Auf der Hut vor Compliance-Verstößen – mit präventiven Audits

Hartwig Laute, Geschäftsführer von Recommind

Präventive Audits dienen einer besseren Transparenz in Unternehmen. Sie ermöglichen die Früherkennung von Verstößen gegen Compliance-Richtlinien und versetzen Geschäftsführung und Vorstände in die Lage, Risikorechtsbereiche zu überwachen. Die Schäden, die etwa durch illegale Preisabsprachen entstehen können, sind enorm. Allein im Jahr 2012 hat das Bundeskartellamt insgesamt über 250 Millionen Euro an Bußgeldern wegen Preisabsprachen verhängt. Solche Bußgelder können gerade für mittelständische Unternehmen existenzbedrohend sein, betragen sie doch bis zu 10 Prozent des weltweiten Unternehmensumsatzes oder bis zu 30 Prozent des Umsatzes mit einem von der Absprache betroffenen Produkt multipliziert mit den Jahren der Kartellteilnahme. Imageverlust, Prozesskosten und die Kosten für die in den Verfahren gebundenen Ressourcen tun obendrein das ihre. Verständlich, dass laut einer aktuellen Studie von KPMG 84 Prozent der befragten börsennotierten und 72 Prozent der mittelständischen Unternehmen den Thema Compliance große Bedeutung zuschreiben.

Die Einführung eines Compliance-Programms allein schützt jedoch noch kein Unternehmen vor Strafe, wenn Verstöße einzelner Mitarbeiter oder ganzer Teams zu Ermittlungen führen. Nur ein wirksames Zusammenspiel von Compliance-Risikomanagement, einer entsprechenden Compliance-Programmentwicklung und regelmäßiger Überwachung der geschaffenen Prozesse ergibt ein erfolgreiches Compliance-Management-System. Da ist es erschreckend, dass nach Erkenntnissen von KPMG nur 74 Prozent der befragten Unternehmen tatsächlich präventive Kontrollen durchführen – im Mittelstand sogar nur 45 Prozent. Dabei schützen präventive Audits nicht nur vor finanziellem und Imageschaden, sie sind für Aufsichtsorgane sogar Pflicht.

Kartellrecht, Korruptionsbekämpfung und Datenschutz sind die drei prominentesten Bereiche, in denen präventive Audits zum Tragen kommen. Wo Kontrolle ausgeübt wird, ist aber auch mit Widerständen zu rechnen: Kein Mitarbeiter sieht sich gerne unter Generalverdacht und die Sorge vor Einsicht in vertrauliche Daten kann in den betroffenen Abteilungen für Verweigerungshaltung sorgen. Transparenz ist das Zauberwort. Bei der Durchführung der nötigen Kontrollmaßnahmen gilt sie als Schlüssel für ein optimales Compliance-Management und fördert die Kooperationsbereitschaft der Mitarbeiter. Werden ein paar wesentliche Empfehlungen beachtet, lässt sich die Revision für alle Beteiligten angenehmer gestalten und die Effizienz der Maßnahme deutlich erhöhen. Durch eine größtmögliche Teilhabe der zu prüfenden Abteilungen und Angestellten kann die Akzeptanz und die bereitwillige Mitarbeit deutlich erhöht werden:

Audits sind Teil des unternehmerischen Optimierungsprozesses

Gerade bei Konzernen ist es eine Überlegung wert, Audits dezentral durchzuführen statt sie „von Oben herab“ aus der Zentrale zu steuern. Mit Beauftragten aus den einzelnen Niederlassungen und Berücksichtigung spezieller Gegebenheiten vor Ort ist die Akzeptanz der lokalen Teams schneller erzielt. Audits werden so zu Prozessen, die von allen Beteiligten mitgetragen werden, und erscheinen nicht als aufoktroyierte Pflichtveranstaltung. Außerdem wird der Eindruck vermieden, einzelne Niederlassungen stünden unter einem spezifischen Verdacht.

Eine wichtige Vorreiterrolle kommt jedoch in jedem Fall der Geschäftsleitung zu, wenn es darum geht, die Ernsthaftigkeit der anstehenden Untersuchung zu unterstreichen. Nur wenn die Führungsebene deutlich macht, dass Audits für den Schutz von Unternehmen und Mitarbeitern unerlässlich sind, erhält die Maßnahme den nötigen Nachdruck. Ein Audit ist keine Razzia, in dem es um die Suche nach dem schwarzen Schaf geht. Sie ist vielmehr Teil eines kontinuierlichen Optimierungsprozesses zum Wohle aller: Fehlentwicklungen in Unternehmensabläufen können rechtzeitig erkannt und korrigiert werden.

Angst ist zwar ein schlechter Ratgeber, aber es ist dennoch wichtig, Mitarbeitern auch die Konsequenzen von Compliance-Verstößen klar aufzuzeigen – auch für sie persönlich. Neben Transparenz und Fingerspitzengefühl kann es heilsam sein, anhand abschreckender Beispiele die Dramatik des Themas zu unterstreichen: vom möglichen Jobverlust bis zu persönlicher Haftung.

Datenschutz durch IT-gestützte Anonymisierung gewährleistet

Ziel von Audits ist nicht, Schwächen einzelner Mitarbeiter zu entlarven, sondern präventiv – selbst noch so unbeabsichtigte – Compliance-Verstöße zu erkennen und entsprechend zu handeln. Mitarbeiter brauchen daher das sichere Gefühl, dass ihre Rechte gewahrt werden. Der Datenschutz darf in keinem Fall ignoriert werden, denn das wäre zudem mit erheblichen Rechtsfolgen verbunden. Datenschutzbeauftragte und – wo vorhanden – der Betriebsrat sollten daher bereits in der Planungsphase eines Audits eingeschaltet werden, damit sichergestellt wird, dass die Maßnahme datenschutzrechtlich konform ist: Selbst wenn zum Beispiel die Nutzung der geschäftlichen E-Mail für private Zwecke verboten ist, können Nachrichten dennoch vertrauliche Informationen wie als privat zu betrachtende Kommentare unter Kollegen oder den Austausch mit dem Betriebsarzt oder der Personalabteilung enthalten. Sie sind ohne Zustimmung der betroffenen Gesprächspartner nicht für die Augen Dritter bestimmt.

Es ist daher wichtig, dass bei der präventiven Einsicht in E-Mail-Fächer die Einwilligung der Mitarbeiter – zum Beispiel eben über den Betriebsrat – eingeholt wird. Eine Objektivierung von Informationen, etwa durch die Nutzung einer speziellen Review-Software wie Axcelerate Review & Analysis, schafft durch die automatisierte Anonymisierung und Pseudonymisierung personenbezogener Daten zusätzliche Sicherheit und Vertrauen.

Trainingsmaßnahmen zur Einhaltung der Compliance

Oft wurzeln Compliance-Verstöße auch auf blankem Nichtwissen, etwa wenn Mitarbeitern die Schwelle von „eher erlaubten“ zu „eher verbotenen“ bis hin zu definitiv unzulässigen Absprachen nicht klar ersichtlich ist. In vermeintlich inoffizieller Atmosphäre auf Branchenveranstaltung ist dann leicht ein falsches Wort gewechselt und unbeabsichtigt eine Grenze überschritten. Regelmäßige Trainingsmaßnahmen für Mitarbeiter helfen, einen unternehmensweiten Verhaltenskodex zu etablieren, und erhöhen die Fähigkeit der Mitarbeiter, grenzwertiges oder -überschreitendes Verhalten bei sich und anderen zu erkennen: eine weitere Sicherungsebene entsteht.

Trainingseinheiten lassen sich gut in Revisionen integrieren und können von Compliance-Verantwortlichen im Unternehmen oder von unabhängigen Dritten geleitet werden. Und die Einbeziehung externer Experten bietet sich nicht nur zu Schulungszwecken an: Neutrale, externe Prüfer können auch mit der Durchführung ganzer Audits beauftragt werden – mit entlastendem Erfolg für das Betriebsklima, da sich so interne Missstimmungen zwischen Prüfern und Geprüften vermeiden lassen.

Präventive Kontrollen im Einklang mit dem Datenschutz

Axcelerate Review & Analysis ist eine E-Discovery-Lösung, mit der Unternehmensjuristen und externe Rechtsanwälte große Mengen an Unternehmensdaten effizient und höchst präzise selektieren und sichten können. Typischen Einsatzszenarien sind etwa Review-Prozesse, etwa im Rahmen von Kartellrechtsverfahren, oder präventive Compliance-Überprüfungen. In Situationen, in denen bereits offizielle Ermittlungen laufen, ist das fallbezogene Durchsuchen der unternehmensinternen E-Mail-Postfächer unproblematisch. Nicht aber, wenn es sich um rein präventive Maßnahmen handelt. Wer ohne begründeten Anfangsverdacht die E-Mail-Korrespondenz seiner Mitarbeiter einsieht, gerät aufgrund verschiedenster datenschutzrechtlicher Vorgaben leicht mit dem Gesetz in Konflikt und macht sich am Ende selbst strafbar. Durch Anonymisierung oder Pseudonymisierung personenbezogener Informationen lassen sich Datenbestände jedoch so aufbereiten, dass E-Mail-Korrespondenzen auch präventiv überprüft werden können, um zum Beispiel einen unspezifischen Anfangsverdacht zu begründen oder Verfehlungen zu erkennen, ehe ein größerer Schaden entsteht:

Bei der Anonymisierung werden personenbezogene Daten, die die Identität der betreffenden Gesprächspartner preisgeben könnten, wie bei einem zensierten Dokument geschwärzt. Der Prüfer kann alle nötigen Dokumente durchsehen und bei Aufkommen oder Erhärtung eines Verdachtsmoments die nötigen Schritte einleiten – und dann natürlich auch rechtmäßig die Identität des Mitarbeiters offenlegen. Ergibt sich kein Verdachtsmoment, kann der Vorgang geschlossen werden und es herrscht Klarheit, ohne dass Datenschutzbestimmungen verletzt wurden.

Bei der Pseudonymisierung werden die Namen der Korrespondenzpartner durch Nummern ersetzt. Im Gegensatz zur simplen Schwärzung aller Namen können so Kommunikationsmuster und Diskussionsstränge zwischen einzelnen Personen, zum Beispiel zwischen person-1, person-2 oder UNKONWN PERSON, erkannt werden, deren Identität wird aber nur im begründeten Verdachtsfall offengelegt.

www.recommind.de

Hartwig Laute, Geschäftsführer Recommind. Recommind ist einer der weltweit führenden Anbieter von E-Discovery-Lösungen, E-Mail-Management-Systemen und intelligenter Suchmaschinentechnologie. Neben Behörden und Großkanzleien setzen Medien- und Pharmaunternehmen, Automobilkonzerne und -zulieferer, Versicherungsgesellschaften und Forschungsinstitute Produkte von Recommind ein. Recomminds E-Discovery-Lösungen werden besonders in kartellrechtlichen Untersuchungen sowie internen Revisionen und Analysen genutzt.