Die schlechte Nachricht für Regelbrecher: Es kommt das Unternehmensstrafgesetz (“Gesetz zur Stärkung der Integrität in der Wirtschaft”). Die gute Nachricht: Wer in Zukunft nachweisen kann, dass zum Zeitpunkt der Tat ein wirksames Compliance-Management-System (CMS) vorlag, darf auf deutliche Strafminderung hoffen. Das bedeutet: Prävention ist besser.Immerhin liegt die maximale Strafe bei existenzbedrohenden 10 bis 20 % des Jahresumsatzes für Unternehmen mit mehr als 100 Millionen Euro Umsatz. Wer weniger einnimmt, kommt mit gedeckelten 10 Mill. Euro davon. Leider weiß niemand so genau, was der Gesetzgeber will. Es herrscht Rechtsunsicherheit. Was wäre ein effektives Compliance-Management-System? Kein GoldstandardDer Absicherungsversuch der Wirtschaft gegen Strafen – man weiß ja nie – ist derzeit die freiwillige Zertifizierung, die ein Wirtschaftsprüfer erteilt (IDW PS 980 zum Beispiel). Eine interne Risikoanalyse soll den Unternehmen verdeutlichen, wo Gefährdungen lauern. Dauerhaft wird so das Bestreben des Managements nach Regeltreue dokumentiert und im Ernstfall der mögliche Vorwurf eines Organverschuldens entkräftet. In der Compliance-Praxis sind das flächendeckende E-Learnings, kostenintensive Face-to-Face Seminare für das Toppersonal und Ermahnungen, die zur Einhaltung von Moral und Ethik aufrufen.Doch der Erfolg war bislang bescheiden. Die wiederkehrenden Compliance-Skandale zeigen, dass mehr Regeltraining wenig bringt. Knapp die Hälfte der Chief Compliance Officer zweifelt an der Anwendung der eigenen Schulungsinhalte. Wer in Hochrisikoländern wie Russland, China oder Indien aktiv ist, schätzt den Wirkungsgrad bei nahe null. Hinter vorgehaltener Hand heißt es: Wir trainieren unsere Mitarbeiter, aber ob’s was nützt, wissen wir nicht.Wer denkt da nicht an Sisyphus, der immer wieder den Stein hinaufrollt? Der Gesetzgeber will jetzt handfeste Ergebnisse sehen: ein effektives Compliance-System! Die Wirtschaft ist willig, doch ratlos. Denn um Wirksamkeit nachzuweisen, muss man messen können. Der vermeintliche Goldstandard der Zertifizierung stellt fest, welche Barrieren gegen Fehlverhalten vorhanden sind und welche industriespezifischen Ethikregeln im Unternehmen geschult wurden, misst aber nicht, ob im Ernstfall die Regeln auch angewendet werden. Das merkt man erst, wenn es zu spät ist. Der Fall Wirecard hat es erneut gezeigt, man befindet sich im teilweisen Blindflug.Erst der Anwendungsnachweis wäre der Lackmustest, den die Legislative jetzt fordert. Denn jeder Straftat geht eine menschliche Entscheidung voraus. Ein System braucht Regeln, ohne Frage. Aber die Wirksamkeit wird sich erst dann entfalten, wenn die Menschen, die innerhalb dieses Systems Entscheidungen treffen, sich auch daran halten. Wie wird gemessen?Das US-Justizministerium, die härteste Compliance-Behörde der Welt, verlangt die Vermessung und Bewertung des individuellen Humankapitals seit April 2019 und hat jetzt noch eine Schippe draufgelegt. Seit 1. Juni 2020 fragen die Ermittler gezielt nach maßgeschneiderten Risikoanalysen und den heilenden Maßnahmen.Im O-Ton heißt das: Ist Ihr Compliance-System geeignet, Fehlverhalten, das in Ihrer Branche häufig auftritt, zu erkennen? Was haben Sie im Ernstfall dagegen unternommen? Hat sich im Ergebnis das Verhalten Ihrer Mitarbeiter nachweislich geändert? Wie messen Sie das? Eine deutsche Richterin muss nun den Delinquenten das Gleiche fragen, bevor sie das Strafmaß festsetzt. Wie mißt man Integrität? Nicht indem man Regeln abfragt. Denn der Mensch wägt ab, ob ein Gebot einzuhalten ist. Die kognitiven Neurowissenschaften und die Verhaltensökonomie haben dazu in den letzten zwei Jahrzehnten Bahnbrechendes geleistet.Die White-Collar-Crime-Forschung weiß zudem, dass es dabei in erster Linie um Risikoabschätzungen und frühere Erfahrungen geht. Nicht die Regel ist am Ende entscheidend, sondern die fabrizierte Rechtfertigung, die den Regelverstoß erst möglich macht. Das kennt jeder, der bei strömendem Regen sein Auto abstellt, ohne das Parkticket zu zahlen, weil nur kurz etwas zu besorgen war.Erfolgreiches Entscheiden verlangt also, Strategien zu unterdrücken. Denn wenn wir komplexe Aufgaben lösen, konkurrieren verschiedene Funktionssysteme im Kopf miteinander. Das braucht Gehirnbenzin und Intelligenz. Die Fähigkeiten hierfür sind individuell verschieden verteilt. Daher bringt das Auswendiglernen von Regeln ohne den Zusammenhang des eigenen Hintergrunds nicht viel. Wird die Einhaltung der Norm nicht nachhaltig zum eigenen Motiv (Integrität), hapert es dauerhaft an der Anwendung.Nur die individuelle Diagnostik und ein maßgeschneidertes Risikotraining versetzen den Einzelnen in die Lage, auch gegen inneren Widerstand selbstbestimmt das Richtige zu tun. Ähnlich einem Pilotentraining für den Schlechtwetterschein. Das Risiko bewirtschaften und mit den Konsequenzen umgehen, das macht die Sinnhaftigkeit von Compliance erlebbar. Als wäre man selbst im brennenden Haus gewesen und hätte Menschenleben gerettet. Es gibt nichts Besseres als die eigene Erfahrung. Und eben das können regelbasierte Schulungsmaßnahmen wie das E-Learning und Face-to-Face Seminare nicht leisten. Diagnose mit DatenanalyseDas schaffen nur komplexe Business-Simulationen, die im Hintergrund über Advanced Analytics verfügen. Solche Datenanalysen versuchen nicht nur nachträglich zu verstehen, warum etwas passiert ist (Diagnose), sondern aufgrund der Untersuchung auch Prognosen über zukünftige Ereignisse zu stellen und Handlungsempfehlungen zu geben (Predictive Analytics). Entscheidend ist hierbei, dass man Unternehmen und die Mitarbeiter in eine Position bringt, in der vorbeugend gehandelt werden kann.Es gibt heute die Technologie, um die Fragen des US-Justizministeriums oder einer deutschen Richterin evidenzbasiert zu beantworten. Eine Technologie, die einen zentralen Faktor der Wettbewerbsfähigkeit — das in den Mitarbeitern verkörperte individuelle intellektuelle Vermögen – hinsichtlich der Compliance analysiert, bewertet und vermehrt. Die Erfolgskontrolle liegt nicht nur im nachgewiesenen Abbau der Risiken, sondern auch in der Voraussage der Nachhaltigkeit des erreichten Ergebnisses. In Echtzeit, anonym und datenschutzkonform.Wer sich dennoch auf eine regelbasierte Compliance und das Testat der Wirtschaftsprüfer beschränkt, macht sich angreifbar. Diese Unternehmen wissen nahezu nichts über das individuelle Entscheidungsverhalten ihres Mittel- und Topmanagements. Die Berechnungen der Wahrscheinlichkeiten im Rahmen einer Risikobewertung wären zwangsläufig für alle Mitarbeiter fast gleich und damit sinnlos.Der Stand der Technik macht wirksame Prävention möglich, und der Lohn wäre hoch. Die Unternehmen könnten ihr Compliance-System stetig verbessern, den Effektivitätsnachweis liefern und so die Strafminderung von bis zu 50 % einstreichen. Den Schutz der Mitarbeiter vor Fehlverhalten und Strafverfolgung gäbe es noch obendrauf.Doch solange der Gesetzgeber nicht präzisiert, wie ernst er es mit der Prävention meint, bleibt das Unternehmensstrafgesetz bloß ein Vergeltungsinstrument – eine “money machine”. Durch den staatlichen Auftrag, bei Verdacht nun zwingend zu ermitteln (Legalitätsprinzip), werden die internen Untersuchungen rasant zunehmen und so die juristischen Abwehrkosten für die Unternehmen massiv steigen. Und wozu? Die Staatskasse wird sich mit Strafgeldern füllen. Die Wirtschaftsprüfungsgesellschaften werden weiterhin testieren. Aber die Moral wird nicht besser. Christina Eibl, Geschäftsführende Gesellschafterin der Ludaciti GmbH