Die Urteilsbegründung liest sich wie ein X-beliebiger juristischer Schriftsatz. Doch was die Richter der Kammer für Handelssachen am Landgericht München da Ende des Jahres formulierten, barg einige Sprengkraft. Sie hatten den früheren Finanzvorstand eines deutschen Großkonzerns zur Zahlung von 15 Mio. Euro Schadenersatz an seinen Ex-Arbeitgeber verurteilt, weil er es nicht verhindert hatte, dass seine Mitarbeiter jahrelang Schmiergeld zahlten und damit gegen das Gesetz verstießen. Die Richter stellten klar: „Die Einrichtung eines funktionierenden Compliance-Systems gehört zur Gesamtverantwortung des Vorstands.“ Und die Juristen führten erstmals genau aus, wie solche Compliance aussehen muss.

„Dieses Urteil untermauert deutlich, worauf wir bereits seit Jahren hinarbeiten“, sagt Jörg Busch, verantwortlicher Consulting & Risiko Partner bei PwC Österreich. „Die Pflicht ausreichend organisatorische Vorsorge zu treffen wird massiv unterschätzt.“ Aber jetzt ist klar: Führungskräfte, die das Thema schleifen lassen, haften höchstpersönlich. Deutsche Dax-Unternehmen verfügten vielfach bereits über Compliance-Organisationen, die den Ansprüchen der Münchener Richter genügen, betont PwC-Experte Busch. In österreichischen Unternehmen und im deutschen Mittelstand hingegen gebe es oft Nachholbedarf. Noch ist das Urteil nicht rechtskräftig, in der Berufung könnte es auf einen Vergleich hinauslaufen. „Das Verfahren wird aber von einer Vielzahl von Unternehmensvertretern mit Sorge beobachtet“, weiß Henning Herzog vom Lehrstuhl für Betriebswirtschaft und Governance, Risk & Compliance an der Quadriga-Hochschule in Berlin.

Drei wesentliche Merkmale zeichnen ein funktionierendes Compliance-System laut Urteil aus. Erstens muss Compliance eine zentrale Führungsaufgabe sein, sagt Ökonom Herzog. Die Unternehmensleitung muss sich selbst an Recht und Gesetz halten. Und es genügt nicht, wenn Manager eine Richtlinie schreiben und Mitarbeiter oder Lieferanten nur unterschreiben lassen. „Die bloße Freizeichnung befreit in keiner Weise von der Pflicht, eine ordnungsgemäße Compliance-Organisation umzusetzen.“ Compliance sei ein notwendiger Teil der Geschäftsprozesse, ergänzt Martin Schulz, Professor für Unternehmensrecht an der German Graduate School of Management and Law (GGS) in Heilbronn. „Das Top-Management muss vor allem unmissverständlich klar machen, dass Regelverletzungen nicht geduldet, sondern verfolgt und bestraft werden.“

Das zweite Merkmal einer guten Compliance-Organisation: Eine genaue Analyse der unternehmensindividuellen Risiken. „Die Münchener Richter fordern: Die Führung muss klären, wo im Unternehmen die Gefahr von Verstößen besteht“, erläutert PwC-Experte Jörg Busch. Anstatt allgemeine Richtlinien – etwa gegen Preisabsprachen – zu erlassen, sollte sich das Management vielmehr fragen, in welchem Unternehmensbereich es mit homogenen Gütern und oligopolistischen Marktstrukturen zu tun hat. „Dort, wo tatsächlich Gefahr droht, schaut man sich dann an, welche Kollegen zuständig sind, schult sie gezielt, richtet entsprechende Kontrollen ein – und lässt die interne Revision alles genau prüfen“, sagt Busch.

Genau so sind die ersten Unternehmen als Vorreiter in Österreich vorgegangen. In einem ersten Schritt wurden die individuellen Risiken analysiert, Verantwortlichkeiten definiert und dann die notwendigen operativen Maßnahmen eingeführt. Gerade in Österreich haben z.B. viele Unternehmen immer wieder mit Amtsträgern zu tun – etwa, wenn es um die Vergabe von Aufträgen geht. Also sensibilisieren die Compliance-Manager die betroffenen Mitarbeiter, dass Amtsträger keine unrechtmäßigen Zuwendungen erhalten. Hierzu stehen im Bedarfsfall auch Beratungsmöglichkeiten zur Verfügung. Die Verwendung wird regelmäßig geprüft.

Entscheidend ist, dass Compliance als Organisation im Vorstand oder bei der Geschäftsführung verankert ist, dass es Richtlinien in Bezug auf die wesentlichen Handlungsfelder gibt und dass eine geeignete Kommunikation existiert, die sicherstellt, dass Führungskräfte und Mitarbeiter sich innerhalb des Werte- und Regelrahmens bewegen. Der Bereich, der nahezu in keinem Unternehmen ausreichend gewürdigt wird, ist das Thema „Interne Kontrollen“. „In den meisten Fällen sind diese geprägt durch die Finanzsicht oder die Sicht des Rechnungshofes, ohne dass es eine Würdigung gibt, ob diese Kontrollen auch ausreichend sind, um Compliance-Risiken zu minimieren oder ob diese wirksam sind“, erläutert Jörg Busch. „Damit fehlt dem Kartenhaus das Fundament und möglichen Tatbeständen sind Tür und Tor geöffnet.“

Eine Compliance-Organisation kann dann auch nur so gut sein, wie das Zusammenspiel mit den wichtigen Akteuren im Hause funktioniert. Neben den Führungskräften sind der Einkauf, der Vertrieb, die Personalabteilung, die Rechtsabteilung, die Interne Revision und die Aufsichtsgremien wichtiges Bindeglied in der Gesamtorganisation. In regelmäßigen Abständen gilt es dann, Bericht zu erstatten an den Vorstand und die Aufsichtsgremien, in dem die wesentlichen Informationen zur Umsetzung des Compliance-Programms und wesentliche Compliance-Verstöße dargestellt werden. Anhand des regelmäßigen Reportings prüfen die Gremien, ob die bestehenden Regeln und Strukturen ihren Zweck erfüllen.

Das Urteil des Münchener Landgerichts hat auch Auswirkungen für Geschäftsführer. „Im Mittelstand sind viele Unternehmen aber noch nicht soweit“, sagt Busch – obwohl Vorreiter zeigen, dass sich wirksame Compliance auch ohne große Compliance-Abteilungen umsetzen lässt. Die Einrichtung einer Stabsstelle, die Organisation der Verantwortung und die Aufteilung der Maßnahmen über unterschiedliche Abteilungen kann auch in mittelständischen Unternehmen ohne großen Aufwand abgebildet werden. „Die Größe eines Unternehmens spielt vor den Augen des Gesetzes keine Rolle. Leider werden sich die Unternehmen diese Tatsache erst gewahr, wenn sie mit dem Gesetz konfrontiert sind oder in der Zeitung stehen“, resümiert PwC-Experte Jörg Busch.

Zusammenfassend ist zu sagen, dass auch in diesem Fall die Entscheidung, ob geeignete Organisationsmaßnahmen zur Minderung von Compliance-Risiken bei den jeweiligen Aufsichtsgremien und Ihren Vorständen oder Geschäftsführern liegt. Seit diesem Urteil herrscht aber zumindest etwas mehr Klarheit über mögliche Konsequenzen.