Alle derzeit erkennbaren Trends, die die Compliancepraxis beschäftigen, hat unser Autor für Sie zusammengefasst. Es sind:
(1) Digitalisierung
Digitalisierung ist und bleibt ein Megatrend. Auch im Compliancebereich lassen sich viele Workflows durch Automatisierung und digitale Innovationen vereinfachen. Diese junge Disziplin hat allerdings noch viel Nachholpotential, wie die Studie „The Future of Compliance“ (siehe hier) von Deloitte und der Quadriga Hochschule zeigt. Danach nutzten vor der COVID-Pandemie fast ein Viertel der befragten deutschen Unternehmen keinerlei IT-Tools für ihre Compliancearbeit, weitere 39% setzten lediglich ein oder zwei Lösungen ein.
Allerdings ist die Bedeutung der Digitalisierung, das zeigt die Studie ebenfalls, auch den Compliance- und Ethikexperten bewusst und damit der Trend für die Zukunft eindeutig: 71% der Befragten gehen davon aus, dass die Anzahl an Software-Lösungen weiter zunehmen wird.
Die COVID-Pandemie hat diesen Trend massiv befeuert. Unternehmen mussten sich zwangsläufig auf die vielfältigen Möglichkeiten einlassen, die ihnen der virtuelle Raum für ihre Kommunikation bietet. Während des Lockdowns war es schließlich die einzige Möglichkeit, den Kontakt zu den Stakeholdern und den eigenen Beschäftigten, die remote arbeiteten, aufrecht zu erhalten.
Aber auch in vielen anderen Bereichen werden die Complianceerantwortlichen über kurz oder lang nicht um digitale Tools herumkommen. Das beginnt bereits bei den Meldekanälen, die das deutsche Hinweisgeberschutzgesetz (siehe hier) ab Anfang Juli bzw. Dezember 2023 vorschreibt. Digitale Lösungen haben sich hier als Best Practice etabliert und bieten die einzige Möglichkeit, eine sichere und DSGVO-konforme Kommunikation mit Personen, die auf Missstände hinweisen, sicherzustellen. Hier ist eine deutliche Zunahme der Meldungen auch durch das wachsende Vertrauen der Hinweisgebenden zu erwarten. Bereits jetzt ist eine deutliche Steigerung der eingeführten Meldekanäle zu verzeichnen.
Die meisten Unternehmen können sich in der Praxis nicht mehr vorstellen, Themen wie Insiderlisten, Geschäftspartnerprüfungen, Risikoanalysen und das Richtlinienmanagement ohne die Unterstützung von Software durchzuführen.
(2) Hinweisgeberschutz
Der Compliancemarkt in den USA ist sehr viel größer und stärker reglementiert als der in Europa. Der Trend zu einer zunehmenden Regulierung setzt sich jetzt aber auch in Europa durch, beispielsweise mit der EU-Whistleblowing-Richtlinie, die mittlerweile in den meisten EU-Staaten umgesetzt worden ist.
Allein in Deutschland betrifft das neue Gesetz insgesamt rund 70.000 Unternehmen. Im ersten Schritt fallen rund 17.000 Unternehmen ab 250 Beschäftigten unter das Gesetz. Für diese besteht damit dringender Handlungsbedarf, denn sie haben nur noch bis zum 2. Juli 2023 Zeit, um unter anderem einen Meldekanal einzurichten. Denn dann tritt das Gesetz, das im Mai vom Bundesrat verabschiedet wurde, in Kraft. Die Unternehmen ab 50 Mitarbeiterinnen und Mitarbeitern haben eine Übergangsfrist bis Dezember 2023.
Als Best Practice für einen internen Meldekanal haben sich digitale Hinweisgebersysteme etabliert, da nur diese alle Anforderungen an eine sichere, anonyme und DSGVO-konforme Kommunikation erfüllen. Hinweisgebende können barrierefrei 24/7 in jeder gewünschten Sprache eine Meldung schriftlich oder mündlich per Sprachnachricht abgeben.
Die Umsetzung des Gesetzes, die sich lange verzögert hat, wird also für deutlich mehr Integrität in der Wirtschaft sorgen, denn Unternehmen, aber auch Behörden und Kommunen können damit Schwachstellen und Fehlverhalten früher erkennen und ihre Risiken somit besser managen.
(3) Lieferkettencompliance
Die Welle der Complianceregulierungen für Unternehmen hört nicht auf, denn seit dem 01.01.2023 müssen sich Unternehmen ab 3.000 Mitarbeitenden mit dem Lieferkettensorgfaltspflichtengesetz (LkSG; hier) auseinandersetzen. Der Begriff der Lieferkette bezieht sich hier auf alle Produkte und Dienstleistungen eines Unternehmens und umfasst alle Schritte im In- und Ausland, die zur Herstellung der Produkte oder der Erbringung der Dienstleistung notwendig sind. Die im Gesetz definierten Sorgfaltspflichten beziehen sich sowohl auf die Geschäftstätigkeiten der betroffenen Unternehmen als auch auf die ihrer Lieferanten. Ziel des Gesetzes ist, Unternehmen dazu zu bringen, im Rahmen ihrer Möglichkeiten darauf hinzuwirken, dass Menschenrechte und Umweltstandards eingehalten werden – sowohl innerhalb als auch jenseits der eigenen Werkstore.
Zu den Sorgfaltspflichten, die das Gesetz einfordert, gehören neben der Risikoanalyse auch die Planung und Etablierung von Maßnahmen, mit denen auf Risiken reagiert wird, sowie eine lückenlose und transparente Dokumentation und Berichterstattung. Diese umfangreichen Herausforderungen sind ohne ein Compliance-Management-System kaum zu meistern. Dazu gehört ein digitales Hinweisgebersystem, mit dem die Anforderungen des Beschwerdeverfahrens erfüllt werden können. Außerdem bieten sich Tools für die Risikoanalyse an. Dazu gehört die Geschäftspartnerprüfung samt Auswertung. Diese Workflows lassen sich ebenso effizient abbilden wie die Zuweisung der Zuständigkeiten oder das Dokumentations- und Löschkonzept, bei dem die speziellen Aufbewahrungspflichten des LkSG beachtet werden müssen. Aber auch die Präventionsmaßnahmen lassen sich digital managen. So kann beispielsweise überprüft und dokumentiert werden, welcher Zulieferer wann den auf das LkSG angepassten Lieferantenverhaltenskodex akzeptiert hat. Hier ist es empfehlenswert, sich bereits frühzeitig mit der Auswahl der Tools zu beschäftigen, um deren Besonderheiten bereits bei der Konzeptionierung der Complianceprozesse berücksichtigen zu können.
(4) Artificial Intelligence
Kaum eine Compliancekkonferenz vergeht in diesen Tagen, ohne dass zumindest einmal das Schlagwort Artificial Intelligence fällt und natürlich kommt auch die Frage auf, ob „Künstliche Intelligenz“ (KI) Fluch oder Segen ist. Dabei geht es dann häufig um Datensicherheit und Datenschutz und die Frage, welche personenbezogenen Daten für welche Zwecke verwendet werden dürfen.
Aber neben den rechtlichen Aspekten ergeben sich durch KI auch neue ethische Fragestellungen, seitdem KI durch Initiativen wie Microsoft Copilot oder den Textroboter ChatGPT im Mainstream angekommen sind. Letzterer kann beispielsweise den Sprachstil von Personen oder Gruppen kopieren, deshalb warnte hier jüngst auch Europol vor Missbrauch wie Betrug oder Falschinformation.
Derzeit ist es noch so, dass in den wenigsten Unternehmen Künstliche Intelligenz für Complianceaufgaben eingesetzt wird, vor allem aufgrund großer Bedenken beim Datenschutz. Allein im Zusammenhang mit KI verhängten Regulierungsbehörden Bußgelder von über 80 Millionen Euro auf Basis der DSGVO. Da jedoch kein Weg an dem Einsatz KI-basierter Tools vorbeiführen wird, werden sich Unternehmen verstärkt damit auseinandersetzen müssen, den Einsatz von KI in ihren Unternehmen DSGVO-konform zu gestalten. Italien hatte ChatGPT sogar kurzfristig zur Nutzung gesperrt. Complianceverantwortliche werden beim Einsatz von KI und der Einhaltung der DSGVO zukünftig eine sehr zentrale Rolle spielen, wenn sie nicht so sogar die wichtige Schnittstelle zwischen der im eigenen Unternehmen entwickelten oder genutzten Technologie und deren Auswirkungen auf die Nutzer bilden.
Auch in anderen Bereichen werden sich die KI-Technologien schnell weiterentwickeln und die Complianceabteilungen in vielen Bereichen unterstützen, wie zum Beispiel bei der Analyse und Filtrierung von Compliancedaten. So lässt sich viel Zeit sparen, denn das Lesen von Rechtsvorschriften und Verordnungen ist aufwändig. KI kann ebenfalls bei der Aktualisierung von bestehenden Richtlinien unterstützen und über Updates informieren. Auch bei der Betrugsprävention wird KI schon vielerorts eingesetzt, etwa im Bankenbereich.
Es empfiehlt sich auf jeden Fall eine Auseinandersetzung mit diesem Thema, um neueste Entwicklungen frühestmöglich evaluieren zu können. Zu den wichtigsten Aspekten von KI in der Compliance gehören sicherlich Transparenz und die Nachvollziehbarkeit der Technologie.
(5) Nachhaltigkeit und ESG (Environmental, Social und Governance)
Die Zeichen stehen auf Nachhaltigkeit, denn wir haben jahrelang Schulden an der Umwelt aufgebaut, die wir nun abbauen beziehungsweise neue Prozesse schaffen müssen, um diese massiven Schulden nicht noch weiter zu vergrößern. Für Unternehmen wird es daher immer wichtiger, neben dem geschäftlichen Erfolg auch gesellschaftlich und ökologisch Verantwortung zu übernehmen. Dabei geht es nicht nur darum, die Voraussetzungen für die Corporate Sustainability Reporting Directive (CSRD), die in der Europäischen Union ab dem Berichtsjahr 2024 die Veröffentlichung von nicht-finanziellen Nachhaltigkeitskennzahlen vorschreibt, zu schaffen.
Nach derzeitigen Schätzungen sind dann rund 15.000 Unternehmen allein in Deutschland verpflichtet, einen Nachhaltigkeitsbericht in ihren Lagebericht zu integrieren. Unabhängig von den rechtlichen Vorgaben, erwarten aber auch immer mehr Unternehmen nachhaltiges und transparentes Wirtschaften von ihren Geschäftspartnern und Kunden.
Nachhaltigkeit wird damit zu einem echten Wettbewerbsfaktor. Auch wenn es um das Recruiting geht, also den Wettbewerb um Fachkräfte. Die soziale Verantwortung in der Bevölkerung ist stark gestiegen. Deshalb erwarten auch Mitarbeiterinnen und Mitarbeiter von ihrem Arbeitgeber ein hohes Bewusstsein für diese Themen. Aus diesem Grund ist es für Unternehmen so wichtig, sich hier optimal zu positionieren und klar zu kommunizieren, wie man seiner unternehmerischen, gesellschaftlichen und ökologischen Verantwortung gerecht wird. Das ESG-Reporting ist sehr komplex, doch auch die Prozesse für das Sammeln der Daten lassen sich automatisieren. Ohne unterstützende Software ist dies eine Mammutaufgabe, die fast nicht zu stemmen ist. Mit einer zentralen Nachhaltigkeitsplattform profitieren Unternehmen nicht nur vom Know-how des Dienstleisters hinsichtlich Berechnungsmodellen und Offenlegungspflichten, sondern auch von Synergieeffekten, denn die Daten können auch für andere Themen, beispielsweise die unterschiedlichen ESG-Ratings, aufbereitet werden.