Florian Block und Dr. Tobias TeickeRechtsanwälte bei der Wirtschaftskanzlei CMSCompliance ist für deutsche Unternehmen keine Modeerscheinung mehr. Nachdem Compliance-Themen lange Zeit vielfach eher stiefmütterlich behandelt wurden, sind deutsche Großunternehmen im Compliance-Bereich zunehmend professioneller organisiert und personell sowie strukturell besser aufgestellt. Dennoch sehen viele Unternehmen nach wie vor Verbesserungspotenzial. Im Rahmen der repräsentativen Studie “CMS Compliance Barometer” wurde zum zweiten Mal in Folge untersucht, auf welchem Stand die Compliance-Organisationen in Deutschland sind. Befragt wurden Compliance-Verantwortliche in deutschen Unternehmen mit mehr als 500 Mitarbeitern vom gehobenen Mittelstand bis zum Großkonzern. Im Ergebnis kann festgehalten werden, dass deutsche Großunternehmen dem Thema Compliance zunehmend mehr Bedeutung beimessen und ihre Compliance-Aktivitäten weiter ausbauen. Deutlich wird die steigende Compliance-Aktivität etwa beim Anteil an eigenständigen Compliance-Abteilungen in den Unternehmen. Die Studie zeigt, dass mittlerweile mehr als ein Drittel der befragten Unternehmen (36 %) eine eigene Compliance-Abteilung aufgebaut hat, die sich ausschließlich mit Compliance-Fragen befasst. In Unternehmen mit mehr als 5 000 Mitarbeitern liegt der Anteil sogar bei zwei Dritteln. Dies bedeutet eine Steigerung um 8 % im Vergleich zum Vorjahr. In Unternehmen ohne eigene Compliance-Abteilung sind vor allem die Rechtsabteilungen, das Controlling und das Risikomanagement für Compliance-Tätigkeiten zuständig. Für die Compliance-Verantwortlichen in diesen Bereichen ist Compliance jedoch häufig noch eine Nebentätigkeit. Bemerkenswert ist, dass der Anteil von Compliance-Mitarbeitern gestiegen ist, die in operativen Abteilungen wie Einkauf, Marketing und Vertrieb tätig sind. Diese Entwicklung ist mit Vorsicht zu genießen. Zwar kann es für den Erfolg einer Compliance-Abteilung durchaus hilfreich sein, Mitarbeiter mit Erfahrung im operativen Bereich einzusetzen, die die Risiken des Unternehmens gut kennen. Jedoch ist dabei zu bedenken, dass die Übertragung von Compliance-Aufgaben an diese Mitarbeiter letztlich zu einer Überwachung der eigenen Geschäftstätigkeit führt. Ob dies wirklich sinnvoll ist, mag bezweifelt werden. Neben der Einführung von Verhaltensvorschriften (Code of Conduct) und fachspezifischen Richtlinien für Mitarbeiter, über die bereits 85 % der befragten Unternehmen verfügen, erfreuen sich Schulungen als wichtiges Compliance-Instrument zunehmender Beliebtheit. Während im Jahr 2015 nur 46 % der befragten Unternehmen mit Schulungsprogrammen arbeiteten, sind es in diesem Jahr bereits 69 %. Dies zeigt die steigende Sensibilisierung von Unternehmen für Compliance-Themen. Schulungen zielen gemeinhin sowohl auf die Aufklärung von Risiken als auch die richtige Umsetzung der Compliance-Richtlinien ab. Unternehmen haben somit das Compliance-Training als zentrales Element eines Compliance-Management-Systems erkannt. Vorkehrungen für den Krisenfall gewinnen im Vergleich zum Vorjahr klar an Bedeutung. Unternehmen treffen immer häufiger präventive Maßnahmen, um sich speziell auf potenzielle Unternehmenskrisen vorzubereiten. Mittlerweile haben 88 % der befragten Unternehmen klare Zuständigkeitsregelungen für die Koordination und Aufklärung von Verdachtsfällen und festgestellten Verstößen eingeführt. Ablaufpläne und Checklisten für Krisenfälle sind mittlerweile in 78 % der Unternehmen vorhanden. Außerdem existieren in jedem zweiten befragten Unternehmen Leitfäden für den Umgang mit Ermittlungsbehörden (“Dawn Raid”-Richtlinien). Die Vorkehrungen für Dawn Raids sind im Vergleich zum Vorjahr sehr deutlich – um 14 % – gestiegen. Die starken Zuwächse dürften sich damit erklären lassen, dass viele Unternehmen nach den öffentlich bekannt gewordenen Compliance-Fällen hellhörig geworden sind und für den Fall der Fälle gewappnet sein wollen. Auch die Bedeutung von unternehmensinternen eigenen Untersuchungen (Internal Investigations) nimmt stetig zu. Immer mehr Unternehmen haben erkannt, dass durch die frühzeitige und konsequente Aufklärung von Verdachtsfällen im Unternehmen größere Schäden verhindert oder jedenfalls minimiert werden können. Mehr als die Hälfte der befragten Unternehmen haben bereits eine Internal Investigation durchgeführt. Mehr als zwei Drittel der Unternehmen haben hierfür eigens Prozesse geschaffen, um elektronische Daten zu sichten und auszuwerten. Zunehmend in den Fokus gerät dabei auch die Vorbereitung der Befragungen von Mitarbeitern. Wie schon im letzten Jahr sehen die befragten Unternehmen im Bereich Datenschutz nach wie vor das größte Compliance-Risiko (28 %), während Bereiche wie Korruption (15 %) und Kartellrecht (9 %) dahinter zurückbleiben. Dies ist angesichts der gerade bei Korruption und Kartellverstößen drohenden – oft existenzbedrohenden – Geldbußen überraschend. Allerdings fällt auch auf, dass in Unternehmen mit mehr als 5 000 Mitarbeitern die Bereiche Korruption und Kartellrecht realistisch als relevantes Risiko gesehen werden. Nach wie vor sind es vor allem mittelständische Unternehmen, die die Risiken im Zusammenhang mit Kartellverstößen und Korruption unterschätzen, obwohl diese mindestens genauso gefährdet sind wie Großkonzerne. Deutlich zugenommen hat darüber hinaus das Risikobewusstsein für die Bereiche Datensicherheit und Wirtschaftsspionage. Gegenüber dem Vorjahr ist hier die Bedeutung aus Sicht der befragten Unternehmen um 16 % gestiegen. Die aktuelle Beratungspraxis verdeutlicht diese Tendenz, da sich immer mehr Unternehmen um den Schutz wichtiger Firmengeheimnisse bemühen und sich gegen Datenlecks und Datendiebstahl absichern wollen. Als größte Herausforderung in der Compliance-Arbeit sehen über 80 % der befragten Unternehmen schließlich die zunehmende Regulierung und neue Spezialthemen wie etwa die wachsende Bedeutung von Datenschutz, Außenwirtschaftsrecht oder Geldwäsche. Neben den strengen Maßstäben von Kartell- und Strafverfolgungsbehörden werden die steigenden Anforderungen von Geschäftspartnern zunehmend als große Herausforderung wahrgenommen. Schließlich fordern bereits heute viele Geschäftspartner im In- und Ausland Compliance-Nachweise, damit ein Unternehmen überhaupt in die engere Wahl für eine mögliche Zusammenarbeit gelangt. Insgesamt sehen die Unternehmen im Vergleich zum Vorjahr somit deutlich mehr Herausforderungen für ihre Compliance-Organisation. Größere Defizite bestehen offenbar beim Compliance-Bewusstsein. So besteht nach etwa 86 % der befragten Unternehmen die größte interne Herausforderung darin, bei den Mitarbeitern und der Unternehmensführung ein echtes Bewusstsein und eine wirkliche Akzeptanz für das Thema Compliance zu etablieren. Ein ausgeprägtes Compliance-Bewusstsein erkennen nur 31 % der befragten Unternehmen bei ihren Mitarbeitern. Was das Compliance-Bewusstsein auf Managementebene angeht, ist sogar ein Rückgang von 88 auf 81 % zu verzeichnen. Diese Ergebnisse sind bedenklich und verdeutlichen, dass selbst die besten Richtlinien und effektivsten Kontrollmechanismen wertlos sind, sofern die Vorgaben von Mitarbeitern, Führungskräften und der Unternehmensleitung nicht wirklich verinnerlicht und täglich aufs Neue gelebt werden. Ohne Unterstützung der Geschäftsleitung gehen viele Compliance-Maßnahmen ins Leere. Schließlich fehlt es den Compliance-Abteilungen bzw. Compliance-Verantwortlichen ohne Unterstützung der Geschäftsleitung in der Regel auch an der notwendigen Autorität, um Compliance-Initiativen konsequent umzusetzen. Wenn die Geschäftsleitung keine Compliance-Kultur vorlebt, kann auch keine Umsetzung von den Mitarbeitern erwartet werden. Das beste Compliance-Management-System wird in diesem Fall langfristig keinen Erfolg versprechen. Aus der Beratungspraxis ergibt sich, dass sich die Unternehmen abstrakt zwar über die Bedeutung von Compliance bewusst sind. Durch unrealistische Zielvorgaben und erheblichen Druck werden Compliance-Verstöße jedoch vielfach, wenn auch unbewusst, begünstigt. Nicht selten führen solche Drucksituationen dazu, dass Mitarbeiter zur Erreichung der geforderten Ziele die Begehung von Gesetzesverstößen als letztes Mittel ansehen. In solchen Fällen sind Compliance-Bemühungen daher häufig vergebens. Fazit: Die Studie zeigt, dass Unternehmen dem Bereich Compliance zunehmend Bedeutung beimessen und besser aufgestellt sind. Bei der Verankerung einer wirklichen Compliance-Kultur besteht jedoch in vielen Unternehmen weiterhin erheblicher Nachholbedarf.