Karl Würz, Dr. Reinhard Preusche
Im Rahmen seiner Aufgabenstellung hat der Compliance-Beauftragte eine eigene Mitwirkungs-, Überwachungs- und Beratungspflicht. Für deren ordnungsgemäße Erfüllung muss er ebenso einstehen wie andere Unternehmensbeauftragte auch. Dies mag aus Sicht eines Rechtsberaters, der sich als Handlungshelfer der Geschäftsleitung versteht, unbequem sein. Ebenso ist verständlich, dass Risikomanager, die systematisch, aber ohne operative Verantwortung Risikoquellen aufzeigen, sich in der Rolle des Compliance-Beauftragten nicht immer wohlfühlen. Der Compliance-Beauftragte sollte jedenfalls keine eingeschränktere Verantwortung haben als gesetzlich Beauftragte. Daraus ergibt sich nahezu selbstverständlich, dass auch der Compliance-Beauftragte für pflichtwidriges Handeln oder Unterlassen persönlich haftet.
Versucht man, den Compliance-Beauftragten von dieser Haftung freizuhalten, indem seine Rolle auf Konzepterstellung, Beratung und Schulung reduziert wird, schränkt man seine Entlastungswirkung für die Geschäftsführung ein. Ein Compliance-Beauftragter als "Mogelpackung" dürfte sogar eher zur Verschärfung der Geschäftsleitungshaftung beitragen.
Auf einem anderen Blatt steht die Frage, ob für den Compliance-Beauftragten – wie für andere Unternehmensbeauftragte und Führungskräfte auch – eine Managerhaftpflichtversicherung (D&O-Versicherung) abgeschlossen werden sollte. In diesem Zusammenhang ist auch an eine Strafrechtsschutzversicherung zu denken oder an eine vertragliche Verpflichtung des Unternehmens, Bußgelder und/oder Verteidigungskosten zu übernehmen. Strafen dürfen nicht erstattet werden. Wer sich um eine Haftung des Compliance-Beauftragten sorgt, sollte zunächst hieran denken.
Im Ergebnis wird die Haftungsfrage ohnedies durch drei Gesichtspunkte entschärft:
- Zum einen ist die Aufgabenstellung des Compliance-Beauftragten präventiv ausgerichtet. Polizeirechtlich gesprochen dient er der Gefahrenabwehr und ist kein Hilfsbeamter der Staatsanwaltschaft. Wenn er von Rechtsverstößen im Unternehmen erfährt, ist er deshalb nicht verpflichtet, die Behörden zu informieren, sieht man von den im Strafgesetzbuch für alle Bürger vorgesehenen Fällen schwerster Kriminalität ab, die für Unternehmen keine Rolle spielen sollten. Der Compliance-Beauftragte erfüllt seine Aufgabenstellung angesichts möglicher Rechtsverstöße ggf. also dadurch, dass er dafür sorgt, dass Wiederholungen ausgeschlossen sind. Gesetzlich Beauftragte haben hier u. U. sehr viel weitergehende Informationspflichten gegenüber den Aufsichtsbehörden.
- Zum anderen ist der Compliance-Beauftragte kein Linienvorgesetzter in der Pflichtendelegationskette der Geschäftsleitung. Er hat generell weder die Weisungsbefugnisse noch die Handlungsverantwortlichkeit von Linienvorgesetzten.
Etwas anderes gilt für die Compliance-eigenen Prozesse, wie z. B. Geschäftspartner-Auswahlprozesse für besondere Risikosituationen, Hinweisgebersysteme- und Beratungsverfahren, Geschenk- und Einladungsregister, Compliance-Dokumentationsverfahren, Compliance-Prüfsteine für Produktentwicklung und neue Verfahren. Insoweit hat der Compliance-Beauftragte selbst eigene operative Weisungsrechte an Linienvorgesetzte, für deren Verantwortungsbereich solche Prozesse eingerichtet werden sollen.
- Zum Dritten ist der Compliance-Beauftragte nach der hier empfohlenen Lösung kein Einzelspieler in einsamer Verantwortung vor Geschäftsleitung und Gesetz. Vielmehr wird er auf Basis des RICKO- oder Compliance-Board-Verfahrens in Abstimmung mit der Geschäftsleitung und anderen Funktionsträgern des Unternehmens tätig. Dementsprechend nimmt diese Lösung große Teile der üblichen Aufgaben eines Compliance-Beauftragten in die Aufgabenstellung der Risikomanagement- und Compliance-Koordinationsgruppe auf. Dazu gehören z. B. Entwicklung von Verhaltensstandards, Compliance-Weisungswesen, Schulung und Training sowie das Sanktionsmanagement und die Vorfalluntersuchung.