Vor diesem Hintergrund muss sich das Compliance-Management mit folgenden Aufgabenstellungen und Fragen befassen:
- Pflichteninventur im Rahmen der Compliance-Gefährdungsanalyse
- Auswahl von Geschäftspartnern, Vertragsgestaltung und Überwachung der Zusammenarbeit
- Inhaltliche Überschneidungen unterschiedlicher Sorgfaltspflichten
- Fach-, Compliance-Unterstützungs- und/oder Compliance-eigene Prozesse
- Standard- oder Compliance-eigener Prozess?
- Manuelle Umsetzung oder IT-Anwendung?
- Wie weit gehen die eigenen Sorgfaltspflichten?
2.1 Pflichteninventur im Rahmen der Compliance-Gefährdungsanalyse
Mit Erstellung des Compliance-Risikoprofils für das Unternehmen lässt sich zunächst feststellen, welche Anforderungen im Einzelnen bestehen und welche Abteilungen oder Funktionen davon betroffen sind. Der Beitrag "Compliance-Gefährdungsanalyse: Risiken identifizieren, Gegenmaßnahmen erarbeiten und kontrollieren" gibt hierzu eine nähere Ablaufunterstützung mit dem entsprechenden Fragebogen für die Führungskräfte.
Diese Beurteilung setzt voraus, dass sich ein Unternehmen und dessen Führungskräfte mit dem für seine/ihre Aufgaben maßgeblichen rechtlichen Umfeld und dessen Veränderungen auseinandersetzen und auf Informationsquellen zurückgreifen können, die über wesentliche Änderungen unterrichten (z. B. IHK oder Fachverbandsinformationen, Informationen der Regierungspräsidien oder Bezirksregierungen, der Fachbehörden wie z. B. BAFA, Zoll). Aktuelle Beispiele sind etwa
- die neue Haftung von Auftragsdatenverarbeitern für die Einhaltung der technisch-organisatorischen Sicherungsmaßnahmen beim Auftraggeber nach Art. 32 DSGVO oder
- die Mithaftung des Entleihers von Arbeitnehmern für AÜG-Verstöße des Verleihers.
Haftung für Verstöße von Geschäftspartnern in arbeitsteiligen Prozessketten prüfen
Ob sich aus diesen Beispielen schon eine Tendenz des Gesetzgebers erkennen lässt, bei bußgeldbewehrten Normen, Geschäftspartner in arbeitsteiligen Prozessketten für Verstöße ihres Geschäftspartners mithaften zu lassen, kann dahingestellt bleiben. Jedenfalls sollte man bei bußgeldbewehrten Neuregelungen arbeitsteiliger Prozessketten genau prüfen, ob sich hieraus bisher nicht bekannte Einstandspflichten für das rechtmäßige Verhalten von Geschäftspartnern ergeben.
"Sprachfähig" gegenüber den Fachleuten sein
Die richtige Anwendung der entsprechenden Rechtsnormen setzt oftmals Fachkenntnisse voraus, über die ein Compliance-Beauftragter verständlicherweise nicht oder nur in Teilbereichen verfügen dürfte. Er sollte über die Grundzüge solcher Regelungen aber so informiert sein, dass er mit den Fachleuten hierfür im Compliance Board sprechen und beurteilen kann, ob im Unternehmen Prozesse eingerichtet sind, die die Beachtung der gesetzlichen Anforderungen auch tatsächlich sicherstellen.
2.2 Auswahl von Geschäftspartnern, Vertragsgestaltung und Überwachung der Zusammenarbeit
Geschäftspartner-bezogene Sorgfaltspflichten beschränken sich nicht auf den Auswahlprozess sondern setzen sich in der Vertragsgestaltung, der fortlaufenden Zusammenarbeit und deren Kontrolle fort. Das hat verschiedene Konsequenzen:
Ein noch so sorgfältiger Bewertungsprozess, der nicht durch entsprechende Sorgfalt in der laufenden Geschäftsabwicklung ergänzt wird, reicht nicht aus. Geschäftspartnerbezogene Sorgfaltspflichten müssen immer im Zusammenspiel von Geschäftspartnerauswahl, Vertragsgestaltung, laufender Zusammenarbeit und deren Kontrollen verstanden werden.
Ein Beispiel aus der Exportkontrolle: Die Einhaltung der vorgeschriebenen Anforderungen bei Vertragsabschluss genügt nicht, wenn dann über den Versand, die Warenflusssysteme, Rechnungsstellung oder Service im tatsächlichen Geschäftsablauf unbemerkt Änderungen erfolgen können, die die Richtigkeit der gemachten Angaben zum Verwendungszweck und Endverbleib in Frage stellen.
Korruptionsprävention
Für einen Handelsvertreter mit Serviceunterstützung sind bei nur geringen Umsätzen hohe Provisionen angemessen. Erfolgt im Laufe der Geschäftsbeziehung eine Umsatzausweitung muss die Höhe der Provisionen überprüft werden, um marktunübliche Provisionssätze auszuschließen.
Verfahren für die Compliance-Bewertung von Beratern und Dienstleistern in korruptionssensitiven Bereichen sind schön und gut. Was aber, wenn Compliance oder die Rechtsabteilung keinen Überblick darüber haben, wer im Unternehmen überhaupt solche Verträge abschließt?
Im Auswahl- oder Bewertungsprozess verbleibende Zweifelsfragen können durch besondere Kontrollmaßnahmen in der laufenden Zusammenarbeit kompensiert werden.
Kontrollmaßnahmen in der laufenden Zusammenarbeit
Geschäftspartner, die in Korruptionshochrisikoländern tätig sind: Hier dürfte ungeachtet aller Auswahlsorgfalt nie wirklich auszuschließen sein, dass Geschäftsvermittler, Zwischenhändler oder Beratungsunternehmen aus eigenem Interesse bestechen. Vertragsgestaltung, Mittelverwendungskontrolle oder begleitende Maßnahmen, wie z. B. ein Tippgeberverbot, sollten dieses Risiko daher zusätzlich reduzieren
Treffer beim Abgleich von Geschäftspartner- oder Mitarbeiterdaten mit Terroristenlisten, die auf eine Vielzahl von Personen passen ...