Compliance macht keine Ferien und bleibt auch im Sommer 2023 ein heißes Management-Thema für Unternehmen und Unternehmer. Neue Risikokategorien, neue Gesetze, neue Behörden und wachsender Regulierungsdruck erweitern den Pflichtenkreis und damit auch die Haftungsrisiken für Vorstände und immer mehr auch Aufsichtsräte. Effektive und effiziente Compliance-Management-Systeme (CMS) werden hierbei nicht nur zur Enthaftung, sondern auch zur Unterstützung der jeweiligen Geschäftsmodelle und Unternehmensstrategien immer wichtiger.

Erst Anfang Juli 2023 konnte mit über zweijähriger Verspätung in der Umsetzung der grundlegenden EU-Whistleblowing-Richtlinie das deutsche Hinweisgeberschutzgesetz in Kraft treten. Unmittelbar anwendbar ist dieses neue deutsche Gesetz branchenübergreifend für alle Beschäftigungsgeber mit mindestens 250 Mitarbeitern. Ab dem 17.12.2023 wird dies auch für Unternehmen mit nur 50 Beschäftigten der Fall sein.

Der Pflichtenkreis von Mitgliedern der Geschäftsleitung erweitert sich entsprechend auf die nicht nur technische, sondern auch prozessuale Implementierung von Hinweisgeberkanälen. Im Unternehmensalltag können hieraus wiederum weitere Herausforderungen für Unternehmensleitung und -aufsicht resultieren wie insbesondere die Einhaltung und Kontrolle der Pflicht der Prüfung und Weiterverfolgung eingegangener Hinweise auf Fehlverhalten.

Das bereits zum 1.1.2023 in Kraft getretene deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet zunächst Unternehmen mit mehr als 3.000 Beschäftigten unmittelbar zur Beachtung von Menschenrechten und Umweltschutz in ihren Lieferketten. Ab dem 1.1.2024 werden dann auch alle Unternehmen mit mindestens 1.000 Beschäftigten verpflichtet. Allerdings sind schon heute unzählige kleinere und mittlere Unternehmen von ihren Kunden aus dem Großunternehmenslager vertraglich verpflichtet worden, entsprechende Lieferketten-Compliance-Management-Maßnahmen zu ergreifen.

Die in Borna bei Leipzig Ende vergangenen Jahres als neue Außenstelle beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) dafür eingerichtete zuständige Behörde hat erst kürzlich bei der Wahrnehmung ihrer behördlichen Kontrollaufgaben bundesweit ein Auskunftsersuchen an 70 Unternehmen aus der Automobil-, Elektronik-, Nahrungsmittel- und Textilindustrie gerichtet.

Die Unternehmensleitungen dieser doch recht unterschiedlichen Unternehmen waren gehalten, innerhalb von einem Monat mitzuteilen, ob sie ihren neuen Unternehmenssorgfaltspflichten ganz konkret mit der Einrichtung eines Beschwerdeverfahrens und der Festlegung einer unternehmensinternen Zuständigkeit für das Risikomanagement – das LkSG nennt exemplarisch die Einführung eines Menschenrechtsbeauftragten – umgesetzt haben.

Dieses Beispiel illustriert nicht nur, dass sich neue nationale Behörden initiativ und aktiv nach tatsächlich ergriffenen spezifischen Compliance-Management-Vorkehrungen erkundigen. Es zeigt vielmehr auch, dass im risikobasierten Design, im betrieblichen Alltag und in der konsequenten Überwachung und Weiterentwicklung bewusste CMS-Entscheidungen getroffen werden müssen. Dies erfordert einen unternehmensspezifischen Plan zur inhaltlichen Reichweite von CMS und der funktionalen Zuständigkeit der Compliance-Organisation.

Die Frage muss beantwortet werden, ob etwa ein Chief Compliance Officer auch in Personalunion der vom LkSG formulierte Menschenrechtsbeauftragte oder vielleicht besser Chief Sustainability Officer sein soll. Und das technisch nicht mehr länger komplizierte, aber in der tatsächlichen Handhabung nach wie vor regelmäßig komplexe Thema von Hinweisgeberkanälen und Hinweisgeberschutz wird um die Notwendigkeit einer Prüfung der Öffnung von vorhandenen Whistleblowing-Systemen auch für externe Hinweisgeber erweitert.

Viele Unternehmen werden sich die zu erwartenden Schwierigkeiten aus einem gleichzeitigen Betrieb unterschiedlicher Hinweisgeber- oder Beschwerdeverfahren ersparen wollen oder sogar müssen, so dass der Compliance-Management-Ansatz sowohl inhaltlich wie auch technisch oder prozessual oftmals gleichermaßen konvergent wie daher effizient ausfallen muss. Die Erwartungen an CMS und damit verknüpfte Einrichtungs-, Betriebs- und Überwachungspflichten werden damit bereits auf der Grundlage geltender deutscher Gesetze anspruchsvoller.

Anders als oftmals kolportiert ist der aktuelle Trend zur gesetzlichen Regulierung von Unternehmenssorgfaltspflichten zum Schutz von Menschenrechten und Umwelt in Lieferketten keine brandneue und auch keine rein deutsche Sonderentwicklung. Gerade international erfolgreiche deutsche Großunternehmen haben schon vor mehr als einem Jahrzehnt erfahren, dass im Ausland besondere Supply-Chain-Compliance-Regeln gelten.

Den Anfang machte hierbei der wirtschaftlich enorm bedeutende und durchsetzungsstarke US-Bundesstaat Kalifornien bereits 2010. Fünf Jahre später folgten das Vereinigte Königreich mit dem UK Modern Slavery Act, Frankreich mit der Loi Vigilance 2017, unsere niederländischen Nachbarn mit einem Gesetz zur internationalen Verhinderung von Kinderarbeit 2019 und Norwegen mit einem vergleichbaren Transparenz-Gesetzgebungsakt 2021.

Diese unvollständige Aufzählung wird wohl Ende 2023 bei einem erfolgreichen Ausgang des EU-Trilogverfahrens um eine supranationale Legislativentscheidung zu ergänzen sein. Ob eine dann in nationales Recht umzusetzende EU-Nachhaltigkeitsrichtlinie die bereits eingeführten Landesgesetze noch einmal weiter verschärfen wird oder nicht, kann dahingestellt bleiben, denn das Metathema Lieferketten- oder sogar Wertschöpfungsketten-Compliance erweist sich definitiv als keine Eintagsfliege. NGOs (Nichtregierungsorganisationen) werden die Erkenntnis hierzulande wie auch im Ausland weiter schärfen, dass das große G in dem Akronym ESG für gute Governance und damit für effektives und effizientes Compliance-Management steht.

Der deutsche Versuch, zu dem Compliance-Vorreiter USA mit einer Neuregelung der Unternehmensstrafbarkeit aufzuschließen, ist im Sommer 2021 gescheitert. Allerdings hat die Justizministerkonferenz Ende Mai 2023 den Bundesjustizminister damit beauftragt, einen neuen Vorschlag zu einem deutschen Verbandssanktionengesetz zu erarbeiten. Inwieweit dieser dann präzisere Vorgaben zu erforderlichen Compliance-Vorkehrungen formulieren wird und dadurch etwa zu einem internationalen Leitbild eines US Foreign Corrupt Practices Act (FCPA) aus dem Jahr 1977 aufschließen kann, erscheint im Spätsommer 2023 noch als spekulativ.

Was aber international tätige deutsche Unternehmen heute schon umtreiben sollte, ist die seither zu einem vielzitierten Statement gewordene Aussage der stellvertretenden US-Justizministerin Lisa Monaco Ende April 2022, dass „Sanktionen der neue FCPA“ sind. Da ein Ende des Ukraine-Krieges auch eineinhalb Jahre nach dem russischen Angriff immer noch nicht in Sicht ist, werden internationale Wirtschaftssanktionen und effektive Export-Compliance ein herausforderndes Thema für viele Unternehmen weltweit bleiben. Ein weiterer guter Grund, die US-Compliance-Entwicklungen weiterhin sorgfältig zu verfolgen, stellt die Ankündigung des US-Justizministeriums der neuen Corporate Enforcement Policy vom Januar 2023 dar.

Damit werden grenzüberschreitend neue Compliance-Maßstäbe in Sachen freiwilliger Selbstanzeigen und Zusammenarbeit mit Ermittlungsbehörden gesetzt. Die Anreize zur Enthaftung zugunsten der betroffenen Unternehmen gehen noch enger als bislang einher mit der tatsächlichen Leistungsfähigkeit von CMS.

Deren Beurteilung machen das US-Justizministerium und die US-Börsenaufsicht wie in der zuletzt im Sommer 2020 neugefassten Handreichung zur FCPA-Praxis veröffentlicht nicht von vermeintlich präzisen, formelartigen Vorgaben abhängig. Viel wichtiger ist den beiden weltweit aktivsten Strafverfolgungsbehörden ein pragmatischer Ansatz, der auf drei vergleichsweisen simplen Kernfragen basiert: Stimmt das Design des CMS? Wird es glaubwürdig umgesetzt? Das heißt ganz besonders: Ist es ausreichend mit Ressourcen und Kompetenzen versehen? Und schließlich: Funktioniert es auch im Unternehmensalltag?