des Vorstandes eine Aktiengesellschaft getroffen.
Im Rahmen ihrer Legalitätspflicht hat die Geschäftsleitung Sorge zu tragen, dass das Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetzesverstöße erfolgen, zum Bespiel Schmiergeldzahlungen. Dieser Pflicht genügt die Geschäftsleitung nur dann, wenn sie im Unternehmen für eine Compliance-Organisation sorgt, die auf Schadensprävention und Risikokontrolle ausgerichtet ist. Geschieht dies nicht, begibt sich die Geschäftsleitung in ein erhebliches Haftungsriskio.
Für Aktiengesellschaften besteht durch § 91 AktG die Pflicht, ein Compliance Management System (CMS) einzurichten. Für die GmbH fehlt zwar eine dem § 91 AktG entsprechende Regelung. Der Sorgfaltsmaßstab dieser Vorschrift ist allerdings je nach Größe, Komplexität und Unternehmensstruktur auch auf die GmbH übertragbar.
Für die Unternehmensleitung stellt sich daher die Frage, wie gesetzeskonformes Handeln durch eine Compliance-Organisation sichergestellt werden kann. Die Anforderungen an ein unternehmensspezifisches Compliance-Programm sind abhängig von Größe, Art und Risikoanfälligkeit der einzelnen Geschäftsvorfälle. Für den Aufbau eines Compliance-Systems kann etwa auf die ISO 19600 zurückgegriffen werden. Es handelt sich um einen Standard für die Errichtung von Compliance Management Systemen. Er wurde entwickelt, um international einheitliche Richtlinien zur Gestaltung eines CMS zur Verfügung zu stellen.
Ziel des Aufbaus einer Compliance-Organisation ist, Rechtsverstöße oder -Verletzungen der Mitarbeiter infolge von Unkenntnis des rechtlichen Rahmens zu vermeiden. Ein CMS sollte folgende Themenkomplexe abbilden:
Compliance-Kultur
Verständigung über Grundwerte im Unternehmen. Klare Botschaft von der Unternehmensspitze („tone from the top“).
Compliance-Ziele
Festlegung von Zielen, die mit dem Compliance-System erreicht werden sollen.
Compliance-Risiken
Die Risiken, das heißt die möglichen Verstöße, die zu einer Verfehlung von Compliance-Zielen führen können, müssen festgestellt werden.
Compliance-Programm
Grundsätze und Maßnahmen zur Begrenzung der Compliance-Risiken und zum Verhalten bei festgestellten Verstößen.
Compliance-Organisation
Festlegung von Fällen und Verantwortlichkeiten; Aufbau- und Ablauforganisation.
Compliance-Kommunikation
Mitarbeiter und ggf. auch Dritte werden über das Compliance-Programm sowie sie betreffende Rollen und Verantwortlichkeiten unterrichtet. Die Kommunikationswege im Unternehmen für die Meldung von Risiken und von Verstößen werden festgelegt. Die externe Kommunikation umfasst die Mitteilung gegenüber der Öffentlichkeit und Medien, aber auch das Verhalten gegenüber Geschäftspartnern (z.B. Lieferanten).
Compliance-Überwachung und -Verbesserung
Da es sich um ein „lebendes System“ handelt, ist die Angemessenheit und Wirksamkeit des Compliance-Systems laufend zu kontrollieren. Schwachstellen und Mängel sind zu beseitigen. Das Compliance-System ist ständig fortzuentwickeln. Die Einführung eines CMS ist daher keine einmalige Sache sondern ein kontinuierlicher Prozess.