Ergeben sich im Unternehmen Hinweise auf Verstöße gegen die Compliance, muss die Geschäftsleitung diesen nachgehen; hilfreich ist es dabei, wenn eine Compliance-Rechtsschutz-Police greift. Denn stehen Verstöße gegen Recht und interne Richtlinien im Raum, werden zur Aufklärung oftmals interne Untersuchungen angestoßen. Für die Unternehmen ist dies eine kostspielige Angelegenheit. Eine Compliance-Rechtsschutz-Police trägt neuerdings dazu bei, mittelständische Unternehmen zu entlasten.
Bedeutung von Compliance für den Mittelstand
Die Geschäftsführung muss dafür sorgen, dass die gesetzlichen Bestimmungen und internen Richtlinien im Unternehmen eingehalten werden. Das umfasst auch die Pflicht, ein Compliance-Management-System (CMS) einzuführen. Erforderlich sind dazu angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen. Nach der Rechtsprechung des Bundesgerichtshofs (Urteil vom 9.5.2017 – 1 StR 265/16) kommt es vor allem darauf an, inwieweit das Unternehmen der Verpflichtung nachkommt, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden. Und ob es ein effizientes CMS installiert hat.
Compliance-Risiken können je nach Branche eine Vielzahl von Bereichen betreffen, zum Beispiel Anti-Korruption, Kartellrecht oder Datenschutz. Bei Compliance-Verstößen drohen den Unternehmen hohe Geldbußen. Ein Beispiel: Im Jahr 2020 wurden 301 Bußgelder wegen Datenschutzverstößen verhängt, im Vorjahr waren es noch 187. Die Summe der DSGVO-Bußgelder im Jahr 2020 belief sich auf rund 48 Millionen Euro, wobei die einzelnen Bußgelder in der Regel im drei- bis fünfstelligen Bereich lagen. Häufig waren kleine und mittlere Unternehmen (KMU) betroffen.
Strafverfolgungsbehörden und Gerichte können Compliance-Maßnahmen bußgeldmindernd berücksichtigen. Ein berühmtes Zitat des amerikanischen Compliance-Experten Paul McNulty unterstreicht die Bedeutung eines effektiven CMS: „If you think compliance is expensive, try non-compliance!“ Unternehmensinterne Compliance-Untersuchungen spielen damit letztlich eine zentrale Rolle, wenn es darum geht, hohe Bußgelder zu vermeiden.
Compliance-Untersuchungen verursachen hohe Kosten für Unternehmen
Die Geschäftsleitung ist verpflichtet, eine interne Untersuchung durchzuführen, wenn ein begründeter Verdacht auf Compliance-Verstöße besteht. Die Verdachtsschwelle hängt von der Plausibilität und Authentizität der Hinweise ab. Meist stehen interne Untersuchungen im Zusammenhang mit drohenden oder bereits eingeleiteten behördlichen Ermittlungen gegen das Unternehmen oder gegen Betriebsangehörige.
Mit der internen Untersuchung werden in der Regel Wirtschaftsprüfer oder Rechtsanwälte als externe Ermittler beauftragt. Je nach Ermittlungsaufwand können die Kosten für Unternehmen sehr belastend sein, denn die Berater werden marktüblich nach Stundensätzen von bis zu 500 Euro vergütet.
Das oberste Ziel einer internen Untersuchung ist die umfassende Aufklärung des Sachverhalts. Gegenstand der „Internal Investigations“ sind insbesondere: Durchführung von informativen Interviews, Sammlung von Originalbelegen, Identifikation sachverhaltsrelevanter digitaler Daten, forensische Sicherung von Datenträgern und Hintergrundrecherchen.
Die Informationsgewinnung im Rahmen der internen Ermittlung muss geltendem Recht folgen, um Beweiserhebungs- und Beweisverwertungsverbote im Strafverfahren zu vermeiden. Besondere Bedeutung erhalten in diesem Zusammenhang die datenschutzrechtlichen Vorschriften aus der DSGVO und dem BDSG. Im Rahmen der Informationsauswertung kommt es besonders an auf eine detaillierte Analyse des Beweismaterials, die forensische Auswertung von Daten/KI-basierte Analysen, den Informationsabgleich und die Untersuchung von Widersprüchen. Von tragender Bedeutung sind außerdem: eine gerichtsfeste schriftliche Berichterstattung, die visuelle Aufarbeitung, gegebenenfalls die Abstimmung mit den Behörden, die Präsentation der Ergebnisse sowie Empfehlungen und die Einleitung von Maßnahmen
Die Praxisrelevanz von internen Untersuchungen wird ab Dezember 2021 durch die Umsetzung der EU-Whistleblower-Richtlinie in deutsches Recht (Hinweisgeberschutzgesetz) weiter zunehmen. Alle Unternehmen mit mehr als 50 Beschäftigten werden dann verpflichtet, zuverlässige Meldekanäle einzurichten. Zu den eingehenden Hinweisen müssen Folgemaßnahmen ergriffen werden, insbesondere die Prüfung der Stichhaltigkeit der Behauptungen und gegebenenfalls interne Nachforschungen und Ermittlungen.
Compliance-Rechtsschutz-Police
Während sich Unternehmen schon bisher gegen Prozessrisiken und Manager sich gegen persönliche Haftungsrisiken versichern konnten, war die Compliance bislang ein weißer Fleck auf der Versicherungslandkarte. Neuerdings bietet der Versicherungsmarkt eine Compliance-Kosten-Versicherung zur unmittelbaren Deckung der anfallenden Kosten interner Untersuchungen an. Die Police wurde von dem Düsseldorfer Maklerhaus Hendricks GmbH mit der Roland Rechtsschutz-Versicherungs-AG als Risikoträger entwickelt.
Zielgruppe sind mittelständische Unternehmen. Versicherungssummen bis zu 500.000 Euro werden für Unternehmen mit einer maximalen Betriebsgröße von 1.000 Mitarbeitern angeboten. Erfahrungsgemäß ist die Deckungssumme für die Kosten von Compliance-Untersuchungen im Mittelstand ausreichend.
Bei der Beantragung des Versicherungsschutzes sind neben Branche und Betriebsgröße ein bestehendes Compliance-System und mögliche Strafverfahren in der Vergangenheit anzugeben. Der sachliche Geltungsbereich der Versicherung ist auf drei Compliance-Bereiche begrenzt:
- Wettbewerbs-Compliance (insbesondere im Zusammenhang mit Verstößen gegen wettbewerbsrechtliche Kernbeschränkungen, dem Missbrauch einer marktbeherrschenden Stellung oder weiteren den Wettbewerb beschränkenden Geschäftsaktivitäten),
- IT-Compliance (insbesondere in den Bereichen Datenschutz, Datenaufbewahrung, Informationssicherheit oder IT-Verfügbarkeit) und
- Anti-Korruptions-Compliance.
Der Versicherungsfall tritt dann ein, wenn das Leitungs- und/oder Aufsichtsorgan des versicherten Unternehmens aufgrund berechtigter Verdachtsmomente eines innerhalb des versicherten Zeitraums gelegenen Compliance-Verstoßes den Beschluss zur Einleitung einer Compliance-Untersuchung fasst. Berechtigte Verdachtsmomente liegen dann vor, wenn das Leitungs- oder Aufsichtsorgan möglichst viele zuverlässige Erkenntnisquellen herangezogen und sorgfältig abgewogen hat und sich eine Handlungspflicht aufträgt, sich Klarheit zu verschaffen.
Versichert sind sämtliche Honorare für sachdienliche und angemessene Tätigkeiten der mit der Durchführung der internen Untersuchung mandatierten externen Ermittler.
