1. Compliance allgemein

Der Begriff „Compliance“ stammt aus dem us–amerikanischen Handels- und Wirtschafts-(straf)recht und gewinnt zunehmend auch bei uns in Deutschland an Bedeutung. Er wird allerdings, wie viele andere Anglizismen auch, zur Beschreibung unterschiedlicher Sachverhalte eingesetzt, verliert dadurch deutlich an Konturen und gerät ins Beliebige.

Wertungsfrei übersetzt, dabei den rechtlichen und gesellschaftlichen Zusammenhang, in dem er in der juristischen Diskussion aber steht, auslassend, heißt Compliance

„Einhaltung, Befolgung, Einverständnis“. Gebraucht wird der Begriff allgemein im Zusammenhang mit dem Einhalten oder dem Abweichen von staatlichen Regelungen. Wenn es sich dabei um Gesetze handelt, kann man auch von „Gesetzestreue“ sprechen.

„Compliance” kann aber auch mit der Schaffung eines Arbeitsumfeldes umschrieben werden, in dem Mitarbeiter nicht versucht sein müssen, für das Unternehmen Straftaten zu begehen.

Allgemein wird Compliance als Verpflichtung der Unternehmen beschrieben, rechtlich und organisatorisch umfassend sicherzustellen, dass alle für sie maßgeblichen Gesetze und sonstigen sie zu einem bestimmten Verhalten verpflichtenden Normen beachtet werden.

Art. 406 Sarbanes-Oxley-Act (SOX) verpflichtet Unternehmen, ,die an einer US-amerikanischen Börse notiert oder die sonst noch zur Berichterstattung an die US-amerikanische Börsenaufsicht verpflichtet sind, zur Einführung von Compliance- Richtlinien.

In Deutschland schreibt der Corporate Governance Kodex vor, dass der Vorstand einer börsennotierten Aktiengesellschaft für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen hat und dass er auf deren Beachtung durch die Konzernunternehmen hinwirkt.

Der Vorstand einer Aktiengesellschaft ist nach § 91 Abs. 2 AktG verpflichtet, ein Überwachungssystem zur Früherkennung von Risiken einzurichten, die den Fortbestand der Gesellschaft gefährden. § 93 Abs. 2 AktG sieht für Verstöße dagegen vor, dass der Vorstand in Haftung genommen wird.

Außerhalb der Welt der Finanzdienstleister und börsennotierten oder der amerikanischen Börsenaufsicht unterliegenden Aktiengesellschaften lassen sich verstreut gesetzliche Bestimmungen zur Sicherung der Einhaltung des gesetzlichen Normenbestands finden, die sich als rechtliche Verpflichtung von Compliance-Maßnahmen interpretieren lassen.

• So verpflichtet etwa  § 12 AGG die Arbeitgeber, die erforderlichen Maßnahmen zum Schutze vor nach § 1 AGG  verbotenen Benachteiligungen zu treffen, § 3 ArbSchG zu erforderlichen Maßnahmen des Arbeitsschutzes.
• Nach § 6 ASiG müssen die Arbeitgeber Fachkräfte für Arbeitssicherheit bestellen.
• Im Umweltschutzrecht wäre auf § 52 a Abs. 2 BimSchG hinzuweisen.
• § 4 f BDSG schreibt die Bestellung eines Datenschutzbeauftragten vor.

Eine in der Öffentlichkeit weithin unbekannte Vorschrift ist § 130 OWiG. Danach handelt ordnungswidrig und macht sich bußgeldpflichtig, wer als Betriebsinhaber die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um Straftaten oder Ordnungswidrigkeiten im Betrieb zu verhindern. Diese Vorschrift gilt nicht nur für börsennotierte Konzernunternehmen, sondern auch für Kleinbetriebe. Zwar ist in § 130 OWiG von Compliance, kein Wort zu finden, sehr wohl aber davon, dass die Unternehmensverantwortlichen ihr Aufsichtspersonal sorgfältig auswählen, anleiten und überwachen müssen. § 130 Abs. 1 OWiG  i.V.m. § 30 OWiG droht Geldbußen bis zu EUR 1 Mio. an.

Auf den Punkt gebracht bedeutet „Compliance“ somit die eigentlich selbstverständliche Verpflichtung der Unternehmen, die für jedermann gültigen Gesetze anzuerkennen und deren Bestimmungen einzuhalten. Dadurch sollen Haftungsrisiken des Unternehmens und seiner Mitarbeiter vermieden werden.

Über die Sicherstellung eines gesetzeskonformen Verhaltens hinaus wird Compliance noch gleichgesetzt mit dem Begriff „best practice“.

Von Bedeutung ist schließlich, dass mit Compliance auch auf das (ethisch) korrekte Verhalten des Unternehmens und seiner Beschäftigten abgestellt wird. Dieses Ziel soll mittels Einführung von Ethik- und Verhaltensregeln der Beschäftigten (Codes of Conduct) erreicht werden.

Die konkrete Ausgestaltung einer akzeptablen Compliance-Organisation hängt von den Besonderheiten des jeweiligen Unternehmens, dem Geschäftsgegenstand und den damit verbundenen erhöhten Risiken ab. Branchenübergreifend gehören dazu insbesondere

• die Bestimmung der Risiken des Unternehmens
• Beschreibung der Maßnahmen zur Vorbeugung
• Aufzählung der Maßnahmen zur Kontrolle und Aufklärung
• Darstellung der Maßnahmen zur Ahndung
• Evaluation des Vorgehens und fortlaufende Verbesserung der Compliance-Organisation
• Einbindung des Betriebsrats auch außerhalb des zwingenden Mitbestimmungsbereichs. 

In der Beratungspraxis wird demnach allgemein zur Wahrung der Gesetzestreue die folgende Abfolge empfohlen:

• „prevent“ : „Prevent“- Maßnahmen sollen Gesetzesverstöße schon im Ansatz  verhindern,
• „detect“: „detect“-Aktionen sollen begangenes Unrecht aufdecken,
• „react“. : „react“-Handlungen haben für angemessene Sanktionen zu sorgen.

Die rechtlichen Anforderungen an die Errichtung und Erhaltung eines wirksamen Compliance-Systems laufen auf einen für alle Unternehmen geltenden Mindeststandard hinaus:

„Es darf keine Einfallstore für (systematische) Regelverstöße im und aus dem Unternehmen heraus geben.“

Rechtsverstöße, insbesondere von Straftaten, die aus dem Unternehmen heraus begangen werden und die zu erheblichen Nachteilen durch Eintritt von Haftungsrisiken oder Ansehensverlust führen können, sind zu verhindern.

In der Hitze der Auseinandersetzungen um das Verhindern von Regelverstößen aus dem Unternehmen heraus wird oft übersehen, dass das Compliancekonzept im Unternehmen selbst „compliant“ sein muss.

Das heißt. Das Verhindern, Aufdecken und Ahnden von Rechtsverstößen darf nicht mittels Verletzung der Persönlichkeitsrechte der Beschäftigten erfolgen. Verstöße müssen zur Schadenersatz- und Schmerzensgeldpflicht des Unternehmens führen, zudem sind sie strafbar, etwa wenn

• heimlich Gespräche aufgezeichnet werden, § 201 StGB,
• private E-Mails abgefischt werden, § 206 StGB oder
• gegen den Datenschutzbestimmungen verstoßen wird, § 44 BDSG.

Zudem sind Beweise, die rechtswidrig gewonnen worden sind, in einem späteren Gerichtsverfahren nicht verwertbar.

Folgende Compliance- relevanten Regelungen sind arbeitsrechtlich von Bedeutung:

• Verschwiegenheitspflicht
• Nebentätigkeits- und Wettbewerbsregelungen
• Vermeidung von Interessenkonflikten
• Verbot der Annahme von Schmiergeldern ohne Rücksicht auf die Strafbarkeit
• Aufklärungspflichten
• Pflicht zur (internen) Anzeige (whistleblowing) bei drohendem Personenschaden oder schwerem Sachschaden
• Schadensabwendungspflicht im eigenen Arbeitsbereich und im Rahmen der persönlichen Möglichkeiten
• Schutzpflichten für überlassenen Besitz des Unternehmers
• Pflicht zu ethisch korrektem Verhalten
• Pflicht zur Einhaltung der betrieblichen Ordnung (Einfallstor zum einseitigen Erlass weitreichender Regelungen in betriebsratslosen Unternehmen)

Einseitig durchsetzbar sind Regelungen, die Art und Weise des Erbringens der Arbeitsleistungen umfassen. Dabei handelt es sich um Maßnahmen oder Anordnungen, mit denen der Arbeitgeber die Arbeitspflicht unmittelbar konkretisiert und abfordert. Dieser Bereich unterliegt dem Weisungsrecht des Arbeitgebers nach § 106 GewO und ist im Kernbereich noch nicht einmal mitbestimmungspflichtig. Die Weisungen müssen sich aber im Rahmen billigen Ermessens bewegen, § 315 BGB. In diesem Rahmen sind wegen ihrer mittelbaren Drittwirkung die Grundrechte der Arbeitnehmer besonders zu berücksichtigen.

Begrenzt wird das einseitige Bestimmungsecht durch die Grundrechte der Arbeitnehmer, den Umstand, dass außerdienstliches Verhalten grundsätzlich nicht dem Weisungsrecht des Arbeitgebers unterliegt und durch die Beteiligungsrechte der Betriebsräte.

2. Mitbestimmungspflicht

Vorab:Das Mitbestimmungsrecht berechtigt die Betriebspartner nicht, in die außerbetriebliche, private Lebensführung der Arbeitnehmer einzugreifen. Gegenstand der Mitbestimmung sind allein das betriebliche Zusammenwirken und Zusammenleben. Das außerbetriebliche Verhalten liegt  grundsätzlich außerhalb der Regelungsmacht der Betriebsparteien.  Das folgt bereits aus § 75 BetrVG.

In den Fällen der Mitarbeiterbefragung und dem Einsatz elektronischer Systeme sind Mitbestimmungsrechte der Betriebsvertretungen zu beachten, etwa beim Einsatz von Fragebögen, der Verwendung technischer Einrichtungen wie Screenings, Telefondatenerfassung, Telefonabhöranlagen, Videokameras, elektronischer Ortungssysteme und Inaugenscheinnahmen privater Gegenstände.
Zunächst sind die Informationsrechte des Betriebsrats nach § 80 Abs. 2 BetrVG (im Personalvertretungsrecht z. B. § 68 Abs. 2 BPersVG) zu beachten. Unterrichtungspflichten können auch durch die Auswertung von schriftlichen oder elektronischen Unterlagen im Zuge der Ermittlungsmaßnahmen ausgelöst werden. Denn der Betriebsrat hat über die Einhaltung der zu Gunsten der Arbeitnehmer geltenden Gesetze zu wachen, § 80 Abs. 1 Nr. 1 BetrVG. Dieses Überwachungsrecht betrifft auch die arbeitnehmerrelevanten Regelungen des BDSG.  Bei der Prüfung von elektronischen Dateien und E-Mails durch interne Ermittler eines Unternehmens hat der Betriebsrat die Einhaltung der Vorschriften des BDSG zu überwachen.

In der Praxis werden zur Befragung von Mitarbeitern bei Verdacht auf Verstöße gegen Compliance- Bestimmungen auch standardisierte Fragebögen eingesetzt. Der Einsatz ist mitbestimmungspflichtig, wenn es sich bei den Fragelisten um Personalfragebögen im Sinne von § 94 BetrVG handelt.
Selbst wenn die Interviews lediglich anhand standardisierter Fragelisten durchgeführt und die Antworten schriftlich festgehalten werden, ist der Inhalt der Fragen mitbestimmungspflichtig, soweit gleiche oder gleichartige Fragen eine Gruppe interviewter Arbeitnehmer betrifft (Fragen mit kollektivem Bezug).

Individuelle Fragen an den einzelnen Mitarbeiter sind mitbestimmungsfrei. Der Betriebsrat ist aber über Umfang und Inhalt der Befragung vorab oder nach deren Durchführung zu informieren.

Die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistungen des Arbeitnehmers zu überwachen, ist nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Dazu gehören auch Mitarbeiterscreenings, soweit sie nicht nur konkrete, gegen einzelne .Verdächtigte gezielt gerichtete Maßnahmen betreffen.

Überblick:

Die Missachtung der Mitbestimmungsrechte führt nach der Theorie der Wirksamkeitsvoraussetzung zur Unwirksamkeit der Anordnungen oder  betrieblichen Regelungen. Denn die gesetzlichen Mitbestimmungsrechte beschränken die Gestaltungsmacht des Arbeitgebers. Missachtet er diese Grenze, folgt daraus die Unwirksamkeit des Rechtsgeschäfts. Damit wird verhindert, dass der Arbeitgeber dem Einigungszwang mit dem Betriebsrat durch Rückgriff auf  arbeitsvertragliche Gestaltungsmöglichkeiten ausweicht. Die Rechtsunwirksamkeit ist zugleich eine Sanktion für die Verletzung der Mitbestimmungsrechte. Derjenige, der sich betriebsverfassungswidrig verhält, darf sich den betroffenen Arbeitnehmern gegenüber nicht auf diese Verletzung stützen.

Rechtsanwalt Wolf Klimpe-Auerbach
Richter am Arbeitsgericht a. D.
c/o Berger, Groß, Höhmann und Partner Rechtsanwälte