Neu: Änderungen des DCGK - Erhöhte Anforderungen an Compliance Management-Systeme
Die Regierungskommission hat Änderungen des DCGK beschlossen, die zu erhöhten Anforderungen an Compliance Management-Systeme führen.
Am 7. Februar 2017 hat die Regierungskommission Deutscher Corporate Governance Kodex Änderungen des Kodex (DCGK) beschlossen. Erstmalig sieht der Kodex jetzt das Einrichten von Compliance Management-Systemen vor und ergänzt Ziffer 4.1.3 DCGK um wesentliche Punkte:
- Einrichtung eines Compliance Management Systems (CMS)
- Offenlegung der Grundzüge des CMS
- Schaffung von Hinweisgebersystemen durch Mitarbeiter und Dritte
1. Einrichtung eines Compliance Management-Systems (CMS)
§ 4.1.3 S. 1 enthält bereits seit Längerem eine Verpflichtung des Vorstands, für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken (Compliance). Damit ist klargestellt, dass das ‚Ob‘ der Compliance-Vorsorgepflicht des Vorstands für den Kodex-Geber nicht in Frage steht, sondern dass diese aus der Legalitätspflicht resultiert.
Neu ist § 4.1.3 S. 2 DCGK:
‚Er [der Vorstand] soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management-System) sorgen und deren Grundzüge offenlegen.‘
Auch wenn die Einrichtung eines CMS nur eine Empfehlung ist, müssen Vorstand und Aufsichtsrat – aufgrund des ‚Comply-or-Explain‘-Prinzips des § 161 Abs. 1 S. 1 AktG – bei Nichtbefolgen der Empfehlung erklären, dass sie 1.) kein Compliance Management System einrichten, 2.) warum sie dies nicht tun und 3.) diese Erklärungen dauerhaft auf der Internetseite der Gesellschaft öffentlich zugänglich machen (§ 161 Abs. 2 AktG).
Durch diese Verknüpfung scheint eine De-Facto-Pflicht zur Einrichtung von Compliance-Strukturen im Unternehmen geschaffen (denn wer erklärt heutzutage gerne, dass er kein CMS eingerichtet hat?). Weiterhin offen bleibt jedoch, ob diese ‚Pflicht‘ konzernweit zu verstehen ist, was allerdings im Zusammenhang mit dem Wortlaut des S. 1 (‚durch die Konzernunternehmen‘) vermutet werden darf.
2. Ausgestaltung des CMS
Bei der Frage der Ausgestaltung des CMS bleibt der Kodex-Geber vage – jedenfalls soll es ‚angemessen‘ und ‚an der Risikolage des Unternehmens ausgerichtet‘ sein. Diese abstrakte Herangehensweise entspricht der allgemeinen Ansicht, dass es kein generelles CMS geben kann, das für jedes Unternehmen geeignet ist. Vielmehr muss zu Beginn des Aufbaus eines CMS eine ausführliche Risikoanalyse stehen. Nur auf der Grundlage einer fundierten Risikoanalyse können die Risiken eines Unternehmens adressiert und über konkrete Compliance-Maßnahmen aufgefangen werden.
3. Offenlegung der Grundzüge des Compliance Management Systems
Des Weiteren sieht der Kodex-Geber vor, dass die Grundzüge des Compliance Management-Systems offengelegt werden sollen. Auch hier lässt der Kodex-Geber dem Vorstand bewusst die Wahl der Mittel. In Betracht kommt insbesondere eine Offenlegung auf der Homepage der Gesellschaft oder im Corporate Governance-Bericht (gemäß Ziffer 3.10 DCGK).
4. Schaffung von Hinweisgebersystemen für Mitarbeiter des Unternehmens
Ziffer 4.1.3 S. 3 DCGK sieht die Einführung eines Hinweisgebersystems vor:
‚Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben;‘
Durch diese Vorschrift wird erstmals die Empfehlung aufgenommen, ein geschütztes Hinweisgebersystem für Mitarbeiter einzurichten. Die meisten Unternehmen besitzen bereits ein mehr oder weniger umfangreiches CMS. Um die Einrichtung eines Hinweisgebersystems (auch bekannt unter ‚Whistle-Blower-Hotline‘) machen viele Unternehmen jedoch bislang einen Bogen, bringt es doch weitere datenschutzrechtliche, arbeitsrechtliche und organisatorische Implikationen (Stichwort IT-Infrastruktur) mit sich. Zudem muss den anonymen Hinweisen nachgegangen werden, was wiederum weiteren Arbeitsaufwand mit sich bringt. Auch wenn die Empfehlung für ein Hinweisgebersystem daher für manch einen überraschend kommen mag, ist sie Gold und am Ende wahrscheinlich auch Geld wert. Denn nur eine gelebte Compliance-Organisation (und hierzu gehört ein Hinweisgebersystem) kann zu einer Haftungsvermeidung führen (Grundlagen für Bußgelder bei Compliance-Verstößen sind zumeist §§ 30, 130 OWiG oder § 81 GWB).
5. Schaffung eines Hinweisgebersystems für Dritte
Als Anregung ausgestaltet ist die Möglichkeit eines Hinweisgebersystems durch Dritte. Auch Dritten sollte nach den Vorstellungen des Kodex-Gebers die Möglichkeit eingeräumt werden, Unregelmäßigkeiten oder Verdachtsfälle zu melden. Da es sich hier um eine bloße Anregung handelt (‚sollte‘), braucht bei Nichteinführung auch keine Entsprechens- bzw. Abweichungserklärung i.S.d. § 161 Abs. 1 S. 1 AktG abgegeben werden.
6. Auswirkung auf die Unternehmenspraxis
Der DCGK ist Ausdruck einer Selbstverpflichtung zu guter Corporate Governance und richtet sich in erster Linie an deutsche börsennotierte Gesellschaften und Gesellschaften mit Kapitalmarktzugang i.S.d. § 161 Abs. 1 S. 2 AktG. Die Praxis hat jedoch gezeigt, dass durch seine Leitlinien und deren Umsetzung in vielerlei Hinsicht Marktstandards auch für andere Gesellschaftsformen geschaffen wurden. Dies darf nunmehr auch für die Etablierung, den Inhalt und die Reichweite eines CMS erwartet werden.