Mindestanforderungen an das Berufsbild des Compliance-Officer

Die Anzahl Compliance-relevanter Regularien und Sachverhalte ist in der jüngeren Vergangenheit enorm angestiegen. Dieser Trend hält weiter an. Presseberichten kann man klar entnehmen, dass Compliance-Vorfälle in den letzten Jahren ebenfalls stark zugenommen haben. Dies betrifft nicht nur einzelne Industriesäulen, sondern ist eine branchenübergreifende Entwicklung, sei es in der Bank- und Finanzdienstleistungsindustrie, der Versicherungsindustrie oder der produzierenden bzw. der Dienstleistungsindustrie. Die Auswirkungen auf die Tätigkeit eines Compliance- Officer sind heute noch nicht abzusehen.

Das Aufgabenumfeld eines Compliance-Officer nimmt immer mehr zu. Haftungsfragen in Bezug auf die eigene Arbeit stellen sich immer häufiger. Es wird somit immer wichtiger, das Aufgabenfeld eines Compliance-Officer klar abzugrenzen und zu definieren.

Der BDCO Bundesverband Deutscher Compliance-Officer hat hierzu Mindestanforderungen an das Berufsbild eines Compliance-Officer veröffentlicht. Die Mindestanforderungen an das Berufsbild des Compliance-Officer des BDCO gelten für alle Compliance Officer im weiteren Sinne1. Dies gilt branchenübergreifend und für alle Industriesäulen.

Auf einem Treffen des Frankfurter Compliance-Kreises sprachen sich zahlreiche namhafte Compliance-Officer für die Gründung eines Verbands zur Vertretung von Compliance-Verantwort-lichen aus. Auch Vertreter von Aufsichtsbehörden unterstützen das Vorhaben. Aus dem Expertengremium zum Erfahrungsaustausch und zur Information über Compliance-Themen ist der BDCO Bundesverband Deutscher Compliance-Officer hervorgegangen.2

Der BDCO will Unternehmen und Compliance-Officern dabei helfen, eine herausfordernde und komplexe Aufgabe effektiv zu bewältigen. Das unternehmensspezifische Berufsbild und die Aufgaben eines Compliance-Officer sollen präzisiert werden. Zudem sollen Best Practices definiert werden und diese mit den

Aufsichtsbehörden abgestimmt werden. Stellungnahmen zu Gesetzesvorhaben werden eingebracht, Praxistipps, Checklisten und Handlungsempfehlungen werden abgegeben.

Die Tätigkeit des BDCO ist nicht auf einzelne Branchen beschränkt. Sie sollen einen umfassenden und branchenübergreifenden Austausch der Erfahrungen zwischen den unterschiedlichen Industrie- und Dienstleistungszweigen ermöglichen, um so gemeinsame Lösungsansätze und entsprechende Standards zu entwickeln. Der BDCO wird den Informationen zu Compliance-Themen zwischen Unternehmen, Mitgliedern, relevanten Behörden, Politik und anderen Verbänden transportieren. Hierzu erarbeitet der BDCO gemeinsame Compliance-Standards und stimmt diese ab. Er fördert die Prävention von Straftaten und Ordnungswidrigkeiten durch die Schaffung wirksamer Compliance-Strukturen. Der Verband ist keine Alternative zu bestehenden Branchenverbänden, sondern arbeitet bei Compliance-Themen eng mit diesen zusammen. Die weiteren Ziele des BDCO sind die nähere Bestimmung und professionale Sicherung des Berufsbilds, aber auch die Vertretung der Interessen von Compliance-Officern. Der BDCO gibt Stellungnahmen zu Rechtssitzungsinitiativen und anderen Compliance-relevanten Vorhaben ab. Der Verband bietet Handlungsempfehlungen für den Umgang mit komplexen regulatorischen Anforderungen in vielen Branchen. Zudem zeigt der BDCO praxisgerechte Lösungen für Zielkonflikte, zwischen Compliance-Anforderungen und andern rechtlichen Vorgaben auf. Neben mit Compliance-Themen beruflich befassten Personen können auch solche Unternehmen dem BDCO beitreten, die Compliance fördern oder sich über dieses Thema umfassend und zeitnah informieren wollen.

Das BDCO Positionspapier „Berufsbild des Compliance-Officers – Mindestanforderungen zum Inhalt, Entwicklung und Ausbildung“ ist das Erste seiner Art.[1] Diese Mindestanforderungen und Leitlinien wurden im Arbeitskreis „Berufsbild des Compliance- Officer“ des BDCO erarbeitet. Sie dienen als Grundlage für die Entwicklung und Formulierung branchenübergreifender Best Practice, und zwar nicht nur für den jeweils für die Compliance-Funktion Verantwortlichen und registrierten Chief Compliance- Officer bzw. Compliance-Beauftragten, sondern auch für alle Mitarbeiter einer Compliance- Funktion. Besonderheiten können sich aus der Größe und Branche des jeweiligen Unternehmens sowie aus dessen spezifischem Risikoprofil ergeben.

Die Mindestanforderungen an das Berufsbild des Compliance-Officers des BDCO sind in 20 Themenfelder aufgegliedert. Die Themenfelder enthalten zentrale Aussagen, die das Tagesgeschäft aber auch die strategische Positionierung von Compliance-Funktionen bzw. Chief Compliance-Officer/Compliance-Beauftragter beinhalten.

Hierzu gehören Aussagen zu Verantwortlichkeiten für die Compliance-Funktion, Stellung und Unabhängigkeit eines Chief Compliance-Officer/ Compliance-Beauftragen, aber auch die Vermeidung von Interessenkonflikten bzw. das Schnittstellenmanagement zu anderen Einheiten im Unternehmen werden angesprochen.

Die Mindestanforderungen nehmen Bezug auf die Risikoevaluierungs- und Risikosteuerungsfunktion von Compliance. Auch die Beratungs-/Kontroll- und Berichtspflichten werden definiert. Dabei wird die für die Risikosteuerungs- und Risikoevaluierungsfunktion notwendige unternehmensspezifische Risikoanalyse relevanter Gefährdungspotentiale zugrunde gelegt.

Einen weiteren wesentlichen Fokus bildet die Aus- und Fortbildung von Compliance- Officern. Dabei ist es wichtig, dass Compliance-Officer selbstverständlich einen Überblick über das regulatorische Umfeld für die unternehmensspezifischen Geschäftsfelder haben. Dies alleine genügt jedoch noch nicht, um die Compliance- Funktion erfolgreich ausfüllen zu können. Die Kompetenzen des Compliance-Officer müssen sich auch über das regulatorische hinaus auf die durch das Unternehmen entwickelten und vertriebenen spezifischen Produkte beziehen. Auch sollte ausreichende Kenntnis zu Einkaufs- und Vertriebsstrukturen bestehen. Ganz wesentlich ist es, dass ein Compliance-Officer die jeweiligen Prozesse im eigenen Unternehmen kennt, versteht und bewerten kann. Ohne vertiefte Kenntnis von den im eigenen Haus bestehenden unternehmensspezifischen Prozessen ist zunächst eine erfolgreiche Compliance-Arbeit gerade auf der Beratungs- und Kontrollschiene nicht möglich.

In vielen Industriesäulen konzentriert sich Compliance fast ausschließlich auf die Beratungsfunktion. Dies ist eindeutig zu wenig, auch wenn das Motto gilt: Wer besser berät, muss weniger kontrollieren. Auch die Einhaltung der regulatorischen Vorgaben und unternehmensspezifischen Compliance-Vorgaben ist sicherzustellen. Dies entspricht auch den Vorstellungen eines internen Kontrollsystems, das auf der ersten Stufe die Verantwortlichkeit bei den jeweiligen Fach- und Geschäftsbereichen sieht. In der zweiten Stufe ist Compliance für die Einhaltung dieser Prozesse zuständig. Die interne Revision als Teil der dritten Stufe kontrolliert und prüft in einer neutralen Funktion das Bestehen und Funktionieren des sog. internen Kontrollsystems auf der ersten und zweiten Ebene. Dies bedeutet, dass eine Compliance-Funktion zwingend aus Beratungs- und Kontrollfunktionen bestehen muss, was in einzelnen Industriesäulen teilweise noch nicht vorhanden ist.

Auch die Vermittlung der Compliance-Kultur und des Risikobewusstseins des eigenen Unternehmens soll durch die Compliance-Funktion anhand von Schulungen und Trainings vermittelt werden. Dies ist ein wesentlicher Bestandteil der Compliance-Arbeit, was sich bspw. auch im IDW PS 980 als Compliance-Standard niedergeschlagen hat.

Zur Wahrung der Unabhängigkeit und zur Stärkung der Compliance-Funktion ist es zwingend notwendig, dass die Berichtslinie des Compliance-Beauftragten/Chief Compliance-Officer nicht nur an den Vorstand (und zwar direkt und nicht über andere Leiter von Geschäftsbereichen, in einzelnen Industriesäulen oft noch über den General Counsel) erfolgt, sondern dass über den Vorstand bzw. die Geschäftsleitung die Compliance-Berichterstattung auch an das Aufsichtsgremium erfolgt. Damit ist sichergestellt, dass Compliance-Vorgaben und deren Einhaltung auch durch das Aufsichtsgremium kontrolliert werden können. Dieser Ansatz entspricht dem modernen Corporate Governance Verständnis von Compliance-Strukturen.

Wesentlich ist auch, dass Compliance-Officer zur effektiven Aufgabenerfüllung jederzeitige Informations-, Auskunfts-, Teilnahme- und Zugriffs- sowie Zutrittsrechte in allen Unternehmensbereichen haben. Den Mitarbeitern der Compliance-Funktion ist Zugang zu allen relevanten Informationen zu gewähren. Damit verbunden ist eine Eingriffspflicht (Vetorecht) für den Chief Compliance-Officer/Compliance-Beauftragten bei Verstößen gegen Compliance-Regularien. Bloße Warnhinweise, wie sie bspw. ein Legal Counsel aussprechen kann, sind dabei nicht ausreichend.

Eine Selbstverständlichkeit sollte sein, dass ein Compliance-Officer moralisch und rechtlich integer ist und eine hohe Zuverlässigkeit aufweist.

Die Compliance-Funktion ist unter Wahrung der rechtlichen Vorgaben auslagerbar. Bei mittleren bis größeren Unternehmen gestaltet sich dies jedoch schwierig. Bei kleineren Unternehmen kann dies durchaus eine mögliche Lösung sein, um die Compliance- Funktion sicher zu stellen. Dabei kann zwischen Auslagerung einzelner Teilaspekte (Beratung, Monitoring, Schulung) oder auch der Auslagerung der gesamten Compliance- Funktion (inkl. des Chief Compliance-Officers/Compliance-Beauftragten) unterschieden werden. Je nach Größe, Branche und Risikograd des Unternehmens sind verschiedene Lösungen denkbar. Zu beachten ist allerdings stets, dass die Verantwortlichkeit des Chief Compliance-Officers/Compliance-Beauftragten nicht teil-bar ist und darüber hinaus die ultimative Verantwortung für Compliance immer bei der jeweiligen Unternehmensleitung als Gesamtorgan verbleibt.

Die Mindestanforderungen an das Berufsbild des Compliance-Officers schließen ab, mit den für den Chief Compliance-Officer/Compliance-Beauftragter relevanten Haftungsfragen. Der Einbezug des Chief Compliance-Officer/ Compliance-Beauftragten in die D&O Versicherung (Directors and Officers Versicherung) wird empfohlen. Darüber hinaus soll über eine gesonderte Vermögensschadenshaftpflicht oder eine Haftungsfreistellung des Unternehmens zur Wahrung seiner Unabhängigkeit nachgedacht werden.

Zum weiteren Schutz des Chief Compliance-Officer/Compliance-Beauftragten kann dessen besondere Stellung und Funktion Besonderheiten in beim Kündigungsschutz nahelegen. Im Bankenumfeld gibt es bspw. eine Mindestbestellfrist von 24 Monaten für einen Compliance-Beauftragten. In den dortigen MaComp Mindestanforderungen an die Compliance-Funktion der BaFin ist auch die Empfehlung ausgesprochen, eine 12- monatige Kündigungsfrist zu Lasten des Arbeitgebers zum erweiterten Schutz des Compliance-Beauftragten vorzusehen. Hier könnte man mit gutem Grund über einen

ähnlichen Kündigungs- oder Abberufungsschutz wie den des betrieblichen Datenschutzbeauftragten nachdenken.

Die Mindestanforderungen an das Berufsbild des Compliance-Officer fokussieren auf die Beratungs- und Überwachungsfunktion der jeweiligen Compliance-Officer. Es wird auf die besondere Stellung der jeweiligen Funktion eingegangen und Schutzmechanismen für Compliance-Officer diskutiert. Wesentlich ist auch die Unabhängigkeit dieser Funktion sowie die persönlichen und fachlichen Voraussetzungen, um die jeweilige Funktion ausführen zu können. Auch die Ausrichtung auf eine Prozessorientierung bei den im jeweiligen Unternehmen vorhandenen unternehmensspezifischen Prozessen ist deutlich erkennbar. Ferner nehmen diese Mindestanforderungen besonderen Bezug zur Haftungssituation von Compliance-Beauftragten/ Chief Compliance-Officer.

Damit wird das Berufsbild eines Compliance-Officer im weiteren Sinne immer klarer und trennschärfer. Das Positionspapier des BDCO nimmt bewusst keine Begrenzung auf einzelne Industriesäulen vor. Der BDCO hat nun vorgelegt. Es gilt, klare Vorgaben für das Berufsbild weiter zu entwickeln und einen gemeinsamen Standard für Chief Compliance-Officer/ Compliance-Beauftragte zu fördern.

1 Der Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) hat mit seinem beruflichen Leitbild eine ähnliche Stoßrichtung. Allerdings sind die Vorgaben des BvD auf den Datenschutzbeauftragten begrenzt.

2 Vgl. hierzu die XING-Plattformen des Frankfurter Compliance Kreises und des Bundesverband Deutscher Compliance Officer.

3 Siehe Publikation des BDCO unter www.bdco.de