Whitepaper Stand 16. Februar 2015 Freigabe erteilt durch Nestlé, Fraport, adidas und Recommind Compliance Readiness in deutschen Unternehmen 2015 Status Quo und Handlungsempfehlungen Compliance ist für die Mehrzahl der deutschen Großunternehmen und für eine wachsende Zahl von kleinen und mittelständischen Firmen von der Tagesordnung nicht mehr wegzudenken. Zu groß ist der Druck durch die stetig steigende Regulierungsauflagen auf nationaler und internationaler Ebene. Doch gibt es noch immer zu viele Unternehmen, die sich der Dringlichkeit von Compliance-Maßnahmen verschließen – oder bei der Umsetzung auf halber Strecke stehen bleiben. Das birgt Risiken, die sich vermeiden lassen. Die Übereinstimmung von Organisation, Prozessen und Systemen mit dem für das Unternehmen geltenden Recht, den internen Regelungen sowie den Erwartungen der Stakeholder – so definiert das Beratungsunternehmen BearingPoint1 bereits 2010 den Begriff der Compliance. An der Definition hat sich seither wenig geändert, doch hat sich die Regellandschaft, in der sich Unternehmen und Organisationen bewegen, im Zuge wachsender Globalisierung und der Ausweitung europäischer, internationaler und branchenspezifischer Regulierungen deutlich gewandelt. Auch die Sensibilität der Öffentlichkeit für Compliance-Fragen ist durch eine Vielzahl prominenter Fälle geschärft worden, in denen namhafte Unternehmen durch Regelverstöße von sich Reden machten: etwa im Bereich des Kartellrechts in Form von Preis- oder Zinsabsprachen oder durch Korruptionsfälle bei der Vergabe von Großaufträgen. Compliance ist für die meisten Groß- und eine steigende Zahl kleiner und mittelständischer Unternehmen ein fester Bestandteil der Agenda geworden. Der Grad der Professionalisierung von Compliance-Maßnahmen in den Unternehmen schwankt jedoch und zu oft bleibt die konsequente Umsetzung eines Compliance Management Systemen (CMS) auf halber Strecke stehen. Dieser Eindruck bestätigt sich in einer Befragung von 169 Compliance-Verantwortlichen in deutschen Unternehmen zum Umsetzungsstand von CMS, die im Rahmen eines Studienprojekts der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt im Dezember 2014 durchgeführt wurde. Gegenstand der Befragung waren die Beweggründe deutscher Unternehmen für eine Auseinandersetzung mit dem Thema Compliance Management, der Stand der Umsetzung einzelner Maßnahmen sowie mögliche Hemmnisse. Vermeidung von Imageschäden wichtiger Ansporn im Compliance Management Die Kontrolle der Einhaltung gesetzlicher Vorgaben (94 Prozent) sowie interner, operativer Verhaltensrichtlinien (89 Prozent) sind die Hauptmotivation für die Umsetzung von Compliance-Maßnahmen. 62 Prozent der Befragten nannten zudem die Befolgung von Unternehmenswerten als einen wichtigen Bereich, in dem Compliance-Vorgaben zum Tragen kommen. 1 BearingPoint GmbH (Hrsg.): Agenda 2015: Compliance Management als stetig wachsende Herausforderung, 1. Aufl., BearingPoint, Frankfurt am Main 2010.

„Für einen Konzern wie Nestlé stellt sich nicht die Frage nach der Notwendigkeit von Compliance. Compliance ist ein Muss!“ Dr. Steffen Just, Chief Compliance Officer, Nestlé Deutschland AG

Deutschen Unternehmen ist der Wert ihrer Reputation sehr bewusst. 83 Prozent der Befragten nennen die allgemeine Korruptionsbekämpfung als guten Grund zur Einführung von Compliance-Maßnahmen, gefolgt von der damit verbundenen Haftungsvermeidung auf Rang Zwei mit 79 Prozent. Neben offensichtlich wirtschaftlichen Beweggründen steht für Unternehmen jedoch der Vertrauensschaden durch Reputationsverlust bei Compliance-Verstößen im Fokus: 75 Prozent der Befragten nennen ihn als einen der Hauptgründe zur Einführung und Durchsetzung von Compliance-Vorgaben und wählen Reputationssicherung somit unter die drei wichtigsten Gründe, noch vor der Vermeidung von Kartellrechtsverstößen (65 Prozent) und Vermögensdelikten (48 Prozent). Neben dem Vertrauen der Kunden wird auch dem Vertrauen im Umgang mit Mitarbeitern große Bedeutung beigemessen: 45 Prozent der Unternehmen messen der Förderung des Vertrauens in und von Mitarbeitern durch Compliance-Maßnahmen sogar mehr Bedeutung bei als der Einhaltung internationaler Vorschriften (44 Prozent).

Auch Dr. Steffen Just, Chief Compliance Officer der Nestlé Deutschland AG, bestätigt die Bedeutung des Imageschutzes. Nestlé gilt als eines der Vorzeigeunternehmen in Sachen Compliance und Dr. Steffen Just spricht regelmäßig zu diesem Thema auf Veranstaltungen zu Best Practice-Fragen. Aufgrund ihrer globalen Aufstellung gelten für Nestlé neben nationalen und europäischen Vorgaben auch internationale Richtlinien, aber auch Branchenstandards sowie interne Regelungen wie Verhaltenskodizes und Unternehmensgrundsätze. Für Nestlé steht die Vermeidung von Wettbewerbsdelikten im Vordergrund, da die Lebensmittelindustrie insgesamt im Fokus der Kartellbehörden steht. Das Thema Korruption ist in der Nahrungsmittelbranche weniger angesiedelt. Daneben spielt auch die Prävention im strafrechtlichen Bereich wie etwa in Form von Untreue, Betrug und Unterschlagungen eine wichtige Rolle – allesamt Regelverletzungen, die dem guten Ruf des Unternehmens beträchtlichen Schaden zuführen könnten. „Nestlé ist eine sehr bedeutende Marke, die aufgrund ihrer Stärke auch gerne angegriffen wird. Deshalb sensibilisieren wir unsere Mitarbeiter“, so Dr. Steffen Just. „Unser Ziel ist es, den Ruf unserer Marke zu schützen.“

„Unser Ziel ist es, den Ruf unserer Marke zu schützen.“ Dr. Steffen Just, Chief Compliance Officer, Nestlé Deutschland AG

Befragt, welche konkreten Risikobereiche im Unternehmen durch Compliance-Verstöße abgedeckt werden sollten, liegt in der Schlussfolgerung konsequent die Bestechung mit 89 Prozent an vorderster Stelle, gefolgt von Vermögensdelikten wie Veruntreuung und Diebstahl mit 70 Prozent sowie Wettbewerbsdelikten mit 69 Prozent. Fast gleichauf liegen Datenschutzverletzungen mit 66 Prozent. Naturgemäß stehen somit die Unternehmensbereiche Vertrieb, Einkauf und mittleres Management unter besonderer Beobachtung. Transparenz in allen Unternehmensbereichen und der daraus resultierende Imagevorteil gelten somit als wichtige Güter und spiegeln sich in den Compliance-Überlegungen der Unternehmen wider.

Jedes fünfte Unternehmen weiterhin ohne Compliance Management Trotz der weitgehenden Übereinstimmung hinsichtlich der Risikobereiche und der Triftigkeit der Gründe zur Einführung eines Compliance Management Systems, bestätigen lediglich 79 Prozent der Befragten, dass in ihrem Unternehmen bereits entsprechende Maßnahmen umgesetzt werden. Jedes fünfte Unternehmen (18 Prozent) zeigt hier noch Handlungsbedarf, sich überhaupt mit dem Thema auseinanderzusetzen. Bei der Frage nach den Gründen, weshalb Compliance bisher keine Rolle spielte, werden vor allem mangelnder Bedarf und mangelnde Ressourcen angeführt. Für Nestlé ist ein auf Analyse der Risikofelder basiertes CMS eine Selbstverständlichkeit. Besonders im Risikobereich des Kartellrechts hat das Unternehmen über die Jahre in ein vorbildliches System investiert. Alle Risikoabteilungen, darunter Vertrieb, Außendienst, Einkauf, Marketing sowie HR und die Führungskräfte werden zu Themen des Kartellrechts, der Compliance sowie des Strafrechts präsenzgeschult. Des Weiteren gibt es für den Vertrieb einen professionell entwickelten Kartellrechtsleitfaden. Diese Maßnahmen stehen klar im Sinne der Prävention durch Sensibilisierung und Vermittlung von Rechtssicherheit. Überprüft wird die Einhaltung der Vorgaben durch die interne Revision in Form regelmäßiger Audits, ad hoc Audits bei akuten Hinweisen auf Regelverstöße sowie durch externe Audits – letzteres vor allem zu den Themen Personal, Arbeitssicherheit und Compliance. Zudem kümmert sich ein Corporate Risk Manager in Abstimmung mit den Fachverantwortlichen um das nötige Risiko-Assessment. Auch beim Sportartikelhersteller adidas gehören interne Audits zu den notwendigen Kontrollmaßnahmen bei der Durchsetzung von Compliance. Das Unternehmen deckt mit seinem

CMS die Bereiche Korruption, Wettbewerbsdelikte, Datenschutz, Wahrung von Betriebsgeheimnissen, Zoll- und Exportbestimmungen, Untreuedelikten sowie Einhaltung des Code of Conduct ab. Die interne Revision prüft alle Unternehmensbereiche. Welche davon der präventiven Prüfung unterzogen werden, wird in der Jahresplanung für das jeweilige Geschäftsjahr festgelegt. Zudem wurde eine Hotline für Whistlerblower eingerichtet.

In jedem dritten Unternehmen bleibt Compliance Management auf halber Strecke stehen Wo Compliance bereits im Bewusstsein verankert ist, ist der Grad der Umsetzung eines CMS entscheidend für seine Effektivität. Während 82 der Befragten den ersten Schritt, nämlich die Festlegung und Dokumentation von Compliance Standards in Form von Kodizes und anderen Richtlinien, bereits unternommen haben und immerhin noch 79 Prozent Schulungen der Mitarbeiter zu den Präventivmaßnahmen veranstalten, fehlt es häufig an den im nächsten Schritt notwendigen Kontrollen. Nur noch 69 Prozent überwachen die Einhaltung der verabschiedeten Compliance-Richtlinien durch regelmäßige Kontrollmaßnahmen und gerade mal 51 Prozent haben Prozesse festgelegt wie mit aufgedeckten Regelverstößen umzugehen ist.

Gefährdung durch mangelndes Risikobewusstsein Hieraus ergibt sich ein nicht zu vernachlässigendes Risiko von Regelverstößen. Eine Umfrage unter 1.000 Arbeitnehmern2 ergab, dass lediglich 36 Prozent der Befragten von bestehenden Compliance-Regeln im Unternehmen wissen und sich auch daran halten. Jeder vierte Arbeitnehmer gab zu, dass es zwar ein Regelwerk gäbe, sich aber aufgrund mangelnder Kontrollen ein eher lockerer Umgang mit bestehenden Vorschriften eingeschlichen habe. 17 Prozent gaben an, dass es in ihrem Unternehmen keine Compliance-Richtlinien gäbe; 23 Prozent konnten sich unter dem Begriff Compliance noch nicht einmal etwas vorstellen. Und das nicht nur, wie man vermuten könnte, bei kleinen Unternehmen: 53 Prozent derer, die mit dem Begriff „Compliance“ nichts verbinden, arbeiten in Unternehmen mit mehr als 500 Mitarbeitern; 24 Prozent sogar mit mehr als 5.000. Im Gegenzug belegen die Zahlen aber auch, dass die Hälfte derer, die bestehende Compliance-Maßnahmen gewissenhaft befolgen, in Firmen mit über 5.000 Mitarbeitern arbeiten. Hierin bestätigt sich die Vorreiterrolle von Großunternehmen. Mangelnde Aufklärung der Mitarbeiter gepaart mit fehlender Kontrolle der Compliance-Befolgung lassen dennoch eine deutliche Lücke

2 Befragung durch Recommind über Toluna Quick Surveys

zwischen Ideal und Realität klaffen. Und gerade im Hinblick auf den existenzbedrohenden Sog, in den von Compliance-Verstößen wie Wettbewerbsdelikte betroffene Großkonzerne kleinere Firmen mitziehen, wenn die Behörden ermitteln, sollte effektive Compliance keine Frage der Mitarbeiterzahl sein.

In der gleichen Befragung wurden die Arbeitnehmer auch hinsichtlich ihrer Sensibilität getestet. Auf die Frage, ob die Annahme von Geschenken von Kunden, Lieferanten oder anderen Geschäftspartnern am Arbeitsplatz zulässig sei, zeigte sich jeder vierte Befragte völlig bedenkenlos. Immerhin 20 Prozent sahen eine Schmerzgrenze bei einem Geschenkwert von 30 Euro. Zwar ist die Wertgrenze, die die Annahme von Geschenken von Bestechlichkeit unterscheidet, gesetzlich nicht eindeutig geregelt, doch fallen Präsente im Wert von 20 bis 30 Euro gemeinhin unter akzeptable Aufmerksamkeiten. Jeder Fünfte gab zu, in dieser Frage verunsichert zu sein und würde im Einzelfall seinen Vorgesetzen fragen. Handlungssicherheit seitens der Mitarbeiter durch klare Standards und Schulungen ist nicht ausreichend gegeben. Ohne Sensibilisierung der Mitarbeiter geht es nicht Kontrollsysteme sind eine Notwendigkeit, denn ohne sie werden die etablierten Standards teilweise wertlos. Sie sollten jedoch nicht autoritär von oben auf das Unternehmen gestülpt werden. Die Fraport AG etwa setzt bereits seit Jahren erfolgreich auf ein Konzept der wertebasierten Compliance, wie Otto Geiß, Chief Compliance Officer des Unternehmens, erläutert: „Innerhalb der Fraport AG haben wir uns seit 2002 mit dem Thema wertebasierte Compliance beschäftigt, d.h. auf Prävention, Schulungen und Informationsveranstaltungen gesetzt. Unser Ansatz ist es, die Mitarbeiter zu sensibilisieren statt sie mit überbordenden Kontrollen zu überziehen.“ Seit 2012 entwickelt das Unternehmen zwar ein internes Kontrollsystem, das jedoch ausschließlich für anlassbedingte Prüfungen genutzt wird. Des Weiteren gibt es Richtlinien und ein elektronische Hinweissystem sowie eine Vertrauensperson für Whistleblower.

Angst vor Komplexität ist größtes Hemmnis – Erleichterung durch Softwarelösungen verschaffen sich weniger als 28 Prozent Egal ob Unternehmen sich bereits aktiv mit Compliance Management beschäftigt haben oder nicht, es gibt eine Reihe von Herausforderungen oder Hemmnissen, die einer optimalen Einführung und Umsetzung im Wege stehen können. So fürchten 61 Prozent der Befragten die Entstehung einer Compliance-Bürokratie, die die operativen Abläufe im Unternehmen belasten könnte. Die Fraport AG beugt unnötiger Bürokratie mit einer Kultur der Transparenz vor, indem beispielsweise die

Annahme von Geschenken im Wert von mehr als 35 Euro offen mit dem Vorgesetzten abgesprochen werden soll, und setzt auf ein Mitwirken der Mitarbeiter aufgrund guter Kommunikation des Compliance-Themas im Unternehmen.

„Compliance ist keine Bürokratie und jeden Cent wert.“ Frank Dassler, General Counsel & Chief Compliance Officer, adidas AG

Jeweils rund 40 Prozent sehen ein mangelndes Verständnis der Mitarbeiter als mögliches Problem oder befürchten einen zu hohen Aufwand für den Aufbau des CMS. Die reinen Kosten spielen hierbei weniger eine Rolle, als die personellen Ressourcen; zu hohe Kosten sehen lediglich 12 Prozent als ein Problem. Interessanterweise greifen dennoch nur 28 Prozent der befragten Unternehmen auf Softwarelösungen zurück, um sich die Umsetzung des CMS zu erleichtern; darunter zählen alle Lösungen von eLearning-Tools bis hin zu eDiscovery-Software für die interne Revision. Das Potenzial IT-gestützter Audits zur Korruptions- und Wettbewerbsdeliktsvermeidung ist eindeutig weitestgehend nicht erkannt. Gerade wenn es um die effektive Prävention durch interne Revisionen bei Einhaltung geltender Datenschutzbestimmungen geht, ist die Nutzung einer geeigneten Software von großem Wert. „Datenschutz hat bei uns im Unternehmen einen hohen Stellenwert! Unsere Compliance-Abteilung versteht sich deshalb – neben dem Datenschutzbeauftragten selbst – ebenfalls als Hüter des Datenschutzes“, betont Dr. Steffen Just. Für 30 Prozent der Befragten stellt die Festlegung der Verantwortlichkeiten eine Herausforderung dar. Während sich größere Unternehmen mit einem dedizierten Compliance Manager gut aufstellen können, wird die Verantwortung für Compliance in kleineren Firmen oft einem Mitarbeiter zugeordnet, der den Bereich zusätzlich zu seinem eigentlichen Aufgabengebiet mit annimmt. Hier kann es zu prioritätsbedingten Konflikten kommen. Erfolg ist, wenn nichts passiert Die Frage, wann ein CMS wirksam ist oder nicht, lässt sich schwer beantworten und wird oft subjektiv bewertet. 48 Prozent der befragten Unternehmen gaben ihrem CMS die Note gut; rund die Hälfte bewertete es als befriedigend oder schlechter oder machte hier keine Angaben. Auch Otto Geiß von der Fraport AG weiß um die Schwierigkeit der Messbarkeit: „Das Ziel von Compliance ist für die Fraport AG, die rechtlichen Risiken des Unternehmens zu minimieren.“ Die Wirksamkeit der Maßnahmen könne etwas durch die Effizienz gemessen werden, etwa wie schnell ein Hinweisgebersystem oder interne Kontrolle mögliche Verstöße aufdecken. In jedem Fall sei aber eine gute Unternehmenskultur, in der die Mitarbeiter sensibel für die Regelbefolgung sind, unabdingbar für das Gelingen eines CMS. Bei adidas vermerkt man ebenfalls einen Anstieg der Meldung von Verdachtsfällen. Zudem misst das Unternehmen den Erfolg im Abgleich gegen eigene Key Performance Indicators. Auch die Nestlé Deutschland AG sieht im nachweislichen Bewusstseinswandel in den Köpfen der Mitarbeiter und des Managements einen wichtigen Indikator für erfolgreiches CMS. Gerade im Bereich Compliance bemisst sich der Erfolg von Präventionsmaßnahmen in der Senkung des Schadensrisikos. Je konsequenter ein CMS strukturiert und genutzt wird, desto

geringer die Gefahr wirtschaftlichen Schadens für das Unternehmen. Der Investitionserfolg beläuft sich also auf die Höhe des vermiedenen Schadens, der sich im Vorfeld schlecht beziffern lässt. Allein die Summen jedoch, die etwa im Rahmen prominenter Wettbewerbsdelikte als Bußgelder verhängt werden, liefern Grund genug dem Thema CMS maximale Beachtung zu schenken. Neben der Integration der Mitarbeiter in die Maßnahmen, sei es durch die Kommunikation eines verbindlichen Regelwerkes, Schulungen oder ein Whistleblowersystem, ist daher ein regelmäßiger Kontrollprozess unabdingbar. Zeiten, in denen präventive Audits aufgrund der Komplexität der zu durchleuchtenden Dokumente als zu ressourcenintensiv erschienen, sind dank moderner Softwarelösungen im Bereich der eDiscovery vorbei. Auch das Thema Datenschutz – das die Durchleuchtung von E-Mailkonten von Mitarbeitern ohne Anfangsverdacht auf Regelverstöße in den meisten Fälle unmöglich machte – wurde im Rahmen durchdachter Lösungen aufgegriffen und Möglichkeiten der Anonymisierung und Pseudonymisierung von personenbezogenen Daten eröffnen neue Dimensionen der Transparenz und Prävention. Unternehmen, die meinen, mit der Etablierung von Compliance-Regeln allein den Anforderungen der Zeit zu genügen, sollten sich fragen, ob die wirklich das Maximum der Schadensvermeidung getan haben.

Vorgehensweise zur Umfrage Die Befragung der Unternehmen wurde auf Anfrage des eDiscovery-Anbieters Recommind durch eine Projektgruppe der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt, Fakultät Wirtschaftswissenschaften unter Leitung von Prof. Dr.-Ing. Christine Wegerich durchgeführt. Sie umfasste eine Online-Befragung von 169 deutschen Unternehmen, die einen repräsentativen Querschnitt durch die deutsche Unternehmenslandschaft darstellen. Der Anteil von Unternehmen mit weniger als 50.000 Unternehmen lag bei 89 Prozent: 32 Prozent der befragten Unternehmen zählen weniger als 5.000 Mitarbeiter, 57 Prozent beschäftigen 5.001 bis 24.999 Mitarbeiter und elf Prozent der Befragten arbeiten in Unternehmen mit 25.000 bis 50.000 Mitarbeitern. Neun Prozent der teilnehmenden Unternehmen beschäftigen mehr als 50.000 Mitarbeiter.

Die Befragung richtete sich direkt an die Compliance-Verantwortlichen. 34 Prozent der Befragten waren dedizierte Compliance-Beauftragte, 21 Prozent verantwortliche Mitglieder des Führungsstabs, zehn Prozent Mitglieder der Geschäftsführung und 17 Prozent Unternehmensjuristen. Der Online-Befragung folgte eine Reihe persönlicher Interviews mit ausgewählten Unternehmen, um die Ergebnisse der Umfrage einzuordnen und zu ergänzen. Die Onlinebefragung der Unternehmen wurde umgesetzt mit freundlicher Unterstützung der askallo GmbH. Die ergänzende Befragung von 1.000 Arbeitnehmern erfolgte über Toluna Quick Surveys. Die Zielgruppe setzte sich zusammen aus Angestellten, leitenden Angestellten, Abteilungsleitern und Führungskräften. Autor

Hartwig Laute, Geschäftsführer der Recommind GmbH in Rheinbach bei Bonn, ist Experte für die Nutzung datenschutzrechtlich konformer eDiscovery-Lösungen im Rahmen präventiver Audits. Er arbeitet seit Jahren eng mit führenden Compliance-Verantwortlichen in renommierten deutschen Unternehmen sowie Vertretern namhafter Kanzleien und tritt regelmäßig auf Veranstaltungen auf –vorzugsweise als Referent zu den Themen Kartellinvestigation und Compliance-Maßnahmen. Recommind Recommind ist einer der weltweit führenden Anbieter von E-Discovery-Lösungen und intelligenter Suchmaschinentechnologie. Neben Behörden und Großkanzleien setzen vor allem im deutschsprachigen Raum auch Medien- und Pharmaunternehmen, Automobilkonzerne und -zulieferer, Versicherungsgesellschaften und Forschungsinstitute Produkte von Recommind ein. Recomminds Lösung für E-Discovery-Prozesse werden insbesondere in kartellrechtlichen Untersuchungen, Compliance-Checks, sowie internen Audits, Revisionen und Analysen eingesetzt. Seit der Gründung im Jahr 2000 findet die gesamte Kernentwicklung und Programmierung in der weltweit größten Niederlassung von Recommind in Rheinbach bei Bonn statt. Weitere Standorte sind London, New York, San Francisco, Boston und Sydney.