Begriffsdefinition
Für den - aus dem angelsächsischen stammenden -  Begriff "Compliance" existiert keine Legaldefinition. Nach mittlerweile herrschendem Verständnis werden darunter nicht nur die Verhinderung von Vermögensdelikten und Korruption verstanden, sondern allgemein die Einhaltung aller Gesetze, Verordnungen und Richtlinien sowie von vertraglichen Verpflichtungen und freiwillig eingegangenen Selbstverpflichtungen. Compliance ist eine umfassende Aufgabe, die in allen Gesellschaften eines Konzerns, über alle Bereiche und Prozesse hinweg, für alle Rechtsgebiete und Rechtsordnungen und auf allen Hierarchiestufen Anwendung findet.

Bedeutung von Compliance und Folgen von Non-Compliance
In der Vergangenheit haben Rechtsverstöße Unternehmen immer wieder in die öffentliche Kritik gebracht und hohe Kosten für die Aufklärung und deutliche Imageschäden verursacht. Von Behörden und Gerichten wurden außerdem - nicht nur im Bereich des Wettbewerbs- und Kartellrechts - hohe Bußgelder und Geldstrafen gegen Unternehmen verhängt. Compliance-Vorfälle haben häufig auch personelle Konsequenzen an der Unternehmensspitze nach sich gezogen. Die obersten Leitungs- und Überwachungsebenen wurden zudem auch persönlich in Haftungsfälle verwickelt.

Rechtliche Verankerung
Im deutschen Recht existieren keine Vorgaben, die die Einrichtung eines Compliance-Management-Systems zwingend voraussetzen. Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wurden allerdings die Überwachungsaufgaben des Aufsichtsrats konkretisiert. Diese umfassen demnach die Überwachung der Wirksamkeit vom Risikomanagementsystem, Internen Kontrollsystem und Internen Revisionssystem. Zu einem wirksamen und effektiven Risikomanagement gehört dabei auch ein effizienter und standardisierter Umgang mit denjenigen Risiken, die mit Compliance-Verstößen verbunden sind.

Darüber hinaus greift der Deutsche Corporate Governance Kodex (DCGK) das Thema Compliance explizit auf. So hat nach Tz. 4.1.3 der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken. Zudem soll er den Aufsichtsrat regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen der Compliance informieren (Tz. 3.4). Dem Aufsichtsrat und dem Prüfungsausschuss wird ebenfalls empfohlen, sich - unter anderem - mit Fragen der Compliance zu befassen (Tz. 5.3.2). Auch wenn sich der Kodex mit seinen Empfehlungen in erster Linie an börsennotierte Aktiengesellschaften wendet, gelten die darin festgeschriebenen Prinzipien als allgemeine "Good Practice".

Compliance-Management-System
Ziel eines Compliance-Management-Systems ist es, darauf hinzuwirken, dass sich Organmitglieder, Führungskräfte und Mitarbeiter rechtskonform und entsprechend den Unternehmenswerten verhalten. Dadurch sollen Rechtsverstöße und ihre negativen Folgen für das Unternehmen zumindest weitestgehend reduziert werden. 

Das Compliance-Management-System muss auf die individuellen Besonderheiten und Bedürfnisse jedes einzelnen Unternehmens angepasst werden. Dennoch haben sich in der Praxis gewisse Elemente herausgebildet, die einer Vielzahl von Systemen zugrunde liegen:

• Identifizierung und Systematisierung von Compliance-Pflichten und -Risiken,
• Setzen von Compliance-Standards in Form von Verhaltenskodizes und sonstigen Richtlinien,
• Information und Schulung der Mitarbeiter als Präventivmaßnahmen,
• Einrichtung von Kontrollen und Überwachung der Einhaltung von Compliance-Vorgaben,
• Etablierung eines standardisierten Umgangs mit Compliance-Verstößen (inkl. Maßnahmen zur Schadensbegrenzung und Verbesserung für die Zukunft),
• Regelmäßige Berichterstattung an Vorstand und Aufsichtsrat bzw. an einen eventuell eingesetzten Prüfungsausschuss.

Weitere Informationen und Publikationen zum Thema Compliance stehen hier zum Download für Sie bereit.