Von Nils Krause und

Moritz von Hesberg *)

Bedeutung und Umfang der klassischen Corporate Compliance in Unternehmen werden in jüngerer Zeit vermehrt skeptisch in der Wirtschaftswelt diskutiert. Die Kritik an regulatorischen Compliance-Anforderungen, die Unternehmen zu erfüllen haben, entzündet sich häufig an der Fokussierung von Corporate Compliance auf die Compliance-Organisation als vertikaler, vom Tagesgeschäft getrennter Fachabteilung. Diese Compliance-Abteilung entwirft und etabliert detaillierte Prozesse, um so Gesetzeskonformität im Geschäftsalltag sicherzustellen.

Dabei wird Corporate Compliance weltweit weitgehend als juristische Disziplin verstanden. So haben zum Beispiel in Deutschland mehr als 75% aller Compliance-Officer ein juristisches Studium absolviert und die Compliance-Abteilung ist häufig integrierter Bestandteil der Rechtsabteilung. Zudem wird eine Vielzahl von rechtlichen Themen reflexartig als Compliance-Aufgabe deklariert. Jüngstes Beispiel ist der stark zunehmende Trend der Environmental, Social und Governance (ESG) Compliance, die häufig ohne nähere Prüfung in der Rechtsabteilung verortet wird. Folgerichtig gelten ausgiebige Regelwerke, ausformulierte Anweisungen, regelmäßige Schulungen und bis ins kleinste Detail definierte Prozesse in sämtlichen potentiellen Risikobereichen nach wie vor als Kernelemente von funktionstüchtiger, State-of-the-art-Compliance.

Gerade aus Unternehmenssicht stellt sich jedoch die Frage, ob ein solches, stark verrechtliches Verständnis von Compliance tatsächlich geeignet ist, Rechtsverstöße in Unternehmen wirksam zu verhindern. Hintergrund der zunehmend kritischen Sichtweise ist die kontinuierliche und gleichzeitig rapide Veränderung der gesamten Arbeits- und Wirtschaftswelt in der heutigen Zeit. Nach der inzwischen gängigen VUCA-Definition ist das 21. Jahrhundert geprägt durch ein nie dagewesenes Maß an Volatilität (Volatility), Unsicherheit (Uncertainty), Komplexität (Complexity) und Ambiguität (Ambiguity). Es gilt daher, kritisch zu hinterfragen, inwieweit die klassischen Corporate-Compliance Strukturen in dieser VUCA-Welt Bestand haben können. Gute Compliance sollte insofern die VUCA-Herausforderungen aufgreifen und im Lichte des konkreten Risikoprofils des betroffenen Unternehmens aktiv und konstant Mehrwert für das Unternehmen sowie seine sämtlichen Stakeholder schaffen.

Ein neuartiger Lösungsansatz in dieser Hinsicht kann ein interdisziplinäres Compliance-Verständnis sein. Hierbei geht es hauptsächlich um die wirksame Verknüpfung von verschiedenen Forschungs- und Wissenschaftszweigen mit der konkreten Unternehmensrealität. Kernelement ist dabei ein analyse- und datenbasierter Ansatz, der Compliance als nützliches Tool zur Sicherung und Steigerung von Unternehmenserfolg und -ergebnis wahrnehmbar macht und sowohl Qualität als auch Kosteneffizienz der unternehmensinternen Compliance-Beratung verbessert.

Ein interdisziplinärer Compliance Ansatz besteht aus einer Reihe von Kernelementen. Zunächst geht es – wie bei der klassischen Compliance – um die regelmäßige und vollintegrierte Risikoanalyse inklusive Quantifizierung der Risiken des konkreten Unternehmens. Umgesetzt wird sie idealerweise unter Nutzung einer digitalen Plattform im Unternehmen, die auf daten- und IT-getriebenen Problemerfassungs- und Quantifizierungsprozessen beruht. Entscheidend ist dann zudem, dass nicht nur betriebswissenschaftliche und juristische Parameter, sondern auch verhaltenspsychologische und sozialwissenschaftliche Aspekte im Compliance-Management berücksichtigt werden. Aufgabe der Unternehmensleitung ist dabei vor allem, durch den richtigen Tone-from-the Top ein umfassendes Risikobewusstsein zu schaffen sowie die Herstellung von vernetztem Denken innerhalb der Organisation ermöglichen. Darüber hinaus bedarf es einer zentralen Definition der Compliance-Kultur unter Allokation dezentraler Verantwortung und Lösungskompetenz auf gemischte, interdisziplinäre und in operativen Einheiten angesiedelte Teams.

Die Bedeutung der letzten beiden Punkte ist in diesem Zusammenhang besonders zu betonen. Jede Lösung eines komplexen Problems erfordert vernetztes Denken auf Basis ausreichender Information sowie robuster Risikovermeidungsstrategien. Erfolgreiches Compliance-Management basiert somit häufig nicht ausschließlich auf juristischem Expertenrat oder einem bis ins letzte Detail definierten Prozess. Es erfordert vielmehr ganzheitliche, interdisziplinäre (natürlich auch juristische), datenbasierte und auf die Erfassung sowie Adressierung der wesentlichen Risiken für die konkrete Organisation gerichtete Lösungsansätze.

Ein in dieser Weise sorgfältig ausgearbeitetes und implementiertes Compliance-Programm führt dazu, dass die relevanten Compliance-Risiken der Organisation auf Basis eines holistischen, von Innen nach Außen gerichteten Blicks wirksam adressiert werden können.

*) Dr. Nils Krause ist Partner, Dr. Moritz von Hesberg ist Senior Associate im Hamburger Büro der Kanzlei DLA Piper.