Lässt sich das Compliance-Dilemma lösen?
Kommunikation ist „key“
Die zahlreichen Vorträge und die Panel-Diskussionen zu den aktuellen Compliance-Megatrends Cyberangriffe, Hinweisgeber und Lieferkette auf der diesjährigen Deutschen Compliance Konferenz in Frankfurt am Main (ausführlicher Tagungsbericht auf den Seiten VI und VII) haben es gezeigt: Compliance muss auf Stand sein. Compliance muss sich laufend selbst hinterfragen. Compliance muss prognostizieren, was sein könnte.
Ein Leben in der Risikoanalyse also? Wie soll das gehen? Woher die Ressourcen nehmen? Wie die Geschäftsleitung überzeugen? In den Pausengesprächen und während der Abendveranstaltung drehten sich viele Gespräche in Kleingruppen darum, wie man neue Compliance-Themen im Alltag unterbringen kann, ohne sich zu verzetteln.
Während der Konferenz wurden die drei Themenkomplexe kundig von allen Seiten beleuchtet, durch Strafverfolger, Vertreter von NGOs, Datenschützer, Compliance Officer mit „klassischer“ Ausrichtung und Berater. Wichtig war genaues Zuhören, wenn die anderen Professionals aus persönlich weniger vertrauten Bereichen berichteten.
Je komplizierter und sachfremder die Themen waren, desto mehr kam Letzterem eine besondere Bedeutung zu. Kommunikation ist „key“, das ist der ebenso profane wie weiterhin in der Praxis regelmäßig noch ausbaufähige Aspekt klassischer Compliance-Arbeit. Anders sind die aktuell laufenden „großen“ Compliance-Fälle nicht erklärbar. Diese Kommunikation betrifft jedoch Aspekte der Compliance-Arbeit, die laufend kleinteiliger, komplexer werden. Technische Compliance etwa: Speak-Up-Kultur bei Ingenieuren, die neue Produkte entwickeln? Oder Lieferkette und ESG: Was spricht dafür, die Position eines „Human Rights Officers“ innerhalb von Compliance anzusiedeln? Oder Cyberangriffe: Die wesentlichen Prüfpunkte eines Compliance-Management-Systems sind annährend deckungsgleich mit denen eines IT-Security Managements.
Wieso also nicht die Kompetenzen bündeln? Weil es oftmals die operative Lage vieler Compliance Officer nicht zulässt, die auf keine „große“ Compliance-Abteilung zugreifen können, sondern im Extremfall die ganze Arbeit als Ein-Personen-Show leisten (müssen). Weil selbst große Compliance-Abteilungen niemals in der Lage sein werden, alle denkbaren Bereiche, in denen gegen für das Unternehmen relevante Rechtsregeln verstoßen werden könnte, abzudecken. Einen Kanon mit einer Pflichtenflut im unteren bis mittleren fünfstelligen Rahmen vollständig erfassen, anwenden, umsetzen und kontrollieren zu wollen, sprengt schlicht alles, was für Compliance darstellbar ist.
Es ist daher mehr als begrüßenswert, wenn tief im Thema stehende Richter am Bundesgerichtshof, wie der vor rund einem Monat in den Ruhestand getretene Vorsitzende des 1. Strafsenates, Dr. Rolf Raum, zu Recht darauf hinweisen: „Wir müssen aber auch aufpassen, dass Compliance nicht immer kleinteiliger und detailfixierter wird und die zugrundeliegende Idee in den Hintergrund tritt.“*
So mussten die in den Panels mit dem Publikum diskutierenden Referentinnen und Referenten feststellen, dass die Compliance-Szene in einem Dilemma steckt: Wenn neue Regeln zwingend nur mehr weitere neue Regeln nach sich ziehen, wird auch Compliance in der Praxis – entgegen aller Wünsche – tatsächlich kleinteiliger werden. Nichtbefassen ist keine Option. Schon heute ist klar, wie sehr in laufenden Ermittlungsverfahren der eigentlich zwingende Ansatz, die strafrechtlich untersuchten Vorgänge ausschließlich durch eine Perspektive von „vor der Tat“ zu bewerten, latent umgekehrt und faktisch eine ex-post-Betrachtung angewendet wird: „Das hätte man doch sehen können!“ – „Das musste doch klar sein!“ Weniger Detailtiefe? In solchen erwartbaren Konstellationen ist das schwer vorstellbar, scheint aber zwingend.
Dass die auf die Bekämpfung von Cyberkriminalität spezialisierte Oberstaatsanwältin Jana Ringwald mit der Idee einer „Charmeoffensive“ – gemeint war der Austausch ihrer Behörde mit der Industrie – indirekt einen kreativen Anstoß zur möglichen Linderung dieses Dilemmas legte, war erfrischend: Alle Compliance-Professionals wissen, welch hohen Arbeitsanteil die Compliance-Kommunikation ausmacht. Wäre es da nicht hilfreich, wenn sich Schwerpunktstaatsanwaltschaften zur Bekämpfung der Wirtschaftskriminalität, aber auch Gerichte und der Gesetzgeber, in einen Austausch mit Compliance begeben? Wie gesagt: Kommunikation ist „key“. Die Gelegenheit ist da.
Jörg Bielefeld ist Rechtsanwalt und Partner im Frankfurter Büro der Kanzlei Addleshaw Goddard (Germany) LLP. Er leitet das deutsche Team Wirtschaftsstrafrecht & Compliance als Teil der internationalen Global Investigations-Gruppe.
* | Raum, StraFo 2022, 10, 15. |