Die Befassung mit Compliance-Themen ist auch für den Mittelstand unabdingbar, da die Konsequenzen von Regelverstößen gerade hier weit drastischer sein können als für große Unternehmen.
In mittelständischen Unternehmen wird zum Teil immer noch die Meinung vertreten, dass Compliance nur etwas für „die Großen“ sei und man sich damit nicht beschäftigen müsse. Die Auffassung, dass man im Rahmen der Verfolgung von Regelverstößen ohnehin nicht auf dem Radar der Behörden aufscheine, ist jedoch nicht zutreffend. Beispiele aus der Vergangenheit zeigen, dass das Risiko, „ertappt“ zu werden, für mittelständische Unternehmen eben nicht geringer ist. Aus diesem Grund sollte jedenfalls größter Wert auf die Einhaltung aller gesetzlichen Vorgaben und entsprechende Schulung der Mitarbeiter gelegt werden.
Gesetzliche Neuerungen betreffen auch den Mittelstand
Grundsätzlich sind vor dem Gesetz alle Unternehmen, unabhängig von ihrer Größe gleich; Bestimmungen gelten in der Regel also gleichermaßen für große Unternehmen wie für den Mittelstand.
Ein gutes Beispiel dafür ist das Kartellrecht, denn hier wird bei der Sanktionierung von Regelverstößen nicht nach der Größe der Unternehmen differenziert. Insgesamt können diese Geldbußen für mittelständische Unternehmen wesentlich schwerer wiegen als für Großunternehmen, wenn nicht sogar deren Fortbestand gefährden. In der Vergangenheit bestätigte sich bereits mehrfach, dass kartellrechtliche Geldbußen für Unternehmen trotz guter Auftragslage zu Liquiditätsproblemen und Insolvenz führen können. Zu hohen Geldbußen wegen allfälligen kartellrechtswidrigen Handelns können auch Schadenersatzleistungen hinzukommen.
Eine weitere aktuelle Compliance-Materie ist Whistleblowing. Durch die neue EU-Whistleblowing-RL werden gerade mittelständischen Betrieben bestimmte Compliance-Verpflichtungen auferlegt: Unternehmen ab einer Größe von mindestens 50 Arbeitnehmern müssen eben diesen Möglichkeiten zur Verfügung stellen, um Hinweise auf Rechtsverstöße unternehmensintern melden zu können.
Whistleblowing ist für Unternehmen, welche bereits Compliance-Systeme implementiert haben, kein Fremdwort, sondern vielmehr ein wesentlicher Bestandteil davon. Neu ist nun, dass Unternehmen über Meldekanäle verfügen müssen – vorausgesetzt, sie überschreiten den Schwellenwert. Bei dieser neuen Verpflichtung sieht der europäische Gesetzgeber für mittelständische Unternehmen jedoch eine Erleichterung vor: Während große Unternehmen, also solche ab einer Arbeitnehmeranzahl von 250, bereits ab dem 17. Dezember 2021 entsprechende Meldekanäle einrichten müssen, haben Unternehmen mit 50 – 249 Arbeitnehmern dafür bis 17. Dezember 2023 Zeit. Diese „Schonfrist“ dient dazu, in mittelständischen Unternehmen nachhaltige Strukturen zu schaffen, um den gesetzlichen Pflichten zu entsprechen. Zusätzlich kann und sollte diese Übergangsfrist auch dazu genutzt werden, um ein umfassendes Compliance-System einzurichten. Dadurch können Unternehmen schnell auf zukünftige rechtliche Veränderungen reagieren und zeitnah Compliance-Maßnahmen ergreifen.
Für den Mittelstand stellt sich hier insbesondere die Frage, ob es tatsächlich immer einer aufwendig gestalteten Lösung bedarf. Vorrangig ist: Es sollte mit Augenmaß vorgegangen werden, um eine geeignete Alternative zu finden. Dabei hängt die „beste“ Umsetzung immer von den Gegebenheiten im Unternehmen selbst ab. So muss etwa ein Whistleblowing-System bzw. Meldekanal nicht zwingend als komplexes Online-Tool ausgestaltet sein, um wirksam zu sein. Schon die Einrichtung eines E-Mail-Postfaches oder eine Telefon-Hotline kann für das Einbringen von Verdachtsmeldungen ausreichend sein. In jedem Fall sollte jedoch ein persönlicher Ansprechpartner im Unternehmen zur Verfügung stehen, dazu eignet sich insbesondere ein Compliance-Beauftragter.
Fehlen im Unternehmen die personellen Ressourcen für die Entgegennahme und Bearbeitung von Verdachtsmeldungen, so könnte ein externer Dienstleister, wie etwa ein Rechtsanwalt, als Ombudsmann eingesetzt werden. Vorteilhaft ist in diesem Fall, dass durch die Einschaltung eines Rechtsanwalts allenfalls erforderliche weitere Maßnahmen unmittelbar eingeleitet werden können.
Zeitnahes Handeln ist bei Compliance-Verstößen besonders wichtig, um weitere Schäden vom Unternehmen abzuwenden. So zum Beispiel bei Kartellrechtsverletzungen, wo im Falle eines rechtzeitigen Kronzeugenantrags eine Geldstrafte (zumindest teilweise) abgewendet werden kann.
Compliance-Beauftragter mit Kontroll- und Informationsfunktion
In Konzernen und Großunternehmen ist die Schaffung von eigenständigen Compliance-Abteilungen bis hin zum Einsatz von Compliance-Zuständigen auf Vorstandsebene bereits gängige Praxis. Mittelständische Unternehmen haben oft jedoch nicht die finanziellen Mittel, um umfassende personelle Ressourcen dafür zu binden. Übersehen wird dabei oft, dass es selten erforderlich ist, eine eigene Unternehmensabteilung für Compliance-Materien einzusetzen. Die schlichte Bestellung eines Mitarbeiters als Compliance-Beauftragten ist häufig ausreichend, um Compliance-Verpflichtungen zu evaluieren, das zielgerechte Ergreifen von Compliance-Maßnahmen im Unternehmen zu steuern und letztlich ein Compliance-Bewusstsein bei Arbeitnehmern zu etablieren. So können Compliance-Agenden beispielsweise auch von Rechtsabteilungen oder der Internen Revision wahrgenommen werden.
Die konkrete Zuweisung von Compliance-Angelegenheiten zu einer eigenen Funktion oder Abteilung legt den Grundstein für ein unternehmensinternes Compliance-System und ist in jedem Fall auf die Größe und Geschäftstätigkeit eines Unternehmens abzustimmen. Dabei ist es wesentlich, individuelle Gefahrenquellen und Risiken für das Unternehmen zu analysieren. Von großer Bedeutung ist etwa die Eintrittswahrscheinlichkeit der Risiken und die Schwere eventueller Folgen. Bei der darauffolgenden Implementierung eines Compliance-Systems ist ebenfalls nach einem verhältnismäßigen Ansatz vorzugehen. Besonders hierfür eignet sich ein Compliance-Beauftragter, auch als zentrale Anlaufstelle für Arbeitnehmer. Der Compliance-Beauftragte sollte strukturierte und praxisbezogene Guidelines aufbereiten und Arbeitnehmer dahingehend schulen. Durch klar formulierte Handlungsanweisungen für den Arbeitsalltag und das Aufzeigen von „Dos and Don’ts“ wird im Unternehmen ein Compliance-Bewusstsein geschaffen, gleichzeitig werden durch die Einhaltung der vorgegebenen Arbeitsweisen Haftungsrisiken für das Unternehmen verringert.
Insgesamt zeigt sich, dass Compliance und die damit verbundenen, an Unternehmen gerichteten, Anforderungen durchaus ohne übertriebenen Kosten- und Ressourcenaufwand umsetzbar sind. Unternehmen des Mittelstands, die sich bislang noch nicht mit Compliance beschäftigt haben, sollten – insbesondere in Anbetracht der bevorstehenden gesetzlichen Verpflichtungen – zeitnah entsprechende erste Schritte setzen, um die größten Risiken abzudecken. Eine Erweiterung oder Anpassung der eingerichteten Compliance-Systeme ist dann laufend möglich.
Der Autor: RA Mag. Martin Eckel, LL.M., ist Partner, Co-Head of Compliance und Head of Competition bei Taylor Wessing CEE. Er verfügt über jahrelange Erfahrung in der Konzeption und dem Audit von Compliance-Management-Systemen, ist regelmäßig Lead Auditor des Austrian Standards und berät und schult in Unternehmen in allen Compliance Belangen. Er ist Beirat des „ÖCOV”.
