Prof. Dr. Katharina Hastenrath

Basics: Compliance-Kultur und Compliance-Ziele

Der zweite Beitrag dieser Reihe befasst sich mit der Compliance-Kultur und den Compliance-Zielen.1 Beides sind wichtige Elemente, die in der Praxis häufig nicht hinreichend betrachtet und fundiert aufgebaut werden.

I. Compliance-Kultur

1. Begriff, Einordnung und Spannungsfelder

Compliance-Kultur ist das Verhalten aller Mitarbeiter inklusive der Führungskräfte zur Einhaltung von Gesetzen, internen Vorgaben und ethischen Verhaltensweisen.

Die Compliance-Kultur entsteht nicht durch einzelne Maßnahmen, sondern durch einen langfristigen Einbettungsprozess, der auf der Geschichte, den Werten und den Erfahrungen eines Unternehmens und seiner Organe aufbaut.

Zentral ist die Unterscheidung zwischen expliziter und impliziter Kultur. Explizit sind formale Regelwerke, Prozesse, Kommunikationskanäle und definierte Zuständigkeiten. Implizit sind die tatsächlichen Verhaltensstandards, die sich aus gelebter Praxis, informellen Erwartungen und unausgesprochenen Toleranzgrenzen ergeben. Beides weicht in der Praxis oftmals voneinander ab. Es muss das Ziel der Compliance-Organisation sein, eine Kultur aufzubauen, die wirklich auf Regeltreue abzielt, auch wenn niemand hinschaut. Das gelingt am besten, wenn Mitarbeitende Regeln nicht als Fremdkörper empfinden, sondern als selbstverständlichen Teil ihrer Arbeit.

2. Rolle der Führung: „Tone at the Top“ und „Action at the Top“

Die Führungsverantwortung steht im Zentrum der Kultur. Management und Aufsichtsorgane prägen die Compliance-Kultur nicht nur durch formale Entscheidungen, sondern vor allem durch ihr tägliches Verhalten. Der häufig zitierte „Tone at the Top“ beschreibt die grundsätzliche Haltung der Unternehmensleitung zu Integrität, Transparenz und Rechtskonformität. Entscheidend ist jedoch auch die „Action at the Top“: Wie wird dies umgesetzt? Hier zeigt sich in der best practise, dass Zielkonflikte zwischen kurzfristigen wirtschaftlichen Interessen und Compliance-Anforderungen besonders kritisch sind. Werden aggressive Umsatz- oder Ergebnisziele gesetzt, ohne Compliance-Risiken zu berücksichtigen, entsteht ein implizites Signal, dass Regelverstöße zumindest toleriert werden, solange sie wirtschaftlich erfolgreich sind. Eine tragfähige Compliance-Kultur verlangt daher, dass Führungskräfte sichtbar machen, dass Rechtskonformität Vorrang hat – auch dann, wenn dies kurzfristig zu Einbußen führt. Nur so kann sich bei Mitarbeitenden die Überzeugung entwickeln, dass Compliance nicht verhandelbar ist.

Tipp für die Praxis:

Machen Sie „Action at the Top“ bekannt. Wenn z. B. eine Sanktion für vorsätzliche Non-Compliance vom Vorstand ergriffen wurde, sollte dies den Mitarbeitenden kommuniziert werden. Nur so entsteht die Erkenntnis bei diesen, dass die Compliance-Kultur im Unternehmen ernst genommen wird und kein reiner Papiertiger ist, der Umsatzentscheidungen nachsteht.

3. Interkulturelle Compliance

Die Compliance-Kultur ist stets in einen gesellschaftlichen und kulturellen Kontext eingebettet, der in verschiedenen Ländern und Regionen stark divergieren kann.

Für international tätige Unternehmen bedeutet dies, dass sie globale Mindeststandards definieren müssen, die in allen Ländern gelten, zugleich aber lokale Besonderheiten berücksichtigen. Ein „One-size-fits-all“-Ansatz funktioniert nicht. Compliance-Kultur muss auch „global passen“. Dies gilt insbesondere für Themen wie Korruption, Arbeitsbedingungen oder Diskriminierung, die in unterschiedlichen Rechtsräumen unterschiedlich wahrgenommen werden.

4. Entwicklungsstufen von Compliance-Kulturen

Die Compliance-Kultur in der Praxis kann verschieden weit entwickelt sein. Am einen Ende stehen Unternehmen, in denen Compliance primär als formale Pflicht verstanden wird: Es existieren Richtlinien, Schulungen und gelegentliche Kontrollen, doch im Alltag dominiert das operative Geschäft. Am anderen Ende stehen Organisationen, in denen Compliance als integraler Bestandteil der Unternehmensidentität verankert ist. Dort werden Entscheidungen systematisch auf rechtliche und ethische Implikationen geprüft, und Mitarbeitende erleben, dass Regelkonformität tatsächlich honoriert wird.

Für eine wirksame Kultur ist Folgendes wichtig: Wenn Regeln nicht in konkrete Arbeitsabläufe übersetzt werden, bleiben sie abstrakt. Wenn Zielkonflikte nicht offen adressiert werden, entstehen informelle Praktiken. Wenn Führungskräfte selbst Ausnahmen für sich beanspruchen, verliert das System an Glaubwürdigkeit. Eine reife Compliance-Kultur setzt daher voraus, dass Widersprüche zwischen Anspruch und Wirklichkeit aktiv bearbeitet werden.

5. Compliance-Kultur als Führungsaufgabe

Regeltreues Verhalten zu erwirken, ist Führungsaufgabe, die nicht durch eine einmalige Anweisung erledigt werden kann. In kleineren Unternehmen können der Eigentümer oder die Geschäftsführung ihre Werte unmittelbar vermitteln und Regeln als „gesunden Menschenverstand“ erklären: Ehrlichkeit, Vertragstreue, Transparenz und Vermeidung von Schäden. Diese Prinzipien können in einem schlanken Code of Conduct festgehalten werden, der für alle verständlich ist.

In größeren oder international tätigen Unternehmen ist die Lage komplexer. Hier sind formalisierte Strukturen erforderlich: schriftliche Richtlinien, definierte Zuständigkeiten, regelmäßige Berichterstattung an Aufsichtsorgane, systematische Kommunikation und klare Prozesse zur Aktualisierung des Systems. Entscheidend ist dabei eine prägnante, adressatengerechte Form. Zu viele, schlecht abgestimmte Regelungen führen zu Überforderung und sinkender Akzeptanz.

6. Mission, Werte und Code of Conduct

Ein zentrales Element ist die Entwicklung einer Mission und eines Leitbilds als Teil der Compliance-Kultur, das den Zweck des Unternehmens, die Erwartungen der Kunden und die grundlegenden Prinzipien beschreibt. Darauf fußt ein Code of Conduct. Dieser fungiert als „Verfassung“ des Unternehmens: Er fasst die wichtigsten Vorgaben für die Mitarbeitenden verständlich zusammen und zeigt in klaren Beispielen, wie dies im Arbeitsalltag umzusetzen ist.

Tipp für die Praxis:

Wichtig ist, dass ein Code of Conduct hinreichend geschult wird. Nur so kann die Compliance-Organisation sicher sein, dass die Inhalte verstanden und im Alltag angewandt werden.

7. Der „ehrbare Kaufmann“ als Vater der Compliance-Kultur

Besonders interessant ist der Bezug auf das Leitbild des „ehrbaren Kaufmanns“: Persönliche Integrität, Vertragstreue, Verlässlichkeit und die Vermeidung von Schäden für Geschäftspartner und Gesellschaft sind eine altgediente, aber weiterhin aktuelle Orientierungshilfe und der „Vater“ der Compliance-Kultur. Auf diesen kann abgestellt werden, wenn die Compliance-Kultur als ein selbstverständliches Handeln eines Unternehmens seit vielen Jahrzehnten abgestellt werden soll. Compliance ist damit nichts Neues und Beängstigendes, sondern gelebte Wirklichkeit im Unternehmen.

8. Wahl der richtigen „Kultur-Multiplikatoren“

Hohe Bedeutung haben die richtigen Compliance-Botschaften im Unternehmen durch „Kultur-Multiplikatoren“ wie Führungskräfte, HR-Verantwortliche, Teamleitungen und – wo vorhanden – Betriebsräte. Sie fungieren als Übersetzer zwischen zentralen Vorgaben und operativer Realität. Ihre Auswahl ist strategisch wichtig, da sie die Kultur des Unternehmens repräsentieren. Kurzfristige „Feuerwehrlösungen“ oder häufige Personalwechsel in Schlüsselrollen führen zu Instabilität.

9. Fazit

Die Compliance-Kultur ist das Fundament des Compliance-Management-Systems (CMS), das nur langfristig mit einem ernstgemeinten Tone-from-the-Top aufgebaut werden kann. Der Einfluss auf die Unternehmenskultur ist dabei jedenfalls für den Compliance-Officer begrenzt: zum einen durch den interkulturellen Kulturfaktor, zum anderen durch die Unternehmenskultur. Nur von letzterer kann eine Compliance-Kultur abgeleitet werden. Ist die Unternehmenskultur auf rechtswidriges Verhalten ausgelegt, kann keine wirksame Compliance-Kultur geschaffen werden.

II. Compliance-Ziele

1. Funktion und Einbettung von Compliance-Zielen

Die Compliance-Ziele sind die Einhaltung von Gesetzen, internen Regeln und ethischen Standards zur Haftungsvermeidung, zum Erhalt der guten Reputation sowie zur Befriedigung von Kunden- und Gesellschaftsanforderungen – aktuell in etwa im Bereich der Supply-Chain-Compliance sehr prominent diskutiert.

Compliance-Ziele sind dabei nie isoliert, sondern stets mit den übergeordneten Unternehmenszielen verknüpft. Primäres Unternehmensziel ist der langfristige Fortbestand, dem wirtschaftliche, strategische und qualitative Unterziele dienen. Compliance-Ziele tragen dazu bei, Rechtsverstöße zu minimieren, Haftungsrisiken zu reduzieren und das Vertrauen von Stakeholdern zu sichern.

Ein zentrales Spannungsfeld besteht in der Balance zwischen finanziellen Zielen und Compliance-Zielen. Gewinnmaximierung darf nicht zu Gesetzesverstößen führen. Andernfalls drohen Bußgelder, Schadensersatzforderungen, strafrechtliche Konsequenzen und Reputationsschäden, die den kurzfristigen Nutzen von Regelverstößen bei weitem übersteigen.

2. Integration in Unternehmensstrategie und Governance

Compliance-Ziele müssen in die strategische und operative Planung integriert werden.2 Compliance darf dabei nicht als „Bremse“ verstanden werden, sondern als Bestandteil professioneller Unternehmensführung. Dazu gehört:

• die Einbindung der Compliance-Funktion in strategische Entscheidungen (z. B. Markteintritte, M&A, neue Produkte),
• die Überprüfung von Ziel- und Bonussystemen auf Fehlanreize,
• die klare Zuordnung von Verantwortlichkeiten in Geschäftsverteilungsplänen und Stellenbeschreibungen,
• die regelmäßige Berichterstattung an Aufsichtsorgane, soweit vorhanden.

Aufsichtsgremien haben die Aufgabe, zu überwachen, ob ein angemessenes CMS existiert und ob die Unternehmensleitung ihrer Organisations- und Überwachungspflicht nachkommt. Internationale Regelwerke wie der US FCPA oder der UK Bribery Act verdeutlichen, dass unzureichende Compliance-Strukturen erhebliche Risiken bergen – auch extraterritorial.

3. Sub-Ziele, Operationalisierung und Beispiele

Compliance-Ziele dürfen nicht zu generisch bleiben, da sie ansonsten wie die guten Neujahrsvorsätze schnell verpuffen. Sub-Ziele wie die Verbesserung von Compliance-Prozessen, die Verfeinerung von Risikoanalysen, die Stärkung der Korruptionsprävention, flächendeckende Schulungen oder die Benennung lokaler Compliance-Officer haben sich als wirksam in der Best Practice erwiesen. Solche Ziele müssen realistisch, erreichbar und – soweit möglich – messbar sein. Unternehmen, die Compliance als „selbstverständlich“ ansehen und daher keine expliziten Ziele formulieren, laufen Gefahr, Risiken zu unterschätzen und unvorbereitet in Krisen zu geraten.

Operationalisierung bedeutet, qualitative Ziele in konkrete Maßnahmen und Indikatoren zu übersetzen. Dazu können etwa gehören:

• Anzahl und Qualität von Schulungen
• Abdeckung bestimmter Zielgruppen
• Bearbeitungszeiten von Hinweisen
• Anzahl und Art von Richtlinienüberarbeitungen
• dokumentierte Risikoanalysen in definierten Intervallen

4. Unternehmenszielsysteme und Rolle des Code of Conduct

Der Code of Conduct3 legt grundlegende Ziele der Regelbefolgung fest. Er formuliert qualitative Ziele – etwa Integrität, Transparenz, Fairness – und verweist auf spezifische Regelungen zu Themen wie Kartellrecht, Korruption, Datenschutz oder Umgang mit Vermögenswerten. Wichtig ist, dass der Code branchen-, größen- und kulturspezifisch ausgestaltet wird. Globale Unternehmen müssen dabei lokale Rechtslagen und kulturelle Besonderheiten berücksichtigen, ohne die Einheitlichkeit des Systems zu gefährden.

Ziele im Code sollten überwiegend qualitativ formuliert werden, um nicht in eine schematische Kennzahlenlogik zu verfallen. Gleichwohl können sie durch messbare Sub-Ziele ergänzt werden, etwa durch Schulungsquoten oder Prüfungsintervalle.

5. Organisatorische Ziele, Monitoring und Verantwortlichkeiten

Compliance-Ziele unterteilen sich in inhaltliche (subjektbezogene) und organisatorische Ziele. Inhaltliche Ziele betreffen bestimmte Rechtsgebiete oder Risikofelder (z. B. Korruption, Kartellrecht, Datenschutz). Organisatorische Ziele beziehen sich auf Strukturen, Prozesse und Verantwortlichkeiten (z. B. Einrichtung von Hinweisgebersystemen, Definition von Eskalationswegen, Aufbau lokaler Compliance-Funktionen).

Große Unternehmen stehen vor der Herausforderung, komplexe Rechtsentwicklungen zu verfolgen. Betrachtet man nur exemplarisch die täglichen Änderungen in der Zoll-Politik der USA, versteht man schnell, wie enorm und kurzfristig zu bewältigen diese Entwicklungen sind. Dem kann nur durch das Dezentralisieren der Verantwortung begegnet werden: Es bedarf lokaler Compliance-Verantwortlicher. Die zentrale Compliance-Funktion unter Leitung des CCOs koordiniert, setzt Standards und sorgt dabei für die Konsistenz.

Tipp für die Praxis:

Kontrollen zur Zielerreichung müssen persönlich und vor Ort durchgeführt werden. Alle digitalen, bisherigen Formen sind nicht gleich wirksam oder sogar unwirksam. „Papier ist bekanntermaßen geduldig“.

6. Verständlichkeit, Praktikabilität und Zielgruppenorientierung

Regeln und Ziele müssen in einer Sprache formuliert sein, die die Adressaten verstehen. Juristische Fachsprache ist für interne Richtlinien nur begrenzt geeignet. Akzeptanz entsteht, wenn Mitarbeitende nachvollziehen können, warum bestimmte Vorgaben existieren und wie sie in ihrem Arbeitsalltag anzuwenden sind.

Mitarbeitende gehen unterschiedlich mit Regeln um: Es gibt eine große Gruppe, die grundsätzlich regelkonform handelt, eine Gruppe, die gelegentlich Grenzen austestet, und eine kleine Gruppe, die bewusst gegen Regeln verstößt. Schulungen, Sensibilisierung und klare Grenzen stärken die ersten beiden Gruppen; für die dritte sind klare Kontrollen und Sanktionen erforderlich, insbesondere in korruptionsanfälligen Bereichen oder Ländern mit hohem Korruptionsniveau, um die Compliance-Ziele wirklich zu erreichen.

7. Schulung und Kommunikation der Ziele

Schulung wird als zentrales Instrument zur Erreichung von Compliance-Zielen unverzichtbar. Es empfiehlt sich eine Kombination aus Präsenzschulungen, E-Learning, Tests und Feedback. Maßgeschneiderte Programme sind zwar aufwendiger, aber wirksamer als generische Standardmodule. Fortschritte sollten dokumentiert werden, um Nachweis- und Steuerungszwecke zu erfüllen. Die Einbindung von Arbeitnehmervertretungen kann die Akzeptanz erhöhen bzw. bei digitalen Schulungsformen sogar zwingend sein.

8. Messbarkeit, Berichterstattung und externe Bewertungen

Peter Drucker sagte: „If you cannot measure it, you cannot manage it.“ Das stimmt im Grundsatz auch für Compliance-Ziele, allerdings unter Beachtung schwer messbarer ethischer und kultureller Aspekte.

Zudem könne Überregulierung und übermäßige Bürokratie demotivierend wirken und die Wirksamkeit von Compliance-Systemen schwächen. Daher ist eine balancierte Steuerung erforderlich: Messbarkeit, wo sinnvoll, kombiniert mit qualitativer Bewertung und gesundem Ermessen und keine Messbarkeit um der Messbarkeit willen. Ebenfalls sind, wie gerade geschildert, einige Faktoren, wozu vor allem auch das menschliche Verhalten und dessen Änderungen gehören, nur sehr bedingt einer Messbarkeit zugänglich. Das müssten Compliance-Officer bei Überlegungen zur Messbarkeit der Ziele und deren Erstellung beachten.

9. Ohne Konsequenzen keine Zielerreichung

Um Compliance-Ziele zu erreichen sind neben präventiven Schulungen und Informationen auch repressive Maßnahmen erforderlich. Ein abgestuftes Sanktionssystem sorgt dabei für Konsistenz und Fairness und ist unerlässlich. Leichte Verstöße können durch Gespräche oder Verwarnungen adressiert werden, schwere oder strafbare Handlungen erfordern Abmahnungen, Kündigungen oder Schadensersatzforderungen. In gravierenden Fällen kann eine Strafanzeige notwendig sein, um den Vorwurf der Untätigkeit zu vermeiden.

Um Stakeholdern wie Aufsichtsbehörden und Gerichten die Ernsthaftigkeit der Compliance-Ziele beweisen zu können, ist auch die Dokumentation aller Compliance-Maßnahmen essentiell.

10. Anreizsysteme, Bonuskürzungen oder Grundpflichtcharakter?

Streitig ist die Frage, ob Compliance-Ziele belohnt werden sollten. Die Einhaltung von Gesetzen und Regeln ist eine Grundpflicht jedes Arbeitnehmers und nicht primär bonifizierbar. Gleichwohl können Compliance-Aspekte in Zielvereinbarungen einfließen, etwa durch Bonuskürzungen bei Verstößen, insbesondere für Führungskräfte oder die Bonifizierung für die Umsetzung zusätzlicher Compliance-Maßnahmen oder hoher Abschlussraten von Teams eines Vorgesetzten von Compliance-Schulungen oder ähnliches.

III. Schlussfolgerungen für die Praxis

Die vorangegangenen Ausführungen haben Compliance-Kultur und Compliance-Ziele beleuchtet. Dabei zeigt sich auch deutlich das erforderliche Zusammenspiel von Compliance-Kultur und Compliance-Zielen.

Compliance-Kultur und Compliance-Ziele sind untrennbar miteinander verbunden. Kultur ohne Ziele bleibt vage; Ziele ohne Kultur bleiben wirkungslos. Ein wirksames CMS erfordert daher:

• eine gelebte Kultur der Integrität
• klare, realistische und operationalisierte Ziele
• glaubwürdige Führung
• angemessene Strukturen und Prozesse
• verständliche Kommunikation
• und einen reflektierten Umgang mit Verstößen

Dies muss von den Compliance-Officern bedacht und umgesetzt werden. Dann steht, jedenfalls an dieser Stelle, einem wirksamen CMS nichts mehr entgegen.

---