Neue DIN-Norm für Compliance in kleinen und mittleren Unternehmen

Unternehmen sehen sich stetig wachsenden gesetzlichen Anforderungen gegenüber. Bei Verstößen drohen hohe Geldbußen (siehe 1). Geschäftsleiter müssen organisatorisch gewährleisten, dass Mitarbeiter Gesetze einhalten (siehe 2). Kleineren und mittleren Unternehmen (KMU) fehlen häufig die Ressourcen für Compliance. Eine kürzlich veröffentlichte DIN-Norm will Abhilfe schaffen. Sie enthält einen Leitfaden mit Handlungshinweisen und einem Selbstcheck (siehe 3). Der Leitfaden bietet einen guten Überblick über wesentliche Compliance-Themen (siehe 4).

1 Zunehmende gesetzliche Anforderungen und steigende Sanktionsrahmen

Unternehmen sehen sich einer Flut gesetzlicher Vorgaben gegenüber, die häufig sanktionsbewehrt sind. Werden aus einem Unternehmen heraus betriebsbezogene Pflichten verletzt, die Straftaten oder Ordnungswidrigkeiten sind, können Geldbußen von bis zu 1 Mio. EUR gegen Führungskräfte und Unternehmensgeldbußen von bis zu 10 Mio. EUR verhängt werden (oder höher, um den wirtschaftlichen Vorteil aus der Pflichtverletzung abzuschöpfen). Einzelne Gesetze und EU-Verordnungen sehen sogar umsatzbezogene Geldbußen vor. Verstöße gegen die Datenschutzgrundverordnung oder den Data Act können mit Geldbußen von bis zu 4 % des weltweit erzielten Jahresumsatzes geahndet werden. Bei Verstößen gegen das Lieferkettensorgfaltspflichtengesetz liegt die Höchstgrenze bei 2 % des weltweit erzielten Jahresumsatzes. Der AI Act zieht erst bei 7 % eine Grenze.

2 Compliance-Verantwortung der Geschäftsleitung

Gesetzesverstöße in Unternehmen müssen verhindert werden. Geschäftsleiter müssen sich nicht nur selbst rechtstreu verhalten, sondern das Unternehmen so organisieren und beaufsichtigen, dass keine Rechtsverstöße begangen werden. Übersteigt das Risiko von Rechtsverstößen eine bestimmte Schwelle, müssen Compliance-Maßnahmen ergriffen werden, die die Begehung von Rechtsverstößen verhindern (LG München I, 5 HK O 1387/10; OLG Nürnberg, 12 U 1520/19). Die Aufsichtspflicht der Leitungsorgane einer Konzernobergesellschaft kann sich auf Compliance-Verstöße in Tochtergesellschaften erstrecken, wenn die Leitungsorgane tatsächlich Einfluss auf die Tochtergesellschaft nehmen (OLG München, 3 Ws 599/14 und 3 Ws 600/14).

Kommt es zu Compliance-Verstößen, müssen sie aufgeklärt, abgestellt und sanktioniert werden (LG München I, 5 HK O 1387/10). Die Geschäftsleitung muss regelmäßige Kontrollen und auch überraschende, stichprobenartige Überprüfungen vornehmen (OLG Nürnberg, 12 U 1520/19). Vor oder auch nach dem Rechtsverstoß ergriffene Compliance-Maßnahmen sind bußgeldmindernd zu berücksichtigen (BGH, 1 StR 265/16).

3 Leitfaden für Compliance-Management-Systeme in KMU

Gerade KMU fehlen häufig die Ressourcen, um die wachsenden Compliance-Anforderungen zu erfüllen. Der kürzlich veröffentlichte Leitfaden für Compliance-Management-Systeme in kleinen und mittleren Unternehmen ( DIN SPEC 91524) will Abhilfe schaffen und KMU ein Instrument an die Hand geben, mit dessen Hilfe Compliance-Risiken ermittelt, Schwachstellen festgestellt und behoben werden können. Ziel des Leitfadens sind einfache und praktikable Lösungen. Die Arbeitsfähigkeit des Unternehmens soll nicht eingeschränkt werden. Ein Schwerpunkt wird auf die Kommunikation gelegt.

3.1 Compliance-Risiken

Nach einer Beschreibung der Unternehmensprozesse führt der Leitfaden typische Compliance-Risiken von KMU auf. Dazu zählen

• Arbeitsstrafrecht (Arbeitszeit, Betriebssicherheit, illegale Beschäftigung, Lohnsteuer und Sozialversicherungsbeiträge, Mindestlohn, Arbeitnehmerüberlassung),
• Außenwirtschaftsrecht (Exportkontrolle, Kapital- und Zahlungsverkehr)
• Datenschutz (Verarbeitung personenbezogener Daten),
• Geheimnisschutzstrafrecht,
• Geldwäsche,
• Cyber-Risiken,
• Korruption (im privaten Geschäftsverkehr, Amts- und Mandatsträger),
• Lieferkettenhaftung (Kinderarbeit, Zwangsarbeit, sichere Arbeitsbedingungen, Umweltverschmutzung),
• Umweltstrafrecht sowie
• Wettbewerbs- und Kartellrecht.

3.2 Handlungsempfehlungen

Sodann gibt der Leitfaden Hinweise zur Verhinderung (Prävention) und Aufdeckung (Detektion) von Compliance-Verstößen sowie zu Folgemaßnahmen (Reaktion) für festgestellte Compliance-Verstöße. Zu den Präventionsmaßnahmen zählen u.a. Verhaltenskodex, Richtlinien, Schulungen sowie eine sachgerechte Aufbau- und Ablauforganisation. Die Aufdeckung von Compliance-Verstößen wird maßgebend ermöglicht durch regelmäßige Kontrollen (und unangekündigte stichprobenhafte Überprüfungen), Audits sowie die Einrichtung eines Hinweisgebersystems. Werden Compliance-Verstöße festgestellt, sollen klar kommunizierte und angemessene Sanktionen greifen.

3.3 Compliance-Selbstcheck

Im Anhang enthält der Leitfaden einen Compliance-Selbst-Check mit Fragen, Erläuterungen und Handlungsempfehlungen. Allgemeine Fragen zu compliance-relevanten Aspekten und spezifische Fragen zu den verschiedenen Unternehmensprozessen werden jeweils um Erläuterungen ergänzt. Handlungsempfehlungen helfen, Lücken im Compliance-Management-System zu schließen oder bestehende Compliance-Maßnahmen zu verbessern.

4 Fazit

Der Leitfaden ist ein gutes Werkzeug für KMU, um einen Überblick über Compliance-Risiken zu gewinnen, einzuschätzen, wo das Unternehmen steht, und strukturiert risikoreduzierende Maßnahmen zu ergreifen.