Köln. Skandale und Krisen der letzten Jahre haben den Blick verstärkt auf die Verantwortung der Leute an der Spitze von Unternehmen und Organisationen. GmbH-Geschäftsführer, Stiftungs- und Vereinsvorstände sind persönlich dafür verantwortlich, dass die Arbeitnehmer und das Unternehmen selbst alle geltenden Rechtsvorschriften einhalten.
Für die Unternehmensleitung ergibt sich daraus eine Überwachungspflicht. Ohne ein zielgerichtetes System organisatorischer Regelungen ist die ordnungsgemäße Erfüllung dieser Überwachungspflicht kaum zu gewährleisten.
Schäden vorbeugen
Verstöße gegen die Überwachungspflicht können für das Unternehmen und die Verantwortlichen persönlich teuer werden. Besonders schwer wiegen im Medienzeitalter die Imageschäden, die entstehen, wenn Missstände bekannt werden. Prominente Beispiele aus jüngster Zeit sind die Datenschutzskandale bei einigen Großunternehmen. Für gemeinnützige Unternehmen gilt das in gesteigerter Weise. Von ihnen wird mehr erwartet als bloße Rechtstreue. Sie werden an ihren eigenen ethischen Ansprüchen gemessen. Jüngstes Beispiel dafür ist die Empörung über sexuellen Missbrauch in katholischen Einrichtungen. Stellen Sie sich vor, was die Schlagzeile in der örtlichen Presse „Frau im Altenheim von vorbestrafter Pflegerin bestohlen" für das betroffene Altenheim bedeuten würde. Compliance ist einerseits die Kurzbezeichnung für die Einhaltung aller einschlägigen Rechtsvorschriften und eigenen ethischen Standards und andererseits die Bezeichnung für die Gesamtheit der organisatorischen Maßnahmen, die sicherstellen sollen, dass die Rechtsvorschriften und eigenen Standards eingehalten werden.
Von oben nach unten entwickeln
Ein Compliance-System muss an der Spitze ansetzen und schrittweise entwickelt werden, bis es von der obersten Leitungsebene bis zur untersten Hierarchiestufe reicht. Gemeinnützige Unternehmen verfügen in aller Regel nicht über die erforderlichen personellen Ressourcen, um ein solches System alleine entwickeln zu können. Die notwendige Hinzuziehung externer Berater kann die eigene Arbeit an einem maßgeschneiderten Compliance-System aber nicht ersetzen, sondern nur unterstützen. Am Anfang steht die Analyse, welche Compliance-Risiken für das Unternehmen bestehen. Hilfreich für die Identifikation dieser Risiken ist die Erstellung einer Risiko-Matrix: Für jeden Tätigkeitsbereich wird eine Einschätzung vorgenommen, wie hoch das Risiko von speziellen Straftaten, Verstößen gegen gewerberechtliche Vorschriften, Arbeitsschutzgesetze, Datenschutzvorschriften usw. ist. Dabei können drei Risikostufen unterschieden werden: nicht relevant bzw. lediglich allgemeines Risiko, geringes Risiko, aus der Tätigkeit resultierendes erhöhtes Risiko. Bei einer stationären Jugendhilfeeinrichtung wird z.B, ein erhöhtes Risiko von Sexualdelikten, Verletzungen von Verkehrssicherungspflichten (z.B. Brandschutz) und Arbeitsschutzvorschriften bestehen, während die gleichen Risiken in einer Beratungsstelle lediglich in dem allgemein herrschenden Umfang bestehen. Zweckmäßigerweise beginnt man die Entwicklung des Compliance-Systems dann bei den risikoträchtigsten Tätigkeitsbereichen.