Compliance

Anmerkungen

[1]

Wozu die Mitarbeiter durch eine bestehende Whistleblowing Policy i.d.R. auch aufgefordert werden.

[2]

Zum Risikomanagement Hauschka/Moosmayer/Lösler/Glage/Grötzner § 14 Rn. 20 ff.

[3]

S. hierzu Roth S. 47.

[4]

Hauschka/Moosmayer/Lösler/Bürkle § 36 Rn. 33.

[5]

Vgl. Schettgen/Marimon Compliance Officer, 2013, S. 298

[6]

In vielen Unternehmen wird es sehr gerne gesehen, wenn der Compliance-Beauftragte einen beruflichen Hintergrund als Jurist hat. Oft wird der Compliance-Beauftragte aus der bestehenden Rechtsabteilung rekrutiert, da dies als der sicherste Weg betrachtet wird, die neu zu schaffende Compliance-Funktion zuverlässig auszufüllen. Alternativ werden für diese Position von einigen Großunternehmen auch gerne Rechtsanwälte eingestellt, die sowohl einen guten gesellschaftsrechtlichen Hintergrund als auch entsprechende Compliance-Vorbildung haben.

[7]

Je höher der Compliance Officer in der Hierarchie des Unternehmens angesiedelt ist, desto selbstverständlicher wird seine Einbeziehung in wesentliche Unternehmensvorgänge sein.

[8]

Gerne wird von der Unternehmensleitung Vertraulichkeit als Argument gegen eine frühzeitige Einbindung von Compliance in bedeutsame unternehmerische Prozesse angeführt. vielmehr sollte der Compliance-Verantwortliche, der ohnehin einer umfassenden Geheimhaltungsverpflichtung unterliegt, vollumfänglich in sämtliche entscheidenden Prozesse und Planungen der Unternehmensleitung einbezogen werden.

[9]

Hierzu auch Roth S. 65 ff.

[10]

Dies scheint selbstverständlich, ist aber in manchem Unternehmen aufgrund seit Jahrzehnten bestehender Silo-Mentalität alles andere als verbreitet.

[11]

Manche Unternehmen sind in den letzten Jahren ohnehin dazu übergegangen, den Kontrollcharakter von Compliance stärker in den Fokus zu rücken („Assurance“).

[12]

Dies ist nach wie vor die feste Überzeugung der Autorin, auch wenn in einigen Unternehmen die Compliance-Abteilung als reine „Assurance“-Funktion mit Überwachungs- und Kontrollfunktionen ausgestaltet ist und jegliche Compliance-Beratung von der Rechtsabteilung übernommen werden muss.

[13]

Vgl. hierzu auch Buff Rn. 614.

[14]

Allerdings sollte die Compliance-Abteilung ebenso wie die Rechtsabteilung die Abgabe von Erklärungen nach außen i.d.R. den operativen Einheiten bzw. der Geschäftsführung überlassen, wenn nicht die Umstände dafür sprechen, dass ein Jurist oder der Compliance Officer explizit nach außen auftreten oder im Auslandsverkehr Schriftstücke vom „legal counsel“ oder „company secretary“ zu unterzeichnen sind.

3. Kapitel Compliance-Organisation in der Praxis › A. Compliance-Programm und praktische Umsetzung › IV. Instrumente eines Compliance-Programmes

IV. Instrumente eines Compliance-Programmes

1. Risk Assessment als Standortbestimmung auf der Risikolandkarte

35

Die Feststellung, in welchen Bereichen des Unternehmens besondere Risiken bestehen oder zu erwarten sind, also die Definition der Risikobereiche, zum Teil auch Risk Assessment genannt, bildet die Grundlagen für ein maßgeschneidertes und damit effizientes Compliance-Programm des Unternehmens.

36

Diese zu identifizierenden Compliance-Risiken können sich je nach Standort und Fachbereich massiv voneinander unterscheiden, da sie von den rechtlichen Gegebenheiten in einzelnen Ländern ebenso abhängen wie von den relevanten Geschäftsschwerpunkten des Unternehmens. So kann z.B. die Einführung eines neuen Kartellrechtsgesetzes in Spanien dazu führen, dass der länderverantwortliche Compliance Officer das Kartellrecht aufgrund bestehender geschäftlicher Praktiken als künftigen Risikoschwerpunkt identifiziert, wogegen bspw. die Einführung eines neuen unternehmensinternen Datenverarbeitungssystems andere Compliance-Verantwortliche dazu veranlassen wird, den Bereich Datenschutz als Compliance-Risiko zu benennen. Auch die Entwicklung neuer Geschäftsmodelle oder innovativer Produkte kann zur Identifizierung eines neuen Compliance-Risikos führen.

37

Für die realistische Bewertung und Einschätzung eines Compliance-Risikos empfiehlt sich zudem die intensive Zusammenarbeit mit den jeweiligen Geschäftsbereichen und dem Risiko-Management. Besteht im Unternehmen noch keine (funktionierende) Compliance-Abteilung, kann die Aufgabe der Identifizierung der Risiken auch gut zum Anlass genommen werden, diese, der Bewertung der Risiken entsprechend, aufzubauen.

38

Die Identifizierung von Compliance-Risiken ist kein Selbstzweck, sondern soll möglichst zügig dazu führen, dass bestehende Lücken im ggf. bereits bestehenden Compliance-Programm geschlossen werden bzw. ein für das Unternehmen sinnvolles Compliance-Programm überhaupt erst ins Leben gerufen wird.

39

Die Definition der lokalen und fachlichen Risikobereiche ist keine einmalige Angelegenheit, sondern sollte regelmäßig, z.B. zweimal jährlich, bei Bedarf auch häufiger, durchgeführt werden. Es empfiehlt sich, einen Fragebogen zu entwerfen, in dem konkret nach den Schlüsselrisiken, geordnet nach Dringlichkeit, den für das Risiko verantwortlichen Personen oder Abteilungen im Unternehmen und einer detaillierten Risikobewertung gefragt wird (Wie schätzen Sie die Schwere und die Häufigkeit des Risikos ein?). Darüber hinaus sollten auch mögliche Reputationsrisiken sowie bestehende oder zu schaffende Kontrollmöglichkeiten sowie konkrete Vorschläge zur Risikobekämpfung abgefragt werden.

40

Die identifizierten Risiken sind sodann einer Bestandsaufnahme und einer Auswertung nach Höhe und Bedeutung für das Unternehmen zu unterziehen. Auch für diesen Arbeitsschritt sollte die Compliance-Abteilung die Unterstützung des Risikomanagements bekommen: Risikobewertungsprozesse müssen in der Regel nicht neu erfunden werden; das entsprechende Know-how ist in den meisten Unternehmen bereits in der ein oder anderen Form vorhanden.

41

Sobald die für das Unternehmen „bedeutsamen“ Risiken herausgefiltert wurden, stellt sich die Frage, wie diese Risiken zu bekämpfen bzw. zu kontrollieren sind. Hierfür bedarf es eines Planungsprozesses, in dem für jedes identifizierte Risiko ein „Schlachtplan“ festgelegt wird, anhand dessen der Umgang mit diesem Risiko bestimmt wird. In diesem Planungsprozess ist insbesondere zu berücksichtigen, dass nicht jedes Risiko vollständig bekämpft werden kann, weshalb ggf. eine „Risikotoleranzebene“ definiert werden sollte.

Stellt sich im Rahmen der Bestandsaufnahme und der Auswertung möglicher Compliance-Risiken im Unternehmen heraus, welche Hauptrisiken für das Unternehmen bestehen (z.B. Kartellrecht, Korruption, Datenschutz, Vertrieb etc.), sollten diese in den für das anstehende Geschäftsjahr durchzulaufenden Compliance-Plan integriert werden.

2. Verhaltenskodices und Richtlinienwesen

42

Ein für alle Mitarbeiter und Dienstleister des Unternehmens verbindlicher Verhaltenskodex mit definierten Ethikrichtlinien ist die Grundlage jeglicher Compliance-Struktur und bildet das Herzstück des Compliance-Programms. Der Code of Conduct sollte der Grundstein beim Aufbau eines Compliance-Programms sein. Alle wesentlichen Bestandteile der im Unternehmen angestrebten Compliance-Kultur und den dazugehörigen Maßnahmen sollten sich im Verhaltenskodex wiederfinden oder dort zumindest in Ansätzen skizziert sein. Dies ist deshalb von großer Bedeutung, weil es erfahrungsgemäß im Nachhinein schwierig ist, Compliance-Maßnahmen festzulegen oder entsprechende Einzelrichtlinien im Unternehmen durchzusetzen. Sobald jedoch Themenkreise bereits im Verhaltenskodex verankert sind und die Mitarbeiter hierüber entsprechend geschult werden, ist die Akzeptanz, sich gem. dem Code zu verhalten, wesentlich größer als bei punktuellen Nachbesserung zu einem späteren Zeitpunkt.

43

Der Verhaltenskodex ist in regelmäßigen Abständen auf den neuesten Stand zu bringen und den veränderten rechtlichen und tatsächlichen Gegebenheiten anzupassen. Sowohl die erstmalige Einführung eines Code of Conduct als auch die regelmäßige Überarbeitung sollten vom Vorstand genehmigt und auch im Namen des Vorstands im Unternehmen kommuniziert werden.

44

In erster Linie dient der Verhaltenskodex dazu, den Mitarbeitern bei ihrer täglichen Arbeit unterstützende Orientierungshilfe zu sein. Wie schon eingangs erwähnt, muss der Code of Conduct für jeden Mitarbeiter verbindlich sein und gilt sowohl im geschäftlichen Umfeld als auch im Umgang mit der Öffentlichkeit sowie mit staatlichen Institutionen. Die Regeln des Verhaltenskodex haben auch dann Gültigkeit, wenn in einzelnen Ländern oder Regionen das geltende Recht und die lokalen Gepflogenheiten dahinter zurückbleiben. Sollten in bestimmten Ländern oder Regionen rechtliche Regelungen oder lokale Gepflogenheiten die Anforderungen des Code of Conduct übersteigen, so sollte das Unternehmen den allgemein verbindlichen Kodex entsprechend anpassen.[1]

45

Der Mindestinhalt eines Code of Conduct hängt stark von der jeweiligen Branche und den bestehenden und zukünftigen Geschäftsbeziehungen ab.[2] Grundgedanke für die Erarbeitung eines sinnvollen und praktikablen Verhaltenskodex muss das Ziel sein, das Unternehmen, die Mitarbeiter sowie die Geschäftspartner vor Schaden zu bewahren, der durch Nichtbeachtung von gesetzlichen Vorschriften sowie von ethischen und moralischen Regeln als auch durch Intransparenz von bestimmten Geschäften entsteht.[3] Üblicherweise sind davon u.a. folgende Themenkreise[4] betroffen:

46

Darüber hinaus ist im Verhaltenskodex klar zu definieren, dass der Compliance-Verantwortliche für die Umsetzung der Compliance-Regeln verantwortlich ist und allen Mitarbeitern als Ansprechpartner bei Fragen und Problemen in Sachen Compliance zur Verfügung steht. Hervorzuheben ist, dass der Compliance Officer zur absoluten Verschwiegenheit verpflichtet ist und dass dem Mitarbeiter keinerlei Nachteile entstehen dürfen, wenn er sich dem Compliance-Verantwortlichen anvertraut. Für den Mitarbeiter muss klar verständlich sein, dass es die Aufgabe des Compliance-Verantwortlichen ist, alle eingehenden Hinweise ernst zu nehmen, diese zu protokollieren und ihnen mit der gebotenen Sorgfalt nachzugehen.

47

Des Weiteren ist im Verhaltenskodex die Informations- und Kontrollpflicht der Vorgesetzten zu erwähnen (sog. „First Line of Defense“). Die Vorgesetzten haben dafür Sorge zu tragen und darüber zu wachen, dass ihre Mitarbeiter über den Inhalt des Code of Conduct informiert sind und diesen verstanden haben.

48

Der Code of Conduct ist allen Mitarbeitern des Unternehmens entweder in Papierform auszuhändigen oder elektronisch[5] zugänglich zu machen. Auch Mitarbeiter in entlegenen Niederlassungen oder in Tätigkeiten, die außerhalb des Kernbereichs des Unternehmens liegen, sind mit dem Verhaltenskodex vertraut zu machen.

49

Der Code of Conduct sollte aus sich heraus verständlich sein. Insbesondere muss dem Mitarbeiter klar und deutlich vor Augen geführt werden, dass sich aus den Regularien des Verhaltenskodex tatsächliche und rechtliche Verpflichtungen für ihn selbst ergeben, die einzuhalten sind. Verstöße gegen die Verpflichtungen des Code of Conduct werden arbeitsrechtlich (disziplinarisch) sanktioniert und/oder haben zivilrechtliche oder gar strafrechtliche Konsequenzen für den Mitarbeiter.

50

In der Zwischenzeit gibt es eine Vielzahl von Verhaltenskodizes verschiedener Unternehmen, die in der Regel auf den Webseiten öffentlich zugänglich sind und als Anregung für den Entwurf eines eigenen Code of Conduct dienen können.

51

Ein Patentrezept für die Abfassung eines unternehmensinternen Verhaltenskodex kann sicherlich nicht gegeben werden. Generell zu empfehlen ist jedoch, den Code of Conduct so klar und deutlich wie nur möglich abzufassen, um jegliche Verständnisschwierigkeiten im Bereich Compliance von Anfang an zu vermeiden. Dazu gehört bspw. auch eine klare Definition des Begriffs „Compliance“, falls der Code in einer anderen Sprache als in Englisch verfasst ist. Die Vorschriften des Code of Compliance sollen den Mitarbeiter anleiten, nicht verwirren! Auch sollte der Kodex nicht zu umfangreich sein; ein allzu langes Kompendium wird ungern zur Kenntnis genommen.[6]

52

Um den Code of Conduct so verständlich wie möglich zu halten und um dem Grundsatz treu zu bleiben, dass dieser für alle Mitarbeiter gleichermaßen gelten soll, sind zusätzliche Compliance-Richtlinien und Policies unumgänglich. Zusätzliche, neben dem Verhaltenskodex geltende Richtlinien, können bspw. nur für bestimmte Mitarbeitergruppen in bestimmten Arbeitsbereichen Geltung haben, da eben nur diese Mitarbeiter mit gewissen Risikobereichen zu tun haben. Darüber hinaus können zusätzliche Richtlinien aber auch Ergänzungen sein zu im Verhaltenskodex bereits genannten Grundsätzen, Detailinformationen enthalten und Hintergrunderklärungen geben, die im Code of Conduct wegen des Anspruchs auf Einfachheit und Klarheit nicht immer beinhaltet sein können.

53

Zusätzliche Richtlinien sollten nach Bedarf und nicht inflationär geschaffen werden. Stellt sich bei der regelmäßig durchzuführenden Risikoanalyse heraus, dass verstärktes Augenmerk auf ein neues Risikofeld, bspw. auf den Bereich Dokumentenmanagement, gelegt werden sollte, kann diese Risikoidentifikation in einer zusätzlichen Policy widergespiegelt werden, ohne den bewährten Code of Conduct jedes Mal anpassen zu müssen.[7]

54

Ferner sollte ein Unternehmen über eine Richtlinie verfügen, wie im Falle von Hausdurchsuchungen zu verfahren ist. Denn ein Unternehmen sollte auf (unangemeldete) behördliche Untersuchungen („Dawn Raids“) stets vorbereitet sein. Deshalb sollte mindestens für diese Situationen ein Unternehmensleitfaden zur Verfügung stehen, der den ggf. von derartigen behördlichen Untersuchungen betroffenen Mitarbeitern klare Verhaltensrichtlinien an die Hand gibt. Selbst wenn dem Unternehmen keinerlei Fehlverhalten anzulasten ist, wenn also die behördliche Untersuchung am Ende ergebnislos verlaufen ist, sollte sich in diesen Fällen auch jeglicher Reputationsverlust durch unangemessenes Auftreten oder Verhalten Einzelner vermeiden lassen.

3. Kommunikation

3.1 Internet, Intranet

55

Verhaltenskodex, zusätzliche Compliance-Richtlinien und sämtliche weiteren Zusatzinformationen rund um das Thema Compliance sollten sich komprimiert auf einer eigenen Compliance-Intranetseite finden. Diese Seite sollte klar aufgebaut und einfach zu navigieren sein. Alle Ansprechpartner wie der Group Compliance Officer und seine lokalen Vertreter sowie Spezialisten für bestimmte Gebiete sollten auf der Website mit Kontaktdaten verzeichnet sein. Auch hier gilt die Binsenweisheit, dass die Intranet-Seite zum Besuch und Weiterlesen anregen und nicht in der allgemeinen Informationsflut des Unternehmens untergehen soll.

56

Deshalb sollte mit allen zur Verfügung stehenden Medien gearbeitet werden, um die Seite anregend und interessant zu gestalten. Auch das Mission Statement bzw. die Verpflichtung der Führungsebene zu Compliance soll auf dieser Seite klar zum Ausdruck kommen. Die Seite kann z.B. mit einem Begrüßungsvideo des Vorstands- oder Aufsichtsratsvorsitzenden über die große Bedeutung von Compliance eröffnet werden. Ausschnitte aus Medienmeldungen über Vorkommnisse aus dem Bereich Compliance lockern die doch meist trockenen Richtlinien und Informationen auf; kleine (tatsächliche oder fiktive) Geschichten können die spezifische Problematik eines Compliance-Themas besser verdeutlichen als so manch andere spröde Informationsquelle.

57

Die Compliance-Intranetseite ist die interne Visitenkarte der Compliance-Abteilung gegenüber den Mitarbeitern. Von der Gestaltung der Seite hängt es mit ab, ob und wie sehr die Belegschaft in die Sachkenntnis und die menschlich-sozialen Fähigkeiten der Compliance-Beauftragten Vertrauen hat. Wie auch beim Code of Conduct und sonstiger Kommunikation durch die Compliance-Abteilung wirkt es vertrauensbildend, wenn der Mitarbeiter direkt angesprochen wird („Sie haben Fragen oder möchten uns etwas mitteilen? Wir sind für Sie da!“).

58

Neben der für den internen Gebrauch bestimmten Intranetseite sollte die Thematik Compliance auch auf der öffentlichen Website des Unternehmens an prominenter Stelle zu finden sein. Dies ist für die Außenwirkung des Unternehmens von großer Bedeutung und trägt zur klaren Definition der Unternehmenskultur zugunsten von Aktionären, Kunden, den Medien und der sonstigen Außenwelt bei. Insbesondere sollten sich die Grundlagen der Compliance-Kultur, einschließlich des Verhaltenskodex (in Kurz- oder in Langfassung) auf der Website finden. Das „Herzstück des Wohlverhaltens“ darf durchaus nach außen kommuniziert werden; es gibt keinerlei Grund, dieses der Außenwelt vorzuenthalten, im Gegenteil. Die Compliance Website ist, gerade im globalen Konzern, ein wichtiges Aushängeschild, das internationalen Standards entsprechen und verständlich formuliert werden sollte. Die Botschaft des Unternehmens (z.B. Null-Toleranz-Politik) sollte klar und deutlich formuliert werden, so dass Missverständnisse gar nicht erst aufkommen.

3.2 Hinweisgebersystem („Whistleblowing Hotline“)

59

Erfahrungsgemäß sind es in der Regel zumeist die Mitarbeiter, die von Regelverstößen oder Fehlverhalten im Unternehmen oder im Umfeld des Unternehmens erfahren. Doch die Erfahrung zeigt auch, dass diese Regelverstöße oder ein Fehlverhalten oft unentdeckt bleiben, weil die Mitarbeiter Angst haben, ihr Anliegen offen zu äußern. Gerade in Kontinentaleuropa ist diese Zurückhaltung sehr ausgeprägt, sei es aus falsch verstandener Loyalität zum Unternehmen, zum Vorgesetzten oder zu Kollegen, sei es aus Sorge, nicht ernst genommen zu werden oder auch aus der schieren Angst vor Repressalien bis hin zum Verlust des Arbeitsplatzes.[8]

60

Umso bedeutsamer ist es, dass das Unternehmen klar herausstellt, jedes Fehlverhalten sehr ernst zu nehmen, und zwar unabhängig davon, von wem es begangen wird: Von Führungskräften, den Mitarbeitern, Kunden, Lieferanten, Auftragnehmern etc. Es ist eindeutig zu kommunizieren, welche schwerwiegenden Konsequenzen, bis hin zu strafrechtlichen Sanktionen, ein Fehlverhalten für das Unternehmen haben kann.

61

Zu empfehlen ist daher, soweit rechtlich zulässig, neben dem Verhaltenskodex Richtlinien für die Annahme und Prüfung von Mitarbeitermeldungen zu erstellen (sog. „Whistleblowing Guidelines“). Diese Richtlinien sollen die Mitarbeiter ermutigen, in redlicher Absicht jedes Fehlverhalten mündlich oder schriftlich zu melden, das ihnen im Rahmen ihrer Tätigkeit zur Kenntnis gelangt, sei es aus erster Hand oder aus einer Quelle, die für glaubwürdig gehalten werden darf. Exemplarisch sollte die Richtlinie die Mitarbeiter ermutigen, Folgendes zu melden:

62

Die Whistleblowing-Richtlinie sollte klarstellen, dass das Unternehmen eine Kultur der Offenheit, des Vertrauens und der Transparenz fördert und deshalb auf die Unterstützung der Mitarbeiter angewiesen ist, um unrechtmäßiges oder nicht integres Verhalten zu minimieren. Die Mitarbeiter sollten explizit ermutigt werden, offen mit ihren Vorgesetzten und/oder Compliance-Verantwortlichen zu sprechen, falls ihnen eine der oben genannten Verhaltensweisen bekannt wird. Im Rahmen der vom Unternehmen geförderten Offenheit und Transparenz sollte auch darauf hingewiesen werden, dass das Unternehmen es bevorzugt, wenn der „Whistleblower“ seine Identität offenlegt, es andererseits aber auch akzeptiert wird, wenn der Meldende anonym bleiben möchte.[9]

63

Die Möglichkeiten, eine Meldung an die in der Richtlinie idealerweise namentlich bezeichneten Vertrauenspersonen zu richten, sollten vielfältig sein. Sowohl eine persönliche Besprechung als auch die Kommunikation per Briefpost, E-Mail, Telefon oder Telefax sollte möglich sein. Dabei ist auf strenge Vertraulichkeit zu achten. Die Kontaktpersonen sollten über eigene Telefone[10] und nur ihnen zugängliche Faxgeräte verfügen. Dies sollte in der Richtlinie unbedingt erwähnt werden, da das interne Meldesystem oft am mangelnden Vertrauen der Mitarbeiter in die diskrete Handhabung der übermittelten Information scheitert.

64

Es gibt eine starke Tendenz, die Compliance Hotline an externe Anbieter auszulagern. Interne Compliance-Mitarbeiter sind kaum in der Lage, rund um die Uhr für Hinweise verfügbar zu sein. Dies führt dann dazu, dass Hinweise gar nicht angenommen werden können und damit im Sande verlaufen. Externe Dienstleister hingegen, die sich auf 24-Stunden-Service auf globaler Ebene spezialisiert haben, garantieren eine hundertprozentige zeitliche Abdeckung und sind zudem neutrale Ansprechpartner, d.h. die Hemmschwelle des Mitarbeiters Hinweise zu geben wird dadurch möglicherweise herabgesetzt.

65

Die Whistleblowing-Richtlinie sollte die Mitarbeiter dazu ermuntern, so viele spezifische Hinweise wie nur möglich zu übermitteln, damit die zuständigen Compliance-Verantwortlichen oder die mit der Angelegenheit betrauten Personen eine Untersuchung auf der Basis der gegebenen Informationen durchführen können. Zu erwähnen ist auch, dass der meldende Mitarbeiter zwar keinen Beweis für ein angebliches Fehlverhalten beibringen muss,[11] jedoch das Anliegen substantiiert vorgetragen und nicht völlig aus der Luft gegriffen sein sollte. Auch wenn sich das angebliche Fehlverhalten nach einer entsprechenden Untersuchung nicht bestätigt und sich herausstellt, dass der Mitarbeiter sich geirrt hat, wird sein Anliegen dennoch ernst genommen, und der Mitarbeiter hat keinerlei Disziplinarmaßnahmen oder Sanktionen zu befürchten.[12] Gleichermaßen sollte jedoch auch verdeutlicht werden, dass eine bewusst falsche Anzeige und böswillig erhobene Vorwürfe, die jeglicher Grundlage entbehren und dazu führen, andere zu diffamieren und zudem dem Unternehmen zu schaden, nicht hingenommen werden. Derartiges Verhalten verstößt gegen den Compliance-Kodex und muss disziplinarische oder arbeits- und strafrechtliche Konsequenzen haben.

66

Den Mitarbeitern sollte zudem in der Richtlinie klar vermittelt werden, dass sämtliche substantiiert vorgetragenen Meldungen intern oder mit Hilfe von externen Experten untersucht werden und bei Bedarf an die zuständigen Strafverfolgungsbehörden weitergeleitet werden. Sämtliche Ermittlungen sind objektiv, mit der gebotenen Sorgfalt und mit größtmöglicher Vertraulichkeit durchzuführen und haben das Ziel, die relevanten Fakten aufzuklären. Der Beschuldigte muss das Recht haben, zu den gegen ihn erhobenen Vorwürfen Stellung zu nehmen, falls nicht schwerwiegende Gründe dagegen sprechen.

67

Sämtliche gemeldeten Vorfälle sind von den Compliance-Verantwortlichen in ein Verzeichnis einzugeben, anhand dessen die Entwicklung eines Falles vom Eingang über die Untersuchung bis hin zur abschließenden Beurteilung nachvollzogen werden kann. Aus diesem Verzeichnis erstellen die Compliance-Verantwortlichen regelmäßige Berichte für die Geschäftsführung, den Aufsichtsrat sowie die interne Revision.[13]

68

Im globalen Konzern wird es nicht nur eine einzelne Ombudsperson geben, sondern, ähnlich wie bei den Compliance-Beauftragten, ein Netzwerk von lokal zuständigen Ombudspersonen. Dies ist nicht nur eine Frage der Effektivität, sondern insbesondere des Vertrauens, das die zuständige Ombudsperson bei den Mitarbeitern erwecken soll. Ohnehin empfiehlt es sich, Personen für diese Positionen auszuwählen, die aufgrund ihrer Stellung, ihrer langjährigen Betriebszugehörigkeit oder aufgrund sonstiger Faktoren das Vertrauen der Mitarbeiter genießen. Darüber hinaus ist es von Bedeutung, dass die Mitarbeiter ihre Sorgen, Nöte und Probleme möglichst an ihrem Standort und in der ihnen vertrauten Sprache vorbringen können.

69

Zu den Aufgaben des Ombuds-Netzwerks gehört es vor allem, den Mitarbeitern bei Fragen, Problemen und Anliegen als Ansprechpartner zu Verfügung zu stehen und darüber hinaus zu gewährleisten, dass die angesprochenen Themen den zuständigen Abteilungen oder auch Dritten zur Klärung übergeben werden. Ein „Kummerkasten“ allein genügt nicht, sondern jeder Einzelfall muss von den zuständigen Gremien bzw. Fachabteilungen untersucht, bewertet und entschieden werden. Und auch gegenüber den Ombudspersonen sollten die Mitarbeiter die Möglichkeit haben, sich mit ihren Anliegen nach ihrer Wahl anonym oder nicht-anonym zu melden.[14] Ebenso muss klar festgelegt und kommuniziert sein, dass das Vorbringen eines Anliegens bzw. einer Beschwerde zu keinerlei Nachteil für den berichtenden Mitarbeiter führen kann und darf. Der Mitarbeiter muss zudem vollständige Transparenz über den Ablauf einer Untersuchung bekommen und darf keinesfalls zum Spielball unterschiedlicher Interessen werden.

70

Selbstverständlich sollten die mit einer Ombudsfunktion betrauten Mitarbeiter nicht unvorbereitet ihrer Aufgabe nachgehen, sondern entsprechende Einführungs- und Auffrischungsschulungen hinsichtlich ihrer Tätigkeit erhalten. Über den unternehmensinternen Prozess von der Aufnahme der Beschwerde über die Veranlassung und Überwachung einer Untersuchung bis hin zum Abschluss eines entsprechenden Verfahrens sollte bei den verantwortlichen Ombudspersonen absolute Klarheit herrschen. Darüber hinaus sollten die Ombudspersonen über ihre Verantwortung als Vertrauenspersonen und ihre Geheimhaltungspflichten sowie die Konsequenzen bei Missachtung dieser Pflichten unterrichtet werden.