ISO 37301 kommt zur rechten Zeit

17 Mrz

Vor dem Hintergrund eines anstehenden neuen Strafrechts für Unternehmen gewinnt die Beschäftigung mit Compliance an Bedeutung

Gespräch mit André Friede, Senior Compliance Officer bei TÜV Rheinland

Im Laufe des Jahres 2021 soll die DIN ISO 37301 in Kraft treten, die bereits als finaler Entwurf vorliegt. Damit wird die international anerkannte Zertifizierung eines standardisierten Compliance-Managementsystem möglich, als separates System oder auch als Bestandteil eines Integrierten Managementsystems. Zugleich steht mit dem in der parlamentarischen Beratung befindlichen Verbandssanktionengesetz (VerSanG) in den nächsten drei Jahren eine gravierende Veränderung des Unternehmensstrafrechts bevor. Die neue Rechtslage sollte auch KMU dazu veranlassen, sich näher mit dem Thema Compliance zu beschäftigen, meint André Friede, Senior Compliance Officer bei TÜV Rheinland im Gespräch mit qm-aktuell.de. An eine breite Zertifizierungswelle glaubt er im ersten Schritt allerdings nicht.

Veränderung des Unternehmensstrafrechts

Die Entwicklung einer Compliance-Kultur und geeigneter Prozesse zur Vorbeugung gegen Rechtsverstöße ist zwar für alle Unternehmen relevant, jedoch waren die Vorreiter der bisherigen Entwicklungen weitgehend große Unternehmen, die auch breit international tätig sind. In einigen Ländern haben sie es daher schon mit einem ähnlich entwickelten Unternehmensstrafrecht zu tun. In Deutschland ist für Vergehen juristischer Personen das Ordnungswidrigkeitengesetz zuständig. Bis zu 10 Millionen Euro beträgt dessen Bußgeldhöhe bei vorsätzlichen Unternehmensstraftaten. Für kleine Unternehmen konnte das existenzbedrohend werden, bei umsatzstarken Großunternehmen reichen die Bußgelder oft nicht, um den unrechtmäßig erzielten wirtschaftlichen Vorteil zu entziehen. Das wurde häufig als unverhältnismäßig angesehen. „Nach dem VerSanG können Unternehmen mit einem Jahresumsatz von mehr als 100 Millionen EUR mit Geldstrafe bis zu 10 Prozent des Jahresumsatzes belangt werden, wenn Vorsatz nachgewiesen wird“, erläutert André Friede. „Bei Fahrlässigkeit sind es immerhin noch 5 Prozent. Für kleinere Unternehmen kann es gemäß § 30 OWiG bei maximal 10 Mio. EUR verbleiben.“ In einem neuen Verbandssanktionenregister, gewissermaßen dem Pendant zum Bundeszentralregister für natürliche Personen, werden die Strafen für eine gewisse Zeit festgehalten. „Vorstrafen“ können bei späteren Verbandssanktionen strafverschärfend wirken.

Ein weiterer Kritikpunkt, der gesetzgeberisches Handeln herausfordert ist die zum Teil nicht effektiv wahrgenommene Strafverfolgung, für potenziell Verantwortliche für Straftaten von Unternehmen. Ob sie Ermittlungen gegen Personen anstrengt, liegt selbst bei schwerwiegenden Steuerstraftaten im Ermessen der Staatsanwaltschaft. Ermittlungen zumal in größeren Unternehmen sind bekanntlich aufwendig. Berge von Akten und ganze Computer werden beschlagnahmt, deren Auswertung jahrelang ganze Teams von Staatsanwälten bindet – und am Ende fehlen oft trotzdem die für die Anklageerhebung nötigen Beweise.

Künftig kann sich das Management nicht mehr so sicher sein, dass es bei Geldsanktionen bleibt. Nach dem VerSanG ersetzt das sogenannte „Legalitätsprinzip“ das bisher geltende Ermessen der Behörde, erklärt Friede. Die Staatsanwaltschaften müssen bei hinreichendem Anfangsverdacht auf jeden Fall ermitteln. So wächst die Gefahr für Unternehmen sowie für ihre Mitglieder der Geschäftsführung und leitenden Mitarbeiter, auch persönlich ins Visier der Justiz zu geraten, wie das z.B. in den USA alltäglich ist.

Compliance-Maßnahmen können vor Strafe schützen

Diese neue Rechtslage zwinge auch KMU dazu, sich Gedanken über Compliance zu machen, meint der TÜV-Rheinland-Experte. Denn das VerSanG will nicht nur mit hohen Strafandrohungen abschrecken, sondern den Weg aufzeigen, um von Strafen teilweise oder ganz verschont zu bleiben. Bei der Bemessung einer Geldsanktion etwa sollen die Behörden unter anderem „vor der Verbandstat getroffene Vorkehrungen zur Vermeidung und Aufdeckung von Verbandstaten“ berücksichtigen (§ 15 Abs. 3 Nr. 6 VerSanG). Angemessene Compliance-Maßnahmen machen es sogar möglich, dass das Unternehmen nicht bestraft, sondern nur verwarnt wird. Hat ein Unternehmen da nichts vorzuweisen, trifft es die volle Härte des Gesetzes und zusätzlich kann das Gericht die Geschäftsführung verpflichten, für die Zukunft Compliance-Prozesse einzurichten.

„Wie genau die Bestrafungspraxis und die richterlichen Anforderungen an Compliancemaßnahmen bei kleineren und bei größeren Unternehmen ausfallen werden“, so André Friede, „kann heute noch niemand sagen. Das wird sich erst durch die Rechtsprechungspraxis herauskristallisieren.“ Ein Schlüsselthema für die Richter werde  z. B. die Frage sein, ob ein Unternehmen sichere interne Meldekanäle für Whistleblower bereitstellt. „Ihr Fehlen wird wohl ein großes Manko sein, das bei der Strafzumessung sicher nicht zu Milde führt“, so der Compliance-Praktiker. Es zeige ja, dass ein Unternehmen für Vorbeugung nicht wirklich offen sei.

Grundsätzlich gilt: Die Firmenleitungen müssen nachweisen können, dass sie alles Zumutbare getan zu haben, um strafbaren Handlungen vorzubeugen oder sie zu erschweren (§ 3 Abs. 1 Nr. 2 VerSanG-E). Sie sollten Prozesse vorweisen können, um bei Straftaten geregelte unternehmensinterne Prüfungen durchführen zu können. Solche internen Ermittlungen dürfen sie auch externen Fachleuten, etwa einem Anwaltsbüro übertragen. Auch Regelungen für die konstruktive Zusammenarbeit mit ermittelnden Staatsanwaltschaften gehört zu den Anforderungen.

Zertifizierung nach ISO 37301

Nachweisen lassen sich Unternehmensprozesse am besten durch unabhängige Begutachtung. Den neuen Standard ISO 37301, der 2021 den seit dem Jahr 2014 für Unternehmen geltenden international anerkannten Compliance-Standard ISO 19600 ablösen wird, sollten sich deshalb die Unternehmen sorgfältig ansehen. Zwar heißt es im Regierungsentwurf, bei kleineren und mittleren Unternehmen werde der „Zukauf“ eines Compliance-Programms und der Nachweis von Zertifizierungen regelmäßig nicht erforderlich sein. Im Umkehrschluss heißt das: Je größer ein Unternehmen ist, umso eher werden Staatsanwälte und Richter die Zertifizierung erwarten. Zumal unter der Staatsanwaltschaft nicht unbedingt Compliance-Fachleute seien, werden sie sich gerne an einem Zertifikat als verlässlichem Beleg für wirksame Compliance-Maßnahmen orientieren.

„Mit einem regelrechten Run kleinerer Unternehmen auf die ISO-37301-Zertifizierung rechne ich aber nicht“, sagt André Friede. Der neue Standard gibt Empfehlungen für den Aufbau, die Entwicklung, die Umsetzung, die Bewertung, die Aufrechterhaltung und die Verbesserung eines adäquaten und wirksamen Compliance-Management-Systems innerhalb einer Organisation. Die bisher geltende ISO 19600 hat als Level-B-Norm nur empfehlenden Charakter und war nur auf dem Umweg über die Anwendung des IDW PS 980, der sich allerdings als Prüfstandard an Wirtschaftsprüfer richtet, zertifizierbar. Die ISO 37301 gibt als Level-A-Norm den Unternehmen ein zertifizierbares Konzept an die Hand, das ihre eigene Blickrichtung berücksichtigt. Sie sollen damit die Wirksamkeit ihres Compliance-Management-Systems aus der eigenen Perspektive überprüfen lassen und durch eine Zertifizierung nachweisen können.

Kernpunkt sind die Anforderungen an Aufbau und die Umsetzung eines wirksamen Compliance-Management-Systems sowie der hierfür erforderlichen Prozesse. Bei der Festlegung der Compliance-Ziele berücksichtigt sie die Größe, Struktur und Komplexität des Unternehmens. Davon ausgehend muss das Unternehmen seine Risiken evaluieren und entsprechende Assessments durchführen. Deshalb lohnt sich die Orientierung an der ISO 37301 auf für kleinere Unternehmen, die kein Zertifikat anstreben, betont André Friede. Auch liegt ihr Fokus verstärkt auf der Etablierung einer Compliance-Kultur, die in vielen Unternehmen Schwierigkeiten verursacht.