Neue ECCP-Leitlinien des US-Justizministeriums (Teil 2):  Was können Unternehmen für ihr Compliance-Programm daraus ableiten?

In Teil 1 des Beitrags haben wir uns bereits mit dem wesentlichen Inhalt der neuen, im September 2024 veröffentlichten, Leitlinien des US-Justizministeriums (ECCP) befasst und wie dieses Compliance-Programme bislang bewertet hat bzw. in Zukunft bewerten will. (Hier zu Teil 1).

Dabei haben wir gesehen, dass drei Bereiche besonders hervorgehoben werden:[1]

Bereich 1: Künstliche Intelligenz

Unternehmen sollen klar darlegen, welche Arten von KI in ihrem Betrieb eingesetzt werden und wie diese Technologien in die Geschäftsprozesse integriert sind. Unternehmen sind angehalten, die potenziellen Risiken, die durch den Einsatz von KI entstehen könnten, zu analysieren, entsprechende (Risikobewertungen vorzunehmen sowie umfassender Strategien der Risikoreduzierung zu implementieren.

Bereich 2: Unterstützung von Hinweisgebern

Das aktualisierte ECCP legt erneut einen starken Schwerpunkt auf die Bewertung von Whistleblower-Programmen. Betont werden insbesondere Bewusstsein, Zugänglichkeit und der notwendige Abbau von Ängsten vor negativen Folgen einer Meldung. Hierzu gehört das Wissen der Mitarbeiter, wie sie vermutetes Fehlverhalten melden können. Dabei müssen Meldekanäle leicht zugänglich und allen Mitarbeitern klar kommuniziert sein.

Bereich 3: Selbstbewertung des Compliance-Programms und Zugang zu Daten

Das aktualisierte ECCP führt hier einen introspektiveren Ansatz ein, bei dem US-Staatsanwälte nun prüfen müssen, ob das Compliance-Personal angemessenen Zugang zu relevanten Datenquellen, Ressourcen, und Technologien hat und ob das Unternehmen im Verhältnis zu dem mit seiner Geschäftstätigkeit verbundenen Risiko angemessene Ressourcen in die Compliance-Arbeit investiert. Unternehmen müssen sich noch stärker einer Selbstbewertung unterziehen, um sich kontinuierlich zu verbessern.

Was können Unternehmen für ihr Compliance-Programm daraus ableiten?

Das neue ECCP markiert eine Verschiebung hin zu einer dynamischeren und reaktionsfähigeren Compliance-Kultur. Die aktualisierte Anleitung ermutigt Unternehmen, Verantwortung für ihre Compliance-Programme zu übernehmen und ein Umfeld des kontinuierlichen Lernens und Anpassens zu fördern. Verbunden ist damit auch eine Veränderung in der Art und Weise, wie die Einhaltung von Vorschriften durch Unternehmen bewertet und priorisiert wird. Diese Veränderungen stellen sowohl Herausforderungen als auch Chancen dar.

1. Schwerpunkt auf proaktiver Compliance

Die Einbeziehung von KI-Aspekten erfordert einen proaktiven Ansatz beim Risikomanagement. Unternehmen müssen in das Verständnis der Auswirkungen neuer Technologien auf ihre Betriebsabläufe und Compliance-Rahmenbedingungen investieren.

Dies bedeutet, dass sie gründliche Risikobewertungen durchführen und Richtlinien entwickeln müssen, die diese Risiken berücksichtigen. Konkret bedeutet dies aber auch eine interdisziplinäre Vernetzung im Unternehmen. „Silodenken“ ist hier besonders schädlich. Vielmehr muss Compliance aktiv den konstruktiven Schulterschluss mit anderen Funktionen im Unternehmen suchen, insbesondere der IT, dem Datenschutzbeauftragten, der Personalabteilung und (soweit vorgesehen) dem Betriebsrat. Nicht zu vergessen ist hier, dass Compliance Management immer als Teil des allgemeinen Risikomanagements des Unternehmens zu verstehen ist und in dieses einzubetten ist.

Eine enge Abstimmung mit der für das Risikomanagement zuständigen Geschäftsführung oder anderen mit diesem komplexen Thema befassten Funktionen im Unternehmen ist also sehr wichtig.

2. Speakup-Kultur

Unternehmen sollten die Hinweismechanismen ihrer Organisationen überprüfen und beständig verbessern. Zu Hinweisen zu ermutigen, erfordert nicht nur Richtlinien und Prozesse, sondern auch Schulungs- und Kommunikationsstrategien, welche die Bedeutung ethischen Verhaltens hervorheben. Zu berücksichtigen ist hierbei, dass der Einkauf eines bestimmten Systems das Problem nicht aus der Welt schafft, sondern nur eine zur Kultur des Unternehmens passende Lösung gefordert ist. Diese kann z. B. auch in der Einbindung einer Ombudsperson oder eines Vertrauensanwalts bestehen, der im Auftrag des Unternehmens Hinweisgebern als persönlicher Ansprechpartner zur Verfügung steht.

Die Entwicklung einer positiven Kultur des Umgangs mit Fehlern und auch der konstruktiven Verarbeitung von Fehlverhalten ist ein längerer Prozess. Die Entscheidung der Geschäftsführung für eine solche Kultur ist der erste Schritt. Diese aber dann auch zu implementieren kann durchaus ein längerer Weg sein, auf dem viele Unternehmensfunktionen zusammenwirken müssen. Hier ist oftmals eine Taktik der kleinen Schritte hilfreich, um in diesem Prozess alle Beteiligten gut mitzunehmen.

Zusammenfassung

Die aktuelle Fassung des ECCP zielt darauf ab, strengere Compliance-Rahmenbedingungen für Unternehmen zu setzen, eine Kultur der Transparenz und Rechenschaftspflicht zu fördern und gleichzeitig die Herausforderungen der modernen Technologie zu bewältigen.

Durch die Konzentration auf KI-Risikomanagement, den Schutz von Hinweisgebern und konkreten Datenzugriff setzt das DOJ einen klaren Anreiz, einen stärker integrierten und proaktiven Ansatz für die Einhaltung von Vorschriften zu verfolgen.

Die Änderungen sind eine gute Gelegenheit, Compliance-Programme zu überprüfen, die Compliance-Kultur zu stärken und Risiken in einem immer komplexeren Unternehmensumfeld zu minimieren. Die Anforderungen sind für Unternehmen, die dem FCPA unterfallen, in jeder Hinsicht relevant, aber auch anderen, die ein effektives CMS vorhalten wollen, ein wichtiger Orientierungsmaßstab.

Haben Sie Fragen dazu, wie Sie für Ihr Unternehmen ein effektives Compliance-Programm aufsetzen oder weiterentwickeln können? Nehmen Sie gern Kontakt zu mir auf unter[email protected]

[1] Aufrufbar unter https://www.justice.gov/criminal/criminal-fraud/page/file/937501/dl.