Zurück zur Übersicht
URL: http://mobile.deloitte-tax-news.de/unternehmensrecht/neu-aenderungen-des-dcgk---erhoehte-anforderungen-an-compliance-management-systeme.html
31.03.2017
Unternehmensrecht

Neu: Änderungen des DCGK - Erhöhte Anforderungen an Compliance Management-Systeme

 Die Regierungskommission hat Änderungen des DCGK beschlossen, die zu erhöhten Anforderungen an Compliance Management-Systeme führen.

 Am 7. Februar 2017 hat die Regierungskommission Deutscher Corporate Governance Kodex Änderungen des Kodex (DCGK) beschlossen. Erstmalig sieht der Kodex jetzt das Einrichten von Compliance Management-Systemen vor und ergänzt Ziffer 4.1.3 DCGK um wesentliche Punkte:

  • Einrichtung eines Compliance Management Systems (CMS)
  • Offenlegung der Grundzüge des CMS
  • Schaffung von Hinweisgebersystemen durch Mitarbeiter und Dritte

1. Einrichtung eines Compliance Management-Systems (CMS)

 § 4.1.3 S. 1 enthält bereits seit Längerem eine Verpflichtung des Vorstands, für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken (Compliance). Damit ist klargestellt, dass das ‚Ob‘ der Compliance-Vorsorgepflicht des Vorstands für den Kodex-Geber nicht in Frage steht, sondern dass diese aus der Legalitätspflicht resultiert.

Neu ist § 4.1.3 S. 2 DCGK:

‚Er [der Vorstand] soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management-System) sorgen und deren Grundzüge offenlegen.‘

Auch wenn die Einrichtung eines CMS nur eine Empfehlung ist, müssen Vorstand und Aufsichtsrat – aufgrund des ‚Comply-or-Explain‘-Prinzips des § 161 Abs. 1 S. 1 AktG – bei Nichtbefolgen der Empfehlung erklären, dass sie 1.) kein Compliance Management System einrichten, 2.) warum sie dies nicht tun und 3.) diese Erklärungen dauerhaft auf der Internetseite der Gesellschaft öffentlich zugänglich machen (§ 161 Abs. 2 AktG).

Durch diese Verknüpfung scheint eine De-Facto-Pflicht zur Einrichtung von Compliance-Strukturen im Unternehmen geschaffen (denn wer erklärt heutzutage gerne, dass er kein CMS eingerichtet hat?). Weiterhin offen bleibt jedoch, ob diese ‚Pflicht‘ konzernweit zu verstehen ist, was allerdings im Zusammenhang mit dem Wortlaut des S. 1 (‚durch die Konzernunternehmen‘) vermutet werden darf.

2. Ausgestaltung des CMS

 Bei der Frage der Ausgestaltung des CMS bleibt der Kodex-Geber vage – jedenfalls soll es ‚angemessen‘ und ‚an der Risikolage des Unternehmens ausgerichtet‘ sein. Diese abstrakte Herangehensweise entspricht der allgemeinen Ansicht, dass es kein generelles CMS geben kann, das für jedes Unternehmen geeignet ist. Vielmehr muss zu Beginn des Aufbaus eines CMS eine ausführliche Risikoanalyse stehen. Nur auf der Grundlage einer fundierten Risikoanalyse können die Risiken eines Unternehmens adressiert und über konkrete Compliance-Maßnahmen aufgefangen werden.

3. Offenlegung der Grundzüge des Compliance Management Systems

 Des Weiteren sieht der Kodex-Geber vor, dass die Grundzüge des Compliance Management-Systems offengelegt werden sollen. Auch hier lässt der Kodex-Geber dem Vorstand bewusst die Wahl der Mittel. In Betracht kommt insbesondere eine Offenlegung auf der Homepage der Gesellschaft oder im Corporate Governance-Bericht (gemäß Ziffer 3.10 DCGK).

4. Schaffung von Hinweisgebersystemen für Mitarbeiter des Unternehmens

 Ziffer 4.1.3 S. 3 DCGK sieht die Einführung eines Hinweisgebersystems vor:

‚Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben;‘

Durch diese Vorschrift wird erstmals die Empfehlung aufgenommen, ein geschütztes Hinweisgebersystem für Mitarbeiter einzurichten. Die meisten Unternehmen besitzen bereits ein mehr oder weniger umfangreiches CMS. Um die Einrichtung eines Hinweisgebersystems (auch bekannt unter ‚Whistle-Blower-Hotline‘) machen viele Unternehmen jedoch bislang einen Bogen, bringt es doch weitere datenschutzrechtliche, arbeitsrechtliche und organisatorische Implikationen (Stichwort IT-Infrastruktur) mit sich. Zudem muss den anonymen Hinweisen nachgegangen werden, was wiederum weiteren Arbeitsaufwand mit sich bringt. Auch wenn die Empfehlung für ein Hinweisgebersystem daher für manch einen überraschend kommen mag, ist sie Gold und am Ende wahrscheinlich auch Geld wert. Denn nur eine gelebte Compliance-Organisation (und hierzu gehört ein Hinweisgebersystem) kann zu einer Haftungsvermeidung führen (Grundlagen für Bußgelder bei Compliance-Verstößen sind zumeist §§ 30, 130 OWiG oder § 81 GWB).

5. Schaffung eines Hinweisgebersystems für Dritte

 Als Anregung ausgestaltet ist die Möglichkeit eines Hinweisgebersystems durch Dritte. Auch Dritten sollte nach den Vorstellungen des Kodex-Gebers die Möglichkeit eingeräumt werden, Unregelmäßigkeiten oder Verdachtsfälle zu melden. Da es sich hier um eine bloße Anregung handelt (‚sollte‘), braucht bei Nichteinführung auch keine Entsprechens- bzw. Abweichungserklärung i.S.d. § 161 Abs. 1 S. 1 AktG abgegeben werden.

6. Auswirkung auf die Unternehmenspraxis

 Der DCGK ist Ausdruck einer Selbstverpflichtung zu guter Corporate Governance und richtet sich in erster Linie an deutsche börsennotierte Gesellschaften und Gesellschaften mit Kapitalmarktzugang i.S.d. § 161 Abs. 1 S. 2 AktG. Die Praxis hat jedoch gezeigt, dass durch seine Leitlinien und deren Umsetzung in vielerlei Hinsicht Marktstandards auch für andere Gesellschaftsformen geschaffen wurden. Dies darf nunmehr auch für die Etablierung, den Inhalt und die Reichweite eines CMS erwartet werden.

www.deloitte-tax-news.de Diese Mandanteninformation enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen eines Einzelfalles gerecht zu werden. Sie hat nicht den Sinn, Grundlage für wirtschaftliche oder sonstige Entscheidungen jedweder Art zu sein. Sie stellt keine Beratung, Auskunft oder ein rechtsverbindliches Angebot dar und ist auch nicht geeignet, eine persönliche Beratung zu ersetzen. Sollte jemand Entscheidungen jedweder Art auf Inhalte dieser Mandanteninformation oder Teile davon stützen, handelt dieser ausschließlich auf eigenes Risiko. Deloitte GmbH übernimmt keinerlei Garantie oder Gewährleistung noch haftet sie in irgendeiner anderen Weise für den Inhalt dieser Mandanteninformation. Aus diesem Grunde empfehlen wir stets, eine persönliche Beratung einzuholen.

This client information exclusively contains general information not suitable for addressing the particular circumstances of any individual case. Its purpose is not to be used as a basis for commercial decisions or decisions of any other kind. This client information does neither constitute any advice nor any legally binding information or offer and shall not be deemed suitable for substituting personal advice under any circumstances. Should you base decisions of any kind on the contents of this client information or extracts therefrom, you act solely at your own risk. Deloitte GmbH will not assume any guarantee nor warranty and will not be liable in any other form for the content of this client information. Therefore, we always recommend to obtain personal advice.