Checkliste und Handlungsempfehlungen zum Schutz des Unternehmens und zur Haftungsminimierung

Konkrete Vorgaben, wie ein wirksames IKS genau aussehen soll, sind weder den Gesetzen noch der Rechtsprechung zu entnehmen. Aus der sehr strengen Judikatur des Verwaltungsgerichtshofs (VwGH) und diesem folgend der Verwaltungsgerichte (VwG) und Behörden, gibt es lediglich allgemeine Aussagen und mehrheitlich negative Beurteilungen. Auf Basis einer Analyse aktueller Judikate und von Erfahrungen aus der betrieblichen Praxis können aber die nachstehenden Mindestanforderungen präventiver Maßnahmen an ein rechtssicheres IKS abgeleitet werden. 

• Information / Instruktion: Zu den Mindestanforderungen gehören Schulungen, (Sicherheits-) Unterweisungen, Verhaltensvorschriften und die Zurverfügungstellung von erforderlichem Informationsmaterial an alle Mitarbeitenden im Rahmen ihrer Zuständigkeiten und Verantwortungen. Die Mitarbeiter:innen müssen zudem hinsichtlich ihres jeweiligen Tätigkeitsbereichs zur Abdeckung jedes potentiellen typischen wie auch atypischen Gefahrenbereiches entsprechend instruiert werden, um bei diesen einen ausreichenden Informationsgrad sicherzustellen. Diese Instruktionen müssen dabei laufend bzw. systematisch und nicht bloß sporadisch erfolgen. In der Praxis haben sich daher regelmäßige Sicherheitsviertelstunden und Berichte im Rahmen regelmäßiger Managementsitzungen bewährt.
• Kontrolle: Von essentieller Bedeutung ist, dass die Instruktionen auch tatsächlich befolgt werden. Dies ist durch systematische, engmaschige Kontrollmechanismen sicherzustellen, die eine durchgängige Weisungs- und Kontrollkette von der untersten Hierarchieebene bis zur Spitze des Unternehmens vorsehen. Ein entsprechendes Berichtswesen über vorgenommene Kontrollen und festgestellte Auffälligkeiten muss dies begleiten. Stichprobenartige Kontrollmaßnahmen oder ex-post Kontrollen sind nicht ausreichend. Es muss in allen Hierarchieebenen klar sein, wer für was wie zuständig ist. Denn nur durch einen laufenden Informationsfluss von der untersten Ebene über Kontrollen, Schulungen und Arbeitsabläufe bis zur Spitze kann die Geschäftsführung wirksam auf Fehler und Probleme im Betrieb reagieren.
• Sanktionen: Für den Fall von Verstößen muss ein wirksames, einer einheitlichen Systematik unterliegendes mehrstufiges Sanktionensystem etabliert sein, um künftige Übertretungen zu verhindern. Die Ausgestaltung (d.h. Verwarnungen, Nachschulungen bis zu Lohneinbußen und letztlich Entlassungen) muss jedem Mitarbeiter / jeder Mitarbeiterin entsprechend kommuniziert werden und die Vollziehenden entsprechende Kenntnis darüber haben.  
• Dokumentation: Essentieller Faktor eines wirksamen IKS ist die Nachweisführung über sein Bestehen in Form einer entsprechenden Dokumentation über alle getroffenen Maßnahmen. Diese muss laufend erfolgen und lückenlos sein und einer Systematik unterliegen, die sicherstellt, dass die Abläufe im Unternehmen, die entsprechenden Kontrollmaßnahmen und die Funktion im konkreten Bereich griffbereit zur Verfügung stehen.
  

Grundsätzlich sind gemäß § 9 VStG die nach außen vertretungsbefugten Personen (bei einer GmbH die Geschäftsführer:innen, bei einer OG die Gesellschafter:innen oder bei einer AG die Vorstandsmitglieder) kollektiv verantwortlich. Sie haben daher nicht nur für ihr eigenes Fehlverhalten einzustehen, sondern auch dafür, dass sie keine oder unzureichende Vorkehrungen getroffen haben, um die Übertretung öffentlich-rechtlicher Vorschriften im Unternehmen zu verhindern. Infolge ihrer kollektiven Verantwortung können sie – sofern sie nicht ihre Verantwortung aufgeteilt haben – jeweils für dieselbe Verwaltungsübertretung belangt werden.

Nach außen vertretungsbefugte Personen haben allerdings die Möglichkeit, einen oder mehrere Mitarbeitende(n) zu „verantwortlichen Beauftragten“ zu bestellen. Dies erfordert eine entsprechende Position samt Anordnungsbefugnissen im Unternehmen, die Festlegung sachlich und räumlich exakt definierter Verantwortungsbereiche, deren schriftliche Zustimmung und im Rahmen des Arbeitsrechtes zudem die Genehmigung durch die zuständige Bezirksverwaltungsbehörde und das zuständige Arbeitsinspektorat.

Durch systematisierte Managementstrukturen muss sichergestellt sein, dass die Verantwortlichkeiten und Befugnisse relevanter Rollen in der Organisation entsprechend zugewiesen, kommuniziert und dokumentiert sind und dies „top down“ von der obersten Leitung bis zum jeweiligen Verantwortlichen und wieder retour erfolgt.

Ein entsprechendes Organigramm zur Festlegungen der Zuständigkeiten und Verantwortungen – welches im Unternehmen auch ausreichend kommuniziert und verschult wurde – ist jedenfalls als Mindestanforderung zu sehen.

Die zentrale Aufgabe eines CMS liegt darin, die Einhaltung von gesetzlichen Regelungen und unternehmensinternen Verhaltensregeln sicherzustellen und die Unternehmenskultur zu stärken. Damit soll das Risiko von rechtlichen Nachteilen für das Unternehmen, aber auch seiner Organe und Mitarbeitenden minimiert und gleichzeitig die Integrität und die Reputation des Unternehmens geschützt werden.

Basierend auf internationalen „Best-Practices-Standards“ lässt sich (vereinfacht) folgender Aufbau für ein wirksames CMS ableiten.

Allgemeines

• Gibt es in Ihrem Unternehmen eine klare Zuständigkeit für IKS und Compliance?
• Wissen Sie welche Risiken für Ihr Unternehmen besonders relevant sind?
• Haben Sie für Ihr Unternehmen Compliance-Ziele definiert?
• Haben Sie in Ihrem Unternehmen Compliance-Prozesse/Richtlinien implementiert?
• Haben Sie ein Hinweisgebersystem eingerichtet?
• Waren relevante Stakeholder (Einkauf, IT, etc.) in den Aufbau der IKS-Strukturen und/ oder der Compliance-Strukturen involviert?
• Wurde in Ihrer Organisation ein Unternehmensleitbild kommuniziert, welches auch die Punkte Compliance und Integrität adressiert?
• Wurden Kommunikationsmaßnahmen gesetzt, um den Mitarbeitenden die Werte des Unternehmens zu vermitteln?
• Gibt es in Ihrem Unternehmen Maßnahmen zur Überprüfung der Wirksamkeit der getroffenen Maßnahmen?

HANDLUNGSEMPFEHLUNG: Compliance-Maßnahmen können nur erfolgreich sein, wenn sie an die individuelle Risikolandschaft und die spezifischen Bedürfnisse eines Unternehmens angepasst werden. Oftmals reicht es schon aus, punktuelle Maßnahmen in bestehende Geschäftsprozesse zu integrieren, um Compliance-Verstößen vorzubeugen. Ausgangspunkt für alle weiteren Schritte ist sohin die Feststellung und Bewertung der individuellen Risikolandschaft Ihrer Organisation.

Aufbauorganisation 

• Liegt ein schriftliches Organigramm für das gesamte Unternehmen vor?
• Sind im Organigramm die Verantwortungsbereiche und Zuständigkeiten klar abgegrenzt?
• Gibt es für die einzelnen Verantwortungsbereiche jeweils eine wirksame Stellvertretungsregelung?
• Sind das Organigramm und die Verantwortungsbereiche den Mitarbeitenden im erforderlichen Umfang bekannt gegeben worden bzw. tatsächlich bekannt?
  

HANDLUNGSEMPFEHLUNG: Stellen Sie sicher, dass in Ihrer Organisation die Zuständigkeiten und Verantwortungsbereiche klar und transparent definiert sind. Die Aufbauorganisation sollte so ausgestaltet sein, dass sie auch für neue Mitarbeitende rasch und problemlos durchschaubar ist.

Behörden- und Bescheidmanagement

• Gibt es klare Zuständigkeiten, wer Ihr Unternehmen bei Behördenverhandlungen vertritt und wer den Kontakt mit den Behörden unterhält?
• Wer ist für die Erstellung der Einreichungen zuständig?
• Wie viele und welche Bescheide gibt es im Unternehmen – UVP, GewO, Wasser, Bau etc.?  
• In welcher Organisationseinheit gehen Bescheide ein?  
• In welcher Form werden Bescheide abgearbeitet?  
• Haben Sie ein Bescheidverwaltungsmanagement eingerichtet und wenn ja, wie ist dieses aufgebaut und strukturiert?  
• Wie werden die in den Bescheiden üblicherweise vorgeschriebenen Fristen verwaltet? Gibt es (automatisierte) Erinnerungen vor dem Ablauf einer Frist?  
• Werden Verantwortlichkeiten für die Abarbeitung der einzelnen Auflagen festgelegt?  
• Wird zwischen Ziel- und Dauerauflagen unterschieden?  
• Wird die Erfüllung/Nichterfüllung vermerkt? Findet die gesetzlich vorgeschriebene Evaluierung tatsächlich statt? 
• Gibt es einen Prozess zur Überwachung der für Ihr Unternehmen relevanten Rechtsvorschriften (Rechtsregister)?

HANDLUNGSEMPFEHLUNG: Stellen Sie sicher, dass durch ein entsprechendes analoges oder besser digitales System die Auflagen aus Bescheiden, Einreich- und Fertigstellungsunterlagen etc. sowie die Vorgaben aus unmittelbar geltenden Rechtsvorschriften eingehalten bzw. termingerecht erfüllt werden. Dafür sind entsprechende organisatorische Zuständigkeiten und Verantwortungen festzulegen und alle relevanten Stakeholder einzubeziehen.

Sicherheit und Arbeitnehmer:innenschutz

• Wurde jeder Mitarbeitende über die Sicherheitsmaßnahmen für jene Maschinen, an denen sie/er arbeitet bzw. mit denen sie/er in seiner/m Tätigkeitsbereich in Berührung
  kommt, entsprechend geschult?
  
• Wurde sichergestellt, dass auch die unterste Ebene Kenntnis über die Sicherheitsmaßnahmen hat?
  
• Findet in regelmäßigen Abständen eine Wiederholung dieser Sicherheitsunterweisungen statt?
• Werden die Sicherheitsunterweisungen in regelmäßigen Abständen, insbesondere nach einem Arbeitsunfall evaluiert?
  
• Sind Vorkehrungen gegen eigenmächtiges Handeln durch Mitarbeiter:innen getroffen worden?
  
• Ist die oberste Führungsebene in diese Instruktionen eingebunden?
  
• Finden regelmäßige Kontrollen zur Einhaltung der Sicherheitsmaßnahmen statt?
  
• Wurde sichergestellt, dass diese Kontrollen auch im Fall von Urlauben der kontrollierenden Personen vorgenommen werden?
  
• Nimmt auch die oberste Führungsebene in regelmäßigen Abständen an diesen Kontrollen teil?
  
• Wird der obersten Führungsebene über das Ergebnis dieser Kontrollen berichtet?
  
• Wurde ein Sanktionensystem für den Fall der Nichteinhaltung der Sicherheitsmaßnahmen etabliert?
  
• Wurde dieses Sanktionensystem transparent allen Mitarbeitenden kommuniziert?
  
• Werden nach Verstößen entsprechende Maßnahmen festgelegt, wie künftigÜbertretungen vermieden werden können?
  
• Findet eine entsprechende geordnete und den Behörden gegenüber transparente
  Dokumentation all dieser Schritte (Instruktion, Kontrolle und Sanktionierung) statt?

HANDLUNGSEMPFEHLUNG: Aufgrund der strengen Judikatur zum Vorhandensein eines ausreichenden Kontrollsystems ist es vor allem im Bereich des Arbeitnehmerschutzes besonders wichtig, auf den Ebenen Instruktionen, Kontrollen und Sanktionierung entsprechende Maßnahmen zu setzen und diese auch zu dokumentieren. Die betrifft insbesondere – die Definierung konkret einzuhaltender (Sicherheits-)Maßnahmen und die Sicherstellung, dass alle Mitarbeitenden auch entsprechend instruiert wurden; – die Durchführung regelmäßiger Kontrollen betreffend die Einhaltung aller (Sicherheits-) Maßnahmen über alle Hierarchieebenen; – die Etablierung eines transparenten und kommunizierten Sanktionensystems.

Third-Party-Management 

• Gibt es in Ihrem Unternehmen einen standardisierten Prozess für das „Onboarding“ von neuen Geschäftspartnern?  
• Werden neue Geschäftspartner vor Beginn der Geschäftsbeziehung hinsichtlich allfälliger Compliance-Risiken überprüft?  
• Wer ist für die kontinuierliche Überwachung der Geschäftsbeziehung zuständig?  
• Gibt es Regelungen für den Fall, dass Lieferanten Compliance-Verstößen begehen? 
• Werden dabei auch Compliance-Aspekte berücksichtigt?  
• Gibt es in Ihrem Unternehmen standardisierte Prozesse zur Sicherstellung der Einhaltung der (waren- und personenbezogenen) Sanktionsvorschriften?  
• Gibt es diesbezüglich Schulungen für risikoexponierte Mitarbeiter:innen (Einkauf, Exportkontrolle, etc.) um Bewußtsein und Sensibilisierung für „red flags“ zu schaffen?
  
  

HANDLUNGSEMPFEHLUNG: Mit Hilfe eines risikobasierten Ansatzes sollten Sie Ihre Geschäftspartner sowohl einer Erstprüfung vor Vertragsabschluss als auch einer kontinuierlichen Überwachung unterziehen. Wenn Compliance-Verstöße oder substantiierte Ungereimtheiten festgestellt werden, sollte dies zu entsprechenden Konsequenzen führen (Auslistung, Zahlungsblock, Sperrliste, etc.).

Lieferkettensorgfaltspflichten

• Haben Sie Ihre Lieferketten (unmittelbare und mittelbare Lieferanten bzw. Subunternehmen) hinsichtlich des Risikos möglicher Menschenrechtsverletzungen bzw. Verstöße gegen Vorschriften zum Schutz der Umwelt geprüft? 
• Haben Sie einen Verhaltenskodex für Lieferanten, welcher jeder Geschäftsbeziehung zu Grunde gelegt wird?  
• Haben Sie in Ihren Standardverträgen entsprechende Compliance- und Lieferkettensorgfaltspflichtenklauseln verankert?  
• Führen Sie bei Ihren Lieferanten (Vor-Ort-) Audits durch? Welche Aspekte werden dabei geprüft? 
• Haben Sie eine Beschwerdestelle eingerichtet, bei welcher potenzielle Verstöße entlang der Lieferkette gemeldet werden können?
• Welche vertraglichen Möglichkeiten haben Sie, wenn bei Ihrem Lieferanten Verstöße gegen Menschenrechte oder Umweltstandards festgestellt werden?
  

HANDLUNGSEMPFEHLUNG: Bereits aus dem deutschen Lieferkettensorgfaltspflichtengesetz ergeben sich für österreichische Unternehmen mit Lieferverpflichtungen nach Deutschland gewisse Anforderungen hinsichtlich der Sicherstellung der Einhaltung von Menschenrechten und Umweltstandards entlang der Lieferkette. Spätestens mit dem Inkrafttreten des EU-Lieferkettengesetzes werden alle österreichischen Unternehmen mit umfassenden Pflichten und Verantwortungen konfrontiert sein. Wir empfehlen sich schon jetzt mit den Risiken entlang der Lieferkette zu befassen und proaktiv entsprechende Maßnahmen zu setzen, die dann später zu einem Wettbewerbsvorteil führen können.

Abfallmanagement 

• Haben Sie ein funktionierendes Abfalltrennsystem eingerichtet? Haben Sie eine ISTAnalyse durchgeführt und Verbesserungspotenziale identifiziert?
• Wurde dieses Abfalltrennsystem allen Mitarbeitenden transparent kommuniziert bzw. werden die Mitarbeitenden gezielt geschult?
• Haben Sie geprüft, ob Abfall iSd AWG 2002 oder doch ein Nebenprodukt vorliegt?
• Werden die Nachweise über Nebenprodukte oder Abfallende ordnungsgemäß aufbewahrt?
• Haben Sie ein Abfallwirtschaftskonzept erstellt? Wird dieses Abfallwirtschaftskonzept bei einer wesentlichen abfallrelevanten Änderung der Anlage, jedoch mindestens alle 7 Jahre fortgeschrieben?
• Haben Sie geprüft, ob ein Abfallbeauftragter zu bestellen ist? Haben Sie allenfalls die Bestellung bei der Abfallrechtsbehörde gemeldet (EDM-Portal)?
• Führen Sie als Abfallbesitzer (Abfallerzeuger, -sammler und/oder -behandler) fortlaufend Aufzeichnungen über Art, Menge, Herkunft und Verbleib von Abfällen?
• Haben Sie bei der Abfallverbringung die Art, Menge, Herkunft und den Verbleib der gefährlichen Abfälle und die ID-Nummer im Begleitschein deklariert und gemeldet?
• Haben Sie bei der Tätigkeit der Sammlung und Behandlung von gefährlichen Stoffen einen abfallrechtlichen Geschäftsführer bestellt?
• Haben Sie vor einem Liegenschaftserwerb eine Grundstücksabfrage im Altlastenportal durchgeführt? 

HANDLUNGSEMPFEHLUNG: Um sich einen Überblick über die im Betrieb anfallenden Abfälle verschaffen zu können, sollte in einem ersten Schritt ein funktionierendes Abfalltrennsystem eingerichtet werden. Im nächsten Schritt ist zu prüfen, ob Abfälle iSd § 2 Abs 1 AWG 2002 vorliegen, da in diesem Fall die abfall- und altlastenrechtlichen Regelungen zur Anwendung kommen. Für alle Anlagen, in denen mehr als 20 Mitarbeitende beschäftigt sind und bei deren Betrieb Abfälle anfallen, ist ein Abfallwirtschaftskonzept zu erstellen. In einem Betrieb anfallende Produktionsrückstände können unter Umständen sogenannte Nebenprodukte darstellen, die nicht zwingend als Abfälle qualifiziert werden müssen und damit nicht den abfallrechtlichen Vorschriften unterliegen. Abfälle können bei Vorliegen bestimmter Voraussetzungen die Abfalleigenschaft auch wieder verlieren. Verliert eine bewegliche Sache ihre Abfalleigenschaft, so wird sie (wieder) zum Produkt und unterliegt in weiterer Folge nicht mehr dem Abfallrecht, sondern dem Produkt- bzw. Stoffrecht.

Die Sparte Industrie in der WKOÖ bietet in Kooperation mit der Haslinger / Nagele Rechtsanwälte GmbH neben der Checkliste, die eine erste Orientierung liefert, für interessierte Unternehmen auch einen praxisnahen „Compliance-Stresstest“ vor Ort in den Betrieben an. Ziel dieses Compliance-Stresstests ist es,  

• die bereits bestehenden Compliance- und IKS-Strukturen zu analysieren,
• allfällige weitere, bisher nicht bedachte Risikobereiche zu identifizieren und 
• wichtigen Input für mögliche Verbesserungs- und Weiterentwicklungsmaßnahmen zu liefern.