Compliance-IT für Unternehmen: Eine Frage der Haf­tung

von Tanja Podolski

08.01.2016

Jeden Monat gibt es so viele neue Gesetze, dass es Unternehmen schwer fällt, sie schnell in ihre Compliance-Systeme einzuarbeiten. Eine Frankfurter Kanzlei will mit ihrem IT-System die Lösung gefunden haben - und nennt das Rechtsberatung.

Als er anfing, die Umsetzung von neuen Gesetzen zu automatisieren, hatten noch nicht mal alle Kanzleien ein Email-Programm. Und vermutlich auch kein Faxgerät. Der Begriff Compliance war noch nicht erfunden. Dr. Manfred Rack setzte sich trotzdem daran, im Jahr 1992. Der Anwalt und Notar aus Frankfurt hatte seinerzeit mit einem Mandanten der Großchemie einen Mandanten, der jährlich die Einhaltung von etwa 450 Pflichten aus verschiedensten Gesetzen in seinem Betrieb überprüfen musste. Rack sagte dem Unternehmen: Wir machen das für euch.

"Wir haben damals rund 200 Mitteilungen monatlich an ein Unternehmen der Großchemie geschickt", erinnert er sich. Natürlich war ihm klar, dass von einem solchen Umfang an Neuregelungen nicht nur ein Unternehmen betroffen ist, sondern alle. Ob kleine Gesetzesänderungen oder große Reformen, einzelne Paragraphen oder neue DIN-Normen – ständig gilt es, die Flut geänderter Vorschriften im Auge zu behalten und zu erkennen, welche davon für welche Teile des eigenen Unternehmens relevant sind. Ohne Datenbank: unmöglich.

Datenbank fasst rund 140.000 Paragraphen

Rack schuf deshalb ein Compliance-Management-System namens "Recht im Betrieb", das mit stetig neuen Gesetzen, Verordnungen, Richtlinien usw. gefüttert wird. Um es technisch und inhaltlich auf dem Stand der Zeit zu halten, beschäftigt Rack vier Informatiker, 15 Rechtsanwälte, immer wieder Praktikanten und im Schnitt rund 20 freie Mitarbeiter. Alle pflegen Gesetzesänderungen kontinuierlich in die Datenbank ein. Die digitale Form des Einsortierens von Ergänzungslieferungen in Schönfelder, Sartorius & Co. Rack erhielt für diese Erfindung bereits 2002 den Hessischen Innovationspreis.

Auf der Grundlage von Angaben über einzelne Unternehmen (z.B. zu Branche, Produkten und Produktionsmitteln) ermittelt das System dann von alleine, welche Normen für dieses zu beachten sind. "Aus den Ergebnissen können wir einen individuellen Pflichtenkatalog für jedes Unternehmen erstellen", sagt Rack.

So könne der Vorstand erkennen, welche Aufgaben er habe, und welche davon er an das mittlere Management delegieren könne. Und ob diese Delegation erfolgreich war – das muss nämlich der Manager in der Datenbank bestätigen. Der wiederum kann kontrollieren, ob Herr Müller in der Betriebshalle beispielsweise die Farbeimer entsprechend den bestehenden Pflichten markiert hat. Oder zumindest, ob er in der Datenbank vermerkt hat, das erledigt zu haben.

Rack und seine Mitarbeiter kümmern sich für ihre Mandanten um die kontinuierliche Aktualisierung der derzeit 136.629 Paragraphen umfassenden Datenbank. Sie pflegen auch aktuelle Rechtsprechung oder Aufsätze zu Gesetzen, Rechtspflichten und -begriffen ein. Und weil wenig unreguliert bleibt in der Welt, gibt es natürlich auch Vorgaben, die den Aufbau eines Compliance Systems wie jenes von Rack betreffen. Dabei werden vor allem zwei Zahlen relevant: Die 19600 – und die sechs.

Prüfpflichten kannte schon das Reichsgericht

Die ISO-Norm 19600 setzt seit Dezember 2014 Maßstäbe für Compliance Management Systeme. Eine direkte gesetzliche Regelung gibt es hingegen nicht. "Auch die in der ISO 19600 dargelegten Anforderungen sind lediglich als Empfehlung deklariert", sagt Rack. Doch sie enthielten Standards, an denen sich Unternehmen künftig messen lassen müssten.

Sechs ist die Zahl der Organisationspflichten, die jedes Unternehmen treffen: ermitteln, delegieren, aktualisieren, erfüllen, kontrollieren und dokumentieren. Wer all dies nachweisen kann, ist Compliance-Verstößen und damit der Haftung für sie entkommen.

Der Gedanke reicht weit zurück: "Schon das Reichsgericht hat ein System gefordert, mit dem Informationen zum Risikoverhalten der Angestellten dokumentiert und an den Vorstand als Entscheidungsträger weitergeleitet werden", sagt Rack. Seinerzeit, also 1911, hatte das Reichsgericht über den sog. Kutscher-Fall (RG Urt. v. 14.12.1911, Az. VI 75/11) zu urteilen und entschieden, der Vorstand des betroffenen Unternehmens  könne sich nicht auf Unwissenheit berufen. Vielmehr müssen er ein Informationssystem unterhalten und sich Informationen beschaffen.

Jüngere Haftungsfälle von großen Unternehmen

Aktualität hat diese Rechtsprechung u.a. in dem sogenannten Neubürger-Urteil erhalten (LG München, Urt. v. 10.12.2013, Az.  5 HK O 1387/10). Der frühere Siemens-Finanzchef, der sich Anfang 2015 das Leben genommen hatte, war im Vorjahr zur Zahlung von 15 Millionen Euro Schadensersatz verurteilt worden, "weil er es unterlassen hatte, ein effizientes Compliance-System zu unterhalten", so Rack. In der Folge hatte er sich mit Siemens auf 2,5 Millionen Euro geeinigt. Vorgeworfen worden war ihm, dass er das Schmiergeldsystem des Unternehmens durch mangelnde Kontrollen – also durch Unterlassen - unterstützt habe.

Rack will schon vor einem solchen Compliance-Verstoß ansetzen: "Wenn Kanzleien zur Aufklärung von Pflichtverstöße antreten, fragen sie, wer was gewusst hat", sagt der Frankfurter Anwalt. "Wir fragen: Wer hätte was wissen müssen? Und als Anwälte haften wir sogar, wenn in dieser Hinsicht bei der Compliance-Beratung etwas schief laufen würde." Bei Rack läuft dieses Angebot als Rechtsberatung - inklusive der berufsimmanenten gesetzlichen Pflicht der Anwaltshaftung. Damit sei er einmalig im Markt Es gebe andere Anbieter, die kämen allerdings aus der IT- und nicht aus der Anwaltsbranche, erklärt Rack. Tatsächlich gibt es etwa Entropy von der BSI Group, Enablon, GFI, CompliantPro™ der Siemens-Tochter IBS, Lösungen von SAP, oder die Compliance Management Software von Otris. Und massenhaft weitere Anbieter, die sich speziell auf HR-Themen spezialisiert haben.

Da muss doch mehr sein. Wenn eine vergleichsweise kleine Frankfurter Kanzlei sich so ein System ausdenkt, müssten doch Player wie CMS Hasche Sigle, Freshfields Bruckhaus Deringer oder Baker & McKenzie selbst schon längst auf die Idee gekommen sein, so etwas anzubieten? Insbesondere, da ihnen nicht nur ganz andere interne Strukturen zur Verfügung stehen, sondern Mandanten wie Siemens, VW, Deutsche Bank und Co. ein derartiges System gut gebrauchen könnten – und daher vermutlich auch nachfragen.

Zitiervorschlag

Tanja Podolski, Compliance-IT für Unternehmen: Eine Frage der Haftung . In: Legal Tribune Online, 08.01.2016 , https://www.lto.de/persistent/a_id/18072/ (abgerufen am: 31.01.2023 )

Infos zum Zitiervorschlag