Ist es noch Compliance oder schon Security? – Überlappungen im Ethical & Criminal Risk Management

Mit dem im Folgenden dargestellten realen Praxisfall eines mittelständischen Unternehmens werden thematische Überlappungen im Ethical & Criminal Risk Management aufgezeigt. Unternehmen sollten diese Überschneidungen für sich benennen und herausarbeiten, wer im konkreten Fall zuständig wäre bzw. das Know-How hätte, den unterschiedlichen Herausforderungen zu begegnen.

Aufgrund ignorierter Überlappungen, nicht definierter Schnittstellen und mangelnder interner Kommunikation verfestigt sich in den Abteilungen Compliance und Corporate Security oftmals ein ausgeprägtes Silodenken. In der Konsequenz strengt dann beispielsweise Compliance eine Ermittlung an, ohne über das fachliche Ermittlungs-Know-How zu verfügen. Das, obwohl in der Sicherheitsabteilung evtl. ehemalige Zielfahnder der Polizei arbeiten. Oder Corporate Security erhält im Rahmen eines eigenen Security Audits Kenntnis von vorsätzlichen Sanktionsverletzungen und Menschenrechtsverstößen an einem ausländischen Standort, meldet diese jedoch nicht dem Compliance-Manager.

Dabei zeigen sich schon im Vergleich der ISO 37301 Richtlinie und der Leitfäden/Standards 2000-1 und 2000-2 zum Wirtschaftsgrundschutz deutliche thematische Überschneidungen zwischen Compliance und Unternehmenssicherheit. Konkret und aus der Praxis lassen sich folgende Überlappungen in Aufgaben und Kompetenzen identifizieren:

• Non-compliance Investigations

• Förderung sozialer und ethischer Werte

• Verhinderung von Straftaten

• Korruptionsprävention

• Terrorismus-Bekämpfung

• Geldwäscheprävention

• Anti-Fraud

• Bekämpfung von Wirtschaftskriminalität

• Informationsschutz

Zum konkreten Fall: An einem europäischen Standort eines Kunden konnte sich ein komplexes kriminelles Biotop mit einem monatlichen Schadensvolumen von ca. 40.000 EUR verfestigen, da Hinweisen von Whistleblowern nur mit großer zeitlicher Verzögerung nachgegangen wurde. Gemäß den Hinweisen verschiedener Whistleblower und den daraufhin angestrengten Ermittlungen, die auch technische Maßnahmen und mobile Observationen einschlossen, hatte sich innerhalb des Standorts ein komplexes und arbeitsteiliges System krimineller Machenschaften etabliert, das bis hinein in die deutsche Unternehmenszentrale reichte. An der Spitze dieser als organisierte Kriminalität zu bezeichnenden Struktur stand ein lokaler Angestellter, der zusammen mit weiteren internen und externen Komplizen eine parallele Logistikkette mit gestohlenen Roh- und Fertigwaren aufgebaut hatte.

De facto waren so die Integrität des Standorts und ein rechtskonformer Unternehmensbetrieb nicht länger gewährleistet und der Fall einer strafrechtlichen Managementhaftung bereits eingetreten. Der langfristig angelegte und organisierte Diebstahl aus dem Unternehmensareal entlang der Logistikkette wurde überdies noch durch ein nahezu filmreifes Potpourri an weiteren Straftaten flankiert. Diese beinhalteten unter anderem

– die Vereinnahmung und Instrumentalisierung der gewerkschaftlichen Vertretung mit dem Ziel, das Management zu demotivieren,

– die Gewährung/Annahme von Vergünstigungen zulasten des Unternehmens. Gabelstapelfahrer, Lagerarbeiter, LKW-Fahrer, Mitarbeiter des externen Werkschutzes und der deutsche Logistikverantwortliche wurden regelmäßig mit Alkohol, Bargeld, Potenzmitteln und sogar Prostituierten bestochen,

– das Betreiben einer aus den Diebesgutverkäufen gespeisten „schwarzen Kasse“ zwecks privater Bereicherung und Bestechungen,

– die Bedrohung des Standortmanagers mit physischer Gewalt,

– die gezielte Demotivation oder Erpressung von neu eingestellten Mitarbeitern, die nicht gewillt waren, die kriminellen Machenschaften zu decken,

– Ausschreibungsbetrug, um von nahen Verwandten betriebene Speditionen zu ungünstigen Konditionen als Dienstleister unter Vertrag zu nehmen und gleichzeitig mehr Kontrolle über den Warendiebstahl zu erhalten,

– die Anzeige vorgeblicher (aber tatsächlich nicht existenter) Gesetzesverstöße in den Bereichen Arbeitsschutz und Brandschutz, um über behördliche Prüfungen das Management zu belasten sowie

– Falschbilanzierung, Verstöße gegen Buchhaltungspflichten, Tatverschleierung mit Rechnungsstornos und Geldwäsche.

Nachdem alle Modi Operandi und der Täterkreis aufgeklärt bzw. identifiziert waren, wurden nun im nächsten Schritt Ad-hoc-Maßnahmen zur kurzfristigen Eindämmung der Kriminalitätsbelastung am Standort ergriffen. Hierbei mussten eventuelle Gegenmaßnahmen der kriminellen Struktur antizipiert und in der Ausgestaltung und zeitlichen Abfolge der Maßnahmen berücksichtigt werden. Über die Implementierung transparenter Prozessvorgaben, Security Maßnahmen und Personalwechsel, konnte der Standort sukzessive wieder in einen rechtskonformen und sicheren Regelbetrieb überführt werden.

Lars D. Preußer