Compliance Management: Rechte und Pflichten des Aufsichtsrats

Insbesondere die Sensibilität gegenüber Wirtschaftskriminalität und den daraus resultierenden Risiken wie bspw. Schadensersatzansprüche gegen Organmitglieder, Reputationsschäden oder Wettbewerbsnachteile führen zu verstärkten Investitionen in Präventions- und Entdeckungsmaßnahmen zur Erhaltung der unternehmerischen Compliance.

In Zeiten der Globalisierung und der damit einhergehenden internationalen Vernetzung bewegen sich deutsche Unternehmen in einem komplexen Umfeld mit unterschiedlichen Rechtsräumen. Den hieraus resultierenden Risiken begegnen die Unternehmen oft nicht mit den gebotenen Überwachungsmaßnahmen. Vom Idealfall eines funktionierenden Compliance Management Systems sind viele Firmen noch weit entfernt. Dies ist für deutsche Unternehmen im internationalen Wettbewerb jedoch unverzichtbar. Denn neben einer denkbaren Verletzung nationaler Vorschriften führen internationale Standards mittlerweile dazu, dass ein Unternehmen auch für das Verhalten seiner Mitarbeiterinnen und Mitarbeiter straf- und ordnungsrechtlich zur Verantwortung gezogen werden kann. Um dies zu verhindern, ist der Nachweis eines funktionierenden Präventionssystems erforderlich. Außerdem verlangen Unternehmen immer häufiger von ihren Zulieferern und Geschäftspartnern den Nachweis entsprechender Compliance-Standards. Nicht zuletzt durch die in Kartellverfahren zu beobachtende (schmerzhafte) Festsetzung von Bußgeldern, die sich an Konzernziffern (etwa Konzernumsatz) orientieren, zeigt sich auch die ökonomische Relevanz der Einhaltung von Compliance Standards.

In diesem Kontext zunehmender Komplexität unternehmerischen Handelns stellt sich die Frage nach den Rechten und Pflichten eines Aufsichtsrats: Als Folge der Dreigliedrigkeit der Aktiengesellschaft existiert eine klare Kompetenz- und Aufgabenbegrenzung zwischen den Organen Hauptversammlung, Aufsichtsrat und Vorstand.

Sie stehen auf einer Ebene und keines der Organe ist des anderen Vorgesetzter. Da der Vorstand die Gesellschaft nach außen vertritt und aufgrund klarer Kompetenzabgrenzung hat der Aufsichtsrat diese nach außen gerichtete Befugnis nicht. Da er aber auch das Vertretungsorgan der Aktionäre darstellt, ist er somit im Innenverhältnis Vertreter der Gesellschaft gegenüber dem Vorstand, wenn er ihm gegenüber dabei auch nicht mit Weisungsrechten ausgestattet ist. Die Überwachungsfunktion bedingt, dass der Aufsichtsrat prozessunabhängig von den Entscheidungen im Unternehmen ist. Der Aufsichtsrat übernimmt grundsätzlich keine aktive Rolle bei der eigentlichen Unternehmensführung. Diese Aufgabe ist dem Vorstand vorbehalten. Die gesetzlich kodifizierte Leitungspflicht des Vorstands wird konkretisiert durch die Pflicht des Vorstands zum Treffen von Maßnahmen zur Früherkennung von Entwicklungen, die den Fortbestand der Gesellschaft gefährden. Bestandteil eines so verstandenen Risikomanagements sind unzweifelhaft auch die Regelungen und Verfahren, die die Beachtung von Gesetz und unternehmensinternen Richtlinien zum Gegenstand haben, somit das Management von Compliance-Risiken. Die originäre Pflicht zur Einrichtung eines Compliance Management Systems obliegt damit dem Vorstand und nicht dem Aufsichtsrat der Gesellschaft.

Präventive Überwachung durch den Aufsichtsrat

Auch wenn die Verpflichtung zur Einrichtung eines Compliance Management Systems beim Vorstand liegt, kann und muss auch der Aufsichtsrat die Entscheidungen des Vorstands in diesem Bereich beeinflussen. Insbesondere der Bericht des Vorstands über die Unternehmensplanung an den Aufsichtsrat und die Überwachung eines vom Vorstand einzurichtenden Überwachungs- und Risikofrüherkennungssystems verdeutlichen den Wandel vergangenheitsorientierter Kontrollen hin zu einer präventiven Überwachungstätigkeit. Der Aufsichtsrat soll durch die Überwachung des Vorstands die Ordnungsmäßigkeit, Zweckmäßigkeit und Wirtschaftlichkeit der Geschäftsführung und implizit auch der gesamten Geschäftsabläufe sicherstellen. Den Überwachungsgegenstand stellt indes das Management selbst dar: der Aufsichtsrat muss folglich kontrollieren, ob die Unternehmensleitung die notwendigen Maßnahmen und Vorkehrungen unternehmensweit implementiert hat. Nur so kann die angemessene Ausgestaltung der Geschäftsabläufe garantiert werden und ihre Überwachung im Verantwortungsbereich des Vorstands selbst belassen werden.

Führende Überwachung durch den Aufsichtsrat in Krisenzeiten

Stellt der Aufsichtsrat Managementfehler fest, eröffnet ihm das Gesetz die Möglichkeit, Sanktionen zu ergreifen: ihm obliegt die Bestellung und Entlassung von Mitgliedern des Vorstands. Dem Aufsichtsrat erschließt sich zudem die Möglichkeit, den Freiraum des Managements in Krisenzeiten und bei schwerwiegenden Fehlern der Unternehmensleitung einzuschränken. Die normale Überwachungstätigkeit des Aufsichtsrats verstärkt sich in solchen Fällen zu einer führenden Überwachung. So soll eine Normalisierung der Unternehmenslage wiederhergestellt werden.

Reaktion des Aufsichtsrats bei festgestellten Compliance-Verstößen

Im Fall von festgestellten Compliance-Verstößen ist der Aufsichtsrat alleine schon vor dem Hintergrund der möglicherweise weitreichenden Risiken solcher Compliance Verstöße gehalten, sich mit der Angemessenheit der Reaktion des Vorstands auf diese Verstöße zu befassen. Daraus kann abgeleitet werden, dass der Aufsichtsrat

• den Vorstand regelmäßig zum Thema Compliance befragen muss,
• die Compliance Organisation zu beurteilen hat und
• die Überwachung dann intensivieren muss, wenn Missstände und Verstöße aufgetreten sind oder die Compliance Risiken so gravierend sind, dass das Thema Compliance für die Unternehmensentwicklung von so weitreichender Bedeutung ist, dass an der Notwendigkeit einer intensiven Einbeziehung des Aufsichtsrats an sich kein begründeter Zweifel bestehen kann.

Verfolgung von Compliance Verstößen durch das Management

Fraglich ist auch, wie mit Compliance Verstößen durch den Vorstand- bzw. das Management selbst umzugehen ist, bei denen die "normalen" Compliance Regelungen regelmäßig ins Leere laufen ("Non-Compliance auf Managementebene"). In einer Geschäftsordnung der Compliance Abteilung sollte geregelt werden, dass für Compliance Verstöße auf Vorstands- bzw. Managementebene die Zuständigkeit für deren Verfolgung beim Aufsichtsrat liegt. Für solche Fälle von Management Override erscheint es zudem angemessen, den Aufsichtsrat als Ansprechpartner bzw. Empfänger von anonymisierten Hinweisen zu institutionalisieren. Eine entsprechende Regelung sollte im Rahmen der Beschreibung der eingerichteten Hinweisgebersysteme enthalten und für den Hinweisgeber transparent sein. Auf diese Weise kann sichergestellt werden, dass die von Hinweisgebern mitgeteilten Verdachtsfälle an die Stellen gelangen, die sich mit ihrer Bekämpfung bzw. Beseitigung befassen sollten.

Information des Aufsichtsrats durch den Vorstand

Durch die Trennung der Verwaltung der Aktiengesellschaft in Vorstand und Aufsichtsrat entstehen neben Vorteilen der klaren Aufgabenabgrenzungen jedoch auch Probleme der Informationsverteilung. Daher muss der Aufsichtsrat selbständig die notwendigen Informationen einholen und dafür sorgen, dass eine angemessene Überwachung der Unternehmensleitung möglich ist. Dies hat durch enge Zusammenarbeit von Aufsichtsrat und Vorstand zu erfolgen, bei der der Überwachungsträger seine kritische Grundhaltung aufrechterhalten muss.

Durch eine routinemäßige (beispielsweise halb-jährliche oder jährliche sowie in eilbedürftigen Fällen ad hoc-) Berichterstattung an den Aufsichtsrat lässt sich sicherstellen, dass der Vorstand seiner Informationspflicht nachkommt und dass der Aufsichtsrat seiner Überwachungsfunktion im Rahmen des Compliance Managements nachkommen kann. Eine ordnungsgemäße Erfüllung dieser dem Aufsichtsrat obliegenden Überwachungspflichten setzt ein Verständnis der betrieblichen, industriellen und geschäftsmodellspezifischen Abläufe des Unternehmens voraus. Deren Analyse kann neben der Identifizierung prozessualer Unregelmäßigkeiten auch zur Aufdeckung von individuellen fehlgeleiteten Mitarbeitermotivationen führen, die ungesetzliches Handeln mit sich bringen ("Ich habe es mir verdient." "Merkt doch keiner." "Machen doch alle.")

Kompetenz und Innere Ordnung des Aufsichtsrats bei Compliance Themen

Die Qualität der Überwachung durch den Aufsichtsrat ist in hohem Maße von der Kompetenz seiner Mitglieder abhängig. Daneben ist die innere Ordnung des Aufsichtsrats für seine Funktionsweise von Bedeutung. Das Aktienrecht sieht für kapitalmarktorientierte Kapitalgesellschaften vor, dass mindestens ein Mitglied des Aufsichtsrates ein so genannter Finanzexperte sein muss, also eine Person, die über Sachverstand auf den Gebieten Rechnungslegung oder Abschlussprüfung verfügt. Verfügt auch der Aufsichtsrat einer nicht kapitalmarktorientierten Gesellschaft über einen solchen Finanzexperten oder alternativ über einen Rechtsanwalt mit Fachkenntnissen in Bereichen des Wirtschaftsrechts, erscheint es sachgerecht, diese Person zum zuständigen Mitglied des Aufsichtsrats für Compliance-Fragen zu ernennen.

Die Effizienz der Unternehmensüberwachung durch den Aufsichtsrat im Bereich Compliance lässt sich durch die Einrichtung von Ausschüssen, etwa eines Prüfungsausschusses, verbessern, der sich unter anderem mit der Wirksamkeit des internen Kontrollsystems und des Risikomanagementsystems, also dem Compliance Management, befasst.

Hinzuziehung externer Spezialisten

Im Regelfall wird der Aufsichtsrat den an ihn gemeldeten Hinweisen oder Verdachtsmomenten nicht personell eigenständig, sondern entweder mit Hilfe unternehmenseigener Ressourcen oder aber mit Hilfe geeigneter Experten nachgehen.

Regelmäßig werden rechtliche Problemstellungen auf die Tagesordnung gelangen, klassischerweise aus den Bereichen des Wettbewerbsrechts, des Arbeitsrechts, des Gesellschaftsrechts, aber letztlich auch des Ordnungswidrigkeiten- und des Strafrechts.

Dies fällt in die Expertise einschlägig ausgebildeter Juristen. Der Unternehmensjurist ist mit der rechtlichen Position und der Geschäftstätigkeit "seines" Unternehmens bestens vertraut und ist von daher prädestiniert für die Identifizierung und Adressierung Compliance-relevanter Rechtsrisiken. Darüber hinaus - und oft sinnvollerweise in ergänzender Begleitung - kann die Einschaltung externer Wirtschaftsprüfer zielführend sein: Wirtschaftsprüfer haben sich in Befolgung ihrer beruflichen Standards bei ihrer Tätigkeit Kenntnisse über die Geschäftstätigkeit sowie das wirtschaftliche und rechtliche Umfeld des zu prüfenden Unternehmens zu verschaffen. Zudem existieren berufliche Standards für Wirtschaftsprüfer, nach denen diese die Konzeption, Angemessenheit und Wirksamkeit von Compliance Management Systemen zu prüfen haben. Diese Standards erfreuen sich im Schrifttum wie in der täglichen Praxis zunehmender Akzeptanz. Die Berichterstattung hinzugezogener Prüfer kann dabei direkt an den Aufsichtsrat erfolgen.

Der externe Wirtschaftsprüfer als der "geborene Kooperationspartner des Aufsichtsrats" kann durch weitergehende Prüfungen zur nachhaltigen Verbesserung der Compliance-Strukturen beitragen oder den Aufsichtsrat bei der Überwachung des Unternehmens in den thematisch angrenzenden Bereichen der internen Revision oder bei forensischen Prüfungen und sonstigen Sonderprüfungen unterstützen.

Fazit

Ein professioneller Aufsichtsrat hat eine feste Rolle in der unternehmerischen Compliance. Die Überwachung der Konzeption, Angemessenheit und Wirksamkeit des Compliance Systems ist Kernaufgabe im Rahmen seiner Überwachungstätigkeit. Ein Aufsichtsrat ist auch unter Berücksichtigung der zwischenzeitlich deutlich ausgeweiteten Haftung der Aufsichtsratsmitglieder gut beraten, externe Spezialisten bei der Prüfung des Compliance Systems zu Rate zu ziehen. Der Berufsstand der Wirtschaftsprüfer hat mit dem IDW Prüfungsstandard 980 "Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen" ein geeignetes Handwerkszeug, solche Prüfungen strukturiert durchzuführen.