Compliance geht vor Umsatz – Haftungsrisiken aus Compliance-Verstößen werden weiterhin unterschätzt

veröffentlicht am 2. Mai 2017

Gemäß einer Umfrage der VOV geht für 60 Prozent aller Geschäftsführer Umsatz vor Compliance. Compliance-Verstöße werden nur von 28 Prozent als wesentliches D&O-Schadensrisiko verstanden. Persönliche Haftungsrisiken werden in der Folge offenbar deutlich unterschätzt. Damit sind allem Anschein nach Compliance-Kultur und professionelles Compliance-Risikomanagement weiterhin nur bei einer Minderheit von Unternehmen wirklich etabliert. Eine Verbesserung bei diesen Merkmalen sowie eine vom Wirtschaftsprüfer testierte Prüfung des Compliance-Management-Systems wären leicht umzusetzende und sehr wirksame Maßnahmen dafür, die persönlichen Haftungsrisiken zu reduzieren.

​[Studie „Managerhaftung” der VOV GmbH, Köln, Januar 2017]

60 Prozent aller befragten Geschäftsführer würden sich in einem Zielkonflikt zwischen einer besonderen Geschäftsgelegenheit einerseits und der Einhaltung von Compliance andererseits gegen Compliance und für die Geschäftsgelegenheit entscheiden. Zu diesem Ergebnis kommt eine Befragung, die die Versicherungsvermittlung VOV im November 2016 unter angestellten Geschäftsführern größerer deutscher Unternehmen durchgeführt hat. Unter den insgesamt 200 befragten Geschäftsführern war auch die Gesundheitswirtschaft mit einem Anteil von 12 Prozent vertreten.

Dieses Ergebnis deutet – nur kurz nach dem Höhepunkt des VW Abgasskandals – auf die weiterhin hohe Verbreitung einer Grundeinstellung hin, die als Grundmuster vieler großer Compliance-Vorfälle der vergangenen Jahre, von Siemens bis aktuell VW, angesehen werden muss. Der Wert lag um lediglich 6 Prozentpunkte niedriger als im Vorjahr (2015: 66 Prozent zu 34 Prozent).

Im Kontext von D&O-Versicherungsdeckungen wurde gefragt, welche Sachverhalte nach Meinung des Befragten am häufigsten von D&O-Haftungsfällen betroffen sind. Hier wurden mit nennenswerten Anteilen lediglich 5 Risikobereiche genannt, wobei die allgemeine Risikoumschreibung „Nichtbeachtung von Compliance-Vorschriften” als einziger Risikofaktor des Compliance-Bereichs 28 Prozent der Nennungen erhielt und damit lediglich an vierter Stelle lag. Angesichts eines Portfolios an Compliance-Risiken mit Rechtsgebieten wie Kartellrecht, Steuerrecht, Arbeitsrecht, Korruption, Geschäftspartner Compliance, Vergaberecht oder auch der persönlichen Haftung bei mangelhafter Verfolgung von Rechtsverstößen muss dieser Wert als deutlicher Hinweis auf ein fehlendes oder zumindest lückenhaftes Risikomonitoring im Bereich der Compliance bei Managern in Deutschland gesehen werden.

Vorstandsmitglieder und Geschäftsführer von Kapitalgesellschaften haften gem. §93 AktG bzw. nach §43 GmbHG unbegrenzt für Schäden, die sich aus einer Pflichtverletzung der Sorgfaltspflichten eines ordentlichen Kaufmanns ergeben. Mit aktuell 89 Prozent geht ein sehr hoher Anteil von Managern in der Befragung davon aus, die mit der eigenen Tätigkeit verbundenen Haftungsrisiken zu kennen. Das Fehlen zahlreicher Compliance-Risikogebiete in der Wahrnehmung der D&O-Haftungsrisiken lässt jedoch die Vermutung zu, dass diese Selbsteinschätzung unzutreffend ist.

Neben der eigentlichen Einrichtung eines voll funktionsfähigen Compliance-Management-Systems (CMS) bietet insbesondere die Prüfung des CMS durch einen Wirtschaftsprüfer nach dem anerkannten Prüfungsstandard IDW PS 980 die Möglichkeit, persönliche Haftungsrisiken aus Compliance-Verstößen für Vorstandsmitglieder und Geschäftsführer gezielt zu reduzieren, da sie als Bestätigung eines unabhängigen, sachkundigen Dritten gesehen werden kann. Dies spielt insbesondere dann eine wichtige Rolle, wenn es trotz Präventionsmaßnahmen dennoch zu einem Compliance-Verstoß kommen sollte.

Der PS 980 definiert 7 Grundelemente, über die ein angemessenes CMS verfügen muss. Die Compliance-Kultur, die das erste der Grundelemente darstellt, wird demnach wesentlich von Grundeinstellungen und Verhaltensweisen des Managements bestimmt („tone at the top”-Gedanke). Ein weiteres, wesentliches Grundelement ist die systematische Identifikation und Bewertung von Compliance-Risiken, mithin ein voll funktionsfähiges, etabliertes Compliance-Risikomanagement. Auf Grund der Ergebnisse der Befragung des VOV muss man davon ausgehen, dass eine große Zahl von Unternehmen bei der Entwicklung dieser beiden – notwendigen – CMS-Grundelemente noch am Anfang steht.

​