Im ersten Teil unserer Beitragsreihe haben wir die rechtlichen Rahmenbedingungen und unternehmerischen Umsetzungsbedarfe dargestellt. Der zweite Teil stellt die Motivationslage für Unternehmen dar und widmet sich den Implementierungsmöglichkeiten auf betrieblicher Ebene.
Die Sicht der Unternehmensleitung: Warum Compliance?
Für Unternehmen besteht im Zusammenhang mit Compliance wirtschaftlicher Handlungsbedarf, um materielle und immaterielle Schäden von der Gesellschaft abzuwenden.
In materieller Hinsicht drohen Schäden in Millionenhöhe, verschärft durch gestiegene Straf- und Bußgeldzahlungen sowie die angekündigten Maßnahmen zu deren Erweiterung (vgl. bereits Teil I dieses Beitrags). Des Weiteren bestehen haftungsrechtliche Problemstellungen und ist auch die Rechtsverfolgung mit Kosten verbunden. Zuletzt rufen auch interne Ermittlungen (sog. „Internal Investigations“), mit deren Hilfe Compliance-relevante Sachverhalte aufgeklärt werden sollen, weitere Kosten hervor.
Darüber hinaus müssen Unternehmen auch immaterielle Schäden mit in den Blick nehmen. Geraten Compliance-Verletzungen an die Öffentlichkeit, sind Rufgefährdung und Reputationsverlust vorprogrammiert. Ganz zu schweigen von der Gefahr, auch die Geschäftsbeziehungen B2B- und/oder B2C-Bereich massiv zu belasten. Hält sich ein Arbeitgeber zudem nicht an Compliance-Vorgaben, kann sich dies empfindlich auf die Arbeitsmoral der Belegschaft auswirken und potentielle Bewerber abschrecken.
Compliance und Arbeitsrecht – ein weites Feld
Arbeitgeber sehen sich im Bereich Compliance vor verschiedene Hürden gestellt: In organisatorischer Hinsicht müssen sie zunächst sicherstellen, eine Compliance-Organisation zu implementieren, die in einem wirtschaftlich angemessenen Verhältnis zu den Risiken steht und sich auf sämtliche Geschäftsfelder des Unternehmens erstreckt. Weiterhin ist es dringend erforderlich, in Compliance-relevanten Bereichen Informationsdefizite zu beheben. Dem Arbeitgeber kann hier im Rahmen seiner unternehmerischen Freiheit die Einführung betriebsinterner Informationssysteme („Whistleblowing“) oder die Durchführung interner Ermittlungen zur Aufklärung etwaiger Verstöße in Erwägung ziehen.
Die Realisierung der Maßnahmen darf wiederum nur innerhalb der rechtlichen Grenzen stattfinden, Compliance muss also ihrerseits compliant sein. Der Arbeitgeber muss dabei insbesondere im Zusammenhang mit der Prävention, Aufdeckung und Ahndung von Compliance-Verstößen die Rechte seiner Arbeitnehmer wahren – allen voran natürlich deren Persönlichkeitsrechte, steht die Durchführung von Compliance-Maßnahmen im Kontext der Verarbeitung von Beschäftigtendaten im Raum.
Pflichtenprogramm der Unternehmensleitung
Im Spektrum von Compliance treffen die Unternehmensleitung vor allem drei zentrale Pflichten (vgl. zur Leitungsverantwortung des Vorstandes der AG exemplarisch § 76 Abs. 1 AktG): Erstens muss generell auf die Gesetzeskonformität des unternehmerischen Handelns hingewirkt (sog. Legalitätspflicht). Zweitens besteht die Pflicht zur sorgfältigen Unternehmensführung. Verstöße hiergegen sind unter dem Aspekt des Organisationsverschuldens ggf. schadensersatzauslösend. Drittens muss die Unternehmensleitung ihrer allgemeinen Überwachungspflicht nachkommen.
Ihren Pflichten kommt die Unternehmensleitung nach, indem sie ein umfassendes Compliance-System einführt. Folgende Aspekte sollten in diesem Zusammenhang jedenfalls abgedeckt werden:
- Ermittlung konkreter Risikofelder des Unternehmens
- Entwicklung eines unternehmensbezogenen Compliance-Programms
- Bekenntnis der Geschäftsleitung zum Thema Compliance und Kommunikation nach innen und außen (inkl. Information der Belegschaft)
- Fragen der Willensbildung auf betrieblicher Ebene (Vorliegen notwendiger Beschlüsse, Einbeziehung des Aufsichtsrates etc.)
- Abstimmung mit unternehmenskulturellen Aspekten (Unternehmensleitbild, interne Richtlinien etc.)
- Eindeutige Verteilung von Zuständigkeiten
- Festlegung klarer Berichtslinien
- Bereitstellung ausreichender Ressourcen (Infrastruktur, Ausstattung des Compliance-Teams etc.)
- Prozeduralisierungen (regelmäßige Überprüfung der Effektivität des Systems, Fortentwicklung etc.)
Möglichkeiten der Implementierung
Besteht entweder kein Betriebsrat oder trifft den Arbeitgeber keine Pflicht zu dessen Beteiligung, können Compliance-Richtlinien durch Weisung eingeführt werden. Hierbei sind Inhalt und Grenzen des Weisungs- bzw. Direktionsrechts des Arbeitgebers zu beachten (vgl. vor allem §§ 315, 611a BGB sowie § 106 GewO). Besondere Bedeutung kommt hier dem Maßstab des „billigen Ermessens“ des Arbeitgebers zu. Nach gängigem Verständnis sind zu dessen Ermittlung insbesondere die Grundrechte der Arbeitnehmer zu berücksichtigen und mit den berechtigten Belangen des Arbeitgebers abzuwägen. Der Arbeitnehmer muss unbilligen Weisungen nicht nachkommen (vgl. § 275 Abs. 3 BGB, sog. Leistungsverweigerungsrecht). In prozessualer Hinsicht liegt die Beweislast für die Billigkeit beim Arbeitgeber.
Die praktisch relevanteste Möglichkeit, Compliance-Richtlinien zu implementieren, liegt indes in der Einführung im Wege von Betriebsvereinbarungen. Regelungen in Betriebsvereinbarungen sind bereits deshalb sinnvoll, da Kernelemente von Compliance-Systemen der Mitbestimmung unterliegen.
Im Beschäftigtendatenschutzrecht lösen zwei Tatbestände die Mitbestimmung in sozialen Angelegenheiten aus: Zum einen sieht § 87 Abs. 1 Nr. 1 BetrVG eine Mitbestimmungspflicht des Betriebsrates zu Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb vor. Zum anderen muss der Betriebsrat auch ein Recht zur Mitbestimmung gewährt werden, wenn es um die Einführung und Anwendung von technischen Einrichtungen geht, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (§ 87 Abs. 1 Nr. 6 BetrVG).
Besteht ein Konzernbetriebsrat oder ein Gesamtbetriebsrat, sind zudem die Vorschriften des § 58 Abs. 1 BetrVG bzw. § 50 Abs. 1 BetrVG hinsichtlich der Zuständigkeit zu beachten. Neben den zwingenden Mitbestimmungspflichten im Bereich der sozialen Angelegenheiten hat der Betriebsrat darüber hinaus noch andere Mitbestimmungsrechte, insbesondere solche nach den § 80 (Unterrichtungspflichten), § 98 (Schulungen), § 94 (Personalfragebögen) sowie nach § 95 BetrVG (Auswahlrichtlinien zur Einstellung).
Zwischenergebnis und Ausblick
Eine wohldurchdachte und ausgereifte Compliance-Struktur dient dazu, Nachteile von der Gesellschaft, ihren Organen und Beschäftigten abzuwenden. Dabei müssen Arbeitgeber passgenaue Antworten auf eine Vielzahl komplexer haftungsrechtlicher, organisatorischer und informationstechnischer Fragestellungen finden. Besondere Schwierigkeiten bereiten in der Praxis dabei nicht selten die im Beschäftigtendatenschutzrecht zu beachtenden Vorgaben. Welchen Anforderungen hier Compliance-Maßnahmen genügen müssen, erfahren Sie in Teil III dieser Serie.