Compliance Management: Systeme, Regeln und Umsetzung im Unternehmen

Compliance Management (CM) im engeren Sinn beschreibt sämtliche genutzte und eingeführte Prozesse, Instrumente und Werkzeuge, mit denen Unternehmen ein gesetzeskonformes wirtschaftliches Handeln sicherstellen. Der Begriff Compliance selbst definiert einerseits das Einhalten geltender Gesetze und Vorschriften sowie andererseits das Befolgen selbst gegebener Regeln durch ein Unternehmen und dessen Mitarbeitende.

Im weiteren Sinn beschreibt Compliance Management den Umgang mit einem integren, redlichen und auch ethischen Geschäftsgebaren. Denn zu einer guten Unternehmensführung gehört eben zwingend auch ein regelgetreues Verhalten.

CM deckt mögliche Verstöße gegen geltende Gesetze oder unternehmensinterne Richtlinien auf oder verhindert diese bestenfalls. Der richtige Umgang mit Compliance hat für Unternehmen in jüngerer Vergangenheit stark an Bedeutung gewonnen: Denn die schiere Anzahl an Gesetzen, branchenspezifischen Normen oder behördlichen Vorschriften ist in den letzten Jahren enorm angewachsen. Global aufgestellte Unternehmen müssen in diesem Zusammenhang die regulatorischen Anforderungen aller Länder erfüllen, in denen sie wirtschaftlich tätig sind.

Verstöße gegen die Compliance können sowohl zu finanziellen Verlusten als auch zu schwerwiegenden Imageschäden für das Unternehmen oder die Unternehmensmarke führen. Wird eine Organisation aufgrund von Compliance-Verstößen etwa straf- oder zivilrechtlich verfolgt, kann ein implementiertes Compliance Management System hingegen zu strafmildernden Umständen führen.

Unternehmen, die aktives Compliance Management betreiben, können sich zudem im Wettbewerb einen wichtigen Vorteil verschaffen, da viele Aufträge der öffentlichen Hand ausschließlich an Organisationen vergeben werden, die ein strukturiertes Compliance Management vorweisen können.

Leitfaden: Datenschutz in der Personalarbeit

In diesem Leitfaden erfahren Sie, wie Sie sich optimal aufstellen in Bezug auf Dokumentation, Löschung von (personenbezogenen) Daten und Auftragsverarbeitung sowie Datenschutzbeauftragung.

Hier Leitfaden herunterladen

Im Deutschen Corporate Governance Kodex wurde der Begriff Compliance 2007 definiert. Dieser Kodex enthält gesetzliche Vorschriften darüber, wie börsennotierte Unternehmen in Deutschland geleitet und überwacht werden sollten. Er gilt auch heute als zentrale Basis eines ethischen Handelns – zahlreiche Unternehmen haben sich freiwillig verpflichtet, nach diesem Kodex zu handeln.

Neben dem Corporate Governance Kodex gibt es zahlreiche weitere Gesetze und Richtlinien, die für eine gesetzeskonforme Unternehmensleitung gelten. Zu den bekanntesten zählt die 2018 in Kraft getreten Datenschutzgrundverordnung (DSGVO), in der etwa der Umgang mit personenbezogenen Daten geregelt ist. Der Can Spam Act aus dem Jahr 2003 schreibt Unternehmen vor, wie sie mit E-Mail-Werbung umzugehen haben.

So sollte HR mit dem Thema Datenschutz umgehen

Die Richtlinien der Compliance gelten für jedes Unternehmen – egal, ob es sich um einen global agierenden Großkonzert oder den Handwerksbetrieb mit zwei Mitarbeitenden in der Provinz handelt. Verantwortlich für die Einhaltung der geltenden Regeln ist immer die Unternehmensführung. Immer mehr Unternehmen setzen freiwillig auf digitale Unterstützung durch Compliance Management Systeme, um den Anforderungen gerecht zu werden.

Für Compliance Management Systeme gibt es keine gesetzlichen Anforderungen. Bei der Ausgestaltung eines Compliance Management Systems haben Unternehmen einen Ermessensspielraum. Eine Orientierung dabei verschaffte zunächst die rein empfehlende Norm ISO 19600 aus dem Jahr 2014. In dieser Norm sind international einheitliche Grundlagen für den Aufbau und den Erhalt eines Compliance Management Systems hinterlegt. Die branchenneutralen Formulierungen sind für jede Art und Größe einer Organisation anwendbar.

Abgelöst wurde diese nicht zertifizierbare Norm dann 2021 von ISO 37301 „Compliance management sytems – Requirements with guidance for use“. Schwerwiegende inhaltliche Unterschiede gibt es kaum. Der wichtigste Unterschied? ISO 37301 ist eine global geltende Level A-Norm, die nicht nur bloße Empfehlungen, sondern klare Anforderungen für CMS festlegt. Neu ist dabei der Schutz von Hinweisgebern durch die sog. Whistleblowing-Richtlinien.

Dies sind die 8 wichtigsten Elemente eines Compliance Management Systems (CMS):

1. Compliance-Risikoanalyse Hier werden die Compliance-Risiken eines Unternehmens aufgelistet, regelmäßig überprüft, bewertet und natürlich dokumentiert. Sie ist die Basis für ein individuelles Compliance-Programm.

2. Compliance-Programm Hier werden die grundsätzlichen Prozesse als auch Instrumente festgelegt, mit denen die internen und externen Vorschriften regelkonform befolgt werden. Über digitale Tools im CMS lassen sich diese Prozesse transparent abbilden, mögliche Risiken frühzeitig erkennen und erfolgte Verstöße aufzeigen.

3. Compliance-Ziele Hier definieren Sie die Ziele Ihres Compliance-Programms und schaffen damit eine hohe Transparenz für die Belegschaft.

4. Compliance-Richtlinien Hier sind die zentralen internen Leitlinien für das wirtschaftliche Handeln des Unternehmens und das daraus resultierende Verhalten am Arbeitsplatz für die Mitarbeitenden festgehalten. Dazu zählen in der Regel Datenschutzbestimmungen, Verhaltenskodex, Arbeitssicherheitsregeln, Infos zu Arbeitszeiten, Gleichberechtigung oder Internetnutzung.

Aber es finden sich auch Antworten auf gängige Compliance-Fragen wie: „Darf ich den Geschäftspartner zum Abendessen einladen oder bringt das die Firma in Schwierigkeiten?“ oder „Darf ich das Geschenk eines wichtigen Kunden annehmen?“

5. Compliance-Organisation Hier geht es darum, feste Rollen und Verantwortlichkeiten im CMS zu definieren. Soll es eine eigene Compliance-Abteilung gegen? Reicht ein Compliance Manager? Stellen Sie hierfür das entsprechende Budget und ausreichende Ressourcen zur Verfügung.

6. Compliance-Schulung und Kommunikation Mitarbeitende müssen wissen, was sie dürfen und was nicht. Führen Sie deshalb regelmäßig Schulungen in Sachen Compliance durch. Kommunizieren Sie stets aktuelle Richtlinien an die Zielgruppe, geben Sie Rückmeldung, wo im Fall der Fälle rechtssichere Informationen nachgelesen werden können.

7. Compliance-Optimierung Regeln ändern sich, neue Gesetze entstehen. Prüfen Sie also ihr CMS in regelmäßigen Abständen auf Leaks oder Schwachstellen und justieren Sie falls nötig nach.

8. Compliance-Tools Mit einer digitalen Plattform können Sie nicht nur die identifizierten Prozesse und Workflows abbilden, sondern auch die Verantwortlichkeiten definieren, ein Hinweisgebersystem bei Verstößen einführen oder ein Freigabesystem einrichten, über das z. B. Geschenke und Einladungen freigegeben werden müssen.

Die Vorteile eines zertifizierten CMS für Unternehmen? Sie können die Umsetzung eines wirksamen Compliance Management Systems z. B. gegenüber Geschäftspartnern nachweisen. Auch die mit hohen Anforderungen für größere Unternehmen verbundenen Regelungen des zum 1. Januar 2023 in Kraft tretenden Lieferkettengesetzes kann ein zertifiziertes CMS sauber abbilden. Und im Rahmen von gerichtlichen Verfahren gegen ein Unternehmen kann eine Zertifizierung als Beleg für die Einhaltung und Wahrnehmung der unternehmerischen Sorgfaltspflichten dienen.

Viele Unternehmen nehmen das Thema Compliance zwar ernst, verzichten aber auf die Unterstützung durch ein CMS. Problematisch wird dies vor allem dann, wenn mehrere Unternehmensbereiche betroffen sind. Dann fehlt einerseits die übergeordnete Perspektive, andererseits die Verknüpfung der einzelnen Bereiche.

Hierbei kann als zentrale Steuereinheit ein Compliance Management System helfen, also eine Software, in der die einzelnen Elemente, Richtlinien, Überprüfungsregelungen etc. zusammenlaufen.

Wichtige Grundregel: Je komplexer die Compliance-Vorgaben für eine Branche, desto eher lohnt sich der Einsatz einer Software. Professionelle Tools erlauben auch den Einsatz bestimmter Einzelmodule, ohne dass dafür das gesamte Tool gekauft und implementiert werden muss. Achten Sie bei der Einführung einer CMS-Software auf möglichst transparente und intuitive Nutzbarkeit durch Ihre Mitarbeitenden. Sonst bauen Sie sich technische Hürden in die Abläufe ein, die Sie mehr behindern als dass sie Ihnen helfen.

Mitarbeiterdaten zentral und übersichtlich pflegen

Speichern und bearbeiten Sie Daten sowie Dokumente fehlerfrei, vollständig und gesetzlich konform an einem Ort: Personio. So hat das Listenchaos endlich ein Ende.

Daten zentral speichern

Wann braucht ein Unternehmen einen Compliance Beauftragten oder Compliance Manager? Die Verantwortung für die Einrichtung, den Betrieb, die laufende Bewertung und die permanente Optimierung des CMS eines Unternehmens liegt bei der Geschäftsführung. Zusätzlich muss sie die Mitarbeitenden über die Bedeutung der Vorgaben aufklären, mit anderen Worten: Sie muss eine Compliance Kultur einführen, denn: Compliance ist Führungssache.

Dennoch haben Compliance Manager oder Compliance Beauftragte eine außerordentlich wichtige Aufgabe. Sie sind der verlängerte Arm der Geschäftsleitung in Sachen Compliance. Ihre Hauptaufgabe: Vermeidung von Schaden- und Haftungsfällen für das Unternehmen. Mit der Installation eines Verantwortlichen für die Compliance sendet das Unternehmen ein deutliches Signal an seine Mitarbeitenden, aber auch an Behörden oder Geschäftspartner: „Wir nehmen das Thema Compliance ernst und kümmern uns darum“.

Auch in KMU kann die Rolle des Compliance Managers wichtig sein, etwa dann, wenn es um besonders spezialisierte und damit verbunden, um stark regulierte Branchen geht. Ein Beispiel ist die Medical Compliance in der Pharmaindustrie. In größeren Unternehmen oder Konzernen haben die Compliance Manager oft eine Stabstellenfunktion – sie müssen vor allem interdisziplinär arbeiten können.

Auch wenn es auf das Thema Compliance zugeschnittene Positionen in Unternehmen gibt, ist ein ungeschriebenes Gesetz zu beachten: Jeder Mitarbeitende eines Unternehmens ist für die Einhaltung der Compliance relevant. Selbst kleinere Verstöße oder Fehler Einzelner können dem gesamten Unternehmen schaden. Deshalb sind Compliance Manager wichtig und gut, aber in Compliance geschulte und sensibel agierende Mitarbeitende besser.

1. Identifizieren Sie die Stakeholder und Ansprechpartner für Ihre Compliance – von externen Regelgebern wie Behörden bis hin zu Ihren Geschäftspartnern und natürlich den Mitarbeitenden.

2. Definieren Sie Richtlinien und Prozesse und richten Sie diese ein, um eine dauerhafte Compliance für Ihr Unternehmen gewährleisten zu können

3. Halten Sie rechtzeitig Schulungs- und Kommunikationsmaßnahmen ab. Wiederholen Sie diese in regelmäßigen Abständen.

4. Holen Sie die Geschäftsleitung mit ins Boot, damit im Sinne von „Tone from the Top“ die Compliance nicht nur ein leerer Punkt auf der Checkliste ist, sondern für alle Mitarbeitenden mit Leben gefüllt wird. Ohne die Unterstützung und das Vorleben „von oben“ ist Compliance als Bestandteil der Unternehmenskultur hochgradig gefährdet.

5. Führen Sie auf jeden Fall Checkups und Kontrollmechanismen ein – nur so können Sie garantieren, dass Ihr CMS keine Eintagsfliege ist, sondern dauerhafte Compliance overall garantiert.

6. Seien Sie konsequent bei möglichen Verstößen gegen die Compliance. Untersuchen Sie die Fälle, ziehen Sie die Verantwortlichen zur Rechenschaft und beheben Sie die Schwachstelle im System.