Karl Würz, Dr. Reinhard Preusche
Die im Dezember 2014 veröffentlichte ISO 19600 empfiehlt Unternehmen, ein Compliance-Management-System einzurichten und legt hierfür international einheitliche Rahmenbedingungen fest. Dabei ist die ISO 19600 bewusst "nur" als Richtlinie und noch nicht als Norm mit verbindlichen, ISO-förmlich zertifizierungsfähigen Anforderungen ausgestaltet, wie das etwa für die ISO 9001 zum Qualitätsmanagement zutrifft. Das sieht auf den ersten Blick nicht spektakulär aus. In Verbindung mit der Entwicklung des Haftungsrechts für Unternehmer und Führungskräfte bei Verletzung von Aufsichtspflichten wird es eine erhebliche Bedeutung entwickeln.
Integration von Fachthemen und Spezialprozessen
Inhaltlich stimmt die neue ISO-Richtlinie weitgehend mit dem Prüfungsstandard 980 des Instituts der Wirtschaftsprüfer überein. Allerdings ist er etwas stärker operativ ausgerichtet. In Übereinstimmung mit dem Stichwort "Rechtskonformität" ist konsequenterweise ein weiter Compliance-Begriff zugrunde gelegt. Dieser erfasst über die klassischen Themen hinaus, wie z. B. Diskriminierung, Interessenkonflikte, Geschenke und Einladungen, Korruption zumindest alle straf- und bußgeldbewehrten Vorschriften. Das bedeutet, dass jetzt Fachthemen wie Datenschutz, Informationssicherheit, Exportkontrolle, Arbeitssicherheit, Umweltschutz usw. in das Compliance-Management-System einzubeziehen sind, die besondere Fachkenntnisse und -prozesse voraussetzen. Diese wurden von den Compliance-Generalisten bisher vor allem unter dem Blickwinkel des Ordnungswidrigkeitenrechts und deshalb eher mit Zurückhaltung betrachtet.
Ferner kommen Integrität und Redlichkeit, d. h. angemessenes Verhalten unabhängig von gesetzlichen Regelungen, ausdrücklich wieder zu Ehren.
Diese Gesichtspunkte waren in Folge der Compliance-Definition der Deutschen Corporate Governance Kommission – Einhaltung externer und interner Regelungen und Prinzipien – leider etwas in den Hintergrund getreten. Auf dem Gebiet der HR-Compliance hatte das bekanntlich dazu geführt, dass die Präsidentin des Bundesarbeitsgerichts die Ehre des redlichen Kaufmanns zitierte und die Bundeskanzlerin sinngemäß äußerte: "Wer bestehende Regelungen ausreizt, darf sich nicht wundern, wenn wir neue machen.".
Entscheidend für die Bedeutung, die die ISO 19600 schon jetzt hat, ist aber die Entwicklung im Straf- und Ordnungswidrigkeitenrecht. Auch Führungskräfte, die an straf- oder bußgeldbewehrten Rechtsverletzungen im Unternehmen nicht unmittelbar operativ beteiligt sind, können heute hierfür aufgrund ihrer Verantwortung für Organisationsstrukturen, Aufsicht und Kontrolle persönlich zur Verantwortung gezogen werden. Daneben können Bußen und Mehrerlös- oder Vorteilsabschöpfung gegen das Unternehmen selbst verhängt werden. Spätestens seit der Siemens-Affäre ist klar, dass ein ausgefeiltes Richtlinienwesen die Führungsebene eines Unternehmens nicht entlastet, sondern es auf die operative Umsetzung der vorgesehenen Maßnahmen ankommt. Diese Ausgangslage hat sich durch die Diskussion um die Einführung eines Verbandsstrafrechts noch verschärft.
ISO 19600 als Messlatte
Wenn künftig im Rahmen behördlicher Ermittlungs- oder zivilrechtlicher Haftungsverfahren die Frage zu beantworten ist, ob Führungskräfte ihrer Aufsichts- und Kontrollpflicht ausreichend nachgekommen sind, ist daher damit zu rechnen, dass die Standard-Empfehlung aus ISO 19600 als Messlatte herangezogen wird. Diese muss erfüllt sein, um den Vorwurf nicht ordnungsgemäßer Erfüllung der Geschäftsleiterpflichten widerlegen zu können.
Ob es sich um einen Prüfungsstandard, eine ISO-Richtlinie oder eine ISO-Norm handelt, wird dabei schon deshalb keine entscheidende Rolle spielen, weil Rechtsprechung und Behörden sich um solche Details im Ernstfall kaum kümmern dürften. Unternehmer tun deshalb gut daran, sich bereits jetzt auf ein risikoangemessenes, praktikables Compliance-Management-System einzulassen, das den Anforderungen der ISO 19600 genügt.