Dieser Beitrag basiert auf einem Forschungsprojekt, das im Rahmen eines Executive-MBA-Programms an der Universität Maastricht durchgeführt wurde. Ausgangspunkt der Arbeit war das Interesse der ECE Marketplaces, die europaweit etwa 200 Shoppingcenter managt, die Rechtsabteilung des Unternehmens näher an das operative Geschäft und die einzelnen Business-Units zu bringen. Die Motive sind klar: schnellere Entscheidungen und besseres Verständnis für operative Realitäten.
Das Projekt hat gezeigt: Embedding von Legal im Business ist nicht automatisch Integration von Legal in das Enterprise-Risk-Management (ERM). Nur wenn die Einbettung mit klarer Governance, einer verständlichen Risk-Policy und den richtigen Rollen kombiniert wird, entsteht ein effektives System.
Modernes Risikomanagement: Vom Abwehrschirm zum strategischen Instrument
Modernes Risikomanagement ist nicht mehr nur reaktive Verteidigung, sondern aktives Managementtool. Die ERM-Literatur spricht von einem „Paradox des Risikomanagements“: Je besser eine Organisation Risiken steuert, desto zielgerichteter kann sie Kapital in strategische Projekte investieren. Effektives Risikomanagement blockiert Entscheidungen nicht, sondern setzt Kapital frei und schafft so Handlungsräume.
Rechtsrisiken sind heute eng mit der Resilienz und dem langfristigen Erfolg von Unternehmen verknüpft. Ein Fehler im Datenschutz, bei Nachhaltigkeitsberichten oder im Kartellrecht kann Reputation, Geschäftsbetrieb und den Zugang zu Kapital beeinträchtigen. In diesem Umfeld darf Legal nicht nur als Gatekeeper verstanden werden, der „Nein“ sagt. Eine Rechtsfunktion, die ihre Rolle als strategischer Risikopartner begreift, kann Geschäftsmodelle mitgestalten, Innovation beschleunigen – und das Unternehmen trotzdem schützen. Die zentrale Frage lautet: Wie muss eine solche Rechtsfunktion gestaltet sein?
Fallbeispiel ECE: Was Embedded Counsels leisten – und wo die Risiken liegen
Für die ECE ist diese Frage alles andere als theoretisch. Das Unternehmen hat vor dem Hintergrund organisatorischer Veränderungen in kurzer Zeit mehrere Strukturmodelle erprobt: Ausgangspunkt war die zentral organisierte Rechtsabteilung, dann erfolgte die vollständige Einbettung der Legal Counsels in operative und lokale Einheiten. Das brachte starke Businessnähe und schnellere Beratung.
Gleichzeitig traten Nebenwirkungen auf: Konzernweite Rechtsstandards wurden aufgeweicht, Rechtsthemen gerieten in den Hintergrund. Als Reaktion entschied sich ECE für ein hybrides Modell: ein General Counsel mit Gesamtverantwortung, eingebettete Legal Counsels in den Fachbereichen. Die Leitfrage des Forschungsprojekts: Wie lässt sich dieses Set-up so gestalten, dass es die Vorteile von Embedded Counsels bewahrt und zugleich ein kohärentes Legal-Risk-Management-System etabliert?
Drei Säulen: ERM, LRM und Embedded Counsels
Konzeptionell ruht die Untersuchung auf drei Säulen:
Enterprise-Risk-Management (ERM)
ERM verankert Risiko in Strategie und Entscheidungen und betrachtet Risiken auf Unternehmensebene statt in Silos. Es verbindet ein technisches Subsystem – Richtlinien, Prozesse, Governance – mit einem sozialen Subsystem – Verhalten, Einstellungen, informelle Normen. Struktur allein reicht nicht; entscheidend ist, wie Menschen Risikoprinzipien verinnerlichen und im Alltag anwenden.
Legal-Risk-Management (LRM)
Legal-Risk-Management ist nicht nur ein Thema für Legal. Es geht darum, wie das Unternehmen insgesamt rechtliche Risiken erkennt, bewertet und steuert. Die Verantwortung liegt damit nicht exklusiv bei der Rechtsabteilung, sondern ist unternehmensweit verteilt – Legal setzt Rahmen, Methoden und Standards.
Embedded-Counsel-Model (ECM)
Embedded Counsels erhöhen Reaktionsgeschwindigkeit und Praxisnähe. Sie kennen Projekte, Personen und Abläufe vor Ort, sprechen die Sprache des Geschäfts und sind früh am Tisch. Die Kehrseite: Gefahr der Überidentifikation mit „ihrem“ Bereich und Verlust unternehmensweiter Konsistenz, wenn zentrale Leitplanken fehlen.
Aus der Kombination dieser Stränge ergibt sich ein Kernergebnis: Eine schriftlich fixierte Risk-Policy übernimmt eine Brückenfunktion. Sie verbindet formale Strukturen mit der gelebten Kultur und dient als Referenzrahmen für Verhalten im Umgang mit Risiken.
Was die Daten sagen: Rolle von Legal im ERM
Empirisch stützt sich das Forschungsprojekt auf eine Onlinebefragung von General Counsels und Senior Legal Leaders aus Unternehmen mit reiferem Risikomanagement und dezentralen oder Embedded-Strukturen. Die Mehrheit der 49 Teilnehmer an der Befragung stammt aus großen, häufig internationalen Unternehmen.
Wichtige Befunde:
- 78% verfügen über eine schriftliche Risk-Policy.
- 64% haben ein formal definiertes ERM-Framework.
- Rund die Hälfte berichtet von funktionsübergreifenden Risikokomitees.
Bemerkenswert: 100% der Befragten wählen eine unternehmensweite Definition von Legal Risk statt einer engen „Legal Department only“-Sicht. Knapp 89% geben an, dass Legal in das allgemeine Risikomanagement eingebunden ist – inklusive Risikoregister und Berichtswege.
Die Risikokultur wird überwiegend positiv bewertet: funktionsübergreifende Zusammenarbeit, offene Risikokommunikation, Ermutigung zur Eskalation von Bedenken, auch wenn dies das Geschäft verlangsamt. Gleichzeitig ist weniger als die Hälfte überzeugt, dass der definierte „Risk Appetite“ im Alltag konsequent angewendet wird.
Strukturell bleibt das Bild gemischt: 57% berichten von einer vollständig zentralisierten Rechtsabteilung. Legal ist häufig schon in der Konzeptphase dabei, doch etwa 50% bewerten den Zeitpunkt noch als „leicht zu spät“. Rund drei Viertel sehen Legal im eigenen Unternehmen als Trusted Advisor, die Mehrheit beschreibt Legal als „Risk Acceptor“ – also ausgewogen zwischen Risikoaversion und Risikofreude.
Legal und Compliance: Gemeinsame Führung, klare Rollen
Ein zentrales Thema ist die Beziehung von Legal und Compliance. In vielen Organisationen haben sich beide Funktionen getrennt entwickelt: Compliance als Hüter von Regeln und Programmen, Legal als Ausleger und Gestalter des Rechtsrahmens. Rivalität zwischen beiden Bereichen – etwa um Zuständigkeiten oder Sichtbarkeit – erhöht das Risiko: Doppelstrukturen, widersprüchliche Signale, unklare Eskalationswege.
Das entwickelte Modell setzt daher auf eine einheitliche Führung von Legal und Compliance unter dem Dach eines General Counsel. Entscheidend sind zwei Punkte:
- Gemeinsame Leitung, klare Rollen: Legal interpretiert Rechtsrahmen und gestaltet Handlungsoptionen; Compliance überwacht die Einhaltung und die Wirksamkeit der Programme. Beide folgen einem gemeinsamen Zielbild für Legal-Risk-Management.
- Unabhängigkeit durch Governance: Trotz gemeinsamer Führung müssen Eskalationsrechte und Unabhängigkeit – insbesondere für Compliance – klar geregelt sein, etwa durch direkte Berichtswege an Vorstand oder Aufsichtsorgane.
So entsteht ein integrierter Blick auf rechtliche und regulatorische Risiken, ohne die spezifischen Stärken beider Funktionen zu verwischen.
Hybrid statt Entweder-oder: Embedding plus Governance
Die Daten zeigen: Ein breites Verständnis von Legal Risk, frühe Einbindung von Legal und schriftliche Policies sind weit verbreitet. Embedded-Strukturen sind aber nicht automatisch überlegen. Zentralisierte Rechtsabteilungen können – mit starker Risikokultur und konsequenter Integration in ERM – sehr gut funktionieren.
Für ECE ergibt sich kein einfaches „zentrales“ oder „Embedded“-Modell, sondern eine Hybridvariante: Embedded Counsels in der First Line of Defence mit klarer operativer Rolle, eingebettet in ein zentral geführtes Legal-Risk-Management-Framework, das Standards setzt, Informationen bündelt und direkt an das Topmanagement berichtet.
Zielmodell: Wie Legal im ERM verankert werden kann
Aus dem Projekt soll ein Zielmodell mit fünf Ebenen entwickelt und implementiert werden:
- Governance: Zentral gesteuerte Legal-&-Compliance-Einheit mit direktem Zugang zum Board; General Counsel mit Gesamtverantwortung für Legal und Compliance, eingebunden in ein funktionsübergreifendes Risikokomitee.
- Policies: Schriftliche Risk-Policy und eigene LRM-Policy, die Risk-Appetite, Zuständigkeiten und zentrale Prozesse definieren; explizite Verankerung von Legal und Compliance im ERM-Rahmen.
- Struktur: Embedded Counsels in den Geschäftsbereichen für operative Nähe; zentrale Legal- und Complianceteams als Second Line of Defence; funktionale Berichtslinie aller Juristen an den General Counsel.
- Prozesse und Tools: Einheitliche Legal-Risk-Taxonomie, Legal-Risk-Register, das in das ERM-Register eingebunden ist, sowie Dashboards, die Rechtsrisiken transparent und auf Portfolioebene sichtbar machen.
- Kultur: Risk-Acceptor-Kultur: Legal blockiert nicht jede Unsicherheit, sondern ermöglicht informierte, transparente Entscheidungen innerhalb klarer Grenzen; Legal und Compliance werden als Trusted Advisor wahrgenommen; offene Kommunikation über Risiken wird gefördert.
Takeaway für das ERM
Was bedeutet das für General Counsels oder die Unternehmensleitung?
ECE, Hamburg
Der größte Hebel liegt nicht in der Frage „Zentral oder embedded?“, sondern in der strukturell und kulturell abgesicherten Integration von Legal und Compliance in das Enterprise-Risk-Management. Richtig umgesetzt, können Legal und Compliance so einen noch größeren Mehrwert für das Unternehmen schaffen.
