Kitabı oku: «Compliance», sayfa 5

Markus Böttcher, Sina Poppe, Christina Fischer, Michael Steiner, Fabian Stancke Frank Romeike Uwe Heim Joachim Schrey Daniel Kaiser Michael Bernd Peters Tobias Ackermann Britta Bannenberg Silvia C. Bauer Sophie Luise Bings Markus Burckhardt Björn Demuth Alfred Dierlamm Markus Eberhard David Elshorst Martina Flitsch Hermann LL.M. Geiger Anne-Catherine LL.M. Hahn Marion Hanten Mathias Hanten Frank M. Hülsberg Cornelia Inderst Sebastian Lach Jens C. Laue Bernd Michael Lindner Eva Racky Torsten Reich Markus S. LL.M. Rieder Christoph LL.M. Rieken Alexander von Saenger Burkhard Schwenker Annke von Tiling Stefan Weiss Uta LL.M. Zentes ve dahası

Yazı tipi:

Anmerkungen

[1]

BGHZ 135, 244.

1. Kapitel Begriffsbestimmungen Compliance: Bedeutung und Notwendigkeit › III. Haftungsrisiken von Unternehmen und Management › 2. Gesteigerte Verantwortung des Managements für seine Mitarbeiter

2. Gesteigerte Verantwortung des Managements für seine Mitarbeiter

Mitglieder des Managements haben nicht nur eigene Pflichtverletzungen zu vermeiden, sondern auch für das pflichtgemäße Verhalten der Mitarbeiter Sorge zu tragen. Wenn der Mitarbeiter eines Unternehmens eine Pflichtwidrigkeit begangen hat, kann sich auch die Frage nach einer möglichen Aufsichtsverletzung durch das Management stellen, welches für das Unternehmen und den Mitarbeiter die Verantwortung trägt. Nicht selten führen solche Aufsichtspflichtverletzungen zu Haftungsfällen, in denen neben dem betroffenen Mitarbeiter auch das Unternehmen bzw. seine Leitungsorgane in Anspruch genommen werden. Für die Unternehmensleitung bedeutet dies, dass nicht nur Pflichtverletzungen in den eigenen Reihen vorgebeugt werden müssen, sondern, dass auch seine Mitarbeiter zu kontrollieren und zu überwachen sind.

1. Kapitel Begriffsbestimmungen Compliance: Bedeutung und Notwendigkeit › III. Haftungsrisiken von Unternehmen und Management › 3. Stetiger Anstieg von Haftungsrisiken

3. Stetiger Anstieg von Haftungsrisiken

Rechtsgebiete, die Haftungsrisiken der Unternehmen sowie ihres Managements bergen, nehmen stetig zu. Sie sind vielfältig und nicht leicht zu überschauen. Die Vorschriften stammen etwa aus dem Kartellrecht,[1] dem Deliktsrecht, dem Patent- und Markenrecht, dem Wettbewerbsrecht, dem Arbeitsrecht, dem Steuerrecht, dem Datenschutzrecht, dem Umweltrecht sowie Umweltstrafrecht und nicht zuletzt dem Strafrecht, wobei insbesondere die Korruptionsdelikte eine bedeutende Rolle spielen.[2] Die Aufzählung ist umfangreich und keineswegs abschließend. Vielmehr kann die Liste insbesondere um branchenspezifische oder solche Risiken erweitert werden, die von der Größe oder der nationalen bzw. internationalen Ausrichtung des Unternehmens abhängig sind. Insbesondere für Geldinstitute, börsennotierte Unternehmen und solche Unternehmen, die an der US-Börse notiert sind, gelten eine Vielzahl weiterer und spezifischer Regelungen, die in den folgenden Beiträgen noch näher behandelt werden.[3]

Anmerkungen

[1]

Im Falle von Kartellabsprachen wird gem. §§ 30, 130 OWiG stets gegen die Organmitglieder wegen Verletzung der Aufsichtspflichten ermittelt.

[2]

Mittlerweile sind viele Korruptionssachverhalte, einschließlich derer mit Auslandsbezug, strafrechtlich erfasst. Gleichwohl sind noch nicht alle Gesetzeslücken geschlossen, so dass es nach wie vor korrupte Verhaltensformen gibt, die nicht unter Strafe gestellt sind.

[3]

Vgl. hierzu etwa 6. Kap.

1. Kapitel Begriffsbestimmungen Compliance: Bedeutung und Notwendigkeit › III. Haftungsrisiken von Unternehmen und Management › 4. Zunehmende Insolvenzen

4. Zunehmende Insolvenzen

Auch die erheblich wachsende Zahl von Insolvenzen trägt zur Entwicklung von Risiken bei. Nicht selten birgt eine drohende bzw. bereits eingetretene Insolvenz die Gefahr von Managementfehlern. Insbesondere die Schwierigkeit einer Fortführungsprognose bei der Feststellung der Überschuldung kann zu Fehlern führen, die den Tatbestand eines Insolvenzdeliktes erfüllen.[1] Die Insolvenzgerichte sind verpflichtet, die Staatsanwaltschaft zu informieren, weshalb in solchen Fällen unmittelbar mit strafrechtlichen Konsequenzen zu rechnen ist. So wird aus einer Insolvenz schnell eine Kriminalinsolvenz, bei der der Insolvenzverwalter die Haftung und Inanspruchnahme von Leitungsorganen zu prüfen hat.

Anmerkungen

[1]

Hauschka NJW 2004, 257, 259.

1. Kapitel Begriffsbestimmungen Compliance: Bedeutung und Notwendigkeit › III. Haftungsrisiken von Unternehmen und Management › 5. Business Judgement Rule

5. Business Judgement Rule

Auch aus der Kodifizierung der sogenannten Business Judgement Rule in § 93 Abs. 1 AktG[1] lassen sich erhöhte Anforderungen an die Sorgfalt der Unternehmensorgane ableiten. Den Vorstand einer Aktiengesellschaft trifft im Haftungsfall die Beweispflicht dafür, dass er selbst bei der Unternehmensführung mit der nötigen Sorgfalt gehandelt hat.

Die Business Judgement Rule wurde im Rahmen des Gesetzes zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts (UMAG)[2] in § 93 AktG aufgenommen und regelt, dass eine Pflichtverletzung dann nicht vorliegt, wenn „das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen dürfte, auf der Grundlage angemessener Information zum Wohl der Gesellschaft zu handeln“.

Damit wird dem Umstand Rechnung getragen, dass nicht jede unternehmerische Fehleinschätzung oder jeder geschäftliche Misserfolg eine Pflichtverletzung darstellt und zur Haftung führt. Schließlich gehören gewisse Risiken unvermeidlich zu jeder unternehmerischen Tätigkeit. Mit der Business Judgement Rule soll der Vorstand deshalb auch in unvermeidbaren Krisenfällen entlastet werden. Sofern es dem Vorstand gelingt nachzuweisen, alles Zumutbare getan zu haben, um in seinem Unternehmen Risiken zu überwachen und zu vermeiden, ist seine Haftung ausgeschlossen. Der Nachweis der ausreichenden Kontrolle wird jedoch nur dann zu erbringen sein, wenn der Vorstand ein verlässliches Frühwarnsystem eingerichtet hat, welches ihm zur Verfügung steht. Fehlt ein solches gänzlich, wird er schwerlich beweisen können, auf der Basis ausreichender Informationen gehandelt zu haben.[3]

Hat die Geschäftsleitung eines Unternehmens, das grundsätzlich Risikomanagement betreibt, eine unternehmerische Entscheidung getroffen, die zu einem Schadensereignis geführt hat, ist die Business Judgement Rule grundsätzlich anwendbar. Anhand der Bewertung der Qualität des Risikomanagementsystems wird dann zu beurteilen sein, ob ein Vorstand sich auf das System verlassen konnte und durfte. Ist das System mangelhaft und der Vorstand nur unzulänglich informiert, kann er sich gerade nicht darauf berufen, seine Entscheidung unter Berücksichtigung und Abwägung aller Risiken getroffen zu haben. Dies alles findet allerdings nur dann Anwendung, wenn ein Unternehmen überhaupt auf ein Kotrollsystem zurückgreift. Hat es jegliche Maßnahmen des Risikomanagements unterlassen, so ist die Business Judgement Rule nicht anwendbar. Deshalb ergibt sich aus § 93 Abs. 1 AktG indirekt die Pflicht zur Implementierung eines Risikoüberwachungssystems.

Die Business Judgement Rule des § 93 Abs. 1 AktG gilt einschließlich ihrer Grenzen nicht nur für den Vorstand einer Aktiengesellschaft. Sie wird auch für den Geschäftsführer einer GmbH analog angewendet.[4] In diesem Fall wird sie bei der Auslegung von § 43 GmbHG herangezogen, der die Sorgfaltspflicht des Geschäftsführers regelt. Also wird auch der GmbH-Geschäftsführer zu seiner Entlastung darlegen müssen, seine unternehmerischen Entscheidungen auf der Basis ausreichender Informationen und ausschließlich zum Wohl seiner Gesellschaft getroffen zu haben. Dieser Nachweis wird auch von ihm nur anhand eines angemessenen und funktionierenden Kontrollsystems im Unternehmen zu erbringen sein.

Anmerkungen

[1]

Vgl. hierzu auch 2. Kap. Rn. 3 ff.

[2]

Abrufbar unter www.ebundesanzeiger.de.

[3]

Vgl. Lorenz ZRFG 2006, 5, 9; MünchKomm/Fleischer § 43 Rn. 71 ff.

[4]

Vgl. Goette/Goette DStR 2015, 815, 816; Hauschka GmbHR 2007, 11.

1. Kapitel Begriffsbestimmungen Compliance: Bedeutung und Notwendigkeit › III. Haftungsrisiken von Unternehmen und Management › 6. Allgemeine Regeln

6. Allgemeine Regeln

Die Verantwortung der Leitungsorgane für das rechtmäßige Verhalten ihrer Mitarbeiter findet auch gesetzlichen Niederschlag in § 831 BGB, der die Haftung von Leitungsorganen für ihre Mitarbeiter regelt.

Im Krisenfall haften dabei alle Leistungsträger eines Unternehmens. Das Management kann sich nicht dadurch exkulpieren, dass sich ein Mitglied etwa auf seine Unzuständigkeit für ein bestimmtes Ressort beruft. Die Verantwortung des Managements ist immer umfassend, so dass auch dann, wenn ein Unternehmen mehrere Vorstände oder Geschäftsführer hat und jedem ein bestimmter Zuständigkeitsbereich zugewiesen ist, jeder Einzelne verantwortlich für alle Zuständigkeitsbereiche bleibt.

Jedes einzelne Mitglied des Managements treffen grundsätzlich umfassende Aufsichts- und Kontrollpflichten, die nur dann erfüllt sind, wenn sich das Vorstandsmitglied oder der Geschäftsführer über alle anderen Ressorts informiert.[1] Sofern es Anhaltspunkte dafür gibt, dass sich ein Vorstands- oder Geschäftsführungsmitglied nicht sorgfaltsgemäß verhalten hat, so trifft die anderen Leitungsorgane eine Aufklärungs- und Interventionspflicht.

Die Leitungsorgane eines Unternehmens haften im Konfliktfall für eigene oder fremde Normverstöße nicht nur Dritten gegenüber nach § 823 BGB, sondern auch im Innenverhältnis gegenüber der eigenen Gesellschaft nach § 43 Abs. 2 GmbHG bzw. § 93 Abs. 2 AktG.

Die aktuellen Entwicklungen in Gesetzgebung und Praxis haben damit zu einer erhöhten Verantwortlichkeit des Managements geführt. Um den Anforderungen gerecht zu werden, müssen Unternehmensverantwortliche viele Aufgaben erfüllen. Dazu gehört, dass die Mitglieder des Managements die Risiken in ihrem Unternehmen zunächst einschätzen und bewerten können. Hierfür sind regelmäßig Rechtskenntnisse erforderlich. Ferner müssen die sich daraus ergebenden Regeln im Unternehmen aufgestellt und auch kommuniziert werden. Schließlich muss das Management seine Mitarbeiter und Kollegen überwachen und kontrollieren.

Einer solchen Verantwortung können Unternehmen und ihre Leitungsorgane nicht ohne umfassende geeignete organisatorische Maßnahmen gerecht werden. Diese Aufgaben ohne eine entsprechende Struktur und nebenbei bewältigen zu wollen, ist unrealistisch. Das gilt im Übrigen für kleine und große Unternehmen gleichermaßen. Selbstverständlich muss sich der Aufwand für die Prävention an Größe und Branche sowie auch dem Ausmaß des typischen unternehmerischen Risikos anpassen.[2] Und selbstverständlich darf eine Compliance-Organisation auch ein unternehmerisches und auf Gewinn ausgelegtes Handeln nicht aus den Augen verlieren. Insoweit darf die Kritik an übertriebenen Compliance-Maßnahmen, in denen sich Unternehmen sogar weit strengere Regeln auferlegen, als es der Gesetzgeber tut, nicht ungehört bleiben. Gleichwohl ist vor dem Hintergrund des Gesagten festzuhalten, dass kein Unternehmen ohne ein Mindestmaß an Prävention auskommt.

Dies zu gewährleisten ist die Aufgabe von Compliance. Compliance bedeutet daher auch die Verpflichtung jedes Mitarbeiters, seine Pflicht zu regelkonformem Verhalten zu kennen und einzuhalten, sowie die Organisationspflicht der Leitungsorgane, das regelkonforme Verhalten seiner Mitarbeiter sicherzustellen und aktiv dafür zu sorgen, dass Schäden und Haftung von dem Unternehmen abgewehrt werden.

Es wäre dennoch unrealistisch anzunehmen, dass eine Compliance-Organisation ein vollständig regelkonformes Verhalten im Unternehmen zur Folge hat. Gerade in größeren Organisationen werden sich Compliance-Verstöße niemals vollständig ausschließen lassen.

Deshalb gehört zu jeder Compliance-Organisation auch der Umgang mit eingetretenen Regelverstößen.[3] Ein effektives Krisenmanagement muss daher ebenso Teil der Compliance-Organisation sein wie ein effektives Risikomanagement. Dabei ist es wichtig, vor Eintritt einer Krise bereits Maßnahmen zur Krisenbewältigung zu treffen. Wer sich erst dann, wenn der Ernstfall eintritt, mit den entsprechenden Maßnahmen auseinandersetzt, wird wahrscheinlich scheitern. Denn es nimmt sehr viel Zeit und Aufwand in Anspruch, geeignetes Krisenmanagement zu betreiben. Naturgemäß hat das Unternehmen diese Zeit gerade nicht, wenn die Problemsituation bereits eingetreten ist.[4]

Anmerkungen

[1]

Campos Nave/Tauber abrufbar unter http://roedl.de/Corporate_Compliance.Roedl?ActiveID=1083.

[2]

Hauschka/Greeve BB 2007, 165, 166.

[3]

Rodewald/Unger BB 2007, 1629, 1633.

[4]

Rodewald/Unger BB 2007, 1629, 1633.

1. Kapitel Begriffsbestimmungen Compliance: Bedeutung und Notwendigkeit › IV. Gesetzliche Grundlagen und unternehmerische Pflichten

IV. Gesetzliche Grundlagen und unternehmerische Pflichten

Darüber, ob Unternehmen in Deutschland tatsächlich gesetzlich verpflichtet sind, eine Compliance-Organisation zu implementieren, wird viel gestritten. Das LG München hat in einem Schadensersatzprozess gegen ein Vorstandsmitglied erstmals eine Tendenz zur Compliance-Pflicht gezeigt.[1] Auch der BGH hat im Kontext des § 93 Abs. 2 AktG ausgeführt, dass ein Vorstandsmitglied nicht nur dann seine Pflichten verletzt, wenn es selbst tätig wird oder Kollegialentscheidungen trifft, sondern auch, wenn es pflichtwidrige Handlungen anderer Vorstandsmitglieder oder Mitarbeiter anregt oder nicht dagegen einschreitet.[2] Grundsätzlich verpflichtet diese Verantwortung den Vorstand nach h. M. bei entsprechendem Risikopotential eine auf Risikokontrolle und Haftungsvermeidung ausgerichtete Compliance-Organisation einzurichten.[3] Lediglich kleinere Unternehmen mit geringem Risiko und überschaubarer Struktur können noch auf eine institutionelle Compliance-Struktur verzichten, was jedoch nicht heißt, dass sie keine entsprechenden Internen Kontroll- und Präventionsmaßnahmen vornehmen müssen.[4]

Fest steht, dass die Geschäftsleitung eine Pflicht trifft, erforderliche, zumutbare und angemessene Maßnahmen zu ergreifen, um drohende Schäden frühzeitig zu erkennen und sie abzuwenden.[5] Dem Streit kommt also eine geringe praktische Bedeutung zu, da sich eine Verpflichtung jedenfalls faktisch für jedes Unternehmen ergibt, das die Einhaltung von Rechtsvorschriften anstrebt und Schäden abwenden will.[6]

Zudem lässt sich die Notwendigkeit der Einrichtung eines Risikomanagementsystems aus mehreren Vorschriften ableiten, wodurch ein etwaiges Ermessen der Unternehmensleitung dahingehend, ob eine Compliance-Organisation eingerichtet wird oder nicht, erheblich eingeschränkt,[7] wenn nicht sogar auf Null reduziert ist.

Im Folgenden sollen diejenigen Vorschriften dargestellt werden, aus denen sich jedenfalls die Notwendigkeit der Einrichtung eines Compliance-Systems ableiten lässt.

Der gesetzliche Ursprung der Compliance in Deutschland wird in § 33 WpHG gesehen. Hierin findet sich die rechtliche Grundlage für Compliance in der Reglementierung der Organisationsrichtlinien von Wertpapierdienstleistungsunternehmen für das Wertpapiergeschäft.

§ 33 WpHG war die erste Vorschrift in Deutschland unter Compliance-Gesichtspunkten. Dies erklärt auch, warum sich Compliance in Deutschland zunächst auf die Einhaltung der Regeln des Wertpapiergeschäfts ausrichtete.[8] Bekanntermaßen ist Compliance mittlerweile nicht mehr auf die Wertpapieraufsicht beschränkt, sondern hat sich auf alle anderen Wirtschaftsbereiche ausgeweitet.

Compliance-Programme wurden erstmals außerhalb des Wertpapierrechts im Zusammenhang mit dem Kartellordnungswidrigkeitenrecht erwähnt. Die Rechtsprechung der Kartellgerichte und die Praxis des Bundeskartellamtes haben in Zusammenhang mit § 130 OwiG als „erforderliche Aufsichtsmaßnahmen“ auf die Einrichtung von Compliance-Programmen hingewiesen und damit die fehlende Konkretisierung des Gesetzgebers ausgefüllt. Auch wenn sich die Rechtsprechung in Bezug auf den Inhalt solcher Compliance-Systeme und damit der Frage nach dem „wie“ entschieden zurückhält, so legt sie sich jedenfalls in Bezug auf die Frage nach dem „ob“ fest.

Eine Pflicht zur Schaffung eines Überwachungssystems ergibt sich auch aus dem im Jahr 1998 neu eingeführten § 91 Abs. 2 AktG,[9] wonach „der Vorstand geeignete Maßnahmen zu treffen hat, insbesondere ein Frühwarnsystem einzurichten, damit den Fortbestand des Unternehmens gefährdende Entwicklungen früh erkannt werden.“ Die Norm ist 1998 durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)[10] eingeführt worden und entfaltet laut der Gesetzesbegründung Ausstrahlungswirkung auf die GmbH. Auch wenn § 91 Abs. 2 AktG nicht explizit vorschreibt, welche Maßnahmen der Vorstand zur Früherkennung von Risiken zu treffen hat, so bietet sich die Einrichtung eines umfassenden Risikomanagementsystems jedenfalls dringend an, um der Vorschrift gerecht zu werden. Mehr noch ist eine Alternative für den Vorstand, diese rechtliche Pflicht zu erfüllen, nicht erkennbar.

Aus der systematischen Auslegung des § 91 Abs. 2 AktG ergibt sich bereits, dass das geforderte Risikomanagementsystem nicht etwa Aufgabe einzelner, möglicherweise eines bestimmten hierfür gewählten Vorstandsmitglieds, sondern vielmehr des gesamten Vorstandes ist.[11]

Eine Delegation ist damit zwar nicht unmöglich, gleichwohl werden die Vorstandsmitglieder dadurch gerade nicht aus der Verantwortung entlassen. Vielmehr muss sich der Vorstand berichten lassen, überwachen und vor allem bei Fehlern einschreiten.[12]

Für börsennotierte Unternehmen gilt zudem die Regelung des § 317 HGB. Hiernach wird im Rahmen der Abschlussprüfung durch den Wirtschaftsprüfer beurteilt, ob der Vorstand die Pflichten des § 91 Abs. 2 AktG zureichend erfüllt und die Maßnahmen zur Risikovermeidung in ausreichendem Maße getroffen hat und das bestehende Überwachungssystem geeignet ist, seine Aufgaben zu erfüllen.[13]

Im Falle von börsennotierten Unternehmen schlägt sich das Risikomanagement auch in der Rechnungslegung nieder. Nach § 289 Abs. 1 S. 4 HGB muss das Unternehmen im Lagebericht Stellung zu den aktuellen Risikomanagementzielen und Methoden nehmen.

Börsennotierte Unternehmen müssen zusätzlich auch im Rahmen der Abschlussprüfung dahingehend geprüft werden, ob der Vorstand seinen Pflichten aus § 91 Abs. 2 AktG nachgekommen ist. Gem. § 317 Abs. 4 HGB ist dies vom Wirtschaftsprüfer zur beurteilen, dem hierfür ein eigener Prüfstandard an die Hand gegeben wird.

Auch mit dem Entwurf des neunten Gesetzes zur Änderung des Versicherungsaufsichtsgesetzes[14] wird in Form des § 64a VAG eine weitere Rechtsnorm die Grundsätze der Compliance ansprechen. § 64a VAG befasst sich mit den wesentlichen Inhalten einer ordnungsgemäßen Geschäftsorganisation. Damit geht das VAG über die allgemeinen Regeln des Aktiengesetzes hinaus und wird die Auslegung und Konkretisierung der Generalklauseln des Aktiengesetzes beeinflussen.[15]

Während sich in den genannten gesetzlichen Bestimmungen vornehmlich abstrakte Anhaltspunkte für die Bedeutung und die Anforderungen an Compliance finden, so wird der Deutsche Corporate Governance Index (DCGK)[16] in seinen Bestimmungen konkreter.

Die neuere Fassung des DCGK enthält erstmals den Begriff „Compliance“. In Ziff. 4.1.3. ist geregelt, dass „der Vorstand für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen“ und „auf deren Beachtung durch die Konzernunternehmen“ hinzuwirken hat.

Damit wird dem Vorstand die Verantwortung für die Einhaltung externer und interner Vorgaben zugewiesen. Er soll beide Verhaltensanforderungen durch organisatorische Vorkehrungen erfüllen. Der DCGK versteht Compliance damit als übergeordneten Begriff, der die Leitungsverantwortung des Vorstandes in eine Organisations- und eine Legalitätspflicht unterteilt.[17]

Durch die „unternehmensinternen Richtlinien“ muss das Unternehmen seinen Mitarbeitern Verhaltensmaßstäbe an die Hand geben, die ihr Verhalten in Risikosituationen reglementieren. Unternehmensinterne Richtlinien können in Satzungen, Arbeitsverträgen, internen Arbeitsanweisungen, in der Geschäftsordnung oder in einem Verhaltenskodex geregelt sein.

In den internen Richtlinien kann und sollte das Unternehmen auch seine ethischen und moralischen Regeln und Wertvorstellungen festlegen. Denn nicht nur die Einhaltung gesetzlicher, sondern auch ethischer Regeln darf und sollte Bestandteil der Compliance sein. Das Unternehmen wird solche Richtlinien in einem sog. Code of Conduct, d.h. einer Sammlung von Verhaltensweisen festlegen. Ein solcher Code of Conduct ist weniger eine zwingende Vorschrift, sondern vielmehr eine freiwillige Verpflichtung, bestimmten Vorgaben zu Verhaltensmustern zu folgen oder sie zu unterlassen. Damit kann das Unternehmen vorgeben, wie sich seine Mitarbeiter in bestimmten Situationen in verschiedenen Zusammenhängen verhalten sollten und Sorge dafür tragen, dass keiner sich durch die Umgehung der Richtlinien Vorteile verschafft.

Schließlich empfiehlt sich die Implementierung eines Compliance-Systems auch aufgrund der verschärften Regelungen der Banken zur Kreditvergabe Basel II, wonach Banken verpflichtet sind, ihre Kunden einem Rating zu unterziehen.[18]

Ein solches Rating wird neben den finanziellen Verhältnissen auch die Qualität des Managements und der Organisation auf den Prüfstand nehmen. Hierbei hängt ein wesentlicher Teil davon ab, welche Maßnahmen zur Erkennung und Vorbeugung von Risiken ein Unternehmen getroffen hat.

Dies wird in Zukunft nicht nur für Großunternehmen gelten, sondern insbesondere auch mittelständische und kleine Unternehmen betreffen. Nur durch die Implementierung eines Compliance-Systems wird das Management in der Lage sein, nachzuweisen, dass es sich effektiv mit der Vermeidung von Haftungsrisiken und Fehlern auseinandersetzt. Somit kann Compliance auch Auswirkungen auf die Kreditversorgung der Unternehmen haben.

Nach alledem wird deutlich, warum die Verantwortung des Unternehmens unter einem neuen Blickwinkel diskutiert wird und werden muss. Die Diskussion um Compliance hat eine Vielzahl von rechtlichen Problemen für die Unternehmensorganisation aufgedeckt. Neben den verschärften Haftungsregeln und neuen Vorschriften hat die Vergangenheit gezeigt, dass bestehende Organisationsstrukturen vielfach kein effektives Risikomanagement gewährleisten konnten. Vielmehr wurde offensichtlich, dass dem erheblichen Umfang von Risiken für Unternehmen nur durch eine klare organisatorische Struktur und Verhaltensstandardisierung zu begegnen ist.