Mit der MaRisk-Novelle von 2020 wurden die bereits bestehenden Compliance-Funktionen bei den Banken nochmals erweitert. Im Wesentlichen geht es darum, weitere Risiken im Bankengeschäft einzudämmen. Dies betrifft notleidende und gestundete Kredite (NPE) ebenso wie Auslagerungsvereinbarungen, das IT- und Notfallmanagement, die Risikotragfähigkeit, Stresstests und operationelle Risiken.
Davor wurden schrittweise erweiterte Compliance-Funktionen bei den Banken eingeführt - darunter etwa Anti-Geldwäsche-Programme, Anti-Financial-Crime-Committees, Red-Flag-Committees als internes Meldeverfahren für Verstöße gegen Risikovorschriften und Regulatory-Contact-Offices-International, die in Kontakt mit den Aufsichtsbehörden stehen. Hinzu kamen weitere Richtlinien und Prinzipien zur Korruptionsbekämpfung, zu Grundsätzen der Integrität, Rechenschaft, Verantwortlichkeit, Fairness und Rücksichtnahme sowie Regelwerke für den Umgang mit Kunden.
Maßnahmen für ein angemessenes Risikomanagement
Für Finanzdienstleister ist in diesem Kontext vor allem §25a KWG ausschlaggebend. Diese Norm schreibt die „Einrichtung interner Kontrollverfahren“ inklusive einer Compliance-Funktion ausdrücklich vor. Sie besagt außerdem, dass Banken und Finanzinstitute in der Europäischen Union erforderliche Maßnahmen für ein angemessenes und wirksames Risikomanagement treffen müssen, um die Risikotragfähigkeit laufend sicherstellen zu können. Das Risikomanagement hängt hierbei von Art, Umfang, Komplexität und Risikogehalt der jeweiligen Geschäftstätigkeit ab. Weiterhin sollen interne Kontrollverfahren mit internen Kontrollsystemen implementiert werden, um Risiken genauer zu erfassen. Die Angemessenheit und tatsächliche Wirksamkeit ist regelmäßig zu überprüfen.
Klares Verständnis für Compliance-Regeln erforderlich
Zwar wird der Begriff „Compliance“ ausdrücklich in §25a KWG erwähnt. Wie er jedoch genau definiert ist, dazu äußert sich das Gesetz nicht. Daraus ergibt sich ein nicht unerheblicher Interpretationsspielraum. Zudem entsteht ein Spannungsfeld zwischen Regulatorik und tatsächlich gelebter Compliance.
Die beschriebenen Vorschriften sollen im Wesentlichen Risiken verringern oder vermeiden. Umsetzbar ist dies durch Gesetze, Risikomanagement-Systeme und Richtlinien, die von den Mitarbeitern jedoch erst einmal verstanden werden müssen. Exakt dies ist die besondere Herausforderung von Compliance. Compliance ist eben nicht das reine Befolgen von Gesetzen und Vorgaben. Vielmehr wird ein funktionierendes Compliance-Management-System von zwei Säulen getragen: Risikomanagement und Kultur. Umsetzbar ist gerade der kulturelle Aspekt nur mit einer geeigneten Schulungs- und Kommunikationsstrategie.
Alle Beteiligten des Unternehmens, vom Vorstand bis zum einfachen Mitarbeiter, müssen die Compliance-Regeln nicht nur verstehen, sondern auch umsetzen wollen. Hierfür ist ein klares Verständnis der Regelungen und insbesondere des „Warum“ und „Wofür“ unabdingbar. Ziel muss es sein, sämtliche Risiken vom Unternehmen und damit auch vom Kunden fernzuhalten. Die Mitarbeiter müssen verstehen, dass es sich nicht nur lohnt, für ihre Bank zu arbeiten. Sie müssen begreifen, dass es sich erst recht lohnt, wenn sie Richtlinien befolgen, die das Unternehmen schützen. Dieses Verständnis entsteht automatisch - im Zuge der zunehmenden Sensibilität für Compliance. Nach dem Motto „Protect what you love“ achten die Mitarbeiter dann nicht nur auf ihren eigenen Arbeitsplatz, sondern auch darauf, dass die Kollegen den Arbeitsplatz aller schützen. Dies wiederum ist der Idealzustand gelebter Compliance-Kultur.
Autor: Prof. Dr. Peter Fissenewert
ist Rechtsanwalt und Partner der Kanzlei Buse am Standort Berlin. Seine Tätigkeitsschwerpunkte sind das Wirtschaftsrecht und das Wirtschaftsstrafrecht und hier insbesondere das Gesellschaftsrecht, Restrukturierung, Sanierung und Insolvenz sowie Compliance-Beratung und Managerhaftung. Er zählt zu den führenden Beratern und Autoren in diesen Bereichen und nimmt regelmäßig als Redner an hochkarätigen Fachveranstaltungen teil. Vor seiner Tätigkeit als Rechtsanwalt arbeitete Peter Fissenewert unter anderem als Sprecher des Berliner Innensenators und führte bis 1995 die Geschäfte einer mittelständischen Unternehmensgruppe. Seit 2005 hält er eine Professur für Wirtschaftsrecht. Peter Fissenewert berät Unternehmen und Unternehmer und hat sich als Mittelstands-Experte zudem intensiv mit der Entwicklung und Implementierung von Compliance-Systemen auseinandergesetzt. Peter Fissenewert ist Herausgeber des bei C.H. Beck, München, erschienenen Standardwerks „Compliance für den Mittelstand“.
