Nachhaltige Compliance im Mittelstand

Rechtliche Vorgaben zu organisieren, ist nicht nur Kür. Die Geschäftsführung steht generell in der Pflicht, nicht nur strategische und operative, sondern auch rechtliche Risiken zu managen.

Für regulierte Branchen, wie etwa Banken und Versicherungen, bestehen ausdrückliche gesetzliche Vorschriften, ein Compliance-Management-System zu betreiben. Unternehmen, die eine geschäftliche Verbindung z.B. in die USA haben, müssen systemische Maßnahmen gegen Korruption vorweisen. Die DSGVO verlangt seit 2018 von allen Unternehmen nicht weniger als ein Datenschutz-Management-System. Seit 2021 gilt die europäische Richtlinie zum Schutz von Whistleblowern. Mit Beginn des Jahres 2024 trifft das Lieferkettensorgfaltspflichtengesetz (LkSG) auch Unternehmen mit mehr als 1.000 Beschäftigten.

Mittelständische Unternehmen stehen immer stärker im Fokus behördlicher Ermittlungen. Die Strafen werden höher. Ein weiterer Treiber dieser Veränderungen sind sicherlich die Medien. Und zuletzt toleriert die Gesellschaft nicht mehr, dass Unternehmen sich durchmogeln, sich auf Kosten anderer optimieren.

Ein Compliance-System wirkt auf mehreren Ebenen:

Das Vertrauen in die Geschäftstätigkeit und der gute Ruf werden gestärkt. Eine aktive Kommunikation von Ge- und Verboten schafft klare Strukturen. Entsprechende Regeln geben Orientierung.

Klassische Elemente eines Compliance-Systems wie ein „Code of Conduct“ und das Reporting lassen sich mit Komponenten der Nachhaltigkeit verzahnen, z.B. Arbeits- und Umweltschutz, Achtung von Menschenrechten und Sozialnormen. Das erhöht die Akzeptanz bei Mitarbeitern, Kunden und Geschäftspartnern.

Unternehmensschädigendes Verhalten, wie ein Griff in die Kasse, Unterschlagung von Betriebsmitteln oder die Verletzung von Geschäftsgeheimnissen, und damit ein Werteabfluss werden möglichst verhindert bzw. zumindest frühzeitig erkannt. Mit Compliance werden insbesondere Missstände gemanagt, aufgeklärt und beseitigt. Aktives Fehlermanagement schafft Vertrauen und Zufriedenheit.

Was beinhaltet ein funktionelles und effektives Compliance-System? Gerade für den Mittelstand sollte eine einfache Lösung gewählt werden:

1. Kultur: Über einen leicht verständlichen Verhaltenskodex und mit der vorbildlichen Ansprache der Unternehmensleitung wird die richtige Einstellung vermittelt. Die Botschaft lautet: Rechtmäßiges und nachhaltiges Verhalten ist eine wichtige Aufgabe.
    
2. Organisation: Wer hat welche Rolle und Aufgaben? Was verantworten Geschäftsführung, Führungskräfte und Mitarbeiter? Wie unterstützt der zentrale Compliance-Officer die dezentralen Compliance-Koordinatoren?
    
3. Regeln, Richtlinien und Anweisungen: Was ist erlaubt, z.B. bei Geschenken und Einladungen von Geschäftspartnern? Was ist verboten, z.B. im Umgang mit Behörden? Wie verhalte ich mich richtig, z.B. durch Wahrung des Mehr-Augen-Prinzips und Freigaben bei bestimmten Wertgrenzen? Wer hilft bei Fragen?
    
4. Kommunikation und Training: Was bedeuten die Regeln in der täglichen Praxis? Es ist empfehlenswert zu erklären und konkrete Hilfestellung zu geben. Weniger ist dabei mehr und die Mischung macht es: Merkblätter und kurze Workshops statt Tagesveranstaltungen. Motivierende Beiträge und kurzweilige Erklärvideos im Intranet sowie gut gemachte E-Learning-Kurse und z.B. Compliance-Gaming statt belehrende Frontalbeschallung.
    
5. Meldesystem für Verstöße: Mitarbeiter oder Geschäftspartner halten sich nicht an definierte Vorgaben? An wen kann dies gemeldet werden? Was passiert dann? Wie wird die Vertraulichkeit gewahrt, aber auch die Unschuldsvermutung? Werden Fehler tatsächlich geahndet und abgestellt? Wird aus Fehlern spürbar gelernt?
    
6. Audit und Prüfung: Besonders gefährdete Bereiche, wie z.B. Einkauf und Vertrieb, sollten regelmäßig durch die Interne Revision geprüft werden. Betrügerisches Handeln kann durch externe oder interne Manipulation oder sogar durch Zusammenwirken erfolgen. Bei konkreten Verdachtsfällen sind spezielle Prüfungen erforderlich, um nicht dem Vorwurf ausgesetzt zu sein, Vorgänge zu vertuschen. Vorgaben wie DSGVO und LkSG sehen zwingend Kontrollen vor.
    
7. Monitoring und Analysen: Gibt es neue Gesetze oder für das Unternehmen relevante Urteile? Kommen solche Informationen über definierte Kanäle, z.B. über Newsletter von Rechtsanwälten oder von Fachverbänden? Werden diese in den betroffenen Bereichen umgesetzt? Funktioniert das Compliance-System, d.h. werden vorgesehene Schulungen tatsächlich durchgeführt und nehmen alle Mitarbeiter teil? Werden Beschäftigte befragt, um Umsetzungsdefizite und Bedarfe festzustellen?
    
8. Berichte und Dokumentation: Nicht nur wenn eine Behörde oder ein Geschäftspartner danach fragen, sollte ein nachvollziehbarer Überblick über das Compliance-System griffbereit sein. Die Geschäftsführung ist verpflichtet, sich regelmäßig, mindestens einmal im Jahr, z.B. über die Wirksamkeit eines Beschwerdeverfahrens zu informieren. Zudem ist eine angemessene Dokumentation die Basis für z.B. ein jährliches Update oder eine freiwillige externe Prüfung.
    
9. Tools und Technik: Ohne smarte und sichere Tools ist eine nachhaltige Compliance nicht mehr möglich. Cyber-Security gelingt nicht mit manuellen Checklisten. Ein Hinweisgebersystem ist nur in einer digitalen Version “state-of-the-art”. Die Herausforderungen im Geschäftspartner-Management funktionieren nur durch Zusammenwirken von ERP, CRM und integrierten Compliance-Lösungen.

Die Einführung eines Compliance-Systems startet mit einer zielorientierten Analyse und intensiven Bestandsaufnahme. Welche rechtlichen Risikofelder sind in der jeweiligen Branche und im eigenen Unternehmen relevant? Bestehen spezifische Herausforderungen aufgrund behördlicher Auflagen oder Vorgaben der Abnehmer in der Lieferkette?

Im nächsten Schritt werden vorhandene Standards und Systeme erfasst. Dazu werden Dokumente gesichtet und Gespräche mit wichtigen Verantwortlichen, wie Einkauf, Vertrieb, Produktion, Rechnungswesen und Kundenservice, geführt.

Schließlich erfolgt eine Bewertung der vorhandenen Maßnahmen und eine Identifikation von Handlungsbedarf: Was kann weggelassen werden? Was fehlt und muss ergänzt werden? Was lässt sich verbessern?

Ist ein System bedarfs- und risikoorientiert konzipiert, dann werden die definierten Maßnahmen implementiert, ein „Regelbetrieb“ etabliert sowie das System kontinuierlich weiterentwickelt.

Für gute Compliance zählt nicht „der große Wurf“, sondern viele kleine Schritte und permanente Verbesserungen, die in den operativen Abläufen gelebt werden, bringen den nachhaltigen Erfolg. Wichtige Bausteine sind eine offene Fehler- und Lernkultur, ein transparentes Vorleben über Vorbilder in der Unternehmensführung, konsequente Digitalisierung, ein hartnäckiger Compliance-Officer und eine gezielte Kontrolle über die interne Revision. So zahlt sich am Ende die Investition in Compliance auch spürbar aus.

© LC | LIBUDA consulting, 2025