Bislang in Fachkreisen der Compliance-Community diskutiert, ist die sog. Produkt-Compliance in europäischen Unternehmen bislang als "Boardroom-Thema" weitgehend unbekannt. Mit dem Daimler consent decree im Gesamtvolumen von rund USD 1,5 Mrd. im Zusammenhang mit der Aufarbeitung der Dieselskrise tauchte erstmals der Begriff des "technical compliance management systems", kurz tCMS, in der breiteren Öffentlichkeit auf. Handelt es sich vielleicht, so könnte man annehmen, um eine Nuance der bereits fest in der Unternehmenslandschaft verankerten Qualitätssicherungsprozesse und des Produkthaftungs-Risikomanagements? Und selbst wenn dem nicht so wäre, sollte nicht das vorhandene Compliance Management System auch die Einhaltung produktbezogener Gesetze gewährleisten, so dass kein grundsätzlicher Handlungsbedarf besteht? Dieser Beitrag greift diese Fragen auf und stellt dar, dass es sich bei der Produkt-Compliance nicht nur um ein Fachthema für die Experten in der Compliance-Organisation handelt, sondern um eine zunehmend bedeutsame Frage des Risikomanagements, das nach § 91 Abs. 2 AktG in den Verantwortungsbereich des Vorstands fällt und insoweit auch Gegenstand der Überwachungstätigkeit des Aufsichtsrats ist.
Produkt-Compliance beschreibt die Einhaltung der produktbezogenen Vorschriften. Hierbei geht es nicht nur um die bekannten, typischerweise im Qualitätsmanagement angesiedelten gesetzlichen Vorgaben aus den Bereichen der Produktsicherheit und -haftung, sondern vor allem um technische Normen, die Anforderungen beispielsweise hinsichtlich Testverfahren, Beschaffenheit oder ökologischer Auswirkungen von Prozessen oder Eigenschaften von Produkten regeln.
Im Zuge der zunehmenden Komplexität von Produkten und Produktionsprozessen ist eine Konvergenz der kontinentaleuropäischen und angelsächsisch geprägten Regulierungsansätze zu beobachten. Während jenseits des Großen Teichs der Staat tendenziell zurückhaltend reguliert, reagiert er bei Rechtsverstößen mit drakonischer Härte. Dieser Ansatz setzt auf das eigenverantwortliche Produktrisikomanagement der Unternehmen zur Vermeidung potentiell existenzbedrohender Haftungsrisiken. Umgekehrt der traditionelle Ansatz in Kontinentaleuropa: Staatliches Handeln ist durch eine hohe Normdichte und den eigenen Anspruch geprägt, auch neue Produkte zu verstehen und einer präventiven Produktregelung zu unterwerfen. Diesem Steuerungsmechanismus vertrauend, ist die Sanktionsseite bislang weniger dezidiert ausgeprägt. Die Dieselkrise hat indes gezeigt, dass auch in Kontinentaleuropa Bußen im Milliardenbereich für ein Produkt möglich sind, das aufgrund seiner Komplexität und letztlich auch des proprietären Charakters von Software einer ex ante Regulierung und effektiven Beaufsichtigung nur eingeschränkt zugänglich war.
Steigendes Risiko struktureller Fehlentwicklungen in Unternehmen
Es hat sich in jüngerer Zeit gezeigt, dass die regulatorischen Vorgaben in ihrer Ausgestaltung mit der industriellen Entwicklung oftmals nicht Schritt halten. Gleichzeitig nimmt die Komplexität der Regulierung zu. Beide Entwicklungen erhöhen das Risiko struktureller Fehlentwicklungen im Unternehmen und daraus resultierender Haftungsrisiken. Diese Risiken werden dadurch potenziert, dass Mängel in der Produkt-Compliance aufgrund der eingangs beschriebenen Komplexitäten und Informationsasymmetrien möglicherweise erst nach Jahren zutage treten. Dies kann aufgrund einer Vielzahl betroffener Produkte im Markt einen Serienschaden sowie massive staatliche Reaktionen auslösen - siehe Dieselkrise.
Dieser Befund legt es nahe, sich als Organ im Rahmen des Managements und Monitorings potentiell bestandsgefährdender Risiken mit organisatorischen und strukturellen Fragen der Produkt-Compliance zu beschäftigen. Hierbei fällt mit Blick auf die gängigen Strukturen und Prozesse auf, dass Produkt-Compliance ganz überwiegend von den zuständigen operativen Einheiten durch deren technische Experten betrieben wird. Wenn somit die Auslegung und Anwendung von Produktnormen ohne Einbindung von Juristen erfolgt, kann dies als Indiz für strukturelle Mängel und hieraus resultierend eine fehlende inhaltliche Entscheidungsrichtigkeit der First Line of Defense gewertet werden.
Gleiches gilt mit Blick auf den Umstand, dass Produkt-Compliance überwiegend noch nicht als Aufgabe für die Compliance- bzw. Rechtsabteilung wahrgenommen wird. Diese sind im Regelfall auf die klassischen Themenfelder Antikorruption, Kartellrecht, Exportkontrolle und Antigeldwäsche ausgerichtet.
Sollte es zu einem Normverstoß von Produkten kommen, liegt es nahe, dass die Behörden insoweit von einer unzweckmäßigen oder unwirksamen First und Second Line of Defense ausgehen könnten. Auch und gerade in einem internationalen Kontext unter Beteiligung der USA kann dies einen erheblichen Angriffspunkt für Aufsichts- und Ermittlungsbehörden darstellen. Derartige strukturelle Defizite sind somit nicht nur mit Blick auf die Eintrittswahrscheinlichkeit von produktbezogenen Normverstößen relevant, sondern erschweren im Verstoßfall auch eine effektive Verteidigung des Unternehmens mit dem Argument ordnungsgemäßer Compliance-Strukturen.
Keine allgemeingültige Lösung
Vor dem Hintergrund dieses Befunds stellt sich die Frage nach möglichen strukturellen Lösungsansätzen. Angesichts der Vielzahl der Geschäftsmodelle kann es keine "one size fits all"-Lösung geben. Dennoch: Einige allgemeine Erkenntnisse aus der bisherigen Erfahrung lassen sich vor die Klammer ziehen:
Die zentrale Weichenstellung knüpft an die Frage an, wie die First Line of Defense durch einen effizienten Zugang zu Rechtsberatung gestärkt werden kann. Hierbei hat sich in der Praxis gezeigt, dass zentrale Strukturen ineffektiv sein können, etwa weil der persönliche Kontakt zu einer Rechtsabteilung fernab in der Konzernzentrale fehlt und die praktischen Hürden, diese anzusprechen, hoch sein mögen. Wichtig ist daher eine räumlich und organisatorisch enge Einbindung der Juristen auf der Ebene der Produktentwicklung, letztlich also eine Eingliederung in die relevanten operativen Geschäftseinheiten.
Hierbei wird es nicht darum gehen, dass jedem Ingenieur ein Jurist über die Schulter schaut. Die technischen Experten kennen "ihre" Regelwerke und wissen sehr genau, wo sie den grünen Bereich verlassen. Ein gutes tCMS stellt daher sicher, dass das in der Organisation vorhandene Ingenieurswissen um möglicherweise kritische Themen in der First Line of Defense einem strukturierten Analyse- und Entscheidungsprozess unter Einbindung von Juristen zugeführt wird. Hierzu wird es geeigneter Schulungen und Anreizstrukturen bedürfen, damit ein Problemprodukt angesichts der in einer arbeitsteiligen Großorganisation typischen Verantwortungsdiffusion nicht an der Compliance-Funktion vorbei in den Markt gebracht wird.
Um ihrer Rolle gerecht werden zu können, ist eine Produkt-Compliance-Funktion mit Rückgrat essentiell. Sie muss befähigt und von ihrem Standing her in der Lage sein, Änderungen eines Produkts durchzusetzen und erforderlichenfalls sogar das Inverkehrbringen oder die weitere Auslieferung zu stoppen. Diese Anforderung steht in einem gewissen Spannungsverhältnis zur Einbindung in die operativen Geschäftseinheiten. Abhilfe können direkte Berichtslinien in den Compliance- oder Rechtsbereich schaffen. Gleichwohl ist der Aufbau einer derart ertüchtigten Compliance-Funktion in der First Line of Defense nicht nur aufgrund der Konflikte mit den ökonomischen Zielen des operativen Managements eine Herausforderung. Hinzu kommen die Tücken des Vermeidungsparadoxons: Während eine Verzögerung der Produktentwicklung aus Compliance-Gründen oder im Extremfall ein Lieferstopp im Regelfall gut abschätzbare, erhebliche Schäden herbeiführen dürfte, werden die andernfalls zu erwartenden Risiken behördlicher Verfahren, Bußen und Schadensersatzprozessen oftmals nur schwer zu quantifizieren sein, da sie durch die betreffende Compliancemaßnahme ja gerade vermieden wurden.
Ein weiteres Element eines effektiven tCMS ist die kontinuierliche Schulung des technischen Personals. Hierbei gilt es Verständnis dafür zu wecken, dass die Produkt-Compliance nicht auf gesetzliche Vorgaben beschränkt ist. Auch die Nichteinhaltung privater Standards kann problematisch sein, wenn Produktbeschreibung oder Marktwahrnehmung von deren Einhaltung ausgehen. Risiken können sogar dann entstehen, wenn technische Standards vollständig erfüllt werden. Dies kann dann der Fall sein, wenn in der Werbung oder sonstigen Unternehmenskommunikation unzutreffende Markterwartungen an eine Übererfüllung der Standards begründet werden. Praxisbeispiele sind die falsche Bewerbung von Produkten als besonders umweltfreundlich (greenwashing). Eine holistische Sicht unter Einbeziehung der Unternehmenskommunikation ist daher essenziell. Dass ein Verstoß gegen technische Standards nicht nur erhebliche Haftungsfolgen für das Unternehmen, sondern gegebenenfalls sogar eine persönliche strafrechtliche Verantwortlichkeit nach sich ziehen kann, mag weit jenseits der Vorstellungswelt des technischen Personals liegen. Diese Zusammenhänge sollten in Workshops nicht nur abstrakt, sondern anhand praktischer Beispiele für Zweifelsfälle und Dilemmata aus der täglichen Arbeit vermittelt und geschärft werden.
Dieser Beitrag ist auch in der Ausgabe 5/2021 von BOARD - Zeitschrift für Aufsichtsräte erschienen.