem z.B. ISO 37301, wird ein 6 Augen Prinzip als internes Kontrollsystem mit deren Prüf- und Kontrollpflichten der Organisation hierzu gewährt. Bei zertifizierten akkreditierten Managementsystemen, mit einem erweiterten externes Kontroll- und Auditsystem der hierfür eingesetzten berufenen Auditoren.

Leitlinien für ein Compliance System 

(mit oder ohne ein CMS nach ISO 37301:2021)

• Entsprechend der wachsenden Bedeutung und rechtlichen Anforderungen an das Compliance Management in Unternehmen steigen auch der Bedarf an einer weiteren Konkretisierung der Compliance-Funktion sowie die Notwendigkeit für ein genaues Anforderungs- und Kompetenzprofil für Compliance Officer. Die hierfür erforderliche Ausbildung für Mitarbeiter mit Compliance-Aufgaben sollte gemäß dem vorhandenen Risiko- und Geschäftsprofil des jeweiligen Unternehmens, für das sie tätig sind, erfolgen. Insbesondere sollten hierbei Kenntnisse über Kundenanforderungen, Organisationsstruktur, Prozesse und Wechselwirkungen mit deren betrieblichen Belange, Verfahrens- und Arbeitspraktiken, der Produkte und Dienstleistungen, sowie das rechtlich-regulatorische Umfeld und Stand der Technik in dem sich das Unternehmen bewegt, hierzu vermittelt bzw. widerspruchsfrei mit deren Anforderungen zugewiesen und bewertet werden.

• "Compliance ist Chefsache“, also eine originäre Pflicht der Unternehmensleitung. Sie muss im Rahmen ihrer Legalitäts- und Legalitätskontrollpflicht ein unternehmensadäquates und dauerhaftes Compliance-Management (idealer Weise als Compliance Managmenttsystem) sicherstellen.

• Zulässig und in der Praxis verbreitet ist die Delegation von Compliance-Aufgaben. Bei der Einführung und dauerhaften Implementierung von Compliance-Systemen haben „Chief Compliance Officer/ Compliance Beauftragte“ (im Sinne des Leiters einer Compliance-Stelle) sowie alle mit der Umsetzung von Compliance-Vorgaben betrauten Mitarbeiter („Compliance- Officer“) eine Schlüsselrolle.

• Der Chief Compliance Officer/ Compliance Beauftragte sollte unmittelbar dem Vorstand bzw. dem zuständigen Vorstandsmitglied oder der Geschäftleitung zugeordnet werden. Daraus folgt, dass er fachlich zwingend an den Vorstand bzw. das nach Ressortverteilung zuständige Vorstandsmitglied odr Geschäftsführer zu berichten hat. Dies vermeidet Interessenkonflikte in der Person des Chief Compliance Officers/ Compliance Beauftragten.

• Die Compliance Officer müssen zwingend Kenntnisse über die im eigenen Unternehmen vorhandenen Prozesse und Verfahren besitzen, ebenso wie zu den vorhandenen Produkten und angebotenen Dienstleistungen. Dies beinhaltet auch Kenntnisse der maßgeblichen hierzu vorhandenen compliance-relevanten regulatorischen Vorgaben oder strafrechtlich relevanten Normen.

• Die Wahrung der Unabhängigkeit des Chief Compliance Officers/Compliance Beauftragten erfordert auch eine Trennung der Compliance-Funktion von den operativen Geschäftseinheiten unter dem Aspekt strikter Trennung von Überwachenden und Überwachten. Zur Wahrung der finanziellen Unabhängigkeit der Compliance Officer ist ferner darauf zu achten, dass ihre Vergütung nicht in unmittelbarer Abhängigkeit vom Geschäftserfolg einzelner Geschäftsbereiche bemessen wird.

• Die Compliance-Funktion ist unter Wahrung der rechtlichen Vorgaben auslagerbar. Dabei kann zwischen Auslagerung einzelner Teilaspekte (Beratung, Monitoring, Schulung) oder auch der Auslagerung der gesamten Compliance Funktion (inklusive des Chief Compliance Officers/ Compliance Beauftragten) unterschieden werden. Die ultimative Verantwortung für Compliance verbleibt immer bei der jeweiligen Unternehmensleitung als Gesamtorgan.

• Der Chief Compliance Officer/ Compliance Beauftragte trägt dafür Sorge, dass im Unternehmen Prozesse und Verfahren im Einsatz sind, die darauf ausgerichtet sind, sicherzustellen, dass alle compliance-relevanten Vorgaben und Regularien eingehalten werden. Daher ist er in die D&OVersicherung des Unternehmens einzubeziehen und es ist eine gesonderte Vermögensschadenshaftplicht (dies ist typischerweise über eine D&O-Versicherung nicht abgedeckt) für dessen abzuschließen. Dadurch ist sichergestellt, dass eine Haftung für die Tätigkeit als Chief Compliance Officer/ Compliance Beauftragter nur für die vorsätzlich unterbliebene Verhinderung von Compliance-Verstößen bzw. das Nicht-Befolgen von eigenen Pflichten besteht.

• Entsprechend der Risikosteuerungsfunktion von Compliance sollten Compliance Officer die jeweiligen unternehmensspezifischen Risikopotenziale identifizieren sowie Lösungsvorschläge entwickeln und über den Chief Compliance Officer/ Compliance Beauftragten kommunizieren. Dazu gehören die Organisation einer unternehmensspezifischen Risikoanalyse relevanter Gefährdungspotenziale und Schwachstellen sowie die Erarbeitung von Vorschlägen zur Vermeidung bzw. Bewältigung von Compliance-Risiken.

• Zu den Kernaufgaben der Compliance Officer zählt ferner die umfassende Beratung von Unternehmensleitung und Mitarbeitern bezüglich der Beachtung relevanter Vorschriften und der Prävention von Compliance-Risiken.

• Die Vermeidung von Risiken und die Einhaltung von Normen erfordert die Organisation von Informationsflüssen. Der Chief Compliance Officer/ Compliance Beauftragte fungiert dabei als „Informationsschnittstelle“. Er sollte die Informationsverteilung an die betroffenen Personen und Abteilungen koordinieren, im Hinblick auf die Beachtung von „Chinese Walls“, Informationsbarrieren, Vertraulichkeitsbereichen und Interessenkonflikten.

• In unmittelbarem Zusammenhang mit seiner Tätigkeit als maßgeblicher Informationsvermittler stehen Kommunikations- und Schulungsaufgaben. Um eine Compliance Kultur nachhaltig zu verankern, müssen Compliance-Risiken und der Umgang mit diesen kontinuierlich kommuniziert werden, insbesondere durch regelmäßige Schulungen und Fortbildungsangebote für alle Mitarbeiter.

• Um sicherzustellen, dass die compliance-relevanten Vorgaben in allen Unternehmensbereichen eingehalten werden, müssen die Chief Compliance Officer/ Compliance Beauftragten auch Überwachungs- und Kontrollaufgaben wahrnehmen.