Schutzschild der Unternehmen

Ein Compliance-Verstoß kann viele Gesichter haben: Eine Gesellschafterin nutzt Informationen für Insidergeschäfte, ein Geschäftsführer vermischt private und geschäftliche Ausgaben, eine Einkäuferin lässt sich von Zulieferern mit »Geschenken« bestechen, eine Führungskraft wird gegenüber einer Mitarbeiterin verbal und physisch übergriffig, persönliche Daten sind im Intranet offen einsehbar. Die Liste ließe sich noch lange fortsetzen. Eine Vielzahl gesetzlicher und regulatorischer Anforderungen stellt Unternehmen zunehmend vor große Herausforderungen.

Verstöße können erhebliche finanzielle und juristische Konsequenzen haben – bis hin zu Schadenersatzforderungen von geschädigten Geschäftspartner*innen und persönlicher Haftung der Geschäftsführung. Nicht eingerechnet der Reputationsverlust bei Kund*innen und Investor*innen. Gesetzliche Vorgaben wie etwa die DSGVO, das Hinweisgebersystem (Whistleblowing) oder das Wettbewerbs- und Kartellrecht verpflichten zur Meldung bestimmter Vorfälle, damit diese transparent gemacht und behördlich überprüft werden können. Doch wo verläuft die Grenze zwischen korruptem Verhalten und einer freundlichen Geste? Eine Flasche Wein mit Weihnachtsgrüßen gilt allgemein als akzeptabel. Eine Einladung ins Nobelrestaurant könnte hingegen schon unangemessen sein. Compliance-Regeln zielen darauf ab, schwere Vergehen wie Betrug, Korruption, Marktmanipulation, Bilanzfälschung oder Geldwäsche zu bekämpfen. »Das betrifft neben der inzwischen beinahe unüberschaubaren Fülle von EU-, Bundes- und Landesgesetzen sowie technischen Normen auch unternehmensinterne Regulative, wie etwa Verhaltenskodizes und Arbeitsanweisungen«, erklärt Artur Schuschnigg, Referent in der Abteilung für Rechtspolitik der Wirtschaftskammer Österreich.

Durch den zunehmenden Einsatz von KI-Tools in den Unternehmen – mit und ohne Wissen des Arbeitgebers – öffnen sich zudem neue Problemfelder, die direkt die Verantwortung der Geschäftsführung betreffen. »Künstliche Intelligenz ist kein rechtsfreier Raum. Wer als Geschäftsführer keine klaren Spielregeln vorgibt und die Risiken einer unkontrollierten Nutzung von KI-Tools unterschätzt, setzt sich der Gefahr einer Haftung aus«, heißt es dazu von der Rechtsanwaltskanzlei Fellner Wratzfeld & Partner.

Heikle Interessenkonflikte
Grundsätzlich ist jedes Unternehmen dazu verpflichtet, sich regelkonform zu verhalten. Vor allem in international tätigen Konzernen sind eigene Richtlinien meist üblich. Teilweise sind diese recht umfangreich und auf die jeweilige Branche und Unternehmenstätigkeit zugeschnitten. Besonders strenge Anforderungen gelten in kritischen Sektoren, etwa der Finanz- und Energiewirtschaft, dem Gesundheitswesen oder im öffentlichen Bereich. Mitarbeiter*innen in diesen Unternehmen dürfen beispielsweise keine Geschenke annehmen oder müssen um eine Genehmigung ansuchen.

Expert*innen unterscheiden zwischen arbeitsrechtlicher, kapitalmarktrechtlicher, kartellrechtlicher, datenschutzrechtlicher und Corporate Compliance. Brisant ist etwa der Umstand, wenn sich Nebenerwerbstätigkeiten und Unternehmensinteressen überschneiden. Der Fall des ORF-Stiftungsvorsitzenden Heinz Lederer, der wie aufgrund von profil-Recherchen jüngst bekannt wurde, 2021 und 2022 als Berater des Bauunternehmens Rhomberg an Meetings zur Zukunft des Funkhauses Argentinierstraße teilnahm, wirft diesbezüglich Fragen auf. Lederers Vize Gregor Schütze betreut in seinem Brotberuf als PR-Berater Sky und Netflix – also im Stream­ing-Segment zwei unmittelbare Konkurrenten des ORF, wodurch sich im Zuge der anstehenden Verhandlungen über die geplante Streaming-Abgabe eine interessante Doppelrolle ergibt. Ob eine Unvereinbarkeit der beruflichen Tätigkeiten der beiden Stiftungsräte und ihrer Rolle als Aufsichtsrat vorliegt, wird noch zu klären sein.

Leitplanken schaffen
Um den Überblick nicht zu verlieren und etwaige Haftungsrisiken auszuschließen, empfehlen Fachleute die Implementierung eines Compliance Management Systems (CMS). Dieses bietet einen methodisch anerkannten und praxiserprobten Rahmen, der das Unternehmen vor Rechtsverletzungen weitgehend absichert. Doch auch das beste CMS bedarf laufender Überprüfung, Aktualisierung und Optimierung.

Ein sogenannter »Code of Conduct« bildet die Grundlage für ethisches Verhalten im Unternehmen. Er dient als Leitfaden für Mitarbeiter*innen und Führungskräfte, um verbindliche Standards für Gleichberechtigung, Transparenz und soziale Verantwortung im Arbeitsalltag sicherzustellen. Dieses Regelwerk ist nicht gesetzlich vorgeschrieben – jedes Unternehmen trägt selbst die Verantwortung für dessen Erstellung und Umsetzung. Nahezu alle großen Organisationen, aber auch viele mittelständische Betriebe haben einen solchen Verhaltenskodex festgelegt. Das Bauunternehmen Palfinger hat seinen Code of Conduct nicht nur in schriftlicher Form vorgelegt, sondern auch mit Zeichnungen und einem Video visualisiert, um die Grundsätze der eigenen Geschäftsethik in allen 130 Ländern der Unternehmensgruppe verständlich zu machen.

»Ein Code of Conduct ist grundsätzlich immer zu empfehlen, jedenfalls aber bei Organisationen mit hohen regulatorischen Anforderungen oder Reputationsrisiken«, sagt Markus Trettnak, Partner der Wirtschaftsprüfung BDO Austria. »Dieser sollte die Werte der Organisation, praxisnahe Verhaltensregeln sowie Aussagen zu Meldewegen und den Sanktionen enthalten.« Während Compli­ance von klaren Regeln lebt, wird von Mitarbeiter*innen mehr Eigenverantwortung erwartet – ein Widerspruch? Trettnak ist vom Gegenteil überzeugt: »Klare Regeln widersprechen nicht der Vertrauenskultur, sondern schaffen Transparenz und dienen der Erwartungssicherheit.«

Zunächst ist Compliance daher ein Führungsthema. Die besten Regeln nützen nichts, wenn sie im Unternehmen nicht zur (vor-)gelebten Realität werden. Doch wie eine aktuelle TQS-Umfrage im Auftrag der ARS Akademie zeigt, kennen knapp 60 % der österreichischen Beschäftigten ihr Beschwerderecht nicht einmal. Entsprechend der EU-Whistle­blowing-Richtlinie von 2019 muss die Identität der Arbeitnehmer*innen geschützt werden, wenn sie Missstände oder Rechtswidrigkeiten am Arbeitsplatz melden. Es darf zu keinerlei Repressionen gegen den bzw. die Hinweisgeber*in kommen. Richard Melbinger, Geschäftsführer der ARS Akademie, sieht beim Thema Whistle­blowing noch großen Aufholbedarf: »Das Informationsdefizit bei den Arbeitnehmer*innen weist auch auf unzureichende Information seitens der Arbeitgeber hin. Denn Unternehmen mit mindestens 50 Mitarbeitenden sind verpflichtet, entsprechende anonyme Beschwerdestellen einzurichten und, wenn dies nicht möglich ist, ihre Mitarbeitenden über externe Anlaufstellen zu informieren. Das ist ein wichtiger Teil der Compliance. Unternehmen machen sich strafbar, wenn sie diese rechtlichen Anforderungen nicht erfüllen.«

Bereitschaft zur Selbstkritik
Wie viel die Bekenntnisse zu Compliance tatsächlich wert sind, zeigt sich meist erst bei Regelverstößen. BDO-Experte Trettnak rät auch hier zu Besonnenheit: »Bei Fehlverhalten sind eine faire Untersuchung, abgestufte Sanktionen und in der Folge Präventionsmaßnahmen sicherzustellen.« Compliance ist jedenfalls kein optionales »Nice to have«, sondern bringt Verpflichtungen und persönliche Haftung mit sich. Verstöße müssen entsprechend geahndet werden, um nicht den Boden für zukünftiges fahrlässiges Gebaren zu ebnen. Wird Fehlverhalten einfach unter den Teppich gekehrt, stellt dies die gesamte Glaubwürdigkeit des Unternehmens infrage. Der Code of Conduct wäre dann tatsächlich nur ein Lippenbekenntnis und könnte im Worst Case zu einer Vertrauenskrise innerhalb des Unternehmens, aber auch in der öffentlichen Wahrnehmung führen.

Für Peter Jordan, Experte für Krisenkommunikation bei Engel & Zimmermann, ist die Bereitschaft zu Selbstkritik und Veränderung deshalb entscheidend: »Unternehmen, die offen zu Fehlern stehen, Ursachen analysieren und konsequent Maßnahmen zur Prävention ergreifen, werden als integer wahrgenommen. Die Kommunikation sollte daher auch immer aufzeigen, welche Lehren aus dem Vorfall gezogen und wie Verbesserungen implementiert werden.«

Im Gespräch: »Klare Regeln geben Sicherheit«

Das Beratungsunternehmen ConPlusUltra hat sich auf maßgeschneiderte Fach- und Prozessberatung für Gewerbe und Industrie spezialisiert. In Produktionsbetrieben steht der Schutz der Mitarbeitenden im Mittelpunkt, erklärt Peter Gratzl, Teamleitung Compliance Integration.

Wann ist ein Code of Conduct empfehlenswert und was sollte dieser beinhalten?

Peter Gratzl: Spätestens wenn Umweltauflagen, Arbeitssicherheit oder Informationssicherheit eine Rolle spielen – und das trifft heute auf fast jedes Unternehmen zu. Ein guter Code of Conduct sagt klar: Wer ist wofür verantwortlich? Was ist erlaubt, was nicht? Er greift konkrete Themen auf, etwa den Umgang mit Gefahrstoffen oder den Schutz sensibler Daten, und gibt Mitarbeitenden echte Orientierung im Alltag.

Stehen klare Regeln im Widerspruch zu einer Vertrauenskultur?

Gratzl: Keineswegs. Vertrauen entsteht nicht im Ungefähren, sondern wenn alle wissen, was von ihnen erwartet wird. Klare Regeln – etwa zu Arbeitssicherheit oder Informationssicherheit – geben Sicherheit und nehmen Unsicherheit. Wer als Führungskraft diese Regeln vorlebt, sendet ein starkes Signal: Compliance ist keine Kontrolle, sondern gegenseitige Verlässlichkeit.

Wie sollten Unternehmen mit Fehlverhalten von Mitarbeiter*innen umgehen?

Gratzl: Erst verstehen, dann reagieren. Wer einen Sicherheitsvorfall oder einen Umweltverstoß nur bestraft, löst das eigentliche Problem nicht. Meist stecken dahinter unklare Abläufe, fehlende Schulungen oder zu hoher Zeitdruck. Die bessere Frage lautet: Was hat das System nicht geleistet? Wer so denkt, verhindert den nächsten Vorfall – und das ist das eigentliche Ziel von Compliance.

Jobprofil Compliance Officer

Compliance ist kein isolierter Bereich, sondern betrifft alle Abteilungen  – vom Einkauf über die Personalabteilung bis zur Geschäftsleitung. Unternehmen, die auf ein professionelles Team setzen, profitieren von effizienten Abläufen und verlässlichen Strukturen. Ein strukturiertes Compliance-Management erleichtert zudem die Zusammenarbeit mit Behörden und Geschäftspartnern. Ein klar formulierter Verhaltenskodex (Code of Conduct) schafft Orientierung.

Die Ausbildung zum zertifizierten Compliance Officer vermittelt fundierte Kenntnisse für eine Risikoanalyse, den Aufbau eines Compliance-Management-Systems und das Verhalten bei Compliance-Verstößen. Anhand von Praxisbeispielen wird vermittelt, wie Regeln nicht nur eingehalten, sondern gelebte Unternehmenskultur werden.

Die wichtigsten Compliance-Richtlinien

1. DSGVO
Durch die Datenschutz-Grundverordnung ist der Schutz personenbezogener Daten in den Fokus gerückt. Verstöße können zu Bußgeldern in Millionenhöhe führen und das Vertrauen von Kunden und Partnern nachhaltig erschüttern. Technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffskontrollen und regelmäßige Überprüfungen sind unerlässlich.

2. Korruption
Anti-Korruptions-Regeln senden ein klares Signal an Partner und die Öffentlichkeit: Dieses Unternehmen steht für Integrität und lehnt unethische Praktiken strikt ab. Sie regeln den Umgang mit Geschenken und Einladungen, Bestechung ist explizit verboten. Partner, Berater und Vermittler sollten vorab einer Due-Diligence-Prüfung unterzogen werden.

3. Arbeitsrecht
Die Einhaltung arbeitsrechtlicher Vorschriften umfasst gesetzeskonforme Arbeitsverträge und Entlohnung, Kündigungsschutz, eine zuverlässige Arbeitszeiterfassung sowie die Gewährleistung eines sicheren und gesunden Arbeitsumfeldes. Verankern Sie die Grundsätze des Gleichbehandlungsgesetzes in der Unternehmenskultur und richten Sie eine Beschwerdestelle für Betroffene ein.

4. Wettbewerb
Illegale Preisabsprachen, Marktaufteilungen oder der Missbrauch einer marktbeherrschenden Stellung sind schwere Verstöße gegen das Wettbewerbsrecht. Sie werden mit hohen Strafen geahndet und können auch Schadenersatzklagen nach sich ziehen. Die Mitarbeiter*innen sollten über den unzulässigen Austausch von Informationen aufgeklärt werden.

5. Geldwäsche
Unternehmen, insbesondere im Finanz-, Immobilien- und Güterhandelssektor, können unwissentlich für Geldwäscheaktivitäten missbraucht werden. Gesetzlich vorgeschrieben sind bestimmte Sorgfaltspflichten, u. a. die Identifizierung des Vertragspartners, eine Risikoanalyse und interne Sicherheitsmaßnahmen. Verdächtige Transaktionen müssen umgehend behördlich gemeldet werden.

6. ESG
Die Einhaltung regulatorischer Standards in den Bereichen Umwelt (Environment), Soziales (Social) und Unternehmensführung (Governance) ist entscheidend, um Klimaziele, Arbeits- und Menschenrechte sowie Korruptionsbekämpfung zu gewährleisten. Um der gesetzlichen Berichtspflicht nachzukommen, empfiehlt sich die Implementierung eines integrierten CMS-Systems.