Content uploaded by Beatrix Weber
Author content
All content in this area was uploaded by Beatrix Weber on Sep 30, 2019
Content may be subject to copyright.
ZRFC
04.19
14. Jahrgang
August 2019
Seiten 145 –192
www.ZRFCdigital.de
Risk, Fraud
&
Compliance
Management Compliance in Hochschulen
Weber / Lejeune, 151
Prevention Gestaltungsvorgaben für Hinweisgeber-
systeme unter Berücksichtigung der
Hinweisgebergefährdung
Behringer / Scherbarth, 157
Detection Ermittlung einer Schadens-
erwartungsgröße
Sure / Deckers, 166
Legal Das GeschGeh-Compliance-
Management-System
Schefold, 171
Wie sehen Unternehmen die Justiz?
Behringer / Passarge / Scherbarth / Unruh, 178
Profession Compliance bewegt ...
Interview mit Christian Parsow, 187
64683
Herausgeberbeirat:
Prof. Dr. Dr. habil. Wolfgang Becker,
Otto-Friedrich-Universität Bamberg
RA Dr. Karl-Heinz Belser,
Depré Rechtsanwalts AG
RA Dr. Christian F. Bosse,
Partner, Ernst & Young Law GmbH
Verena Brandt,
Partner, KPMG AG
Prof. Dr. Kai-D. Bussmann,
Martin-Luther-Universität
Halle-Wittenberg
RA Bernd H. Klose, German Chapter of
Association of Certified Fraud
Examiners (ACFE) e. V.
RA Dr. Rainer Markfort,
Partner, Dentons Europe LLP
Prof. Dr. Volker H. Peemöller,
Friedrich-Alexander-Universität
Erlangen-Nürnberg
RA Christian Rosinus,
Wirtschaftsstrafrechtliche
Vereinigung e. V., Vorstand
RA Prof. Dr. Monika Roth,
Leiterin DAS Compliance Management,
Hochschule Luzern
RA Raimund Röhrich,
Lehrbeauftragter der School of
Governance, Risk & Compliance
Herausgeber:
School of Governance, Risk &
Compliance –
Steinbeis-Hochschule
Berlin
Prävention und Aufdeckung
durch
Compliance-Organisationen
In Kooperation mit
Lizenziert für Hochschule für Angewandte Wissenschaften Hof.
Die Inhalte sind urheberrechtlich geschützt.
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2019 (http://www.zrfcdigital.de) - 10.09.2019 16:46
58701305879
ZRFC 4/19 151
1 Hochschulen zwischen Verwaltung
und Wissenschaftsbetrieb
1.1 Verwaltung und Wissenschaft als Gegner
oder Kooperierende
Die Verwaltung ist durch Art. 20 Abs. 3 GG an
Recht und Gesetz gebunden. Daher soll nach einer
Ansicht eine Verpflichtung zu Compliance entbehr-
lich sein.1 Diese Ansicht wird zunächst durch die
Tatsache gestützt, dass die §§ 91 Abs. 2, 93 AktG,
mit denen üblicherweise die Verpflichtung zu Com-
pliance begründet wird, auf hoheitliches Handeln
staatlicher Hochschulen nicht anwendbar sind.
§ 130 Abs. 2 OWiG findet auf öffentliche Unter-
nehmen und damit auf Hochschulen dann Anwen-
dung, wenn sie im wirtschaftlichen Bereich agie-
ren, nicht aber in den Bereichen der hoheitlichen
Aufgaben.2 Nach vordringender Ansicht sind Com-
pliance-Management-Systeme (CMS) jedoch für die
Verwaltung3 und damit auch für Hochschulen4 erfor-
derlich. Insbesondere in den Bereichen, in denen die
Hochschule wirtschaftlich agiert, können Risiken
entstehen, die erfasst und bewertet werden müssen.
Hierfür sind die organisatorischen und prozessualen
Voraussetzungen zu schaffen. Beispiel ist die soge-
nannte Trennungsrechnung, nach der wirtschaft-
lich und nicht wirtschaftlich geführte Bereiche nach
Projekten und Kostenstellen getrennt geführt und
dokumentiert werden müssen.5 Die Bewahrer in
der Verwaltung und die nach Neuem strebenden
Forscher müssen sich hier in einer gemeinsamen
Compliance-Struktur zusammenfinden, was nicht
nur organisatorisch, sondern auch hinsichtlich des
jeweiligen Organisations- und Rollenverständnisses
in der Praxis, oft schwierig ist.6
* Dr. Stefanie Lejeune ist Rechtsanwältin in der überörtli-
chen Sozietät GÖHMANN in Berlin und langjährige Lehrbe-
auftragte der Humboldt-Universität zu Berlin im Fachbe-
reich Rechtswissenschaften. Zuvor war sie Richterin am
Sozialgericht, Staatssekretärin im Ministerium für Justiz
Rheinland-Pfalz und Landtagsabgeordnete. Sie ist unter
anderem spezialisiert auf die Beratung von Behörden und
Unternehmen in den Bereichen Corporate Governance,
Compliance und Korruptionsprävention. Prof. Dr. Beatrix
Weber, MLE, beschäftigt sich seit Jahren mit Compliance in
der Hochschulpraxis, Unternehmen, Forschung und Lehre.
Sie ist Professorin für Gewerblichen Rechtsschutz und IT-
Recht an der Hochschule Hof, leitet dort die Stabsstelle
Compliance, die Transferstelle Recht und Lizenzen, die For-
schungsgruppe Recht in Nachhaltigkeit, Compliance und
IT sowie den berufsbegleitenden Masterstudiengang „Com-
pliance, IT und Datenschutz“. Sie konzipiert und imple-
mentiert seit Jahren Compliance Management Systeme
direkt aus der Forschung in diversen Organisationen und
vermittelt in Schulungen anwendungsbezogene Erkennt-
nisse.
1 Vgl. Dietel, S., Zum Compliance-Erfordernis in der Ministe-
rialverwaltung – Compliance im Schatten des Art. 20
Abs. 3 Grundgesetz, ZRFC 2013, S. 155; Burgi, M., Compli-
ance im Staat – Staat und Compliance, CCZ 2010, S. 41,
44.
2 Weber B. / Lejeune S., Compliance in Hochschulen, Berlin
2019, S. 32 ff.
3 Vgl. Dietel S., ZRFC 2013, S. 154; Neufeld, T. / Hitzelberger-
Kijima, Y., Compliance im öffentlichen Dienst – Teil 1:
Notwendigkeit und Aufbau eines Compliance-Manage-
ment-Systems, öAT 2015, S. 23; Vogelsang, U. / Nahr-
stedt / Fuhr mann, S., Compliance-Systeme auf Bundes- und
Kommunalebene – Ein Vergleich, CCZ 2014, S. 181, 183.
4 Vgl. Geis, M.-E., § 14 IV. Hochschulen, in: Stober, R. / Ohrt-
mann, N. (Hrsg.), Compliance – Handbuch für die
öffentliche Verwaltung, Stuttgart 2015, S. 461 ff., Rn 1450
Güngör, V., Hochschul-Compliance – Ein Konzeptionsvor-
schlag, VR 2017, S. 289, 293.
5 Vgl. Europäische Kommission, Unionsrahmen für staatli-
che Beihilfen zur Förderung von Forschung, Entwicklung
und Innovation, 27.06.2014, Nr. 2.1.1. und 2.2.
6 Zu Einzelheiten, siehe: Weber B. / Lejeune S., S. 22 ff.
Management
Compliance in Hochschulen
Risikomanagement im Wissenschaftsbetrieb
Prof. Dr. Beatrix Weber / Dr. Stefanie Lejeune*
Ist Compliance als Einhaltung von Recht und Gesetz für staatliche Hochschulen als Behörden
und Körperschaften des öffentlichen Rechts eine Selbstverständlichkeit? Überflüssig?
Oder bedarf es Nachdenkens über Compliance in Bezug auf Handeln und Strukturen
der Hochschulen im Sinne eines adäquaten Wissenschaftsmanagements? Im modernen
Wissenschaftsbetrieb tritt das verwaltungsmäßige Handeln immer mehr in den Hintergrund
zugunsten des Agierens auf dem Markt von Forschungsleistungen und der Weiterbildung. Im
Spannungsfeld der institutionellen Selbstverwaltung mit Freiheit von Forschung und Lehre und
der unternehmerischen Hochschule mit hochschulübergreifenden Zielen wie Open Access, hohen
Drittmittelquoten und Forschungsclustern auf dem Markt der Forschungsdienstleistungen
entstehen rechtliche Risiken, denen mit dem althergebrachten Verwaltungshandeln, das das
Eingehen von Risiken insgesamt scheut, nicht begegnet werden kann.
Prof. Dr. Beatrix Weber
Dr. Stefanie Lejeune
Compliance | Hochschulen | Risikomanagement | öffentliche Verwaltung | wissenschaftsadäquate Organisation
Lizenziert für Hochschule für Angewandte Wissenschaften Hof.
Die Inhalte sind urheberrechtlich geschützt.
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2019 (http://www.zrfcdigital.de) - 10.09.2019 16:46
58701305879
ZRFC 4/19 152 Management
1.2 Risikomanagement versus Wissenschafts-
freiheit
Anders als in Unternehmen, die nach ihrem Unter-
nehmenszweck Gewinn erzielen sollen und hier-
bei in der Ausgestaltung große Freiheiten genie-
ßen, ist den staatlichen Hochschulen durch ihre
gesetzlichen Aufgaben ein Rahmen gesetzt. Gem.
§ 2 Abs. 1 HRG dienen die Hochschulen entspre-
chend ihrer Aufgabenstellung der Pflege und der
Entwicklung der Wissenschaften und der Künste
durch Forschung, Lehre, Studium und Weiterbil-
dung in einem freiheitlichen, demokratischen und
sozialen Rechtsstaat. Sie bereiten auf berufliche
Tätigkeiten vor, die die Anwendung wissenschaft-
licher Erkenntnisse und wissenschaftlicher Metho-
den oder die Fähigkeit zu künstlerischer Gestaltung
erfordern.
Länder und Hochschulen haben gemäß § 4
Abs. 1 HRG sicherzustellen, dass die Mitglieder der
Hochschule ihre Grundrechte aus Artikel 5 Abs. 3
Satz 1 GG wahrnehmen können. Die Freiheit der
Forschung umfasst gemäß § 4 Abs. 2 HRG insbeson-
dere die Fragestellung, die Grundsätze der Metho-
dik sowie die Bewertung des Forschungsergebnis-
ses und seine Verbreitung. Entscheidungen der
zuständigen Hochschulorgane in Fragen der For-
schung sind nur insoweit zulässig, als sie sich auf
die Organisation des Forschungsbetriebes, die För-
derung und Abstimmung von Forschungsvorhaben
und auf die Bildung von Forschungsschwerpunk-
ten beziehen; sie dürfen die Freiheit im Sinne von
Satz 1 nicht beeinträchtigen. Die Freiheit der Lehre
umfasst insbesondere die Abhaltung von Lehrveran-
staltungen und deren inhaltliche und methodische
Gestaltung sowie das Recht auf Äußerung von wis-
senschaftlichen und künstlerischen Lehrmeinun-
gen. Entscheidungen der zuständigen Hochschul-
organe in Fragen der Lehre sind insoweit zulässig,
als sie sich auf die Organisation des Lehrbetriebes
und auf die Aufstellung und Einhaltung von Stu-
dien- und Prüfungsordnungen beziehen; sie dür-
fen die Freiheit im Sinne von Satz 1 nicht beein-
trächtigen. CMS in Hochschulen müssen daher die
Besonderheiten des Wissenschaftsbetriebes beach-
ten. Forschungsfreundliche Strukturen und Rah-
menbedingungen sind hierbei eine Verpflichtung,
stehen allerdings unter dem Vorbehalt des Finan-
zierbaren.7 Dort, wo sich Hochschulen auf dem
Markt von Drittmitteln etablieren, sind die For-
scherprivilegien eingeschränkt. Mit der Annahme
der Drittmittel durch die Hochschule für den For-
scher und Durchführung des Vorhabens unterwirft
sich der Forscher den Programmbedingungen der
öffentlichen Förderer oder den Bedingungen des
ausgehandelten Vertrages mit dem privaten For-
schungsauftraggeber. Aufgabe von Compliance ist,
die organisatorischen und prozessualen Strukturen
wissenschaftsadäquat zu gestalten, hierbei die Kern-
bereiche der Freiheit von Forschung und Lehre zu
respektieren, gleichzeitig aber die Organisation von
Forschung und Lehre, insbesondere im wirtschaftli-
chen Bereich, risikoadäquat aufzubauen.
2 Compliance-Systeme in Hochschulen
Viele staatliche Hochschulen beschäftigen sich für
die eigene Organisationsstruktur und das Handeln
der Hochschule weder mit dem Thema Compli-
ance noch mit Fragen des sonstigen Risikomanage-
ments. CMS sind daher nur vereinzelt anzutreffen.
8
Eine Vielzahl von Hochschulen und Universitä-
ten hat auf Initiative der Wissenschaftsministe-
rien hin oder aufgrund bestehender Richtlinien
jedoch Antikorruptionsbeauftragte benannt und
entsprechende Antikorruptions- oder Geschenke-
und Bewirtungsrichtlinien erlassen.9 Weitere Ein-
zelbereiche wie Richtlinien zum Technologie-
transfer oder die „Gute wissenschaftliche Praxis“
werden teilweise geregelt.10 Für die Einrichtung
von CMS wird bei Unternehmen das wichtige Argu-
ment der präventiven Vermeidung von Haftung
für das Unternehmen und die Unternehmenslei-
tung angeführt. Die Haftung der Länder als Trä-
ger der Hochschulen nach außen und der Rückgriff
auf die Hochschulen scheint zunächst ein abstrak-
tes Risiko zu sein. Staatliche Hochschulen können
nicht insolvent werden.11 Anderes gilt allerdings
für private Hochschulen, wie leider die Vergangen-
heit auch praktisch gezeigt hat. In einigen Berei-
chen, zum Beispiel in der Auftragsforschung, kön-
nen sich allerdings Schutzrechtsverletzungen oder
bei produktnaher Entwicklung Regressansprüche
der Hersteller wegen fehlerhafter Entwicklungen
und daraus resultierender Produkt- und Folgeschä-
den schnell realisieren.12 Gleiches gilt bei der For-
schung unter Nutzung personenbezogener Daten.
Hier sind zukünftig Ansprüche der Betroffenen aus
Art. 82 DSGVO bei Verstößen gegen Datenschutz
und Datensicherheit denkbar. Als Behörden sind
die Hochschulen von der Sanktionierung durch
7 Vgl. Schulze-Fielitz, H., 2. Hochschulaufgaben III. For-
schung, in: Geis, M.-E. (Hrsg.), Hochschulrecht im Freistaat
Bayern – Ein Handbuch für Wissenschaft und Praxis,
2. Aufl., Heidelberg 2017, S. 201–261, Rn 175, m. w. N.
8 Z. B. KIT, Compliance und Korruptionsprävention am KIT;
Charité, Compliance-Management an der Charité; ebenso
HS Hof, Stabsstelle Compliance; DHBW, Zentrale Beauf-
tragte.
9 Z. B. Baden-Württemberg: Nr. 3.1.1 Abs. 2 VwV Korrupti-
onsverhütung und -bekämpfung vom 15.01.2013; Nieder-
sachsen: Nr. 6.1 Antikorruptionsrichtlinie vom 01.04.2014.
10 Bsplw. RWTH Aachen, Korruptionsprävention; TU Mün-
chen, Satzungen und Leitlinien, 2018.
11 § 12 Abs. 1 Nr. 2 InsO, z. B. i. V. m. Art. 25 AGGVG Bayern.
12 Siehe Weber, B., Innovationsschutz als Teil des Risikoma-
nagements – Strategische, rechtliche und prozessorien-
tierte Ansätze zum Schutz von betrieblichen Innovationen,
ZRFG, 2006, S. 30–36.
Compliance-
Systeme bewahren
die Wissenschafts-
freiheit und redu-
zieren Risiken.
Lizenziert für Hochschule für Angewandte Wissenschaften Hof.
Die Inhalte sind urheberrechtlich geschützt.
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2019 (http://www.zrfcdigital.de) - 10.09.2019 16:46
58701305879
ZRFC 4/19 153Compliance in Hochschulen
Bußgelder gemäß Art. 83 DSGVO nur im hoheitli-
chen Bereich ausgenommen.13 Es ist zu bedenken,
dass insbesondere viele kleinere Hochschulen in
der Industrie gängige ISO- oder DIN-Normen nicht
erfüllen und damit nicht einmal im üblichen Sorg-
faltsmaßstab liegen, zum Beispiel in der wichtigen
ISO 27001 „IT-Sicherheits-Managementsysteme“.14
Imageschäden können hingegen alle Einrichtun-
gen treffen und im Wettbewerb um Studierende
oder Drittmittel negative Folgen haben.
3 Aufbau eines Compliance-Manage-
ment-Systems
Ein CMS besteht in der Regel aus den folgenden
Elementen:
fCompliance-Konzeption,
fCompliance-Organisation,
fCompliance-Prozesse,
fCompliance-Kommunikation.15
Da Risikomanagement in den Hochschulgeset-
zen nicht vorgesehen ist, fügen sich Compliance-
Strukturen und -Funktionen zunächst nicht in die
Organisationsstruktur einer Hochschule ein. Diese
bestehen aus den zentralen Organen der Selbstver-
waltung wie Hochschulleitung, Senat und Hoch-
schulrat sowie den Untergliederungen in Fakultä-
ten oder Fachbereichen, Instituten oder Lehrstühlen
mit den entsprechenden Organen. Die Studieren-
den wirken über ihre gewählten Vertreter in den
Gremien mit. Die Verwaltung ist wissenschafts-
unterstützend tätig und ist hierzu in der Regel in
Abteilungen und Stabsstellen gegliedert. Die Com-
pliance-Funktion muss organisatorisch die Brücke
zwischen Wissenschaft und Verwaltung schlagen.
Eine Ansiedlung beim Präsidenten oder der Hoch-
schulleitung, zum Beispiel als eigenständige Stabs-
stelle, empfiehlt sich hierzu.
Zum anderen sind die Aufgaben von Compli-
ance zu anderen Stellen abzugrenzen: Ist das Jus-
titiariat für die laufenden Rechtsgeschäfte, die
Revision (soweit vorhanden) für die Prüfung der
Ordnungsmäßigkeit und Effektivität des Handelns
in der Rückschau zuständig, nimmt die Compli-
ance-Funktion eine präventive, auf die Zukunft
gerichtete Rolle ein. Im Idealfall grenzen die drei
Funktionen als Abteilungen oder Stabsstellen ihre
Aufgaben und Schnittstellen ab und tragen so zu
transparenten Prozessen und Zuständigkeiten bei.
Compliance-Strukturen als Teil der Organisa-
tion des Wissenschaftsbetriebes können nur mit
Blick auf die Wissenschaftsfreiheit beurteilt wer-
den. Dies gilt auch für die Entscheidung über Haus-
haltsfragen. Die Organisation eines CMS fällt dabei
in die Organisationhoheit der Hochschule selbst.
Entscheidungen und Maßnahmen können eigen-
verantwortlich und weisungsfrei getroffen werden
und unterliegen nur der Rechtsaufsicht des zustän-
digen Ministeriums.16
Compliance ist auch in einer Hochschule Leitungs-
aufgabe. Dem Compliance-Beauftragten kommt eine
beratende und gestaltende Funktion zu, die er nach
Delegation der Hochschulleitung wahrnimmt. Ent-
scheidungsbefugnisse im Sinne von arbeitsrechtli-
chen Konsequenzen von Verstößen können hiermit
nicht verbunden werden.
4 Compliance-Prozess
In der Entwicklung der letzten Jahre haben sich die
Hochschulen aus der behördlichen Struktur und
Denken teilweise gelöst. Eine Hinwendung zur rei-
nen Unternehmenspraxis verbietet sich schon auf-
grund der gesetzlichen, zugewiesenen Aufgaben.
Unabhängig vom Streit um die „unternehmerische
Hochschule“17, sind in den Prozessen Risikoanaly-
sen und Bewertungen mit einzubeziehen und die
Governance des Wissens- und Technologietrans-
fers zu verbessern. Gleichzeitig dürfen die Anfor-
derungen des BVerfG zur wissenschaftsfreundli-
chen Gestaltung nicht aufgegeben werden.18 Die
Einführung von Compliance-Management-Struktu-
ren erfordert in jedem Fall einen Change-Prozess,
der die hybriden Strukturen des Wissenschaftsbe-
triebes aufnimmt und die gesetzlichen Vorgaben
mit den Erfordernissen der Märkte und der For-
schungsfreiheit zu balancieren sucht. Dies gelingt
nur mit einem klaren Mandat der Hochschullei-
tung und der Kommunikation mit den Beteiligten,
bei der die unterschiedlichen Interessen und Kul-
turen in der Hochschule respektiert, aber nicht per
se unantastbar sind.
13 Art. 83 DSGVO i. V. m. LDSG, z. B. Art. 22 BayDSG: nur bei
Handeln Wettbewerb; Art. 84 DSGVO i. V. m. LDSG, z. B.
Art. 23 Abs. 2 und 1 BayDSG: nicht gegenüber öffentlichen
Stellen.
14 Zum Ganzen: Weber, B. / Buschermöhle, H., Rechtssicher-
heit durch Technische Sicherheit: IT-Compliance als dauer-
hafter Prozess, Compliance Berater (CB), 2016, S. 339–344;
Erfordert eGovernment auch eCompliance?, 22.01.2016,
abrufbar unter https://www.egovernment-computing.de/
erfordert-egovernment-auch-ecompliance-a-518862/ (Stand:
13.06.2019).
15 Siehe nur: Weber, B., Rechtliche Herausforderungen durch
Compliance, in: Schmola, G. / Rapp, B. (Hrsg.), Compliance,
Governance und Risikomanagement im Krankenhaus –
Rechtliche Anforderungen – Praktische Umsetzung –
Nachhaltige Organisation, Wiesbaden 2016, S. 3 ff.
16 Weber B. / Lejeune S., S. 44 ff.
17 Vgl. Scherm, E., Management und Universität – (k)eine
konfliktäre Beziehung, in: ders. (Hrsg.), Management
unternehmerischer Universitäten – Realität, Vision oder
Utopie?, München 2014, S. 5 f.; von Coelln, Ch., 7. Kapi-
tel– Das Binnenrecht der Hochschule, in: Hartmer,
M. / Detmer, H. (Hrsg.), Hochschulrecht – Ein Handbuch
für die Praxis, 3. Aufl., Heidelberg 2017, S. 349, 378 f.
18 BVerfG, 24.06.2014 – 1 BvR 3217/07 = BVerfGE 136, 338,
364 = NJW 2014, 2856.
Ein adäquates CMS
fordert und fördert
hochschulinterne
Verantwortlich-
keiten.
Lizenziert für Hochschule für Angewandte Wissenschaften Hof.
Die Inhalte sind urheberrechtlich geschützt.
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2019 (http://www.zrfcdigital.de) - 10.09.2019 16:46
58701305879
ZRFC 4/19 154 Management
5 Compliance-Risikomanagement
Während das Risikomanagement in der Privatwirt-
schaft seit vielen Jahren als Führungs-, Steuerungs-
und Kontrollinstrument fest etabliert ist und sei-
nen rechtlichen Niederschlag unter anderem in
den §§ 91 Abs. 2, 107 Abs. 3 S. 2 AktG, § 317 Abs. 4
HGB sowie in Ziffer 3.4, 4.1.4 und 5.3.2 des DCGK19
gefunden hat, pflegt die öffentliche Hand bislang
dazu ein eher distanziertes Verhältnis. Gesetzes-
oder Verfassungsnormen, die eine Einführung
des Risikomanagements für die öffentliche Hand
zwingend fordern, gibt es nicht, wenn man von
einzelnen risikobezogenen Berichtspflichten im
kommunalen Haushaltsrecht, zum Beispiel § 48
S. 6 GemHVO NRW,20 einmal absieht. Diese haben
allerdings primär finanzielle Risiken im Blick. Die
Handhabung von rechtlichen Risiken des konkre-
ten Verwaltungshandelns, vor allem Korruptions-
risiken, wird allerdings in einigen Verwaltungsvor-
schriften21 und diesbezüglichen Empfehlungen22
geregelt. Für Hochschulen stellt sich die Gesetzes-
lage ähnlich dar. Sie konnten zwar nach den Hoch-
schulreformen der letzten Jahrzehnte ihr autono-
mes Profil deutlich schärfen, dennoch gibt es auch
für sie keine gesetzliche Pflicht zur Implementie-
rung eines Risikomanagementsystems. Die Befas-
sung mit rechtlichen Risiken im Sinne einer Selbst-
kontrolle und als gedanklichen Ausgangspunkt des
CMS gilt jedoch als unverzichtbare Voraussetzung
für die Wirksamkeit eines CMS. Die zentrale Frage
ist dabei vor allem jene, wie man (rechtliche) Risi-
ken erkennen und bewerten beziehungsweise mit-
einander vergleichen kann.
Ausgehend von der Feststellung, dass ein Risiko
immer dann vorliegt, wenn ein Schadenseintritt
möglich ist,23 kann jeder innerhalb seiner Orga-
nisation Prozesse benennen, die er als besonders
risikobehaftet betrachtet. Gleichwohl resultiert dar-
aus noch keine Systematisierung von Risiken und
noch keine Risikoanalyse. Diese verläuft, wie unter
anderem in der ISO 31000:2009 beschrieben, in vier
Phasen ab: Identifikations-, Bewertungs-, Steue-
rungs- und Kontrollphase, also in dem sogenann-
ten PDCA-Zyklus (Plan-Do-Check-Act).
Die Risikoidentifikation erfordert zunächst die
Ermittlung von Risikofeldern innerhalb der Hoch-
schule. Das sind solche Aufgabenbereiche, die
erfahrungsgemäß ein besonders hohes (rechtliches)
Risiko aufweisen, wie etwa das Beschaffungs- und
Vergabe-, IT-,24 Personal-, Haushalts-, allgemeines
Betriebswesen,25 die Beschaffung von Finanz- und
Drittmittel26 und das Prüfungswesen. Innerhalb
dieser Risikofelder werden anhand vorhandener
Unterlagen, wie Geschäftsverteilungspläne, Prüf-
berichte sowie unter Einbeziehung der betroffenen
Beschäftigten mit intuitiv-kreativen oder systema-
tisch-analytischen Methoden die einzelnen Prozesse
beziehungsweise Tätigkeiten näher betrachtet.
Grundlage dieser tätigkeits- oder arbeitsplatzbezo-
genen Analyse sind entweder quantitative (Beispiel:
Anzahl besonderer Vorkommnisse oder Prüfun-
gen, Anzahl und Volumen der Beschaffungsvor-
gänge, Anzahl krankheitsbedingter Fehltage etc.)
oder qualitative (Beispiel: Sicherungsmaßnahmen,
Handhabung von Interessenkonflikten, Führungs-
und Informationskultur etc.) Risikoindikatoren, die
gewichtet und skaliert werden, um daraus einzelne
Risikowerte zu ermitteln.
In der Bewertungsphase wird die Eintrittswahr-
scheinlichkeit und das Ausmaß des möglichen (im)
materiellen Schadens der identifizierten Risiken
ermittelt. Konkret geht es um die Beantwortung
der Frage, was bereits innerhalb der Hochschule
getan wurde, um die Eintrittswahrscheinlichkeit
und/oder das Schadensausmaß in Bezug auf das
rechtliche Risiko zu reduzieren oder ganz zu ver-
meiden beziehungsweise was noch getan werden
muss. Dieses methodische Vorgehen beschreibt den
doppelten Ist-Soll-Abgleich, die Definition des Ziels
und der personal- oder verwaltungsorganisatori-
schen Maßnahmen zur Zielerreichung. Zusammen-
gefasst wird das Ergebnis der Risikobewertung in
einer Risikomatrix, die als Tabelle27 oder Achsen-
diagramm28 ausgestaltet werden kann. Mittels der
errechneten Punktwerte beziehungsweise anhand
einer farblichen Gestaltung (grün – gelb – rot)
lässt sich so erkennen, welche Tätigkeit inner-
halb der Hochschule mit welchem Risiko (gering
– mittel – hoch) verbunden ist. Verbindet man
die Risikomatrix mit einem Organigramm, erhält
man einen hochschulspezifischen Risikoatlas.
Risikomatrix beziehungsweise Risikoatlas gestat-
ten nicht nur einen guten Überblick über die Risi-
kosituation in der Hochschule, sondern sie geben
durch die roten Felder, also die Bereiche mit einem
hohen Risiko, auch Prioritäten für die To-do-Liste
des Compliance-Beauftragten sowie der Führungs-
kräfte vor.
19 Deutscher Corporate Governance Kodex, abrufbar unter
https://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.
html (Stand: 18.05.2019)..
20 Verordnung über das Haushaltswesen der Gemeinden im
Land Nordrhein-Westfalen (Gemeindehaushaltsverordnung
NRW) vom 16.11.2004, GV.NRW, S. 644.
21 Vgl. etwa Ziff. 2 der RiL der Bundesregierung zur Korrupti-
onsprävention in der Bundesverwaltung vom 30.07.2004.
22 Ziff. 3. Abs. 1 Spiegelstrich 8 der Empfehlungen für Interne
Revisionen in der Bundesverwaltung vom 21.12.2007.
23 Vgl. BVerfGE 49, 89, 143 (sog. Kalkar-Beschluss).
24 Vgl. Geis M.-E.: in: Stober R. / Orthmann N., Compliance,
Rn. 1466 ff.
25 Schweisfurth T. / Bandlow A., Risikomanagement – ein
Thema auch für die Rechnungshöfe, DÖV 2013, S. 24 ff., 28.
26 Vgl. Kroszewski T., Compliance in Hochschulen, 2015, S. 19.
27 Vgl. Sorgatz I., Interne Revision in Behörden, Bonn 2013,
S. 36, 38.
28 Vgl. Pauthner, J. / Stephan H.-J., § 16, in: Hauschka C. / Moos-
mayer K. / Lösler T.J., Corporate Compliance, München
2016, 3. Aufl., Rn. 118 ff.
Man kann nur die
rechtlichen Risiken
steuern, die man
kennt.
Lizenziert für Hochschule für Angewandte Wissenschaften Hof.
Die Inhalte sind urheberrechtlich geschützt.
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2019 (http://www.zrfcdigital.de) - 10.09.2019 16:46
58701305879
ZRFC 4/19 155Compliance in Hochschulen
Diese Risikopriorisierung leitet über zur Steu-
erungsphase, in der für jedes Risiko entschieden
werden muss, ob es vermieden, vermindert oder
auf eine andere Institution übergewälzt werden
kann oder letztendlich – wegen des staatlichen
Daseins- und Versorgungsauftrags – akzeptiert
werden muss. Zugleich verdeutlicht die Steuerungs-
phase und die anschließende Kontrollphase, in der
die getroffenen Maßnahmen hinsichtlich ihrer Effi-
zienz und Effektivität kontrolliert werden müssen,
dass das Risikomanagement kein einmaliger, stati-
scher Prozess ist, sondern einer ständigen Weiter-
entwicklung unterliegt. Aufgaben, Zuständigkeiten
und ihre rechtlichen wie finanziellen Rahmenbe-
dingungen verändern sich und damit auch ihre
Risiken. Dementsprechend wird spätestens alle fünf
Jahre die Frage nach dem Stand der hochschulspe-
zifischen Risiken von dem Compliance-Beauftrag-
ten erneut zu beantworten sein.
6 Compliance-Kommunikation
Die Wirksamkeit eines CMS ist abhängig von
einer angemessenen Risikoanalyse, den zu treffen-
den personal- und verwaltungsorganisatorischen
Maßnahmen, dem korporativen Gewissen der
Beschäftigten,29 das die Notwendigkeit der exter-
nen Kontrolle minimiert, sowie von einer positi-
ven Organisationskultur.30 Das korporative Gewis-
sen und die positive Organisationskultur können
nur durch eine aufmerksame Kommunikation
hochschulintern wie extern erreicht werden. Auf
den Stellenwert einer angemessenen Compliance-
Kommunikation als Grundelement eines CMS weist
sowohl Ziff. 4 des IDW PS 980 hin als auch Ziff. 7.4
der ISO 19600: 2014.
Dabei umfasst die sogenannte interne Compli-
ance-Kommunikation die zielgruppenspezifische
Darstellung der Bedeutung und Funktionsweise
eines CMS vor der Implementierung, begleitend
sowie danach die fortlaufende, anlassbezogene
wie anlassunabhängige Erläuterung der getroffe-
nen Maßnahmen und individuellen Verantwort-
lichkeiten gegenüber den Beschäftigten. Die interne
Compliance-Kommunikation hat dabei nicht nur
eine werbende Funktion, sondern zusätzlich eine
beratende. Beschäftigte sollen besonders vor den
dienst- und strafrechtlichen Risiken (Beispiel:
§§ 331 ff. StGB) eines Rechts- und Regelverstoßes
bewahrt werden. Methodisch kommen dafür Ein-
zelberatungen, Präsenz- oder Online-Schulungen,
Train-the-Trainer-,31 E-Learning-Programme, News-
letter und Hinweisschreiben in Betracht.
Die sogenannte externe Compliance-Kommuni-
kation umfasst die präventive und anlassbezogene
Information von Aufsichtsbehörden sowie Förder-,
Kooperations- und sonstigen Vertragspartnern oder
externe Dritte. Dazu gehören sowohl die Öffent-
lichkeitsarbeit, das Marketing, als auch die gezielte
Krisenkommunikation und die Implementierung
eines Hinweisgebersystems. Dieses wird – elektro-
nisch und/oder personalisiert – potenziellen Hin-
weisgebern zur Verfügung gestellt, um mögliche
Rechts- und Regelverstöße gegenüber dem Compli-
ance-Beauftragten, dem Antikorruptionsbeauftrag-
ten oder einer externen Ombudsperson mitteilen
zu können.
Eine weitere, wesentliche Säule der Kommu-
nikation ist das hochschulinterne Berichtswesen,
also einerseits die anlassunabhängige, regelmäßige
Berichterstattung über die Weiterentwicklung des
CMS gegenüber der Hochschulleitung und ande-
rerseits die Festlegung der Kommunikationswege
29 Vgl. Bussmann K.-D., Integrität durch nachhaltiges Compli-
ance Management über Risiken, Werte und Unternehmens-
kultur, CCZ, 2016, S. 50, 54.
30 Vgl. Pütz L. / Giertz J.-P. / Thannisch R., Compliance aus
gewerkschaftlicher Sicht, CCZ, 2015, S. 194 ff., 196.
31 Vgl. Hastenrath K., in: dies. (Hrsg.), Compliance-Kommuni-
kation, Berlin 2017, Rn. 77.
Transparente Pro-
zesse verlangen In-
formation und
Kommunikation der
Akteure.
RMA-02_Anzeige_192x65_sw_kd.indd 1 10.07.2019 10:43:12
Lizenziert für Hochschule für Angewandte Wissenschaften Hof.
Die Inhalte sind urheberrechtlich geschützt.
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2019 (http://www.zrfcdigital.de) - 10.09.2019 16:46
58701305879
ZRFC 4/19 156 Management
und Verantwortlichkeiten im Falle des Verdachts
von Rechtsverstößen. Innerhalb der Hochschule
muss eine (Stabs-)Stelle berufen werden, die für sol-
che Compliance-relevanten Verdachtsfälle zustän-
dig ist und die die hochschulinternen Ermittlun-
gen diskret und umsichtig initiiert, koordiniert,
intern kommuniziert und im Falle des Falles mit
den staatlichen Ermittlungsbehörden kooperiert.
Regelmäßig fällt diese Aufgabe dem Compliance-
Beauftragten zu, dessen Aufgabenbereich in einem
Organisationsbeschluss32 normiert wird. Die prä-
zise Fassung des Organisationsbeschlusses ist nicht
zuletzt im Hinblick auf die strafrechtliche Garan-
tenpflicht des Compliance-Beauftragten im Sinne
von § 13 Abs. 1 StGB33 von Bedeutung. Zur präven-
tiven Regelung von Krisenfällen, zu denen straf-
rechtlich relevante Rechtsverstöße gehören, emp-
fiehlt sich ein Compliance-Notfallplan,
34
der jedem
Verantwortlichen eine Fahrplan für den Krisenfall
an die Hand gibt und der den nötigen rationalen
Umgang mit der Krise ermöglicht.
7 Hinweisgebersystem
Als Hinweisgebersysteme werden alle Einrichtun-
gen verstanden, die potenziellen Hinweisgebern
zur Verfügung gestellt werden, um ihre Kenntnisse
über mögliche Normenverstöße, insbesondere kor-
ruptionsrelevante Vorkommnisse, an Kontroll-, Auf-
sichts- oder Vertrauenspersonen weitergeben zu
können.
35
Hinweisgebersysteme sind entscheidend
für das Aufdecken von Korruptions- und sonstigen
Wirtschaftsdelikten, sowohl in Unternehmen als
auch in Einrichtungen der öffentlichen Hand. Das
liegt insbesondere an dem heimlichen Vorgehen
der Täter, dem defizitären Anzeigeverhalten von
Opfern und Zeugen,36 nicht zuletzt aus Angst vor
Repressionen, sowie an der Komplexität der jewei-
ligen Sachverhalte.
Hinweisgebersysteme werden unterschied-
lich ausgestaltet und haben eine unterschiedli-
che Reichweite. Hinweise können elektronisch
über eine telefonische Hotline, Voicemail-Systeme
sowie über eine internet-basierte Kommunikations-
plattform entgegengenommen werden oder perso-
nalisiert über einen internen Compliance-Beauf-
tragten, Antikorruptionsbeauftragten oder eine
externe Ombudsperson. Sie können nur Mitar-
beiter als Hinweisgeber ansprechen oder jede Per-
son, die irgendeinen Bezug zur Hochschule hat.
Sie können nur bestimmte Rechtsverstöße erfas-
sen oder jeden Rechtsverstoß. Ein wichtiges Thema
ist dabei der Anonymitätsschutz für Hinweisgeber,
der die Anzeigebereitschaft erhöhen soll. Bislang
gibt es, abgesehen von § 6 Abs. 5 GwG und § 25 a
Abs. 1 S. 6 Nr. 3 KWG, keine gesetzliche Pf licht zur
Implementierung eines Hinweisgebersystems. Das
dürfte sich allerdings mit dem Vorschlag der EU-
Kommission für eine Richtlinie des Europäischen
Parlaments und des Rates zum Schutz von Perso-
nen, die Verstöße gegen das Unionsrecht melden,
vom 23.04.201837 ändern. Insofern wird die bishe-
rige Passivität des Bundesgesetzgebers keine Fort-
setzung erfahren können.
8 Fazit
Compliance als rechtliches Risikomanagement ist
auch für Hochschulen eine Pflichtaufgabe. Die Pri-
orisierung nach Risikofeldern und die unterschied-
lichen Anforderungen in den drei Säulen Lehre,
Forschung und Weiterbildung, flankiert von der
wissenschaftsunterstützenden Verwaltung sind vor-
dringlich. Im Gegensatz zu Unternehmen müssen
die Hochschulen bei der Einführung von CMS die
gesetzlichen Aufgaben und die Verpflichtung zu
wissenschaftsadäquaten Organisationsstrukturen
mit Blick auf die grundrechtlich gesicherte Frei-
heit von Forschung und Lehre besonders berück-
sichtigen.
32 Vgl. Auer M., in: Stober R. / Orthmann N. (Hrsg.), Compli-
ance, Rn. 781.
33 Vgl. BGH, 17.07.2009 – 5 StR 394/08, Rn. 23 ff. = BGHSt 54,
44.
34 Vgl. Richter M. / Naulin N., Anti-Corruption-Wall, München
2011, S. 404 ff.
35 Vgl. Buchert R., in: Hauschka C. / Moosmayer K. / Lösler T.J.
(Hrsg.), Corporate Compliance, § 42 Rn. 4
36 Vgl. Backes O. / Lindemann M., Staatlich organisierte Ano-
nymität als Ermittlungsmethode bei Korruptions- und
Wirtschaftsdelikten, Heidelberg 2006, S. 3 m. w. N.
37 Vgl. 2018/0106 COD; dazu Wiedemann M. / Seyfert, S.,
Richt linienentwurf der EU-Kommission zum Whistle-
blowing, CCZ, 2019, S. 12 ff.
Hinweisgebersys-
teme können inner-
halb eines CMS
unterschiedlich
gestaltet sein.
Lizenziert für Hochschule für Angewandte Wissenschaften Hof.
Die Inhalte sind urheberrechtlich geschützt.
© Copyright Erich Schmidt Verlag GmbH & Co. KG, Berlin 2019 (http://www.zrfcdigital.de) - 10.09.2019 16:46
58701305879
