Wie wichtig es ist, unternehmensintern klare Regeln für die Governance aufzustellen und dabei auch zu analysieren, wo es möglicherweise Konflikte zwischen unterschiedlichen Regularien gibt, haben sowohl Sachar Paulus als auch ich in den vergangenen Wochen wiederholt beschrieben. Zwar sind bislang Sanktionen bei Compliance-Verstößen eher Mangelware – doch man weiß nie, welcher Papiertiger eventuell doch mal beißen wird.
Trotz der Fälle von Siemens und der Deutschen Bahn, bei denen die Missachtung von Regeln letztlich auch zum Abgang von Vorstandsvorsitzenden geführt hat, muss man trotzdem manches mal das Gefühl haben, dass viele der Vorschriften eigentlich Papiertiger sind. So hat letztlich Ex-Bahnchef Hartmut Mehdorn wegen des politischen Drucks und nicht direkt wegen der Nichtbeachtung datenschutzrechtlicher Vorschriften (so sie denn nicht beachtet wurden) gehen müssen.
So wurde der Sanktionsrahmen des Bundesdatenschutzgesetzes BDSG wohl noch nie ausgenutzt. Interessant dabei ist, dass es sich darüber hinaus bei den meisten Verstößen gegen das BDSG nur um Ordnungswidrigkeiten, und nicht um Straftaten handelt.
Ein anderer interessanter Fall ist der Paragraph 91 Abs. 2 AktG, der sich mit dem Risikomanagement beschäftigt: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Eine Verletzung würde eigentlich nach § 93 Abs. 2 zu Schadensersatz gegenüber der Gesellschaft verpflichten, also zur persönlichen Haftung führen.
Wenn man nun das Funktionieren solcher Überwachungssysteme bei vielen Banken in den vergangenen Monaten betrachtet, dann kann man nur zum Schluss kommen, dass diese eben nicht die genannten Anforderungen erfüllt haben. Oft genug war das Risiko viel größer als zunächst gegenüber dem Aufsichtsrat gesagt wurde.
Sanktionen? Fehlanzeige. Stattdessen wird immer noch über Bonuszahlungen, Abfindungen und Pensionszahlungen diskutiert – eine Diskussion, die sich durch dezenten Hinweis auf diesen Paragraphen zumindest für die Vorstandsmitglieder von als AG geführten Banken, die in letzter Zeit frisches Kapital benötigt haben, schnell beenden ließe.
Wer sich allerdings etwas näher beispielsweise mit diesem Paragraphen, aber auch mit vielen anderen Vorschriften wie Basel II oder der 8. EU-Prüferrichtlinie beschäftigt stellt fest, dass es eben auch an wirklich klaren Regelungen fehlt. Die „geeigneten Maßnahmen“ mit einem „ Überwachungssystem“ sind relativ unscharf. Ausgefüllt wird das durch Kommentare und die Rechtsprechung. Für andere Regelungen gilt das analog. Das BDSG ist, ebenso wie viele der US-Richtlinien, da schon ein Musterbeispiel, weil es die Anforderungen viel klarer fasst.
Heißt das nun, dass man sich einfach ausruhen kann? Nein, natürlich nicht. Es macht die Aufstellung von internen Regelkatalogen umso wichtiger. Denn im Zweifel gilt dann eben doch, dass man die Richtlinien hätte einhalten müssen. Solche Regelkataloge müssen im Zusammenspiel von interner Revision, externen Prüfern, der Unternehmensleitung, dem Datenschutzbeauftragten, gegebenenfalls dem Betriebsrat und natürlich den IT-Verantwortlichen für ihre Umsetzung definiert werden.
Denn das Problem mit diesen Regelungen ist, dass die Papiertiger zwar oft nicht beißen, aber manchmal doch. Und auf diese Situationen muss man vorbereitet sein. Und da man nicht weiß, welcher Papiertiger nun beißen wird und welcher nicht, muss man auch die möglichen Konflikte zwischen solchen Regeln identifizieren.