Compliance steht für systematische Vorkehrungen, um in einem Unternehmen oder einer gemeinnützigen Organisation Regel- und Rechtsverstöße so weit wie möglich auszuschließen. Kommt es dennoch zu folgenschweren Fehlern, können Compliance-Maßnahmen über die Haftung der Verantwortlichen entscheiden.
Compliance Management hat zum Ziel, das Vermeiden von Fehlverhalten und Regelverstößen konsequent in die Handlungs- und Entscheidungsstrukturen einer Organisation einzubetten. Das englische Wort „Compliance“ bedeutet Regelbefolgung oder Erfüllung. Durch Compliance Management sollen rechtliche und selbst gesetzte Regeln Teil des gelebten Alltags werden.
Der Erfolg von Compliance Managements beeinflusst die Haftung der Verantwortlichen, falls es doch zu einem Fehlverhalten mit Schadenfolgen kommt. Haben sie für funktionierende Compliance-Strukturen gesorgt, kann das einiges zu ihrer Entlastung beitragen.
Innenhaftung und Außenhaftung in einer gemeinnützigen Organisation
Gemeinnützige Organisationen sind juristische Personen mit eigenen Rechten und Pflichten. Als abstrakte Wesen handeln sie jedoch nicht selbst. Vertreter*innen treffen für sie Entscheidungen, schließen Verträge ab, überweisen Geld und ähnliches mehr – zum Beispiel Vorstandsmitglieder bei einem gemeinnützigen Verein oder einer gemeinnützigen Stiftung, Geschäftsführer*innen und Prokurist*innen bei einer gGmbH. Im juristischen Sprachgebrauch nennt man die Leute, die diese Positionen ausfüllen, die „Organe“ der Organisation oder „Körperschaft“.
Durch die Vertretung ist auch die Haftung für Fehler, Regel- und Gesetzesverstöße bei juristischen Personen komplexer als bei natürlichen Personen. Bei einer juristischen Person geht es immer um mehrere Aspekte und Ebenen:
- Die Haftung nach innen kann sich von der nach außen unterscheiden.
- Die Haftung für eine Pflichtverletzung oder eine Forderung kann die juristische Person selbst betreffen oder in die persönliche Haftung der Vertreter*innen beziehungsweise Verantwortlichen fallen.
Mittelfehlverwendung: Eine Non-Profit gönnt sich eine Sauna
Ein Beispiel: Angenommen, eine Non-Profit verwendet Fördermittel, die eigentlich nur zur gemeinnützigen Arbeit bestimmt sind, um in der Geschäftsstelle eine Sauna mit Whirlpool einzubauen. Die Sauna dient nicht etwa als wirtschaftlicher Geschäftsbetrieb oder für die satzungsmäßigen Zwecke, sondern ist als private Annehmlichkeit für die Vorstandsmitglieder gedacht.
Wenn die Sache auffliegt, müssen drei Fragen geklärt werden:
- die Verantwortlichkeit: Wer hat die Entscheidung zum Sauna-Einbau getroffen, wer war daran beteiligt?
- die Pflichtverletzungen: Welche Vorschriften, Vorgaben und Gesetze wurden dadurch verletzt?
- die Haftung: Wer muss wem den entstandenen Schaden ersetzen?
Außenhaftung und Innenhaftung
- Außenhaftung: In einem Verein vertritt der Vereinsvorstand den Verein nach außen (§ 26 BGB). Deshalb haftet der Verein für die dabei abgeschlossenen Vereinbarungen und ihre Folgen. Wenn der Vereinsvorstand einen Handwerksbetrieb verbindlich mit dem Einbau der Sauna beauftragt hat, dann ist der Verein an diese Vereinbarung gebunden. Er kann die Bezahlung später nicht deshalb verweigern, weil eine Mittelfehlverwendung vorliegt, er die Sauna gar nicht benötigt und die Vorstandsmitglieder eigenmächtig entschieden haben.
Die Außenhaftung liegt beim Verein. Anders ist dies nur, wenn der Vertrag sittenwidrig war oder aus anderen Gründen unwirksam ist. Entsprechendes gilt auch für eine gGmbH und ihre Geschäftsführer*innen. - Innenhaftung: Trotzdem ist der Vereinsvorstand nach der Sache mit der Vorstandssauna keineswegs aus dem Schneider. Die Vorstandsmitglieder haften sehr wohl für ihre pflichtwidrige Entscheidung – nach innen, das heißt gegenüber dem Verein als juristischer Person, und gegenüber den Vereinsmitgliedern. Sie müssen dem Verein für die Schäden, die sie durch ihr pflichtwidriges Verhalten verursacht haben, Schadenersatz leisten.
In unserem Beispiel könnte ein neu gewählter, pflichtbewusster Vorstand die Mitglieder des alten Vorstands im Namen des Vereins auf Ersatz sämtlicher Schäden verklagen: die Handwerker-Rechnung, die Fördermittel, die zurückgezahlt werden müssen, den Verlust des Fördergebers und nicht zuletzt die Rechtskosten. - Gesamtschuldnerische Haftung: Etwas anders gilt, wenn statt dem Verein ein Dritter geschädigt wurde. Angenommen, der skrupellose Vorstand aus unserem etwas zugespitzten Beispiel belässt es nicht bei der Sauna-Installation. Der Vorsitzende beschädigt zudem in der Geschäftsstelle eine teure Maschine des Sauna-Installateurs.
Der Handwerksbetrieb hat deshalb Anspruch auf Ersatz des Schadens. Den kann er sich sowohl vom Vorsitzenden des Vereins holen wie auch vom Verein selbst. Beide, der e. V. und das Vorstandsmitglied, haften für die Schädigung des Dritten. Man nennt das gesamtschuldnerische Haftung. Hält sich der Handwerksbetrieb an den Verein, kann dieser den Betrag wiederum im Rahmen der Innenhaftung von dem verantwortlichen Vorstandsmitglied zurückfordern.
Drei wichtige Anmerkungen:
- Die Haftung der Organe hängt von der Rechtsform ab. Das Gesagte gilt für einen eingetragenen Verein. Die Innen- und Außenhaftung ist zwar auch im Fall einer gGmbH gegeben. Dort gibt es jedoch keine gesamtschuldnerische Haftung gegenüber Dritten. Dafür ist das Risiko der persönlichen Haftung für die Geschäftsführung einer gGmbH oder gUG besonders hoch: Geschäftsführer*innen haften auch bei Sorgfaltspflichtverletzungen mit ihrem Privatvermögen, etwa wenn sie bei Insolvenzreife nicht rechtzeitig Insolvenzantrag stellen.
- Über die Haftung wird nicht nur von der Rechtslage bestimmt, d. h. von Gesetzen und Verordnungen. Die Satzung ist ebenfalls entscheidend. Diese enthält in der Regel Vorgaben zu den Vorstandspositionen, ihren Aufgabenbereichen und zur Beschlussfassung. Zum Beispiel kann die Satzung vorsehen, dass Geschäfte ab einem Volumen von 1.000 Euro nur von zwei Vorstandsmitgliedern gleichzeitig abgeschlossen werden dürfen, und ab einem Volumen von 10.000 Euro die Mitgliederversammlung zustimmen muss. Da die Satzung für den Vereinsvorstand selbstverständlich verbindlich ist, können Verstöße dagegen schnell eine persönliche Haftung begründen.
Das gilt entsprechend auch für eine gGmbH, denn auch dort kann die Satzung Festlegungen dazu enthalten, welche Geschäfte die Geschäftsführer*innen allein abschließen dürfen, ob Vereinbarungen möglicherweise von mehreren Geschäftsführer*innen unterzeichnet werden müssen und ob ab einem gewissen Volumen die Gesellschafter*innen zustimmen müssen. - Zusätzlich zur Haftung für Schäden kann es bei Fehlverhalten auch um Straftatbestände gehen. So wäre der Einbau der Sauna in unserem Beispiel vermutlich ein Fall von Untreue (§ 266 StGB), die Sache mit der Maschine bei Vorsatz Sachbeschädigung (§ 303 StGB). Strafrechtsverstöße werden von der Staatsanwaltschaft verfolgt und können in einen Strafprozess münden. Schadenersatzforderungen gegen Mitglieder des Vorstands oder der Geschäftsführung sind dagegen eine Sache des Zivilrechts: Der Verein oder die GmbH (bzw. deren Vertreter) müssen vor dem Zivilgericht Klage erheben.
Für was können Verantwortliche einer Non-Profit haften?
Haften können Verantwortliche einer Non-Profit für ganz unterschiedliche Schäden. Einige Beispiele:
- Fördermittel werden fehlverwendet oder verschwendet.
- Die Non-Profit muss nach Regelverstößen Fördermittel zurückzahlen, Bußgelder begleichen oder Säumniszuschläge überweisen.
- Durch mangelnde Sorgfalt der Verantwortlichen kam es zu Diebstählen oder Sachschäden an Eigentum der Non-Profit.
- Durch Versäumnisse der Verantwortlichen laufen unnötige Kosten auf, etwa die Miete für nicht mehr benötigte Räume, deren Mietvertrag nicht gekündigt wurde.
- Aufgrund von Korruption und Vetternwirtschaft wurde Material viel teurer beschafft als notwendig.
Compliance: Regelverstöße systematisch unwahrscheinlicher machen
Ziel von Compliance Management ist es, in einer Organisation die Einhaltung von Regeln und Vorschriften systematisch zu verankern. „Regeln“ umfasst dabei Gesetze ebenso wie die Satzungsbestimmungen, Verpflichtungen im Rahmen von Fördervereinbarungen sowie freiwillige Verpflichtungen, etwa Selbstverpflichtungen zu ökologisch nachhaltiger Arbeit oder zur Prävention von sexualisierter Gewalt.
Compliance Management soll dazu führen, dass Verstöße dagegen …
- nach Möglichkeit gar nicht erst vorkommen,
- bemerkt und/oder gemeldet werden, falls es doch dazu kommt und
- die Organisation darauf angemessen reagiert.
Compliance-Management-Systeme und Compliance-Beauftragte
In größeren Organisationen mit entsprechenden Budgets gibt es ausgefeilte Compliance Management Systeme (CMS). Eigene Compliance-Beauftragte sind für die Umsetzung zuständig.
- Systematisches Compliance Management beginnt bei einer detaillierten und möglichst konkreten Analyse der Non-Compliance-Risiken der Organisation. Dafür müssen die Compliance-Ziele der Organisation klar sein. In manchen Non-Profits kann Korruption schnell zum Problem werden. In anderen ist diese Gefahr gering, dort drohen dafür vielleicht sexuelle Übergriffe. Das Compliance Management sollte sowohl das Selbstverständnis der Organisation als auch die konkrete Risiko-Situation abbilden.
- Ein zentraler Schritt besteht darin, genaue Richtlinien und Vorgaben festzulegen. Damit soll nicht das gesamte Innenleben der Non-Profit bürokratisiert werden. Vielmehr ist der Zweck, für alle kritischen Abläufe wie Auftragserteilungen, die Freigabe von Zahlungen oder den Umgang mit anonymen Hinweisen ein einheitliches Prozedere zu definieren. Die Beteiligten sollen wissen, was zu tun ist und wie weit ihr Spielraum reicht.
Natürlich darf es nicht bei abstrakten Regularien bleiben. Die Abläufe und Prozesse müssen Compliance-orientiert gestaltet oder umgestaltet werden. Ein einfaches Beispiel ist das Vier-Augen-Prinzip. Ein anderer Grundsatz besteht darin, für alle Entscheidungen Dokumentation und Transparenz zu gewährleisten und allen Angehörigen der Organisation Zugriff auf die relevanten Regelungen zu geben. - CMS-Software unterstützt die Einführung und Umsetzung des Compliance-Programms durch digitale Ressourcen: Sie hält die entscheidenden Regularien bereit, oft kontextabhängig in der relevanten Auswahl, und erlaubt Meldungen, Abfragen, Dokumentationen und Erlaubnisse in digitaler Form. Das Programm beschreibt beispielsweise, wer bei welcher Entscheidung angehört werden oder zustimmen muss und dokumentiert die entsprechende Rückmeldung. Oder es hält fest, wer welche Art von Einladung oder Geschenk annimmt und wer darüber informiert wurde.
CMS-Software ist nur für größere Organisationen realistisch, da ein solches Programm auf die Organisation angepasst sowie laufend aktuell gehalten werden muss und Schulungen erfordert. Für kleinere Non-Profits genügt in der Regel ein klar ausgearbeitetes Regelwerk, das alle kennen. - Compliance muss in den Köpfen verankert werden. Dazu gehören Schulungen zu den konkreten Regeln und dem Gebrauch der CMS-Software sowie Aufklärungsarbeit zu den Zielen und dem Sinn des Vorhabens.
- Jede*r in der Organisation sollte die Möglichkeit haben, Verstöße zu melden: Whistleblower-Funktionen und -Abläufe gehören zu Compliance dazu. Auch dafür müssen Abläufe eingerichtet werden.
- Wichtig ist es, dass das Compliance-Thema innerhalb der Organisation von Personen mit viel Leidenschaft und ausreichenden Befugnissen vertreten wird – von der Risiko-Analyse und der laufenden Aktualisierung der Normen bis zur Prüfung und Verfolgung von Whistleblower-Nachrichten.
Es geht um Verantwortung, nicht nur um ein Schlagwort
Compliance und Haftung sind Themen, die über die Existenz einer Non-Profit und ihrer Verantwortlichen entscheiden können. Unser Beispiel der Vorstands-Sauna war zugespitzt, solche Fälle sind eher selten. Andere Probleme sind dagegen nur allzu häufig: Vorfälle von sexualisierter Gewalt oder Diskriminierung, das Verwischen der Grenzen zwischen gemeinnütziger Arbeit und persönlichem Vorteil, Vorstandsmitglieder, die sich nicht an Regeln halten. Wenn Compliance ein echtes Anliegen ist, kann eine Organisation solche Eventualitäten in vielen Fällen von vornherein vermeiden oder zumindest angemessen darauf reagieren.
Compliance Management minimiert nicht nur rechtliche Risiken. Im Idealfall gewährleistet es, dass eine Non-Profit sich selbst und ihren Werten treu bleibt.