Kernaufgabe des Compliance-Officers ist es, die Unternehmensleitung bei der Ausgestaltung präventiver Prozesse und Kontrollen zur Vermeidung von Compliance-Verstößen im oder aus dem Unternehmen heraus zu unterstützen. Dabei ist jedem Compliance-Officer bewusst, dass auch das beste Compliance-Management-System das Unternehmen nicht völlig vor dolosen Handlungen einzelner Mitarbeiter schützen kann. Die Gefahr, dass der Compliance-Ernstfall eintritt und der Compliance-Officer zum Krisenmanager werden muss, besteht jeden Tag aufs Neue. Sich dies bewusst zu machen, ist der erste Schritt, um für eine solche Situation gewappnet zu sein und sicherzustellen, dass aus einem Compliance-Verstoß keine Krise und aus einer Krise keine Katastrophe wird.
Wenn man der These zustimmt, dass die Mitarbeiter eines Unternehmens grundsätzlich die Gesellschaft insgesamt widerspiegeln und von einem Teil dieser Gesellschaft nun einmal regelwidriges Verhalten ausgeht, sind durch das Compliance-Management-System festgestellte Verstöße zunächst ein Beleg für die Effektivität des präventiven Teil des vom Compliance-Officer entwickelten oder umgesetzten Systems selbst. Offenbar funktionieren die unternehmensinternen Kontrollen. Erhält der Compliance-Officer von derartigen Verstößen Kenntnis, sind die Berichtswege eingehalten worden, ist er doch derjenige, bei dem Meldungen und Informationen über Compliance-Verstöße aus den verschiedenen Unternehmensbereichen zusammen laufen sollen. Eine frühzeitige interne Kenntnisnahme etwaiger Verstöße, ist auch deshalb durchaus positiv, weil sich dem Unternehmen und dem Compliance-Officer größere Handlungsspielräume eröffnen, als wenn die Kenntnisnahme erst durch Zwangsmaßnahmen von Ermittlungsbehörden, insbesondere Durchsuchungen, erfolgt. Aber auch dann, wenn es also um die repressive Seite des Compliance-Management-Systems, den Umgang mit Verstößen und die Wiederherstellung der Regelkonformität, geht, kann der Compliance-Officer durch ein vorbereitetes und umsichtiges Handeln die hieraus resultierenden Risiken erheblich reduzieren.
Potentielle Auslöser von Krisensituationen
In der Praxis sind insbesondere drei Fallgestaltungen anzutreffen, die potentiell Auslöser einer aus Sicht des Compliance-Officers zu bewältigenden Krisensituation sein können:
Die erste Fallgestaltung umfasst Konstellationen, in denen dem Compliance-Officer intern Erkenntnisse zugetragen werden, die das Vorliegen möglicher strafbarer Handlungen von Mitarbeitern im Unternehmen nahelegen. In diesen Fallgestaltungen ist das Wissen um einen möglichen Compliance-Verstoß noch allein im Unternehmen, was das Krisenpotential zunächst reduziert.
Eine in der Praxis vielfach anzutreffende Fallgestaltung ist ferner die der anonymen Hinweise, zumeist in Form von Briefen, die an verschiedenen Stellen im Unternehmen – bevorzugt bei der Unternehmensleitung – eingehen und die dem Compliance-Officer intern zur Überprüfung weitergegeben werden. Hier herrscht zuweilen Unklarheit darüber, ob der Verfasser dieser Mitteilung jene nur an das Unternehmen versandt hat oder ob diese auch – was in der Praxis zumeist der Fall ist – bei anderen externen Stellen wie Ermittlungs- oder Aufsichtsbehörden eingegangen sind.
Die dritte Fallgestaltung schließlich ist die, in der bereits ein Ermittlungsverfahren wegen einer Wirtschafts- oder Steuerstraftat gegen einen Unternehmensangehörigen läuft. Im Idealfall erhält das Unternehmen hierüber Kenntnis, bevor es selbst von Zwangsmaßnahmen betroffen ist. Wenn Staatsanwaltschaft und Polizei allerdings mit einem Durchsuchungsbeschluss vor Ort erscheinen, liegt aus Sicht des Compliance-Officers eine doppelte Krisensituation vor: Zunächst die Durchsuchung selbst, in der in vielen, vor allem mittelständisch geprägten Unternehmen, neben oder anstatt der Rechtsabteilung dem Compliance-Officer hier die Rolle des Durchsuchungsbeauftragten zukommt. Darüber hinaus manifestiert sich in der Durchsuchung selbst, dass die erhobenen Vorwürfe einen gewissen Umfang und ein zunächst nicht unerhebliches Maß an Plausibilität aufweisen, so dass jedenfalls eine Auseinandersetzung mit dem Sachverhalt durch das Unternehmen unabdingbar ist.
Krisensituation Durchsuchung
In der Funktion als Durchsuchungsbeauftragter muss der Compliance-Officer zunächst das Unternehmen durch diese akute Krisensituation lenken. Zu den unmittelbaren Aufgaben zählt, dass er
- den das Unternehmen insoweit beratenden Strafrechtsanwalt hinzuziehen muss,
- den Durchsuchungsbefehl prüft,
- die Durchsuchung vor Ort überwacht und auf Seiten des Unternehmens koordiniert,
- weiß, dass die Mitarbeiter ohne Rücksprache mit ihm keine Angaben gegenüber den Ermittlungsbeamten machen sowie gleichzeitig sicherstellt, dass alle einen “kühlen Kopf” behalten und insbesondere nicht auf die Idee kommen, Unterlagen zu vernichten oder andere Verdunklungshandlungen zu begehen,
- die Beamten möglichst bei ihren Durchsuchungsmaßnahmen im Unternehmen von für solche Situationen vorbereiteten Mitarbeitern begleitet werden,
- und dadurch sichergestellt wird, dass die Durchsuchungsmaßnahmen den Rahmen des Durchsuchungsbeschlusses nicht überschreiten, insbesondere im Hinblick auf die Mitnahme von Unterlagen und IT-Daten.
Am Ende der Durchsuchung wird er regelmäßig derjenige sein, der das Protokoll über die Durchsuchung durchsehen und unterschreiben wird und dabei die Entscheidung über einen – in der Praxis regelmäßig zu erhebenden – Widerspruch gegen die Sicherstellung der aufgefundenen Unterlagen treffen muss. Er muss zudem der Unternehmensführung die notwendigen Informationen zukommen lassen und Kommunikationsstrategien im Hinblick auf mögliche Presseanfragen koordinieren.
Mit dem Abschluss der Durchsuchung vor Ort ist zunächst der unmittelbare Druck genommen. Vielfach dauert die Durchsuchung aber noch an, da gerade bei Unternehmensdurchsuchungen die digitalen Daten von den Behörden zur Durchsicht mitgenommen werden. Zu bedenken ist ferner, dass bei einer Durchsuchung im Unternehmen eine für den regelmäßig nicht operativ tätigen Compliance-Officer unüberschaubare Anzahl von Dokumenten und IT-Daten mitgenommen wurde, die sich für ihn bildlich gesprochen zunächst als „Black-Box“ darstellen.
Der Compliance-Officer muss daher sicherstellen, dass er erfährt, welche Informationen aus dem Unternehmen heraus gegangen sind und nun den Ermittlungsbehörden vorliegen. Hierzu bietet es sich an, von denjenigen Mitarbeitern, welche die Durchsuchung begleitet haben, Ablaufprotokolle erstellen zu lassen, sowie diese im Hinblick auf die mitgenommenen Unterlagen zu befragen. Dies hat in der Praxis zudem den Vorteil. dass die für die Ausfüllung der Berichtspflichten des Compliance-Managers gegenüber der Unternehmensleitung notwendigen Informationen zusammen getragen werden. Zu den weiteren Aufgaben zählt sodann die Koordination der Aufnahme der Kommunikation mit den Ermittlungsbehörden durch den strafrechtlichen Unternehmensvertreter, insbesondere auch, um abzustimmen, dass mitgenommene Datenträger, Notebooks und andere wichtige Arbeitsmittel schnell zurück in das Unternehmen gelangen.
Erste Maßnahme: Risikoanalyse
Wie auch immer der Verstoß dem Compliance-Officer zur Kenntnis gelangt, seine erste Aufgabe ist stets, eine Risikoanalyse im Hinblick auf das Unternehmen, dem alleine er unmittelbar verpflichtet ist, durchzuführen. Die entscheidende Frage in all diesen Situationen ist, ob das Unternehmen vorliegend Opfer einer Straftat ist oder ob es sich um einen Sachverhalt handelt, in dem vertretungsberechtigte Organe oder entsprechend zur Vertretung des Unternehmens Beauftragte eine Straftat oder Ordnungswidrigkeit begangen haben, durch die Pflichten, die das Unternehmen treffen, verletzt worden sind beziehungsweise, ob das Unternehmen durch etwaige Taten bereichert wurde.
Im ersteren Fall dürfte es sich um einen Compliance-Verstoß mit nur geringem Krisenpotential handeln – jedenfalls sofern die dem Unternehmen zugefügten Schäden versichert oder sich in einem für das Unternehmen vertretbaren Umfang bewegen.
Im letzteren Fall hingegen droht dem Unternehmen einerseits, dass es selbst Nebenbeteiligter eines Ermittlungs- bzw. Strafverfahrens wird, in dem es sich zu verteidigen gilt und andererseits die Verhängung eines Bußgelds nach § 30 OWiG. Regelmäßig sind dies die Fälle, in denen es Anzeichen für systematische Korruptionshandlungen oder Kartellverstöße gibt. Kommt die Risikoanalyse zu einem solchen Ergebnis, dürfte im Hinblick auf die hieraus möglicherweise resultierenden Konsequenzen ein tatsächlicher Krisenfall begründet sein. Hier steht die Abwendung erheblicher Schäden für das Unternehmen im Vordergrund.
Für die Risikoanalyse stehen dem Compliance-Officer in diesem frühen Stadium oft nur spärliche Informationen zur Verfügung. Als Anhaltspunkte dafür können ihm ein Durchsuchungsbeschluss, die Protokollierungen über den Ablauf einer Durchsuchung, die Einschätzung des einen Hinweis weitergebenden Ombudsmanns oder Erkenntnisse aus ersten sorgsam zu überlegenden informatorischen Befragungen von Mitarbeitern dienen.
Die dann folgenden Akutmaßnahmen richten sich nach dem Ergebnis der Risikoanalyse. Zu treffen sind sie zwar durch eine Vielzahl unterschiedlicher Stellen im Unternehmen, aber an einer Stelle müssen sie zusammenkommen und koordiniert werden. Diese Management-Aufgabe obliegt in der Praxis vielfach dem Compliance-Officer.
Akutmaßnahmen
Hat die Risikoanalyse ergeben, dass das Unternehmen Geschädigter eines Compliance-Verstoßes ist, sind insbesondere Akutmaßnahmen zur Sicherung des Unternehmens zu treffen. Diese können die Sperrung von physischen wie auch IT-Zugangsberechtigungen umfassen oder die Vorbereitung personeller Maßnahmen durch die Personalabteilung. Ein wesentlicher Aspekt ist ferner die Schadensermittlung. Hierzu muss der Compliance-Officer eine entsprechende Aufbereitung des Sachverhalts, beispielsweise durch die Interne Revision, bei der Unternehmensleitung anregen. Auch die Ermittlung weiterer Täter ist hinsichtlich der späteren Durchsetzung möglicher Schadensersatzansprüche von Bedeutung. Die Aufklärung gestaltet sich in diesen Fallkonstellationen praktisch meist einfacher, da die Rolle des Unternehmens klar definiert ist.
Sofern eines der vorbeschriebenen Risiken für das Unternehmen droht, stehen im Rahmen von Akutmaßnahmen insbesondere Berichtspflichten gegenüber Unternehmensleitung und Aufsichtsorgan im Vordergrund. Ferner muss er ein Team aus Mitarbeitern verschiedener interner Unternehmensabteilungen und externen Beratern zusammenstellen, um einerseits die interne Aufklärung des Sachverhalts planen und anschließend vornehmen zu können, andererseits aber die Kommunikation mit den Behörden, möglicherweise der Presse und weiteren Stakeholdern sowie nach innen zu koordinieren, damit Unternehmensabläufe nicht nachhaltig gestört werden.
Die besondere Herausforderung besteht darin sicherzustellen, dass alle Maßnahmen koordiniert und miteinander verzahnt werden und der Compliance-Officer stets im Blick hat, dass die initiierten Maßnahmen in unterschiedlichem Kontext unterschiedliche Konsequenzen haben können, beispielsweise im Hinblick auf mögliche arbeitsrechtliche Fristen oder strafrechtliche Risiken. Hier ist auch die Koordinierung und Abstimmung der externen Berater von Bedeutung und insbesondere die Abstimmung mit dem strafrechtlichen Unternehmensvertreter im Hinblick auf ein mögliches proaktives Zugehen des Unternehmens auf Ermittlungsbehörden bzw. die Rolle des Unternehmens in parallel laufenden Ermittlungsverfahren.
Hiermit und mit Handlungsempfehlungen für die Prävention befasst sich der zweite Teil dieses Beitrags.
