Navigation
Seiteninhalt

Serie Mitarbeiter-Compliance: Dritte Parteien

Wer ist Mitarbeiter, wer externer Dritter aus Sicht des Unternehmens? Die Grenzen verwischen zusehends. Konzentriert sich die Compliance nur auf eigene Mitarbeiter, wird sie in vor diesem Hintergrund unwirksam.
Von Dipl.-Kfm. Thomas Schneider
04. November 2015

Bei Dritten Parteien kann es sich sowohl um Personen als auch um Organisationen handeln. Bei Lieferanten sind notwendige Schritte zur Sicherung der Compliance meistens bereits implementiert. Die Zusage, den Code of Conduct zu befolgen, ist für Zulieferer in der Regel obligatorisch. Dabei bleibt das größte Risiko häufig unbeachtet: unmittelbare Transaktionen auf der Arbeitsebene zwischen dem Unternehmen und Dritten Parteien. Während hier etwa Leiharbeiter eindeutig identifizierbar sind, können im Rahmen von vergebenen Werkverträgen durchaus auch Personen für das Unternehmen tätig werden, die man nicht näher kennt.

Dritte Parteien sind: Menschen

Aus Sicht der Compliance handelt es sich bei Dritten immer um Personen, nicht um Institutionen. Die Compliance des Unternehmens sollte wissen, wer sich alles hinter einer Organisation verbirgt bzw. welche Mitglieder im, mit oder für das eigene Unternehmen tätig werden.

Im Rahmen der Risikoerfassung wird eine Gruppenbildung notwendig. Abbildung 1 erläutert die grundsätzliche Systematik.

Abb. 1: Definition Dritter aus Unternehmenssicht , © Schneider
Abb. 1: Definition Dritter aus Unternehmenssicht

Wenn es auch in Österreich noch keine rechtlich verbindlichen Vorgaben für die Compliance im hier darstellten Kontext gibt, kann dennoch auf den UK Bribery Act verwiesen werden, der zumindest große Unternehmen mit Geschäftsbeziehungen nach Großbritannien betrifft. Dieser fordert: „Appropriate training for associated persons (a person who ‘performs services’ for or on behalf of the organization).”

Risiken, die von Dritten ausgehen

Das Risiko, das von Dritten ausgeht, hängt von verschiedenen Kriterien ab, die im Folgenden aufgezeigt werden.

  • Die Funktion bzw. der Einsatzbereich Dritter im Unternehmen ist ein zentrales Kriterium für die Risikoexposition. So wird eine Aushilfskraft in der Kantine weniger risikorelevant sein als eine im Werksschutz.

  • Ein weiteres Merkmal sind der Zutrittsrechte Dritter: Dürfen sie sich auf dem gesamten Betriebsgelände aufhalten oder nur in bestimmten Räumen? Sind mit eigenen Mitarbeitern zusammen tätig oder ohne Aufsicht? Wie weitreichend ist ihr Zugang auf die IT-Systeme?

  • Vor allem bei Informationen stellt sich die Frage, inwieweit diese durch den externen Partner genutzt werden können. Es besteht die Gefahr, dass unternehmenseigene Daten von Dritten gezielt ausgewertet oder an Konkurrenten weitergegeben werden.

  • Auch die Dauer der Tätigkeit Dritter für das Unternehmen ist natürlich relevant. Je nachdem, ob die Interaktion sich auf wenige Stunden beschränkt oder unbefristet ist, wie etwa bei einem externen IT-Dienstleister, ist eine unterschiedlich hohe Risikoexposition gegeben.

  • Mit wachsender Komplexität der Aufgaben Dritter wissen die Ansprechpartner im Unternehmen zunehmend weniger über die Ausführung der Tätigkeit. Das erschwert Kontrollen. Ein Indikator für die Komplexität der Aufgaben sind z.B. die Kosten je Arbeitsstunde.

Maßnahmen zur Risikoreduktion

Bevor Dritte Parteien Compliance-Schulungen erhalten, gilt es, intern Maßnahmen zur Risikoreduktion zu setzen, wie etwa die Folgenden:

  • Funktionsausschluss: In einzelnen Abteilungen kann das Risiko als derart schwerwiegend eingestuft werden, dass auf den Einsatz Dritter bewusst verzichtet wird. Typischerweise sind Bereiche wie F&E oder der Verkauf in kritischen Drittländern betroffen.

  • Zugangsbeschränkungen: Beschränkungen können sowohl Räume als auch Systeme betreffen. Dabei sind an erster Stelle mechanische Schließsysteme einzurichten und der Zugang differenziert zu gestalten. Vergleichbare Fragen ergeben sich beim IT-System, vor allem wenn temporäre Zugangslösungen für Praktikanten, Werkstudenten und Vertreter eingerichtet sind.

  • Vertragsvereinbarungen: In preissensiblen Märkten setzen externe Partner eine Vielzahl von Beschäftigten ein, die Mitarbeiterfluktuation ist häufig groß. Das erschwert Compliance-Schulungen und die damit verbundene Dokumentation.

  • Sensibilisierung: Eine Sensibilisierung für die Relevanz von Compliance-Checks der eigenen Mitarbeiter fördert kritisches Nachfragen bei ungewöhnlichem Verhalten Dritter, ohne unbegründetes Misstrauen zu provozieren.

Schulungen

Rechtlich schwierig einzuordnen ist, ob Schulungen für eigene Mitarbeiter eins zu eins auf Externe übertragbar sind. Im Zweifel müssen die Trainings – insbesondere bei internationalen Firmen – so angepasst werden, dass nicht ein Anspruch auf dauerhafte Beschäftigung Dritter begründet wird.

Die Themen der Schulungen für Dritte werden denen für die eigenen Mitarbeiter entsprechen. Was hier relevant ist, wird bei Dritten nicht weniger relevant sein. Dabei sind vor allem die folgenden Bereiche zu nennen:

  • Code of Conduct

  • Umgang mit Geschäftspartnern/Korruptionsbekämpfung

  • Kartellrecht

Im Rahmen des Trainings sind grundsätzlich drei Ausprägungen möglich:

  • Übergabe und Bestätigung von Unterlagen

  • einmaliges Standardtraining

  • intensives Training

Die aufgezeigten Maßnahmen können sowohl einmalig als auch in regelmäßigen Abständen erfolgen.

-- Abschluss der Serie "Mitarbeiter-Compliance". --

Buch „Mitarbeiter-Compliance“

Cover: Mitarbeiter-Compliance, © ESV
Cover: Mitarbeiter-Compliance

Wie und warum alle Mitarbeiter von Compliance erreicht werden sollen, erläutert ausführlich das Buch „Mitarbeiter-Compliance“ von Thomas Schneider und Maike Becker, das im April 2015 im Erich Schmidt Verlag, Berlin erschienen ist.

Autoren

Dipl.-Kfm. Thomas Schneider

Dipl.-Kfm. Thomas Schneider verantwortete von 2013 bis 2019 Interne Revision und Corporate Compliance eines mittelständischen Stahlgroßhandels. Zuvor war er in der Internen Revision eines Herstelle...