Beruf: Chief Compliance Officer

Jemanden speziell für Compliance in eine C-Position (C steht für ‘Chief’) zu hieven, also in die Geschäftsleitungsetage, hat eigentlich nur einen Grund: Aufmerksamkeit. Wie vieles kommt auch der Begriff CCO aus den USA. Dort, so Kampffmeyer, ist es üblich, Personen mit großer Verantwortung einen C-Posten zu übertragen – nicht zuletzt deshalb, weil der Strafbarkeitsdruck dort sehr hoch ist.

In Deutschland herrscht aber eine ganz andere Struktur. In Familienbetrieben mit in der Regel wenigen Mitarbeitern übernimmt der Chef selbst die wirklich wichtigen Aufgaben. In großen Unternehmen ist grundsätzlich immer der Geschäftsführer oder der Vorstand für das Handeln und die Situation in der Firma verantwortlich. Aus verantwortungstechnischen Gründen macht ein CCO in Deutschland daher keinen Sinn. Sehr wohl aber jemand, der das Thema anpackt und Lösungen findet.

Wer soll es machen?

Eine hohe Position zählt dennoch zu den vier Eckpunkten, die laut Kampffmeyer ein CCO auf sich vereinen müsste. Außerdem sollte er die Abläufe des Unternehmens kennen. “Externe neu einzustellen macht keinen Sinn”, so der Experte. Er muss des weiteren ein rechtliches Verständnis haben und die Gesetze nicht nur kennen, sondern auch verstehen und vermitteln können.

Schließlich muss ein CCO nach Kampffmeyers Meinung fit sein hinsichtlich der Frage, welche Methoden es zur Überprüfung der Einhaltung gibt. ITIL-Kenntnisse könnten da von Vorteil sein. ITIL ist ein Regelwerk oder eine Richtlinie, die in zehn festgelegten Bereichen einen integrierten, prozessbasierten Rahmen von Best Practices für das Verwalten von IT-Services beschreibt.

CIO und CTO böten sich an. Diese beiden Positionen sind oftmals eng miteinander verwoben und besetzen sowohl die Technik als auch Schnittstelle zwischen der Chefetage und der IT-Abteilung. Rein praktisch liegt hier wohl am ehesten die Möglichkeit, einen CCO zu etablieren, entweder der eine oder der andere. Es bliebe aber eine Mammutaufgabe neben dem ‘Kerngeschäft’. Für Kampffmeyer ist das aber kein Argument, weil er es auch anders kennt. “Einige Unternehmen haben heute sogar schon Leute, die unbewusst Compliance-Aufgaben übernehmen. Sie gehen aber unter, weil sie nicht auf C-Level agieren.”

Nehmen wir die Juristen ins Blickfeld. Die können zumindest die Normen verstehen. GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), Basel II oder SOX (Sarbanes-Oxley) brauchen zum Verständnis schon einen Paragraphen-Kenner.

Wenn sich eine Firma eher zum Mittelstand zählt, dann bleibt doch oft nur ein Externer. Inzwischen werden auch schon Compliance-Dienste angeboten. “Ein schönes neues Aufgabengebiet für Wirtschaftsprüfer”, so Kampffmeyer. Problematisch ist allerdings, dass die Revisionssicherheit der Daten nicht mit einem Mal erledigt ist, sondern ein dauerhafter Prozess sein muss. Kommt der Wirtschaftsprüfer aber nur unregelmäßig, fehle die Kontinuität, so der Experte.

Also bleibt es am Ende doch wieder an dem IT-Manager hängen? Der hat beileibe genug zu tun. Und weil die Aufgaben des CCO nach wie vor nicht eindeutig zu definieren sind, klopft das Durcheinander schon an die Tür. Selbst wenn sich der IT-Leiter die Mammutaufgabe zutraut – Hersteller und IT-Dienstleister machen ihm garantiert einen Strich durch die Rechnung.

Die kochen wie so oft ihr eigenes Süppchen. Hier eine Hardware, dort eine Software und viele Services. Man komme mit der Krümeltaktik einfach nicht weiter. “Wenn alle was alleine machen, kommt am Ende kein Kuchen raus”, sagt Kampffmeyer. Beim Durcheinander der Definition von Compliance geht es doch schon los. Wie soll da ein Berufsbild gerahmt werden?