Laut einer PWC-Studie waren in Österreich in den letzten zwei Jahren 30% der Unternehmen von Wirtschaftskriminalität betroffen. Diese reicht von Betrug durch Kunden über Cyberkriminalität bis hin zu anderen Vermögensdelikten, die sowohl von Unternehmensangehörigen als auch von externen Akteuren verübt werden. Zudem stehen Unternehmen zunehmend im Fokus strafrechtlicher Ermittlungen. Um sich gegen diese Risiken der Wirtschaftskriminalität zu wappnen und in komplexen Strafverfahren effektiv zu verteidigen, investieren viele Unternehmen verstärkt in Compliance-Maßnahmen.

Compliance-Management-Systeme (CMS) sind strukturierte Rahmenwerke innerhalb von Unternehmen, die darauf abzielen, die Einhaltung rechtlicher Vorschriften und unternehmensinterner Richtlinien zu gewährleisten. Diese Systeme kombinieren Richtlinien, Prozesse und Werkzeuge, um sicherzustellen, dass Organisationen ihre rechtlichen Pflichten erfüllen und ethische Standards wahren. Ein effektives CMS identifiziert relevante Compliance-Risiken, überwacht kontinuierlich die Einhaltung von Gesetzen und Richtlinien und reagiert angemessen auf Compliance-Verstöße.

Compliance-Maßnahmen gehören zum Compliance-Management-System. Die häufigsten Maßnahmen von Compliance sind:

• Festlegung einer Compliance-Strategie für das Unternehmen;
• ein auf das Unternehmen maßgeschneiderter Verhaltenskodex (sog. "Code of Conduct");
• eine auf das Unternehmen maßgeschneiderte Compliance-Risikoanalyse;
• auf der Compliance-Risikoanalyse basierende Compliance-Richtlinien (z.B. Richtlinie Anti Korruption; Richtlinie Kartellrecht);
• interne und externe Schulungen von Mitarbeitern, des Vorstands und des Aufsichtsrats;
• interne und externe Compliance-Wirksamkeitskontrollen zur Überprüfung des Compliance-Management-Systems und seiner Maßnahmen;
• umfassende Dokumentation aller Compliance-Maßnahmen;
• interne Untersuchungen ("internal investigations") bei Verdacht auf Compliance-Verstößen.

Compliance-Management zielt primär darauf ab, rechtliche Risiken für Unternehmen zu minimieren. Es beinhaltet die Einhaltung von Datenschutzvorgaben, die Beachtung von Urheberrechten und des Vergabegesetzes sowie die Berücksichtigung strafrechtlicher Aspekte wie Betrugsprävention und Anti-Korruptionsmaßnahmen. Diese rechtlichen Aspekte sind entscheidend, um Bußgelder, juristische Auseinandersetzungen und strafrechtliche Konsequenzen zu vermeiden.

Darüber hinaus adressiert Compliance ethische Risiken, die sich negativ auf die Reputation eines Unternehmens auswirken können. Unethisches Verhalten, wie Diskriminierung oder Verstöße gegen nachhaltige Geschäftspraktiken, kann zu einem erheblichen Vertrauensverlust bei Kunden, Mitarbeitern und der breiten Öffentlichkeit führen.

Viele europäische Gesetzgeber schreiben allgemeinhin keine spezifischen Compliance-Maßnahmen für Unternehmen vor, sondern beschränken sich darauf, Unternehmen zu technischen und organisatorischen Maßnahmen zu verpflichten, um den gesetzlichen Anforderungen gerecht zu werden

So heißt es in § 25 GmbH-Gesetz beispielsweise: „Die Geschäftsführer sind der Gesellschaft gegenüber verpflichtet, bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Ein Geschäftsführer handelt jedenfalls im Einklang mit der Sorgfalt eines ordentlichen Geschäftsmannes, wenn er sich bei einer unternehmerischen Entscheidung nicht von sachfremden Interessen leiten lässt und auf der Grundlage angemessener Information annehmen darf, zum Wohle der Gesellschaft zu handeln.“

Diese sog. Business Judgment Rule gibt Unternehmen eine erste Orientierung, indem sie Führungskräften rechtlichen Schutz bei Entscheidungsprozessen bietet, solange diese auf angemessenen Informationen basieren und im besten Interesse des Unternehmens getroffen werden. Diese Regel fördert risikobewusste und informierte Entscheidungen, reduziert die Angst vor Haftung und unterstützt somit eine proaktive und verantwortungsvolle Compliance-Kultur in Unternehmen.

Konkrete Empfehlungen für die Ausgestaltung von Compliance-Management-Systemen und Compliance-Maßnahmen lassen sich ISO-Standards entnehmen. ISO-Standards sind international anerkannte Normen, entwickelt von der Internationalen Organisation für Normung (ISO). Sie bieten weltweit gültige Richtlinien und Best Practices für eine Vielzahl von Branchen und Prozessen. ISO-Standards zielen darauf ab, Qualität, Sicherheit, Effizienz, und Zuverlässigkeit in Unternehmen zu verbessern, und tragen zur Harmonisierung von Techniken und Prozessen auf globaler Ebene bei. Im Bereich Compliance gibt es verschiedene ISO-Standards, die Unternehmen dabei unterstützen, ein effektives Compliance-Management-System zu errichten und aufrecht zu erhalten. Einige dieser ISO-Standards sind:

• ISO 37301: Compliance Management Systems – Requirements with Guidance for Use. Dieser Standard aktualisiert den alten ISO 19600 Compliance Management Systems-Standard und bietet Leitlinien für die Etablierung, Entwicklung, Implementierung, Bewertung, Aufrechterhaltung und Verbesserung eines effektiven Compliance-Management-Systems innerhalb einer Organisation.
• ISO 37001: Anti-Bribery Management Systems: speziell konzipiert, um Organisationen bei der Implementierung von Maßnahmen zur Verhinderung, Aufdeckung und Bekämpfung von Bestechung zu unterstützen
• ISO 31000: Risk Management: Obwohl nicht ausschließlich auf Compliance ausgerichtet, bietet dieser Standard wichtige Leitlinien für Risikomanagementprozesse, die für die Compliance-Strategie eines Unternehmens entscheidend sind.

Die Implementierung von Compliance-Maßnahmen gemäß ISO-Standards bietet zwar keine absolute Haftungsbefreiung für Unternehmen. Es ist jedoch von großer und praktischer Bedeutung zu beachten, dass solche Maßnahmen in Wirtschaftsstraf- und Kartellverfahren eine wesentliche Rolle spielen können. Die Einhaltung anerkannter ISO-Standards im Compliance-Bereich kann bei der Verteidigung von Unternehmen vor Gericht relevant sein und hat das Potenzial, die Sanktionen erheblich zu reduzieren. Daher empfiehlt es sich, Compliance-Strategien und -Maßnahmen unter Einbeziehung des Vertrauensanwalts zu implementieren, um die Einhaltung gesetzlicher Bestimmungen sicherzustellen und die rechtliche Position des Unternehmens zu stärken.

Compliance ist für kleine und mittlere Unternehmen (KMU) von entscheidender Bedeutung, um gesetzliche Konformität zu gewährleisten und ihre Geschäftsbeziehungen, insbesondere mit großen Unternehmen, zu sichern. Zudem kann sichtbares Compliance-Management an die Kunden und Lieferanten Vertrauen und Sicherheit kommunizieren.

Dennoch zögern viele KMU, Compliance-Management-Systeme einzuführen, da sie hohe Kosten und zusätzliche Bürokratie befürchten. Doch gerade weil Großunternehmen zunehmend auf Compliance-Systeme setzen, um dem Druck von Ermittlungen, Sanktionen und öffentlicher Meinung standzuhalten und Wettbewerbsvorteile zu erzielen, wird Compliance auch für den Mittelstand immer wichtiger: Großunternehmen geben ihre Compliance-Anforderungen oft an kleinere Geschäftspartner weiter, wie es beispielsweise bei der IT-Sicherheit der Fall ist.

Daher ist es für KMU entscheidend, effiziente Compliance-Strukturen zu implementieren, die rechtlichen Anforderungen entsprechen, ohne ihre Flexibilität einzuschränken. Dies schützt nicht nur das Unternehmen und die Reputation der handelnden Personen, sondern eröffnet auch Geschäftschancen und stärkt das Vertrauen bei bestehenden und potenziellen Partnern. Deshalb sind Compliance-Vorgaben bereits bei der Unternehmensgründung mitzudenken.

Whistleblowing spielt eine entscheidende Rolle für Unternehmen, da es ein effektives Mittel zur Aufdeckung und Verhinderung von Fehlverhalten und Unregelmäßigkeiten innerhalb der Organisation darstellt. Es dient als Frühwarnsystem, das Unternehmen ermöglicht, interne Probleme wie Betrug, Korruption oder Verstöße gegen Vorschriften frühzeitig zu erkennen und entsprechend darauf zu reagieren.

So kann etwa rechtzeitig ein Kronzeugenantrag gestellt (§ 209a StPO, § 209b StPO) oder Schadenswiedergutmachtung geleistet werden, um durch sog. tätige Reue (§ 167 StGB) in den Genuss von Strafmilderung oder Straffreiheit zu gelangen.

Durch Whistleblowing können Risiken minimiert, finanzielle und reputative Schäden abgewendet und die Einhaltung gesetzlicher sowie ethischer Standards sichergestellt werden. Es fördert zudem eine Kultur der Transparenz und Integrität, was das Vertrauen von Mitarbeitern, Kunden und Geschäftspartnern stärkt. Für Unternehmen ist es daher wichtig, ein sicheres und effektives Whistleblower-System zu etablieren, das Mitarbeitern die Möglichkeit gibt, Bedenken anonym und ohne Angst vor Vergeltung zu äußern, wodurch die Compliance und das ethische Verhalten im Unternehmen nachhaltig verbessert werden.

Aufgrund des Hinweisgeberinnenschutzgesetzes haben Unternehmen ab 50 Mitarbeitende seit Ende 2023 die Pflicht, ein Hinweisgeberinnensystem zu implementieren. Durch das Hinweisgeberinnenschutzgesetz wird ein sicherer Rahmen für Whistleblower geschaffen, die auf Missstände in Unternehmen und öffentlichen Institutionen aufmerksam machen. Dieses Gesetz bietet ihnen Schutz vor Vergeltungsmaßnahmen wie Kündigung oder Diskriminierung und garantiert die Vertraulichkeit ihrer Identität. Es verpflichtet zudem Organisationen, effiziente und sichere Kanäle für die Meldung von Rechtsverstößen einzurichten, wodurch eine Kultur der Offenheit und Rechtskonformität gefördert wird.

Die Erfüllung der gesetzlichen Pflicht bietet für die Unternehmensleitung allerdings auch großes Potential und Chancen zur Verbesserung und Stärkung des Geschäftsbetriebes:

• es fördert eine Kultur der Transparenz und Ethik, was die Mitarbeiterbindung und -zufriedenheit erhöht;
• durch frühzeitige Erkennung von Fehlverhalten und Risiken können Unternehmen Reputationsschäden, Schadensersatzansprüche bzw. finanzielle Verluste vermeiden;
• die Stärkung der Compliance-Strukturen signalisiert gegenüber Stakeholdern das Engagement für Rechtskonformität und ethisches Handeln;
• ein offenes Kommunikationsumfeld und eine konstruktive Fehlerkultur fördert Innovation und Prozessverbesserungen;
• die Unterstützung von Whistleblowing macht Unternehmen für talentierte und wertorientierte Mitarbeiter (gerade der Generation Z) attraktiver;
• das Gesetz dient als wertvoller Feedbackmechanismus für das Management;
• es stärkt das Vertrauen von Kunden, Lieferanten und Geschäftspartnern;
• es verbessert die Reaktionsfähigkeit auf interne Probleme;
• ein proaktiver Umgang mit dem Hinweisgeberinnenschutzgesetz kann sich als Wettbewerbsvorteil erweisen.

In unserer Beratung sehen wir das Gesetz als eine strategische Ressource, die Unternehmen nutzen können, um ihre Integrität, Wettbewerbsfähigkeit und Marktposition zu stärken.