Was zutage gefördert wird, sind ein durchaus klares Profilbild und ein paar Scheindiskussionen.
Compliance Officer ist eine Mischung aus Sadomasochist und Religionslehrer. Das Erstere – warum sonst ergreifen Menschen diesen Job, wohlwissend, dass sie in den meisten Unternehmen wenig Anerkennung und Lob bekommen, und in einigen auch keine Rückendeckung von der Geschäftsleitung, im Falle des Falles auf einem Schleudersitz sitzen, vom Vertrieb im günstigsten Fall als „Geschäftsverhinderer“ bezeichnet werden und ansonsten auch nicht wirklich beliebt sind? Und das, obwohl die Karrierechancen eines Compliance Officers recht beschränkt sind und das Gehalt weder mit der seelischen Schmerztoleranzgrenze noch mit der hohen Verantwortung, die der Compliance-Job mit sich bringt, mithalten kann.
Das Zweite, die Ähnlichkeit mit einem Religionslehrer, haben sie, weil sie in ihren Schulungen den „Schülern“ eintrichtern, dass es Gebote und Verbote gibt und dass man sie befolgen muss, sonst werden sie bestraft. Zu einem religiösen Guru reicht es nicht, weil sie ihre Lehren ohne Vision und Pathos vorbringen, sondern mit Abstand und sachlich oder auch trocken und langweilig (das liegt im Auge des Betrachters) – wie ein Religionslehrer eben, bei dem man froh war, wenn der Pausengong einen erlöste.
Zugegeben, dieses Jobprofil klingt etwas überspitzt und für Berufseinsteiger wenig verführerisch. Entspricht aber, auf seine Grundelemente heruntergebrochen, in vielen Unternehmen der Realität. Warum ist das so? Man kann natürlich vorschieben, der Compliance-Job sei ja neu und noch in Entwicklung. Der Job eines IT-Menschen ist es auch, und? Jede Position bringt es mit sich, dass man sich durchsetzen und seinen Wert für das Unternehmen erst einmal aufzeigen muss. Dazu gehört zum Beispiel eine gute Kommunikation. Aber auch eine adäquate Berufshaltung. Und gerade die lässt zu wünschen übrig. Oder wie wirkt es wohl zum Beispiel auf die Vorstände, wenn sie sich anhören müssen: „Ich bin hier nur ein Berater“, oder auf einen Außenstehenden das devote „Nach Abstimmung mit der Geschäftsleitung“, „Mit Genehmigung der Geschäftsleitung“, „In Ermessung der Geschäftsleitung“ und so weiter in diesem Stil, wie das zum Beispiel in fast jedem Absatz der „Leitlinien für die Tätigkeit in der Compliance-Funktion im Unternehmen“, dem gemeinsamen Papier von Netzwerk Compliance, BUJ, DICO und BCM, steht? Irgendwie klingt das aufdringlich und die Compliance Officer machen sich mit dieser Haltung für Außenstehende verdächtig. Warum ist das so, wie lässt sich das Berufsprofil eines Compliance Officers heute umschreiben und überhaupt – was ist der Stand der Dinge in der Angelegenheit Beruf Compliance Officer heute? Das wollen wir uns jetzt anschauen.
Gemeinsame Grundlage und Differenzen
Es gibt eine Meinung, die von allen, die mit Compliance zu tun haben, geteilt wird: Jedes Unternehmen entscheidet selbst, wieweit es die Compliance-Funktion ausgestaltet, wo Compliance organisatorisch aufgehängt wird und welches Aufgabenspektrum es haben soll. Das ist auch soweit einleuchtend, denn es gibt kleine und große Unternehmen mit unterschiedlichem Risikohunger. Kurzum: Was für ein Unternehmen richtig ist, muss nicht als Standard für alle Unternehmen gelten. Diese Tatsache wird nicht nur von Deutschen so vertreten, selbst die Behörden in den USA sehen es nicht anders (siehe „Resource Guide to the U.S. Foreign Corrupt Practices Act“, von U.S. Department of Justice (DOJ) und U.S. Securities and Exchange Commission (SEC)).
Dass jedes Unternehmen entscheidet, wie weit es in Compliance gehen will, bedeutet dennoch nicht, dass es tun kann, was es will. Heute kann sich kein Vorstand mehr damit herausreden, dass, wenn er einen Compliance Officer eingestellt hat, sich die Sache damit für ihn erledigt hat. Compliance-Verantwortung kann man nicht vollständig delegieren. „Der Compliance Officer ist ein ganz normaler Mitarbeiter, an den die Geschäftsleitung Compliance-Aufgaben delegiert. Rechtlich gesehen ist er also „nur“ ein Delegatar der Geschäftsleitung“, sagt Dr. Tobias Brouwer, Bereichsleiter Recht und Steuern sowie Compliance-Beauftragter des Verbands der Chemischen Industrie e.V. (VCI), der sich im Präsidium des Berufsverbands der Compliance Manager (BCM) mit dem Thema Berufsprofil des Compliance Managers beschäftigt. „Wenn es daher darum geht, ein Berufsbild des Compliance Managers festzulegen, darf man nicht in Wunschdenken verfallen und dem Compliance Officer Befugnisse unterstellen, die er gar nicht hat. Es ist vielmehr danach zu fragen, welche Anforderungen die Gesetze und die Rechtsprechung an die Compliance-Aufgabe und an den damit betrauten Compliance Officer stellen. Zu fragen ist etwa, wie weit seine Berichtspflichten gehen, wenn sich die Geschäftsleitung bewusst Compliance-widrig verhält. Zu fragen ist, in welchen Situationen den Inhouse Compliance Manager auch Garantenpflichten im Außenverhältnis treffen. Hier gilt es zunächst, Licht ins Dunkel zu bringen, um darauf aufbauend eine möglichst klare Funktionsbeschreibung eines Compliance Managers zu entwickeln. Dann wird auch klarer, welche Voraussetzungen und Eigenschaften ein Compliance Officer erfüllen sollte, damit er seinen Berufsanforderungen gerecht wird und nicht in die Haftung abgleitet.“
Von persönlichem Wissen her wäre es nicht schlecht, wenn ein Compliance Officer etwas von Gesetzen und Rechtsprechung versteht, er muss aber nicht zwingend Jura studiert haben. „Man kann den Beruf eines Chief Compliance Officers wie jede leitende Tätigkeit mit jeder Vorbildung machen“, sagt Dr. Christoph Hauschka, Rechtsanwalt bei PwC Legal in München und so etwas wie ein „Urgestein“ der deutschen Compliance-Szene. Dass der Compliance Manager ein integrer Mensch sein sollte, versteht sich irgendwie von selbst. Und damit endet auch der Konsens. Darüber, was eigentlich alles zu den Aufgaben eines Compliance Officers gehört, wo seine Funktion organisatorisch im Unternehmen verortet werden und wie seine Berichtslinie verlaufen soll, gibt es viele unterschiedliche Meinungen.
Auch in Bezug auf seine Befugnisse, Zugriffsrechte oder die Ausstattung. Dennoch gibt es mittlerweile Erfahrungswerte, die zeigen, was sich in der Praxis bewährt hat. Und diese Best-Practices sind durchaus übertragbar – mit Ausnahme der kleinen Unternehmen und des Mittelstands bis zu einer gewissen Größe. Um diese Unternehmen soll es hier ausdrücklich nicht gehen.
Das Bewährte
Was hat sich also bewährt? Zum Beispiel die Einsicht, dass man Compliance im Unternehmen nicht allzu eng fassen sollte. Compliance – das ist nicht nur die Einhaltung von Gesetzen. Es ist völlig klar, dass die Einhaltung des Legalitätsprinzips zur Gesamtverantwortung der Unternehmensleitung gehört. Zunächst geht es entscheidend um die Definition des Wertekanons, das heißt, wie ein Unternehmen agieren will. Es gibt mittlerweile genug Erfahrungswerte, die zeigen, dass man Menschen mit rein rechtlichen Argumenten nicht zum Umdenken bewegen kann. „Meine Wahrnehmung ist, dass Compliance in vielen Unternehmen immer noch relativ eng verstanden wird. Meistens sind Kartell- und Korruptionsprävention, gegebenenfalls noch einige wenige andere, die Kerngebiete der Corporate Compliance. Wir haben damals einen weiteren Ansatz gewählt und sagen, dass unter Compliance konsequent gedacht all das fällt, was mit dem Legalitätsprinzip zu tun hat und dementsprechend relevant ist“, sagt Martin Stadelmaier, Leiter Recht und Compliance beim Stuttgarter Flughafen sowie Stellvertretender Leiter der Fachgruppe Compliance im Bundesverband der Unternehmensjuristen (BUJ).
wei der wichtigsten Gründe, die gegen eine allzu enge Eingrenzung der Compliance sprechen, sind zum einen, dass die Behörden mit Vorsatz argumentieren können, sollte etwas passieren. Zum anderen ist zum Beispiel die Einbeziehung der Ethik als Basis eines CMS psychologisch richtig. Denn nicht die Regeln bleiben hängen, sondern der Kontext. Das heißt, ein Mensch muss nicht jede Regel auswendig kennen, wenn er grundsätzlich verstanden hat, auf welcher Wertebasis die Unternehmenskultur aufgebaut ist.
Compliance Officer, wo bist Du?
Ein weiterer Punkt ist die organisatorische Einordnung der Compliance im Unternehmen und die Berichtslinie. Auch wenn das viele nicht gern hören: Wenn man den Chief Compliance Officer oder Leiter Compliance irgendwo in der Rechtsabteilung installiert, dann bringt das eine Reihe von Schwierigkeiten mit sich – sowohl für den Erfolg der Compliance im Unternehmen als auch für denjenigen, der Compliance im Unternehmen machen soll. Das ist einfach nicht ernstgemeint. Allenfalls diskutieren kann man darüber, ob man Rechtsabteilung und Compliance nicht trennt. Es spricht jedenfalls einiges dafür. Denn eine Rechtsabteilung hat eine andere Interessenlage und Funktion als Compliance.
Hier noch eine weitere unbeliebte Wahrheit: Es ist ein absolutes No-Go, dass ein Chief Compliance Officer oder Leiter Compliance an den General Counsel berichtet. Anführen kann man wiederum zum einen den oftmals auftretenden Interessenkonflikt. Zum anderen aber die menschliche Komponente, denn ausnahmslos alle, die diese Konstellation haben und an den General Counsel berichten, beklagen sich: Die Berichte werden geschönt, Dinge werden nicht weitergeleitet, ja, sogar die Compliance-Leiter kommen mit vielen ihrer Anliegen gar nicht an den General Counsel vorbei. Compliance wird behindert und geschnitten. Mit den psychologischen Momenten sieht es etwas besser aus, wenn der General Counsel auch gleichzeitig Chief Compliance Officer ist, denn dann ist er wenigstens selbst für das CMS verantwortlich.
Aber als eine „Augenwischerei“ kann man den Fall betrachten, wenn die Compliance-Funktion nicht einen direkten Berichtsweg an die Geschäftsleitung hat. „Wenn die Compliance-Funktion nicht einen direkten Berichtsweg an die Geschäftsleitung hat, ist das für mich „Window Dressing“, sagt Manuela Mackert, Chief Compliance-Officer und Leiterin des Group Compliance Managements der Deutschen Telekom AG sowie Sprecherin des Vorstandes des Deutschen Instituts für Compliance (DICO).
Die Compliance Funktion sollte möglichst hoch aufgehängt werden, nicht unbedingt im Vorstand, wenn es nicht die Vergangenheit des Unternehmens erfordert. Aber unmittelbar darunter schon. Und wenn ein Chief Compliance Officer organisatorisch nicht unmittelbar unter dem Vorstand verortet wird, dann sollte wenigstens die Berichtslinie unbedingt direkt an den Vorstand verlaufen. „Die Compliance-Funktion sollte vorzugsweise immer direkt an die Geschäftsleitung berichten können, zumindest muss ein ständiger Zugang bestehen. Ich halte das für erforderlich“, sagt Martin Stadelmaier. „Dieser Gedanke der Unabhängigkeit findet sich auch bei anderen Beauftragten. Nicht nur ihre Unabhängigkeit, sondern auch der Berichtsweg sollte direkt ausgestaltet sein. Sonst besteht die Gefahr, dass zu viele Informationen untergehen oder so gefiltert werden, dass die wichtigen Dinge nicht mehr bei der Unternehmensleitung ankommen.“
Auch die Mitarbeiter im Vertrieb, Einkauf und anderen Abteilungen akzeptieren nicht jemanden, der nicht eine bestimmte Autorität und hierarchische Stellung im Unternehmen hat. An dem Ganzen sieht man, dass die Schaffung einer Compliance-Funktion nicht bloß eine Frage der Gesetze, der Rechtsprechung und der Unternehmensorganisation ist, auch beispielsweise die psychologischen Kriterien sollten berücksichtigt werden. Martin Stadelmaier sieht aber noch einen weiteren wichtigen Punkt, der dafür sprechen würde, die Compliance-Funktion möglichst hoch aufzuhängen: „Es ist wichtig, zu schauen, welche Befugnisse die Compliance-Funktion im Unternehmen hat. Die Compliance-Funktion irgendwo im Abseits zu parken bzw. einem Chief Compliance Officer nur einen Titel zu geben ohne eigene Rechte, Kompetenzen, Budget und Ressourcen, genügt nicht den Anforderungen der Rechtsprechung. Man kommt in der Folge sofort sehr nahe in den Dunstkreis des § 130 OWiG, weil die Unternehmensleitung dann ihre Compliance-Organisation nicht richtig einrichtet bzw. gestaltet.“
An dieser Schnittstelle liegt oft der Widerspruch, den viele Unternehmenslenker erst selbst erschaffen: Einerseits wird aus Kostengründen, Falschberatung oder einem falschen Verständnis von Compliance die Compliance-Funktion in den subalternen Dienst verschoben. Andererseits wird aber von derselben Geschäftsleitung erwartet, dass ab sofort das Unternehmen in keinen Schlagzeilen mehr steht und keine Straf- oder Bußgeldverfahren mehr drohen. Hier klaffen Wunsch und Wirklichkeit noch etwas weit auseinander.
Compliance ist nicht bloß ein Tool
Wenn es darum geht, wie man eine Compliance-Funktion organisieren und ausstatten sollte, muss man sich die Corporate Compliance von heute anschauen.„Compliance ist heute ein ganzheitlicher Ansatz und nicht bloß ein Tool“, meint Manuela Mackert. „Was für die Zukunft immer wichtiger wird, ist, dass der Compliance Manager das Geschäftsmodell des Unternehmens gut kennt. Das bedeutet, dass er unternehmerisch denken können muss.“
Das ist übrigens auch eine Sicht, die von der Arbeitgeberseite geteilt wird. Jörg Thierfelder, der beim Personalberater Egon Zehnder für die Bereiche Legal und Compliance verantwortlich ist, zählt folgende Punkte auf, die für das moderne Profil eines Chief Compliance Officer eine zentrale Rolle spielen:
1. Compliance Manager müssen ein tiefgehendes Verständnis für das Geschäft haben. „Deshalb wird oft diskutiert, ob man wirklich einen Juristen braucht oder doch lieber jemanden aus dem operativen Geschäft. Zwar hat die Mehrheit der Compliance Officer wegen Regulierungsfragen und der vielfältigen rechtlichen Aspekte von Compliance nach wie vor einen juristischen Hintergrund, doch das Geschäftsverständnis ist enorm wichtig, um Themen richtig zu adressieren“, so Jörg Thierfelder.
2. Die Unternehmen suchen Compliance Manager mit fachlichem Know-How, die Best-Practice erfahren haben. „In vielen Fällen ist es nicht entscheidend, ob der Compliance Officer aus derselben Branche stammt, es sei denn, es handelt sich um eine stark regulierte Umgebung wie etwa die Finanz- oder Pharmaindustrie“, sagt Jörg Thierfelder.“
3. Gesucht werden vor allem Compliance Manager, die nicht nur ein Compliance Management System installieren, sondern vor allem dessen Umsetzung im Unternehmen anstoßen und unter aktiver Einbeziehung aller Verantwortungsträger vorantreiben. „Ziel ist dabei, dass Compliance von allen Mitarbeitern gelebt wird.“
4. Wichtig ist deshalb, eine Persönlichkeit zu finden, die Führungs- und Überzeugungsqualitäten vorweisen kann. „Also jemand, der Multiplikator und Katalysator in einem ist“, so Thierfelder.
5. Seniorität im engeren Sinne allein ist nicht entscheidend. „Eine gewisse berufliche Erfahrung und Organisationsgeschick sollte man schon haben, aber es kommt insbesondere auf die Persönlichkeit an, auf Reife und Überzeugungskraft“, meint Thierfelder.
6. Da gute Compliance langfristig nur präventiv und nicht repressiv funktioniert, schauen Unternehmen darauf, ob Kandidaten von ihrem Profil und ihrer Persönlichkeit her die nötigen Veränderungen anstoßen können. „Auch wenn aktuell vielfach Compliance Officer gefragt sind, die starke Investigationserfahrung vorweisen können, gilt nach wie vor: Entscheidend ist, dass sie oder er Veränderungen in der Organisation und im Verhalten vorantreibt und nachhält. Das geht nur in enger Zusammenarbeit mit dem CEO und den anderen maßgeblichen Führungspersönlichkeiten und ist dann gelungen, wenn die Mitarbeiter verstanden haben, dass es nicht nur darum geht, Regeln einzuhalten, um Strafen zu vermeiden, sondern eine Kultur zu verwirklichen, die dem Geschäft auf lange Sicht nutzt“, fasst Thierfelder zusammen. „Der Kandidat, der dazu beiträgt, genau das in den Köpfen aller Mitarbeiter zu verankern, stiftet ohne Frage den größten Wert in seiner Position.“
7. Ein Compliance Manager muss mutig sein und auf die Mitarbeiter im Unternehmen zugehen. Andererseits muss er eine Persönlichkeit haben, auf die die Mitarbeiter von sich aus zugehen. Also jemand mit kommunikativen Fähigkeiten, an den sich die Mitarbeiter auch wenden wollen.
8. Essentiell ist, dass sich der Compliance Manager auf die Kultur des Unternehmens einlassen kann. „Empathie zu zeigen und in die Unternehmenskultur einzutauchen, sind große Gaben“, so Thierfelder. Dass man sich dabei nicht nur auf die Art der Zusammenarbeit im eigenen Land einlässt, sondern – in einem global aufgestellten Unternehmen – auch auf die unterschiedlichen Kulturkreise eingeht, ist selbstverständlich.
Letztendlich ist es entscheidend, was die Arbeitgeber wollen, und weniger die eigenen Vorstellungen. „Es gibt ein grundsätzliches Thema, das immer wieder Juristen trifft: die Nähe zum Geschäft. ‚Business Acumen‘ – wie kann man Dinge geschäftsorientiert machbar machen, ohne nur an Regeln und Prozessen festzuhalten“, sagt Thierfelder.
Welches Bild gibt nun das Anforderungsprofil eines Chief Compliance Officers ab, wenn man die Bedürfnisse der Unternehmen einbezieht? Jedenfalls hört sich das nicht nach einem engen Verständnis von Corporate Compliance an. Und an dieser Stelle ist es interessant zu sehen, ob das Selbstverständnis der Compliance Officer sich mit dem Anforderungsprofil der Unternehmen deckt.
Bloß ein Berater?
Veranschaulichen kann man das ganz besonders gut an der Frage, ob Compliance Officer lediglich Berater sind. Diese Selbstsicht ist nämlich aus Haftungsgründen unter den Compliance Officern in Deutschland sehr beliebt. „Natürlich sind Compliance Officer auch Berater – vor allem aber sollen sie Veränderungs- und Organisationsgestalter sein“, sagt Personalberater Thierfelder.
Man darf sich nicht alleine auf die Rolle des Beraters reduzieren. Der Compliance Officer ist unter anderem auch ein Berater, indem er Empfehlungen ausspricht. „Der Compliance Officer ist zudem Berater der Organmitglieder und damit unmittelbar an Managemententscheidungen beteiligt. Dadurch ist er gefordert, Projekte und Ziele nicht etwa zu verhindern, sondern nach rechtlich zulässigen Lösungen zu suchen“, so Dr. Brouwer.
Es gibt Ausnahmen in der Compliance-Gemeinde selbst, die sich selbst nicht auf die Rolle eines Beraters einengen lassen wollen. „Ein Compliance Officer ist niemals lediglich ein Berater“, sagt Manuela Mackert. „Der Compliance Officer berät die Geschäftsführung und kann sich nicht nur auf die Beraterrolle zurückziehen. Denn anders als ein extern mandatierter Berater übernimmt der Compliance Officer eine klare Business-MIT-Verantwortung, indem er gemeinsam mit dem Business Geschäftslösungen unter Abwägung der Risiken erarbeiten und umsetzen muss.“
Wie weit der Compliance Officer in seiner Gestaltungskraft wirken kann, muss natürlich individuell im Unternehmen festgelegt werden. „Er kann jedenfalls nicht allein inhaltlicher Gestalter sein, sondern er muss Dinge operativ anstoßen und zur gemeinsamen Umsetzung führen. Zu seinem Aufgabenprofil gehören also, sich die Rückkopplung im Unternehmen zu holen und Stakeholder einzubinden“, so Thierfelder.
„Die Deutsche Telekom involviert ihre Compliance-Abteilung sehr früh in Geschäftsüberlegungen und -aktivitäten. Beim Aufbau der Partneringmodelle bei der Deutschen Telekom wurden wir aktiv von der Geschäftsführung gebeten mitzugestalten. Im Rahmen dieser Modelle arbeiten wir international mit anderen Gesellschaften zusammen und rollen neue Geschäftsmodelle aus. Die große Herausforderung hierbei ist, unser begrenztes Mitspracherecht aufgrund der Eigenständigkeit der Partnerunternehmen bei gleichzeitig teils potentiellen hohen Reputationsrisiken für unser Unternehmen. Unsere Aufgabe beginnt bei den Projekt-koordinierenden Themenstellungen, also wer muss wann wie eingebunden werden, welche Analysen müssen ggf. noch eingeholt und von wem wie bewertet werden, organisatorischen Dingen bis hin zur Frage, welche rechtlichen Hürden zu beachten sind und wie mit möglichen Entscheidungskonflikten umzugehen ist“, so Manuela Mackert.
Es gehören also Zwei dazu: Das Unternehmen muss es wollen, dass die Compliance-Funktion die Strategie mit ihren Compliance-Themen mitgestaltet, und der Chief Compliance Officer muss auch mitgestalten wollen.
Mitgegangen, mitgefangen
Natürlich muss derjenige, der mitgestalten will, auch die Verantwortung übernehmen – und am Ende eben auch haften. Als Erstes kommt jedem die D&O-Versicherung in den Sinn, obwohl keiner der Betroffenen weiß, was sie eigentlich übernimmt und für wen. Ob ein Compliance Officer von der D&O-Versicherung erfasst ist oder nicht, muss man individuell klären. Die Positionsbezeichnung „Compliance Officer“ alleine bedeutet noch nicht, dass man von der D&O erfasst ist. „Es kommt immer darauf an, um welche Funktion es sich handelt und welche Haftung diese Funktion nach dem Gesetz hat“, so Michael Rieger-Goroncy, Leiter Global Corporate FINPRO beim Versicherungsmakler Marsh.
Gehen wir hypothetisch davon aus, der Chief Compliance Officer ist von der D&O umfasst. Was wird dann, wenn ein Schadenfall eintritt, in der Regel übernommen? Ganz allgemein können hier folgende Punkte genannt werden:
1. Die D&O-Versicherung ist eher für die Innenhaftung (zivilrechtlicher Teil) gedacht.
2. Wenn der Arbeitgeber gegen den Compliance Officer vorgeht, dann wird die Schuldfrage geprüft. In dieser Zeit springt die D&O-Versicherung für die Abwehrkosten ein und später für den Schadensersatz.
3. Grundsätzlich würde eine D&O-Versicherung selbst bei grober Fahrlässigkeit noch bezahlen, es sei denn, es geht in den Vorsatz hinein.
4. Die D&O-Policen decken nicht in jedem Fall und vollumfänglich Straf- und Bußgelder ab.
5. Für die Abwehr von Ansprüchen werden in der Regel die Rechtsanwaltskosten übernommen. Darüber hinaus gibt es auch die Möglichkeit, eine separate Industriestrafrechtsschutzversicherung abzuschließen.
6. Weitere Szenarien, die von der D&O übernommen werden:
a. Auskunftsanspruch gegenüber dem Unternehmen, ob es überhaupt eine für den CCO geltende D&O-Versicherung gibt.
b. Klageweise Geltendmachung eines Auskunfts- und Herausgabeanspruchs gegenüber dem Arbeitgeber auf Informationen, Unterlagen und dergleichen (damit der Compliance Officer überhaupt in die Lage versetzt wird, zu beweisen, dass er am Schaden nicht schuld war).
„D&O-Versicherungen sind immer eine sehr individuelle Sache“, sagt Marsh-Experte Michael Rieger-Goroncy. Möchte ein Chief Compliance Officer von der D&O-Versicherung umfasst sein, dann sollte er im Vorfeld genau klären, was die Police abdeckt. „Stellt sich heraus, dass die Deckung nur sehr mangelhaft ist und den Alltagsrealitäten eines Chief Compliance Officers nicht entspricht, dann sollte nachverhandelt werden.“
Brauchen Sie wirklich eine D&O?
Sich auf die D&O-Versicherung zu verlassen, ist ein riskantes Unterfangen. Jeder Chief Compliance Officer sollte daher prüfen, ob es nicht besser wäre, dass er gar nicht von der D&O-Versicherung umfasst wäre. Damit fährt man eventuell sogar besser – es gibt genug Top-Manager, die sich öffentlich beschweren, dass sie ausschließlich negative Erfahrungen mit der D&O-Versicherung hatten. Erfahrene Chief Compliance Officer lösen für sich dieses Problem anders. Manuela Mackert kommt ursprünglich aus dem HR-Bereich, wo man ebenfalls reichlich Erfahrung mit der D&O sammeln kann. „Jeder Compliance Officer muss dafür sorgen, dass seine Verantwortung und Kompetenzen klar definiert werden. Wir haben zum Beispiel klar definiert, wo meine Verantwortung beginnt, aber auch wo sie endet. Dies wurde auch gezielt durch einen Vorstandsbeschluss fixiert. Eine D&O kann das nicht ersetzten“, so Manuela Mackert. „Wenn der Compliance Officer merkt, dass der Arbeitgeber mit ihm die Frage der Verantwortung nicht diskutieren will, dann sollte er den Job nicht antreten oder ihn dann niederlegen.“
Auch Martin Stadelmaier ist der Meinung, dass die Compliance-Gemüter sich in Bezug auf die eigene Haftung ein wenig beruhigen sollten: „Nehmen wir doch mal den viel diskutierten Fall von 2009 der Berliner Stadtreinigungsbetriebe. Es wurde immer wieder gebetsmühlenartig darauf hingewiesen, dass es hier im Kern um einen Compliance Officer gegangen sei. Das ist so pauschal nicht richtig. Vielmehr ging es um einen Volljuristen bei den Berliner Stadtreinigungsbetrieben, der Leiter des Stabsbereichs Gremienbetreuung sowie Leiter der Rechtsabteilung war. Zwischenzeitlich war ihm zudem die Innenrevision unterstellt. Insofern hat der BGH also nur am Rande etwas zum Thema Compliance beziehungsweise der Funktion des Compliance Officer gesagt. Das Urteil lässt sich letztlich auf jeden Beauftragten übertragen und bestätigt insofern nur die bisherigen Grundsätze. Der Inhalt und der Umfang der Garantenpflicht bestimmen sich immer aus dem konkreten – eventuell auch gesetzlich vorgeschriebenen – Pflichtenkreis, den der Verantwortliche übernommen hat. Die Compliance-Gesamtverantwortung kann eine Unternehmensleitung aber gerade nicht delegieren. Für den Compliance Officer kommt es also immer darauf an, zu schauen, wie weit seine Bestellung tatsächlich geht. Insofern sind eine pauschale Betrachtung und eine damit verbundene Panikmache zu undifferenziert. Ich bin nicht der Meinung, dass der Compliance Officer sofort eine Garantenpflicht übernommen hat, nur weil er ein Compliance Officer ist.“ Vielleicht sollten die Compliance Officer bei der Haftungsfrage ihr Universum verlassen und realisieren, dass das Thema Verantwortung und Haftung im Unternehmen nicht nur sie alleine trifft. Und alle lösen es für sich individuell – oder leben eben damit. Ist also die Haftung eines Compliance Officers wirklich ein Problem oder ist es nur ein Scheinthema?
Alle Wege führen zum Vorstand
Nicht zuletzt resultiert natürlich die Frage der eigenen Enthaftung für viele Compliance Officer aus dem Verhalten der Vorstände. Denn läuft im Unternehmen etwas nicht im Compliance-Sinne, dann ist die Ursachenquelle in den meisten Fällen das Verhalten des Vorstands (oder auch sein Nichtstun).
Alle Wege führen also zum Vorstand. Da wären wir aber bei dem eigentlichen Compliance-Problem: Wie den Vorstand einfangen? Denn der vom Vorstand erteilte Compliance-Auftrag ist auf die Überwachung der Mitarbeiter des Unternehmens gerichtet. „Ein Compliance Officer hat gegenüber dem Vorstand kein Überwachungsverhältnis. Denn er ist ja dessen Delegatar, von dem er die Compliance-Aufgabe übertragen bekommt. Nur das Überwachungsverhältnis gegenüber den Mitarbeitern ist delegationsfähig. Auf horizontaler Organebene bleiben dagegen die Organmitglieder zur gegenseitigen Legalitätskontrolle verpflichtet“, so Dr. Tobias Brouwer.
Das bedeutet aber, dass man beim Vorstand woanders ansetzen muss. „Die Rolle des Aufsichtsrats wird in diesem Kontext noch viel zu wenig beleuchtet. Denn auch der Aufsichtsrat muss indirekt die Unternehmenskultur prägen, zum Beispiel bei der Frage der Vorständeauswahl“, so Martin Stadelmaier. Das ist außerhalb der Reichweite von Compliance Officern, aber eventuell ein Thema der Compliance-Verbände, hier ein stärkeres Bewusstsein zu schaffen.
Das Einzige, was die Compliance Officer hier tun können, ist, dem Vorstand immer wieder den Wert, den Compliance für das Unternehmen bringt, aufzuzeigen – und sei es auch zu ihrem eigenen Nutzen. „Man muss den Leuten aus dem Vorstand schon das Gefühl vermitteln, dass man ihnen ihre Haut gerettet hat. Sonst schätzen sie es nicht“, so Dr. Hauschka. „Auf der anderen Seite sehe ich derzeit eine ganz andere Generation von Managern aufwachsen, die irgendwann auf die Vorstandssitze folgen wird. Ihnen muss man erst gar nicht viele Compliance-Dinge erklären.“
Viel Bewegung in den USA
n den USA, wo Compliance einen längeren Vorlauf hat als bei uns in Deutschland, geht es den Compliance Officern übrigens auch nicht besser. Dabei denkt man, dass dort der Kulturwandel doch schon längst hätte stattfinden können.
Richard Cassin, Herausgeber und Redakteur des US-amerikanischen FCPA Blogs fasst die aktuelle Situation der Compliance Officer in den USA wie folgt zusammen: „The issues of the compliance officers in the USA are those you would expect to find. The job pressures are enormous, especially for compliance officers who report to CEOs or business line vice presidents. They really don’t have adequate independence to do their jobs well. And many compliance officers are struggling for resources. They feel that their budgets are inadequate and that they need more help to do basic training and so on. Some compliance officers feel that they are excluded from many business decisions. So access is still an issue. Some compliance officers feel they are underpaid. That’s no surprise. And many compliance officers are still insecure in their positions. They worry that they will lose their jobs if they push too hard. And of course they worry they will be in trouble with regulators, prosecutors, or even shareholders if they are too weak in their jobs. So there are plenty of concerns and life for U.S. compliance officers can be difficult.“
Auch das Thema der eigenen Haftung scheinen die US-amerikanischen Kollegen aus einem etwas anderen Blickwinkel zu betrachten, was am dortigen Rechtssystem und den aktuellen Entwicklungen liegt. „The law will only hold a compliance officer responsible if he or she breached a duty owed to others. There has to be culpability to have liability. The compliance officer can always present a defense that he or she acted reasonably under the circumstances. So there is no strict liability for compliance officers. On the other hand, that means compliance officers must sometimes be ready to defend themselves by proving they acted reasonably under the circumstances. In that case, they will have to present evidence that they did everything reasonably required to detect, prevent, or stop the wrongdoing“, sagt Cassin. „Clearly, they need to be conscious of what they write and say, and how they respond at meetings and the like, so that there is a record of their proper behavior. On the other hand, it would be an unhelpful practice and attitude to always have one eye on the creation of a future defense. That would make other uncomfortable and suspicious of the compliance officer’s motives.“
Erst kürzlich wurde von Seiten der SEC eine interessante Diskussion angestoßen. Die Vorsitzende der SEC, Mary Jo White, hat erst im Juli in einem Vortrag gesagt, wie sehr sie die Arbeit der Compliance Officer schätzt und ihren Wert für alle Stakeholder im Wirtschaftssystem aufgezählt sowie ihnen die Unterstützung der SEC zugesichert: „We want to support you in your efforts and work together as a team. As an agency, we have tried to send a clear message about the importance of compliance to your boards and senior management, as well as the importance of strongly supporting you and compliance generally. Compliance and risk management must be an organization-wide effort and responsibility. […] We have tremendous respect for the work that you do.“ Diese ideelle Unterstützung ist aber nur die eine Seite der Medaille und hat ihren Preis. Denn die SEC-Chefin stellt auch unmissverständlich klar: „That being said, we must, of course, take enforcement action against compliance professionals if we see significant misconduct or failures by them. […] Being a CCO obviously does not provide immunity from liability, but neither should our enforcement actions be seen by conscientious and diligent compliance professionals as a threat. […] We do not bring cases based on second guessing compliance officers’ good faith judgments, but rather when their actions or inactions cross a clear line that deserve sanction.“ Mehr Schutz bedeutet auch mehr Verantwortung. Die neueste Entwicklung in den USA ist also, dass die Behörden den Compliance Officern mehr Rückendeckung geben, dafür erwarten sie aber auch, dass diese ihre Arbeit in den Unternehmen intensivieren.
„It’s clear that the United States regulators and prosecutors are expecting compliance officers to be strong and independent professionals. The gatekeeper role is now being emphasized. It’s up to compliance officers to look out for the interests of the stakeholders — shareholders and others“, so Cassin. „Compliance officers can’t just go along with questionable behavior. They must now have a loud voice within senior management. And if that isn’t enough, they should communicate directly with boards of directors. If even that isn’t enough, the compliance officers need to blow the whistle to the regulators or prosecutors or both. As someone at the UK Financial Conduct Authority said, it’s now time for compliance officers to show some backbone. What’s that mean? Compliance officers are more likely to find themselves caught in the middle between their role as corporate employees and independent watchdogs.“ Auch hierzulande wünschen sich die Compliance Officer mehr Rückendeckung von den Behörden und in manchem vielleicht auch vom Gesetzgeber. Dann müssen sie aber dazu bereit sein, dass diese umgekehrt auch etwas von ihnen erwarten und mehr fordern werden. Wollen wir das?
Compliance als Dead End
Wie wir gesehen haben, hat der Beruf eines Compliance Officers durchaus ein gut zu umschreibendes Profil. Es gibt aber auch ein paar „Wenns“. Zum Beispiel, wenn diese Konstellation bleibt: Mangelhaftes Verständnis und wenig Rückendeckung von Seiten der Geschäftsleitung, eine von Befugnissen, Rechten, Pflichten und organisatorischer Einbindung her schwache Compliance-Funktion und ein Compliance Officer, der sieht, dass Dinge in die falsche Richtung laufen, aber nicht in der Lage ist, Abhilfe zu schaffen – dann ist der Beruf eines Compliance Officers ein Dead End. Das heißt nicht, dass es den Beruf irgendwann nicht mehr geben wird. Sondern dass der Beruf unattraktiv ist, ohne Aufstiegschancen, ohne Anerkennung, ohne Mitgestaltungsmöglichkeiten, und am Ende führt es zu einem Abstellgleis. Wollen wir das?
Ein Compliance Officer sollte heute mehr in die eigene Hand nehmen, als er es bisher getan hat – und nicht erwarten, dass irgendjemand anderes seine Probleme für ihn löst. No Risk, no Fun – vorausgesetzt, man macht seinen Job nach bestem Wissen und Gewissen und hat im Vorfeld vorgesorgt.
