Im sogenannten Dieselprozess vor dem Landgericht Braunschweig geht es für 4 Führungskräfte des VW-Konzerns derzeit um viel: Sie sind wegen gewerbs- und bandenmäßigen Betruges angeklagt. Drohendes Strafmaß: bis zu 10 Jahren Haft. Hintergrund ist der in Teilen bereits erwiesene Vorwurf, in Fahrzeugen Software verbaut zu haben, die den Käufern vorspiegelte, ihre Autos seien „sauber“, während sie auf der Straße einen bis zu 35-fachen Wert an Stickstoffdioxid ausstießen.
Strafrechtlich zu klären ist in erster Linie die subjektive, persönliche Verantwortung der Beteiligten – dass Straftatbestände objektiv verwirklicht wurden, kann inzwischen als gesichert gelten.
Wie konnte es so weit kommen?
VW verfügt über ein umfassendes und mit über 500 Angestellten personalintensives Compliance-Management-System (CMS), was auch dazu bestimmt ist, Vorstand und Geschäftsleitung vor einer persönlichen und strafrechtlichen Haftung zu schützen. Die Compliance-Abteilung von VW gehört damit wohl zu den größten weltweit. 2011, also vor Aufdeckung des Skandals, wurde dieses System von PWC als „Leuchtturm der Compliance“ beschrieben und in einem Ranking auf Platz 1 der vorbildlichsten Compliance-Programme gesetzt. Irgendetwas muss PWC dabei wohl übersehen haben, denn hätte dieses System funktioniert, wären die Manipulationen verhindert worden. Ganz offensichtlich gab es stattdessen ein eklatantes Compliance-Versagen und zwar konkret das totale Versagen einer effektiven, auf die realen Risiken fokussierten Kontrolle mit zugehöriger entsprechender Berichterstattung und Offenlegung gegenüber den Aufsichtsgremien, die – zumindest soweit sie unabhängig waren und keine weiteren Funktionen in der VW Organisation innehatten – interveniert hätten, wären sie in Kenntnis der bösen Absichten gewesen.
Nun, es kam alles anders und das Strafverfahren vor dem Landgericht Braunschweig wird sicher eine Menge weiterer Gründe zutage fördern. Was aber bereits heute feststeht ist folgendes:
1. Kernfunktionen von Compliance
Das CMS im Volkswagenkonzern war und ist umfassend. Es betrifft nicht nur unternehmensgefährdende Risiken und die Haftung der hierfür verantwortlichen Personen, sondern geht weit darüber hinaus. Wenig erstaunlich findet dieser „große Ansatz“ Unterstützung vor allem bei den großen Beratungsunternehmen. Diese sind unisono der Ansicht, dass umfassende Compliance der richtige Weg sei, da ein modernes CMS einfach viel mehr leisten könne als schnöde Haftungsvermeidung. Nimmt man die immer noch steigende Flut an Fachpublikationen zum Thema Compliance hinzu, so ist nach deren Lektüre ein Leben ohne Compliance auch kaum mehr vorstellbar. Was bleibt, ist die Frage nach den Konsequenzen: Wenn Compliance die gesamte Unternehmenswirklichkeit und den Alltag der Angestellten erfasst, so wird dies aller Erfahrung nach von den Angestellten als zeitraubende und tendenziell überflüssige Belastung wahrgenommen, zumal in den meisten Unternehmen – auch ohne Compliance – eine gute Unternehmenskultur anzutreffen und Regelakzeptanz kein Fremdwort ist.
Konsequenz:
Die Akzeptanz für Compliance bei den Angestellten sinkt. Und wenn Compliance überall ist, wird der Blick auf die Kernfunktion von Compliance zugestellt. Ein angemessener Umgang mit objektiv bedrohlichen Situationen ist dann aber nicht mehr gewährleistet.
Ist dies vermeidbar?
Selbstverständlich. Die Rückbesinnung auf die zentralen Funktionen eines CMS liefert die Antwort. Es geht darum, die Verantwortlichen und das Unternehmen durch funktionierende Kontrollmechanismen zu schützen und im Schadensfall darlegen zu können, dass diese Kontrollen angemessen waren. Dieser Weg wird auch durch das Aktien- und GmbH-Gesetz gestützt: Hier ist von einem Lenkungssystem die Rede, welches die Geschäftsleitung etablieren muss, um gefährdende Entwicklungen zu verhüten. Im Reflex schützt dieses Systems dann auch die handelnden Personen. Darum geht es, und dafür braucht es Compliance. Die Durchregulierung aller Unternehmensbereiche erfordert demgegenüber einen aufwändigen Unternehmensbereich sui generis, der sich rechtfertigen muss, aber am Ende weder das Unternehmen noch die Geschäftsleitung schützt.
Fazit:
Umfassende Compliance-Ansätze sind kontraproduktiv, wenn es um zentrale Fragestellungen geht. Es spricht einiges dafür, dass auch bei VW die im Raum stehenden Manipulationen in einem schlankeren CMS mehr Aufmerksamkeit erhalten hätten.
2. Fehlende Distanz des Compliance-Office
Die Compliance-Organisation bei VW greift an der entscheidenden Stelle, nämlich dem für das Gesamtsystem zuständigen Compliance-Office auf interne Kräfte zurück. Dies mag für ein Verständnis der Abläufe in einem großen Konzern förderlich sein. Es führt aber aller Erfahrung nach zwangsläufig zu fehlender Distanz, Durchsetzungsproblemen und gegebenenfalls sogar Interessenkonflikten insbesondere, wenn die Geschäftsleitung von Vorwürfen betroffen ist. Bei VW kam konkret noch eine persönliche Nähe zwischen dem für die Kontrolle zuständigen Aufsichtsrat und dem zu kontrollierenden Vorstand bzw. sogar Doppelverantwortung hinzu.
Fazit:
Es spricht nichts gegen Strukturen und Abläufe, die eine effektive Selbstkontrolle von Unternehmensbereichen gewährleisten. Das Compliance-Office muss aber mehr leisten, nämlich Schaden vom Unternehmen abwenden und die handelnden Personen im gleichwohl eingetretenen Schadensfall vor einer Haftung schützen. Die „Endstufe“ der internen Lösung in Form des internen Compliance-Offices kann dies nicht leisten, denn sie steht als Teil der Unternehmensorganisation latent immer auch unter einem Rechtfertigungsdruck gegenüber der Geschäftsleitung, die sie kontrollieren soll. Dieser Interessenkonflikt ist auch durch rechtliche Gestaltung und Einräumung formaler Unabhängigkeit nicht auflösbar. Allein die Beauftragung eines externen und unabhängigen Compliance-Offices vermeidet die hier unübersehbaren Interessenkonflikte und gewährleistet eine effektive Kontrolle der relevanten Prozesse; ein Schritt, den nicht nur VW bis heute scheut.
Dr. Eric Heitzer
Der Verfasser nimmt für ausgewählte Unternehmen die Aufgaben eines externen Compliance-Offices wahr. Sie erreichen ihn unter info@dgc-integrity.de.