Die Uhr tickt auch im Bereich Compliance
Compliance ist ein Begriff, der in den letzten Jahren an immer mehr an Bedeutung für Unternehmen gewonnen hat, weil die rechtlichen Anforderungen und Haftungsrisiken für Unternehmen und deren Geschäftsführung zunehmen strenger wurden. Während Compliance im anglo-amerikanischen Raum bereits seit den 80er Jahren des 20. Jahrhundert für den Bankensektor und spätestens mit dem Sarbanes-Oxley Act von 2002 (SOX) verbindlich wurde, dauerte es noch relativ lange, bis in Deutschland verbindliche Regeln zum Risikomanagement, einem Synonym für Compliance, kodifiziert wurden, beispielsweise durch § 25a KWG oder § 80 WpHG.
Gesetzgeberische Initiativen zur Schaffung nationalen Compliance-Rechts
Doch seit einigen Jahren nimmt die legislative Umsetzung von Compliance-Unternehmensregeln deutlich an Fahrt auf:
2018 hat sich die Bundesregierung im Koalitionsvertrag verpflichtet, unternehmerische Sorgfaltspflichten gesetzlich zu regeln, also Compliance-Anforderungen zu kodifizieren.
Bereits am 21.12.2016 wurde der Nationalen Aktionsplan für Wirtschaft und Menschenrechte (NAP) verabschiedet, mit dem sich die Bundesregierung perspektivisch zu einer Regelung der ethischen Anforderungen von Wertschöpfungsketten verpflichtet wollte.
2019 trat das Geschäftsgeheimnisgesetz in Kraft, das vertrauliche Informationen außerhalb des Datenschutzes schützen soll. Und nach wie vor unterschätzen zu viele Unternehmen die Risiken, die aus einer fehlenden innerbetrieblichen Umsetzung dieses Gesetzes herrühren. Allerdings ist zu beobachten, dass immer mehr Unternehmen die „Zeichen der Zeit“ erkannt haben und sich durch geeignete Maßnahmen ihre Geschäftsgeheimnisse technisch, organisatorisch und rechtlich schützen und so einen deutlichen Wettbewerbsvorteil erlangen. Es gibt nach wie vor Unternehmen, die ohne angemessene Compliance auszukommen und darauf vertrauen, dass schon nichts passieren werde, so, als ob man ein Auto im öffentlichen Straßenverkehr ohne Kfz-Haftpflichtversicherung führen würde….)
Der am 22.08.2019 vorgelegte Referentenentwurf zum Unternehmensstrafrecht (zunächst Gesetz zur Bekämpfung der Unternehmenskriminalität, später Gesetz zur Stärkung der Integrität in der Wirtschaft) wurde nur vom Kabinett beschlossen und bisher vom Bundestag als Zustimmungsgesetz noch nicht verabschiedet; es sieht sich noch deutlicher Kritik im Bundesrat ausgesetzt, auch weil einige Sanktionen und Nebenfolgen von Interessensgruppen als wettbewerbsverzerrend wahrgenommen werden. Dennoch wird aber letztlich nicht die Frage sein, ob, sondern nur, wann das Gesetz „kommt“.
Auch das neue Lieferketten- oder Sorgfaltspflichtengesetz (Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten) ist Teil dieser neuen Compliance-Gesetze. Der Weg war relativ schwierig, weil sich die Fachministerien (Wirtschaft, Arbeit und Entwicklungspolitik) zunächst nicht auf einen Kompromiss einigen konnten. Ein von der Bundesregierung veranlasstes Monitoring, inwieweit Sorgfaltspflichten von Unternehmen mit mehr als 500 Mitarbeitern beachtet werden, fiel sehr deutlich aus: nur 13 – 17 % der Unternehmen beachten die NAP-Anforderungen aus 2016. Weitere 10 – 12 % der Unternehmen seien „auf einem guten Weg“, was auch immer das konkret bedeuten soll.
Aufgrund dieser ernüchternden Zahlen ließ sich der Handlungsbedarf einer gesetzlichen Regelung kaum mehr bestreiten. Am 12.02.2021 kam es zur Einigung der Fachministerien auf einen Kompromiss zum Lieferkettengesetz.
Der Gesetzesentwurf, auf den sich mittlerweile das Bundeskabinett einigen konnte, sieht einen Anwendungsbereich für Unternehmen mit mehr als 3.000 Beschäftigten vor, der mit dem 01.01.2024 auf Unternehmen mit Mitarbeiterzahlen von mehr als 1.000 Beschäftigten erweitert werden soll.
Durch dieses Gesetz wird ein Paradigmenwechsel eingeläutet, weil es die Unternehmen verpflichtet, sicherzustellen, dass nicht nur im eigenen Produktions- bzw. Vertriebsprozess rechtliche Anforderungen eingehalten werden, sondern die gesamte Wertschöpfungskette diesen Anforderungen unterworfen wird. Ab dem 01.01.2023 werden Unternehmen dafür Sorge zu tragen haben, dass in ihren Lieferketten die Menschenrechte eingehalten werden, also die Einhaltung grundlegender Menschenrechtsstandards, wie
- das Verbot von Kinder- und Zwangsarbeit,
- das Verbot von Folter und die Garantie der körperlichen Unversehrtheit,
- gerechte Arbeitsbedingungen und
- die Garantie der Vereinigungsfreiheit und Kollektivverhandlungen
Und die Sorgfaltspflicht betrifft die gesamte Lieferkette, also vom Rohstoff bis zur Lieferung des Endprodukts. Man stelle sich vor, dieses Gesetz hätte es vor zehn Jahren schon gegeben. Welches deutsche Unternehmen hätte sich am Bau sportlicher Großanlagen für sportliche Großereignisse auf der arabischen Halbinsel beteiligt!?!
Anforderung des Gesetzes an Unternehmen
Doch welche Anforderungen wird das Gesetz an die Unternehmen nun konkret stellen?
Der Anforderungsmaßstab ist mehrstufig und legt die höchsten Anforderungen an den
- eigenen Geschäftsbereich eines Unternehmens,
- danach an die Ebene der unmittelbaren Zulieferer und
- erst zuletzt auf die mittelbaren Zulieferer.
Wesentlich für die Verantwortung sind
- die Art und der Umfang der Geschäftstätigkeit,
- die tatsächliche Einflussmöglichkeit des Unternehmens auf den unmittelbaren Verursacher der Verletzung und
- die typischerweise zu erwartende Schwere einer Verletzung.
Umsetzung des Gesetzes im Unternehmen
Die Umsetzung dieses Gesetzes erfolgt nach dem aus anderen Compliance-Bereichen bekannten Muster:
- Selbstverpflichtung zur Achtung von Menschenrechten
- Durchführung Risikoanalyse und Dokumentation
- Schaffung eines Beschwerdemechanismus
- Definition von Abhilfemaßnahmen
- regelmäßiger Bericht
Zunächst muss sich das Unternehmen selbst verpflichten, Menschenrechte zu achten. Hierzu bedient man sich üblicherweise einer Grundsatzerklärung oder einer Ergänzung eines bestehenden Code of Conduct.
Danach muss das Unternehmen eines Risikoanalyse durchführen, mit der sämtliche Verfahren, Prozesse, Abteilungen und Beteiligte auf mögliche nachteilige Auswirkungen auf Menschenrechte identifiziert und dokumentiert werden. Die sich hieraus ergebenen Risiken müssen analysiert und mittels Risikomanagements etwaige Abhilfemaßnahmen definiert werden. Die maßgeblichen Kriterien sind hier die Wahrscheinlichkeit einer Verletzung und der hieraus wahrscheinlich drohende Schaden.
Auch aus diesem Gesetz erfolgt die unternehmerische Pflicht, einen Beschwerdemechanismus festzulegen. Beteiligten und Stakeholdern muss die Möglichkeit gegeben werden, Missstände und Verstöße gegen dieses Gesetz melden zu können, ohne rechtliche Nachteile befürchten zu müssen. Es bietet sich an, diesen Beschwerdemechanismus in ein bestehenden Hinweisgebersystem zu integrieren. Soweit Unternehmen dieses noch nicht nach dem Geschäftsgeheimnisgesetz installiert haben, bietet das neue Sorgfaltspflichtengesetz eine gute Gelegenheit, diese nicht zu unterschätzende Lücke zu schließen.
Wenn es zu einer Verletzung von Menschenrechten in der Lieferkette gekommen ist, sind unverzüglich Abhilfemaßnahmen im eigenen Geschäftsbereich zu ergreifen, die geeignet sein müssen, die Verletzung endgültig zu beenden. Die bestehenden Präventionsmaßnahmen müssen im Hinblick auf den Vorfall geprüft und verbessert werden.
Das Unternehmen muss regelmäßig über die Umsetzung seiner Sorgfaltspflichten berichten.
Bei einer Verletzung beim eigenen unmittelbaren Zulieferer ist zu prüfen, ob diese nicht in absehbarer Zeit beendet werden kann; dann sind Maßnahmen zu planen, um dieses Risiko zu minimieren.
Kritik am Gesetz
Allerdings konnten sich bei diesem Gesetz die Kreise durchsetzen, die für deutsche Unternehmen einen Standortnachteil befürchteten. Wesentlich Punkte, die dem Gesetz einige „Schlagkraft“ gegeben hätten, wurden mindestens entschärft und verfehlten ganz den Weg ins Gesetz.
So sieht Gesetz bei den mittelbaren Zulieferern gelten keine grundsätzlichen Sorgfaltspflichten vor, so dass eine Risikoanalyse nur aufgrund eines Anlasses, also einer konkreten Verletzung beim (mittelbaren) Zulieferer vorzunehmen ist. Dieser ausschließlich anlassbezogene Mechanismus nimmt die Verantwortlichkeit sehr weit zurück, auch wenn das Unternehmen dennoch verpflichtet ist, geeignete Präventionsmaßahmen gegenüber dem Verursacher zu definieren und festzulegen.
Auch wird der Abbruch einer Geschäftsbeziehung nicht vorgeschrieben, sondern ist nur ultima ratio bei schwergradigen Menschenrechtsverletzungen, und bestehende oder geplante Maßnahmen diese Rechtsverletzung in angemessener Frist nicht verhindern können.
Ein neuer Haftungstatbestand wurde trotz erheblicher Kritik durch dieses Gesetz nicht geschaffen.
Wie wird dem Gesetz Geltung verschafft?
Was droht dem Unternehmen bei einer Verletzung?
Das Bundesamt für Wirtschaft und Ausfuhrkontrolle überwacht als Aufsichtsbehörde die Einhaltung des neuen Gesetzes. Und ein Gesetz ohne Kontrolle und Aufsicht würde eines jeden Sinn entbehren. Daher kann die Aufsichtsbehörde bei ihrer Arbeit u. a.
- Personen vorladen,
- dem Unternehmen aufgeben, innerhalb von drei Monaten einen Plan zur Behebung von Missständen vorzulegen,
- dem Unternehmen konkrete Handlungen zur Pflichterfüllung auferlegen,
- das Unternehmen und seine Betriebsgrundstücke und Geschäftsräume betreten,
- Zwangsgelder bis zu EUR 50.000,00 auferlegen.
Allerdings sind die wirklich unangenehmen Folgen eines Verstoßes wesentlich gravierender.
Und hier greift es auf das klassische Reaktionsinstrumentarium aus dem Compliance-Recht zurück:
- Verhängung von Bußgeldern von bis EUR 800.000,00 pro Einzelfall bzw. 2 % des durchschnittlichen Jahresumsatzes
- Ausschluss des Unternehmens von öffentlichen Vergabeverfahren für bis zu drei Jahren
Bei der Höhe des Bußgeldes ist üblicherweise neben dem eigentlichen Rechtsverstoß auch das bestehende Compliance-System entscheidend. Ein Unternehmen, das sich bis dahin geweigert hat, das Gesetz umzusetzen, wird kaum Argumente gegen das Höchstmaß der Geldbuße finden.
Auch wenn das Gesetz derzeit keinen eigenen zivilrechtlichen Haftungstatbestand enthält, wird dieser Punkt für Unternehmen relevant, weil zu erwarten ist, dass Unternehmen ihre Geschäftspartner vertraglich zur Einhaltung dieses Gesetzes verpflichten werden. Und genau dann droht dem Unternehmen Unbill in Gestalt von Vertragsstrafen und Schadenersatz, sollte es zu einer Rechtsgutverletzung innerhalb der Lieferketten kommen.