Compliance-Verstösse als unternehmerisches Risiko

Wie zahlreiche Beispiele belegen, kann die Missachtung von Compliance-Vorschriften schnell dramatische Konsequenzen zeigen. So wurden die Kosten des Dieselskandals bei Volkswagen im Frühjahr 2019 auf mehr als 30 Milliarden Euro beziffert. Darin enthalten sind Bussgelder in den USA und Deutschland, Schadenersatzzahlungen sowie Beraterkosten. Allein die Kosten des auf Betreiben des US-Justizdepartements eingesetzten Monitors, der Volkswagen bei dem Aufbau besserer Compliance-Strukturen begleitet, belaufen sich auf einen dreistelligen Millionenbetrag.

Es steht ausser Frage, dass kleinere Unternehmen einen Vorfall dieser Grössenordnung gar nicht überleben könnten. Das heisst aber keineswegs, dass KMU das Thema Compliance auf die leichte Schulter nehmen können. Gerade im Technologiebereich können Anbieter von hochspezialisierten Nischenprodukten beispielsweise durch Vorkommnisse bei Kunden in den Strudel grosser Compliance-Untersuchungen gezogen werden. Unabhängig von ihrer Grösse sind zudem fast alle Schweizer Technologieunternehmen stark exportabhängig. Damit sind sie unweigerlich mit einer Vielzahl ausländischer Regelungen konfrontiert. Im Technologiebereich drohen zudem besondere Risiken aufgrund der Natur der Produkte. 

Spezifische Compliance-Risiken 

Beim Thema Compliance geht es darum, Massnahmen zur Einhaltung der anwendbaren Rechtsvorschriften zu ergreifen und dadurch das Unternehmen vor Haftung zu schützen. Welche Vorschriften und Risiken dabei im Vordergrund stehen, hängt stark vom jeweiligen Tätigkeitsbereich ab. Besonders ausgeprägt sind industriespezifische Unterschiede auf der Ebene der angebotenen Produkte und Leistungen. So gelten für einen Anbieter von Cloud­lösungen andere Regeln als für einen Hersteller von Chemikalien oder ein Zuliefer­unternehmen in der Automobilindustrie. 

Daneben gibt es übergreifende Vorschriften, die unternehmensspezifische Umsetzungsmassnahmen erfordern. Zu denken ist hier namentlich an den Datenschutz, der mit dem 2018 erfolgten Inkrafttreten der EU-Datenschutzgrundverordnung und der laufenden Revision des Schweizer Datenschutzgesetzes erheblich an Bedeutung gewonnen hat und heute praktisch alle Tätigkeitsbereiche durchdringt. Relevant sind datenschutzrechtliche Vorgaben vor allem für digitale Geschäftsmodelle, sei es für digitale Plattformen, die datenbasierte Steuerung von Anlagen und Maschinen oder die Entwicklung neuer Produkte und Leistungen aufgrund von Nutzerdaten. In all diesen Konstellationen stellt sich die Frage, unter welchen Voraussetzungen und zu welchen konkreten Zwecken die Daten zur Verfügung gestellt wurden und von wem sicherzustellen ist, dass diese Vorgaben auch eingehalten werden. 

Weiter unterliegen viele Hightech-Produkte Exportkontrollvorschriften, weil sie unter Umständen nicht nur für zivile, sondern auch für militärische Zwecke genutzt werden können. Neben klassischen Exportkontrollvorschriften haben in den letzten Jahren politisch motivierte Wirtschaftssanktionen an Bedeutung gewonnen. Damit soll gewissen Staaten oder Empfängern der Zugang zu sensitiven Technologien verwehrt werden. Derartige Beschränkungen bestehen gegenwärtig zum Beispiel im Verhältnis zu Russland, China und Iran, vor allem aufgrund von US-amerikanischen Sanktions- und Embargoregeln. 

Komplexe US-Vorschriften

Gerade die US-Vorschriften sind äusserst komplex und beanspruchen extraterritoriale Geltung, sodass sie auch dann Anwendung auf Schweizer Unternehmen finden können, wenn in der Schweiz selbst keine vergleichbaren Beschränkungen erlassen wurden. Wie die Diskussionen um den Aufbau von 5G-Netzen illustrieren, haben Wirtschaftssanktionen im Zuge des zwischen den USA und China tobenden Handelskriegs erheblich an
Brisanz gewonnen. 

Schweizer und europäische Unternehmen, die im Bereich Informations- und Kommunikationstechnologie aus Sicht der US-Regierung mit den falschen Partnern zusammenarbeiten, laufen schnell Gefahr, zwischen die Fronten zu geraten. Es kommt dazu, dass Wirtschaftssanktionen mit einem erheblichen Umgehungsrisiko verbunden sind und betroffene Unternehmen der Auswahl ihrer Geschäftspartner und der laufenden Überwachung von Waren- und Leistungsflüssen in diesem Bereich daher besondere Aufmerksamkeit schenken müssen.  

Ein weiteres, stetig wachsendes Risiko betrifft das Thema Cybersicherheit. Im Finanzsektor sieht die Eidgenössische Finanzmarktaufsicht (Finma) Cyberattacken als das grösste operationelle Risiko. Wie zahlreiche Beispiele belegen – zu denken ist nur an den 2015 entdeckten Angriff auf Ruag oder an den 2019 erfolgten Angriff auf Walter Meier –, dürfte diese Einschätzung mittlerweile auch für viele Schweizer Industrie- und Technologieunternehmen zutreffen. 

Mit Schadprogrammen wie Wanna Cry lassen sich nicht nur ganze Produktionsbetriebe, sondern die gesamte unternehmensinterne Kommunikation lahmlegen – mit verheerenden finanziellen Folgen und anhaltenden Auswirkungen auf die Reputation. 

Der Abwehr von Cyberangriffen durch geeignete technische und organisatorische Massnahmen, aber auch der Entwicklung von Notfallplänen ist daher höchste Priorität zu schenken. 

Dasselbe gilt für den Schutz des unternehmensinternen Know-hows, das einerseits im Zuge einer Cyberattacke, andererseits aber auch durch gezielten Diebstahl in Gefahr geraten kann. Hier geht es darum, Geschäftsgeheimnisse durch adäquate technische, organisatorische und rechtliche Massnahmen zu schützen, insbesondere durch gestufte und klar dokumentierte Zugriffsrechte. 

Umgang mit Korruptionsrisiken 

Ein «Dauerbrenner» der Compliance ist sodann das Thema Korruption, vor allem in Schwellenländern – der jährlich von Transparency International publizierte Korruptionsindex belegt dies. Wo die lokalen Regeln, zum Beispiel für Zollfor­malitäten, unklar sind beziehungsweise nicht konsequent durchgesetzt werden, Amtsträger schlecht bezahlt werden und es faktisch akzeptiert wird, dass Entscheidungsträger ihre Position zur Erlangung persönlicher Vorteile missbrauchen, laufen ausländische Unternehmen regelmäs­sig Gefahr, mit Schmiergeldforderungen konfrontiert zu werden. Erhebliche Korruptionsrisiken bestehen daneben er­fahrungsgemäss im Zusammenhang mit Grossprojekten, etwa wenn für Verhandlungen oder die Projektausführung lokale Partner eingeschaltet werden müssen. 

Um in einem solchen Umfeld bestehen

zu können, müssen ausländische Unternehmen Zeit und Geld aufwenden, um die geltenden Regeln einzuhalten. Besondere Aufmerksamkeit ist der Auswahl lokaler Partner und Angestellter zu schenken. Diese sind oft unentbehrlich, da sie mit den lokalen Gegebenheiten vertraut sind; gleichzeitig besteht aber das Risiko, dass ihr Verhalten nicht in allen Fällen dem Massstab entspricht, den ausländische Unternehmen an ihre Tätigkeit anlegen. Zur sorgfältigen Auswahl müssen daher Hintergrundabklärungen, systematische Schulungen sowie laufende Kontrollen durchgeführt werden. Entscheidend ist dabei, dass das Unternehmen eine Null-­Toleranz-Politik vertritt und dies auch intern und extern konsequent kommuniziert. 

Allerdings wäre es ein Irrtum zu meinen, dass Korruptionsrisiken nur in entlegenen Weltgegenden existieren – Interessenkonflikte, wenn auch möglicherweise weniger schwerwiegender Natur, gibt es überall, wie für die Schweiz namentlich durch diverse Vorfälle im öffentlichen Sektor belegt wird. Nicht zuletzt mit Blick auf die eigene Glaubwürdigkeit ist es wichtig, Interessenbindungen auch im direkten Umfeld zu identifizieren und die Annahme oder Gewährung ungebührender Vorteile überall konsequent zu unterbinden.

Schlussfolgerung

Compliance-Verstösse können vielfältige Ursachen haben. Massnahmen zur Einhaltung aller relevanten Vorschriften sind aufwendig, und Restrisiken können nie ausgeschlossen werden. Compliance sollte jedoch weder als Erfolgsverpflichtung verstanden noch als bürokratische Pflichtübung betrieben werden. Die Einführung und regelmässige Überprüfung von Compliance-Massnahmen stellt vielmehr eine zentrale Managementaufgabe dar. 

Es geht darum, innerhalb des Unternehmens eine breit abgestützte Selbstverpflichtung zu rechtskonformem Handeln zu entwickeln, mögliche Rechts- und Reputationsrisiken frühzeitig zu erkennen und konkrete Handlungsanweisungen für den Umgang mit schwierigen Situationen zu geben. Ziel muss dabei sein, die getroffenen Entscheidungen mit Blick auf rechtliche und ethische Überlegungen rechtfertigen und die Einhaltung der vorgeschriebenen Prozesse nachweisen zu können. So verstanden, trägt Compliance unweigerlich zur nachhaltigen Sicherung des Unternehmenserfolgs bei.