BOARD:
Herr Reuter, Sie beschäftigen sich sehr grundlegend mit Compliance-Management in Unternehmen und stellen die steigenden Anforderungen an Compliance Management Systeme (CMS) in Frage. Was ist Auslöser Ihrer Überlegungen?
Alexander Reuter:
In meiner Praxis verspüre ich einen wachsenden Widerspruch: Einerseits verpflichten Gesetzgeber und Deutsche Corporate Governance Kommission (DCGK) Geschäftsführer, Vorstände und Aufsichtsräte dazu, wirksame Compliance Management Systeme (CMS) einzurichten, zu prüfen und hierüber Bericht zu erstatten. Andererseits wird konstatiert, dass es trotz der vielen CMS-Anstrengungen immer wieder zu Gesetzesbrüchen kommt, auch zu sehr groben. Meist wird dieser Widerspruch mit dem Gemeinplatz beiseitegeschoben, auch das beste CMS könne eben nicht alle Gesetzesverstöße verhindern, und von Rechts seien auch keine perfekten CMS verlangt, sondern nur vernünftig.
Dieser Gemeinplatz ist bequem, greift aber zu kurz: Soziologen, Kriminologen und Juristen widmen sich seit geraumer Zeit die Frage, welche Wirkung CMS tatsächlich haben. Nach den empirischen Erkenntnissen lässt sich Wirkung von CMS nicht nachweisen. Es sind zwar immer wieder Vorschläge gemacht worden, wie man die Wirksamkeit von CMS beurteilen und messen sollte, und zwar sowohl quantitativ, als auch qualitativ. An Objektivierung haben nicht zuletzt Compliance-Abteilungen im Wettbewerb um knappe Unternehmensressourcen Interesse. Stand heute ermöglichen diese Vorschläge aber keine zuverlässige Wirksamkeitsmessung. Daher fühlen sich Unternehmen und Prüfer auf der Suche nach wirksamen CMS zu immer umfangreicheren und teureren Pflichtprogrammen verpflichtet, eine Art „race to best practice“. Entsprechend gibt mittlerweile viele Standards zur Gestaltung und Prüfung von CMS, z.B. die ISO 37301, die COSO – Handreichungen oder die Prüfungsstandards des IDW. Die Sorge vor Haftung führt dazu, dass die Standards immer detaillierter und der Aufwand für ihre Abarbeitung immer umfangreicher wird. Mit dem zitierten Gemeinplatz allein lässt sich aus meiner Sicht der große Aufwand nicht rechtfertigen.
BOARD:
Sie sagen, dass sich die Wirksamkeit von Compliance-Management-Systemen nicht sicher feststellen lässt. Können Sie dies bitte näher erläutern?
Alexander Reuter:
Es gibt eine ganze Reihe von Studien, die die Wirkung von CMS und Ethik-Prorammen empirisch evaluieren. Diese Studien ernüchtern: Eine präventive Wirkung lässt sich nicht oder nur in geringem Umfang nachweisen. Seine Wurzel hat dies vermutlich in den Entstehungsgründen von white collar crime, also Rechtsbrüchen, die nicht auf der Straße begangen werden, sondern in und aus Unternehmen heraus. Auch mit den Entstehungsgründen beschäftigen sich Kriminologen und Soziologen seit Jahrzehnten. Nach deren Erkenntnissen beruhen solche Verstöße typischerweise auf einer unvorhersehbaren Koinzidenz von inneren Gegebenheiten beim Täter und Gelegenheiten. Zeit und Ort der Rechtsbrüche lassen sich also schwer systematisieren. Hinzu kommt die schwere Greifbarkeit der Tätergruppe: Die betreffenden Manager entstammen nicht kriminellen Milieus. Vielmehr handelt es sich häufig um leistungskräftige, erfolgreiche Personen, die meist älter als 40 Jahre sind und in der Mitte der Gesellschaft stehen, in ihrem sozialen Umfeld anerkannt sind. Sie setzen mit Rechtsbrüchen nicht nur ihre Karriere, sondern ihr bürgerliches Leben aufs Spiel, also typischerweise sehr viel mehr als andere Kriminelle. Die Soziologen sprechen von „latecomers to crime“. Obendrein zeigen Studien, dass typische Täter-Charakteristika mit Eigenschaften übereinstimmen, die erfolgreiche, tatkräftige Manager kennzeichnen. Daher ist es unmöglich vorherzusagen, wann und warum ein bisher weißes Schaf schwarz wird. Als unmöglich hat es sich auch erwiesen, aus den persönlichen Biografien von Führungskräften, Prognosen über zukünftiges Fehlverhalten abzuleiten. Das gleiche gilt für Persönlichkeitstests, die zudem unzulässig wären. Zudem hält sich ja die überwältigende Mehrheit von Mitarbeitern und Führungskräften ans Gesetz; das macht die Vorbeugung noch schwieriger.
Wir haben also eine Tätergruppe vor uns, die die Compliance-Mechanismen genau kennen, die wissen, wie man sie umspielen kann, und die gleichsam in einem Meer weißer Schafe untertauchen.
BOARD:
Vor diesem Hintergrund kritisieren Sie CMS-Standards. Warum?
Alexander Reuter:
Dass sich die Wirkung von CMS nicht oder kaum nachweisen oder gar messen lässt, schlägt sich darin nieder, dass sich die CMS-Standards, an die sich im Moment viele halten, durch die Bank im Wesentlichen auf gedankliche Konzeptanalysen beschränken. Auch solchen Konzeptanalysen fehlt es jedoch an empirischer Fundierung. Interessant ist übrigens, dass sich auch die Organisationslehre unter dem Begriff der Effektivität von Organisationsformen derartigen Fragen nachgeht und keine klaren Gradmesser anbietet. Am Ende basiert die Bewertung immer nur auf „Intuition“. Der von vielen Unternehmen verwandte COSO-Standard räumt dies sogar ausdrücklich ein.
BOARD:
Welche Schlüsse ziehen Sie also?
Alexander Reuter:
Wir geben im Hinblick auf eine verschwindende Minderheit von Fällen immer mehr Geld aus, ohne dass wir wissen, ob die vielen Programme eigentlich sinnvoll sind. Die Lage gleicht der bekannten Pennäler-Stilblüte: Wir wissen nicht, ob Homer gelebt hat, wir wissen nur, dass er blind war. Transponiert: Wir wissen nicht, ob CMS Wirkung entfalten, wir möchten nur, dass sie zur Enthaftung beitragen. Meines Erachtens darf man nicht bei dem vorher zitierten Gemeinplatz stehen bleiben, sondern muss sowohl rechtliche, als auch wirtschaftliche Schlüsse ziehen, die zusammenhängen: Es bedarf einer Rechtfertigung, wenn Geld ausgegeben wird. In den USA wird dieser Gesichtspunkt unter dem Schlagwort des „CMS overinvestment“ geführt. Das gilt auf Unternehmensebene, aber auch normativ: Geschäftsführer dürfen kein Geld verschwenden, und die Rechtsordnung darf dies den Unternehmen auch nicht ansinnen. Also muss man sich darüber klar werden, ob CMS wirksam sind, wie man die Wirksamkeit misst und wie viel Wirksamkeit rechtlich gefordert ist, um Organe und Prüfer zu enthaften.
Dazu lautet meine Schlussfolgerung: Den erwähnten Standards kommt kein Vorrang gegenüber anders basierten „Intuitionen“ zu, insbesondere nicht gegenüber der eigenen Intuition der Geschäftsleitung, vorausgesetzt, diese basiert auf einer vernünftigen Risikoanalyse und erscheint ex ante vertretbar. Bei der Vertretbarkeit kommt der Möglichkeit der Delegation und der Eigenverantwortung der Mitarbeiter eine besondere Rolle zu: Wird die Aufgabe, Recht und Gesetz einzuhalten, ordnungsgemäß delegiert, so darf die Geschäftsleitung darauf vertrauen, dass die Mitarbeiter die betreffenden Aufgaben ordnungsmäßig erfüllen. In jahrzehntelanger Praxis ist der Vertrauensgrundsatz ausreichend ausdifferenziert worden, um den unterschiedlichsten Gegebenheiten Rechnung zu tragen. Eine Organisation, die einerseits auf der Intuition der Geschäftsleitung und andererseits auf dem Vertrauensgrundsatz beruht, ist aus meiner Sicht nicht nur eine „first line of defense“. Sie reicht aus. Sie entspricht dem Menschenbild unserer Verfassung, das auf die Eigenverantwortung jedes Einzelnen setzt. Und sie ist obendrein das Lebenselixier einer hoch arbeitsteiligen und komplexen Industriegesellschaft wie der unseren. „Partizipative“ und „agile“ Unternehmensorganisationen verstärken dies weiter.
BOARD:
Inwiefern wird Ihrer Meinung nach Compliance-Management falsch oder unangemessen betrieben, und bezieht sich dieser Befund auf alle Unternehmen oder nur auf Unternehmen bestimmter Branchen oder Größenordnung?
Alexander Reuter:
Ich habe den Eindruck, dass an die Stelle umfangreichen „rubber stampings“, das primär Haftungsvermeidung anstrebt, Alternativen treten müssten, die mehr unternehmerischen Nutzen stiften und Bürokratie abbauen helfen. Der Finanzvorstand eines M-DAX – Unternehmens sagte mir vor einiger Zeit, eigentlich gebe es in Unternehmen zwei CMS, eines zur Enthaftung und Dokumentation und ein wirkliches, das in der laufenden Bemühung liege, die Abläufe zu verbessern und Schwachstellen (also die erwähnten Gelegenheiten) zu verkleinern. Das ist als überspitzter Gegensatz formuliert, der sich in der Praxis so nicht finden wird, sondern verfließt. Aber ich plädiere schon dafür, dass es besser ist, wenn die Organe sich zu den individuellen Compliance-Risiken ihres Unternehmens Gedanken machen und beim Umgang mit ihnen ihrer eigenen Intuition folgen anstatt Standards abzuarbeiten. Aus meiner Sicht muss dies dann auch zur Enthaftung vor Gericht ausreichen.
Dieser Befund bezieht sich nicht auf bestimmte Branchen oder Unternehmensgrößen, sondern ist allgemein. Wo der Gesetzgeber freilich bestimmte Systeme vorschreibt, wie z.B. in der Kreditwirtschaft, müssen Organe und Prüfer diese umsetzen. Dort kann man nur an den Gesetzgeber appellieren, nicht zu viel des Guten zu verlangen.
BOARD:
Sehen Sie den Grund für die von Ihnen kritisierte Entwicklung eher in der Rechtsprechung zu Compliance-Pflichten der Geschäftsleitung oder eher in der Beratungspraxis?
Alexander Reuter:
Triebfeder der Entwicklung ist die Angst vor Haftung. Denn die Rechtsprechung schreibt CMS entlastende Wirkung zu. Ferner können sich Gerichte und Gutachter der menschlichen Neigung nicht entziehen, hinterher alles besser zu wissen (hindsight bias / Rückschaufehler), obwohl sie um das Problem wissen und das Gegenteil beteuern. Auch das ist durch zahlreiche Studien empirisch belegt. Beispiel: Von 167 US-Bundesrichtern, die ein erstinstanzliches Urteil prüfen sollten, hielten 81,5% das Urteil für richtig, wenn ihnen zuvor gesagt wurde, das Urteil sei bestätigt worden, jedoch nur 27,8%, wenn ihnen zuvor das Gegenteil gesagt wurde. In dieser Lage wird man es den Organen, Prüfern und Beratern nicht verdenken können, Haftungsvorbeugung durch das erwähnte „rubber stamping“ zu betreiben, sich also bescheinigen zu lassen, das CMS erfülle einen gängigen Standard. Nötig ist das, wie ich meine, aber nicht, und auch der DCGK und der Gesetzgeber sollten zurückrudern.
BOARD:
Wie müsste Compliance Ihrer Meinung nach anders organisiert werden?
Alexander Reuter:
Wie gesagt, ich plädiere dafür, bei der Vorbeugung gegen Gesetzesverstöße die vernünftig begründete Intuition und den Vertrauensgrundsatz ausreichen zu lassen. Dies muss dann auch zur Enthaftung vor Gericht ausreichen. Wir müssen uns auch die volkswirtschaftlichen Kosten und Nutzen vor Augen halten: Die überwältigende Mehrheit von Mitarbeitern und Führungskräften hält sich ans Gesetz. Standards verlangen aber nach flächendeckenden CMS bis in den letzten Winkel. Wir geben also im Hinblick auf eine verschwindende Minderheit schwarzer Schafe immer mehr Geld aus. CMS Overinvestment hat also nicht nur eine betriebswirtschaftliche, sondern eine volkwirtschaftliche Dimension. Hinzu kommt ein weiteres: Das Deutsche Aktieninstitut hat zur Verschärfung der Organhaftung vor einigen Jahren formuliert: „Zu viel Absicherung kann sich die Volkswirtschaft im Transformationsprozess zu einer nachhaltigeren Wirtschaft nicht leisten. Wir brauchen vorausschauende Innovation und keine risikoaversen Entscheidungen.“ Das gilt auch im vorliegenden Zusammenhang: Ohne Zweifel, Gesetzeseinhaltung steht nicht zur Disposition der Unternehmen. Aber die Organe müssen sich im Rahmen des Vertrauensgrundsatzes bei ordnungsmäßiger Delegation schon darauf verlassen können, dass Führungskräfte und Mitarbeiter die Gesetze einhalten. Außerhalb des Unternehmens verlangt man das von ihnen ja auch. Das erscheint mir besser als immer mehr Kontrolle durch immer mehr CMS.
BOARD:
Welche Vorteile hätte ein solches anderes Compliance-Management Ihrer Meinung nach?
Alexander Reuter:
Wir würden entbürokratisieren, Kosten sparen und auf die Eigenverantwortung der Mitarbeiter setzen. Ergänzt sei, dass CMS-Pflichten, die flächendeckend gelten und laufend nach oben angepasst werden müssen, systemisch Risikobewusstsein und Risikoaversion in Unternehmen erhöhen, ohne entsprechend die Suche nach Chancen zu befeuern. Dies verschiebt Personal von Produktion und Chancenwahrnehmung zur Risikoabsicherung und zieht auf Unternehmens- und volkswirtschaftlicher Ebene weitere Kosten nach sich. Das sollten wir uns im Hinblick auf die wenigen schwarzen Schafe nicht leisten.
BOARD:
Meinen Sie, dass die Prämien für D&O-Versicherungen bei einem anderen Compliance-Management sinken würden?
Alexander Reuter:
D&O-Versicherer kalkulieren ihre Prämien bisher eher nach ganz anderen Gesichtspunkten und kaum nach CMS und CMS-Prüfbescheinigungen; diese erhärtet meine CMS-Skepsis. Es besteht aber ein anderer Zusammenhang mit dem Versicherungsbereich: Lässt die Geschäftsleitung es aufgrund der dargestellten Überlegungen bei „weniger CMS“ bewenden und ist dabei der Ansicht, das Risiko, dass Mitarbeiter oder Dritte Gesetze verletzen, steige zwar, dies werde aber durch Kosteneinsparungen und andere Vorteile überkompensiert, dann rückt die Frage nach Versicherungsschutz nach vorn. Dabei wird es weniger um D&O-Versicherungen gehen als um Vertrauensschaden-, Eigenschaden- und sonstigen Vermögensschadenversicherungen. Aus meiner Sicht müssten und könnten Unternehmen und Versicherer entsprechende Pakete entwickeln.
BOARD:
Müssten Geschäftsleitung und Aufsichtsrat mit Blick auf ihr Haftungsrisiko aber nicht bestrebt sein, am bisherigen Compliance-Management festzuhalten?
Alexander Reuter:
Ohne Zweifel besteht bei Organen und Prüfern das Bedürfnis, anhand von Standards, die sich abarbeiten lassen, feststellen zu können, ob sie ihren Pflichten genügt haben, und in der Tat gibt es Rechtsprechung, die CMS Entlastungswirkung beimessen, wenn dann doch ein Rechtsverstoß aufgedeckt wird. Nicht verkannt darf aber werden: Die Rechtsprechung sieht sich an betriebswirtschaftliche Standards nicht gebunden. Rubber stamping kann dazu führen, dass mit viel Aufwand an den individuellen Gegebenheiten vorbeigearbeitet wird und die vielen Pflichtübungen die Organe in Scheinsicherheit wiegen. In den letzten Jahren sind prominente Rechtsbrüche gerade bei Unternehmen eingetreten, die viel auf ihre CMS hielten und dafür ausgaben. Statt schematischer Konzeptanalysen kommt es daher eher darauf an, einerseits common sense, Intuition und Unternehmenskenntnis walten zu lassen und andererseits den Vertrauensgrundsatz zu beherzigen. Es hat doch keinen Sinn, im Hinblick auf eine vermutlich verschwindend geringe Zahl von Rechtsbrüchen Kontrollstandards bis in den letzten Winkel der Volkswirtschaft auszurollen und Millionen rechtskonformer Vorgänge schematisch Kontrollstandards zu unterwerfen, und dies, obwohl sich die „Wirksamkeit“ von CMS nicht nachweisen lässt.
BOARD:
Vielen Dank für das Gespräch!
Das Interview finden Sie neben den anderen vollständigen Artikeln im Archiv der BOARD 3/2025.
