Compliance- und Antikorruptionsrichtlinie

Eine Richtlinie auf Papier genügt nicht; Bieter müssen nachweisen, dass sie wirksame organisationale Maßnahmen und interne Kontrollen umgesetzt haben, um Korruption vorzubeugen. Eine Kernforderung ist die Benennung eines Compliance-Beauftragten (oder Ethik-Beauftragten), der für die Überwachung der Anti-Korruptionsmaßnahmen verantwortlich ist. Internationale Best Practices (wie die ISO 37001 für Anti-Bestechungsmanagementsysteme) betonen die Bedeutung einer Compliance-Funktion – „die Einführung einer Compliance-Funktion in Form eines Compliance Officers mit klar definierten Aufgaben und Zuständigkeiten“. Diese(r) Beauftragte muss direkt an die Geschäftsleitung berichten können und die Befugnis haben, Regelverstöße zu ahnden. In einem Sicherheitsunternehmen bedeutet das: eine beauftragte Person (oder Abteilung, je nach Firmengröße), die die Einhaltung der Richtlinie laufend überwacht, Mitarbeiter in Ethikfragen berät und Verdachtsfällen nachgeht.

Ebenso wichtig ist die Verfügbarkeit eines Hinweisgebersystems (Whistleblowing-Kanal) – ein sicheres und zugängliches Verfahren, damit Mitarbeiter oder Dritte Bedenken anonym melden können. Dies ist nicht nur eine Empfehlung, sondern inzwischen gesetzlich vorgeschrieben in Deutschland. Die EU-Hinweisgeberrichtlinie führte zum Hinweisgeberschutzgesetz, das im Juli 2023 in Kraft trat und „alle Unternehmen mit mindestens 50 Mitarbeitern verpflichtet, interne Meldestellen einzurichten“. Bieter sollten daher darlegen, dass sie eine Hotline, ein E-Mail-Postfach oder ein Online-Portal betreiben, über das Hinweise auf Fehlverhalten eingereicht werden können. Anonymität sollte dabei möglichst gewährleistet sein, da die Erfahrung zeigt: die Möglichkeit, etwas anonym zu berichten, erhöht erheblich die Bereitschaft der Mitarbeiter, schwerwiegende Missstände ohne Angst vor Konsequenzen zu melden. Ein effektives Meldesystem erlaubt es Beschäftigten, „– auf Wunsch auch anonym – Missstände, Korruption, Amtsmissbrauch oder Diskriminierung zu melden“, wodurch das Unternehmen Probleme zunächst intern lösen kann, bevor Behörden oder Medien eingeschaltet werden müssen. Die Richtlinie und die gelebte Praxis des Unternehmens müssen zudem Schutz vor Vergeltungsmaßnahmen für Whistleblower garantieren. Jeder, der in gutem Glauben einen Verdacht meldet, muss vor Repressalien geschützt werden (keine Kündigung, Degradierung oder Schikane wegen eines Hinweises). Das neue deutsche Gesetz „schützt Hinweisgeber vor Repressalien und Vergeltung“ ausdrücklich, und jede Bieterrichtlinie sollte dieses Versprechen widerspiegeln. Konkret heißt das: Das Unternehmen wahrt die Vertraulichkeit der Hinweisgeber-Identität (sofern bekannt) und sanktioniert jeden Vorgesetzten oder Kollegen, der einen Hinweisgeber benachteiligt. Ein bekanntgemachtes, wirksames Hinweisgebersystem und das Verbot von Vergeltung sind starke Indizien dafür, dass eine echte Compliance-Kultur im Unternehmen verankert ist.

Eine weitere unverzichtbare Maßnahme ist die verpflichtende Compliance-Schulung für alle relevanten Mitarbeiter, zugeschnitten auf den Sicherheitsbereich. Jeder Sicherheitsmitarbeiter, jeder Objekt- oder Schichtleiter, jeder Leitstellen-Mitarbeiter und jede Führungskraft im Unternehmen des Bieters sollte in Anti-Korruption und Ethik geschult werden. Die Schulungen müssen abdecken, wie Bestechungsangebote erkannt und abgelehnt werden, wie man mit unzulässigen Beeinflussungsversuchen durch Kunden oder Kollegen umgeht, welche Verfahren bei der Auswahl von Subunternehmern und im Umgang mit Geschenken gelten usw. Und diese Ausbildung muss regelmäßig aufgefrischt werden. Führende Standards empfehlen die „Schulung aller Mitarbeiter in Form von Anti-Korruptions-Trainings“, wobei je nach Position und Verantwortung „solche Schulungen regelmäßig wiederholt werden sollten“, um die Mitarbeiter auf dem neuesten Stand zu halten. Beispielsweise könnten Sicherheitskräfte vor Ort jährlich Auffrischungskurse zum Verhaltenskodex erhalten (etwa: niemals ohne Berechtigung Zugang gewähren, verdächtige Ansprachen sofort melden), während Vorgesetzte zusätzliche Schulungen darin bekommen, interne Betrugs- oder Günstlingserscheinungen zu erkennen und zu melden. Bei der Angebotsabgabe sollte der Bieter Nachweise oder Beschreibungen seines Trainingsprogramms liefern – z.B. Unterlagen zu Schulungsinhalten, Häufigkeit und Teilnahmequoten. Gut geschulte Mitarbeiter sind die erste Verteidigungslinie gegen Korruption, da sie wissen, wie sie sich integer verhalten und welche Konsequenzen Verstöße haben.

Die Richtlinie sollte zudem klare Verfahrensweisen zum Umgang mit Zwischenfällen festlegen, falls doch ein Compliance-Verstoß auftreten sollte. Trotz aller Prävention kann es vorkommen, dass Hinweise oder Anzeichen auf Korruption auftauchen (z.B. der Verdacht, ein Wachmann habe für die Änderung von Dienstplänen Geld angenommen, oder ein Mitarbeiter habe Unterlagen manipuliert). In solchen Fällen muss das Unternehmen über einen Standardprozess zur internen Untersuchung verfügen. In der Regel bedeutet das: rasche Einsetzung eines Ermittlungsteams (oft unter Leitung des Compliance-Beauftragten), Sicherung relevanter Beweise, Befragung der Beteiligten und lückenlose Dokumentation der Ergebnisse. Die Verfahren sollten rechtskonform und vertraulich ablaufen – aber dennoch konsequent darauf ausgerichtet sein, im Bestätigungsfall zügig Abhilfe zu schaffen. Meldepflichten gehören dazu: Das Unternehmen sollte sich verpflichten, den Auftraggeber (also die ausschreibende Stelle) unverzüglich zu informieren, wenn ein schwerwiegender Compliance-Vorfall mit Bezug zum Auftrag vermutet wird. Beispielsweise: Sollte ein Subunternehmer im Rahmen des Sicherheitsauftrags unter Korruptionsverdacht geraten (etwa beim Erschleichen einer behördlichen Genehmigung), müsste der Sicherheitsdienstleister den Auftraggeber umgehend in Kenntnis setzen. Mitunter kann auch eine Meldung an Behörden erforderlich sein – zumindest darf nichts vertuscht werden, wenn eine Straftat vorliegt. Eine gute Anti-Korruptionsrichtlinie wird festhalten, dass das Unternehmen vollumfänglich mit Strafverfolgungs- und Aufsichtsbehörden kooperiert, falls nötig. In der Tat verlangen Mustervertragsklauseln häufig, dass „der Auftragnehmer den Auftraggeber unverzüglich benachrichtigt, wenn er einen Verstoß gegen die Anti-Korruptionspflichten vermutet oder Kenntnis davon erlangt“ und „bei Nachforschungen voll kooperiert und dem Auftraggeber Einsicht in Bücher, Aufzeichnungen und relevante Dokumente gewährt“. Bieter sollten vergleichbare Regelungen in ihrer Richtlinie verankern: dass sie bei erheblichen Compliance-Vorkommnissen den Kunden informieren und externe Untersuchungen oder Prüfungen erleichtern. Diese Transparenz ist entscheidend für das Vertrauen des Auftraggebers.

Schließlich sollten Bieter ihr Engagement für laufende Risikoanalysen und regelmäßige Audits ihres Compliance-Programms unter Beweis stellen. Korruptionsrisiken ändern sich mit der Zeit (Gesetze entwickeln sich weiter, neue Bestechungsmethoden entstehen, Personal wechselt). Daher sollte das Unternehmen regelmäßig seine Abläufe auf Schwachstellen prüfen – etwa in Form einer jährlichen Korruptionsrisikobewertung, in der geschäftskritische Vorgänge (z.B. Einkauf von Ausrüstung, Umgang mit Zollbehörden bei Importen) und die Wirksamkeit der Kontrollen analysiert werden. Ebenso sind periodische Compliance-Audits – durch eine interne Revision oder externe Experten – empfehlenswert, um sicherzustellen, dass die Anti-Korruptionsmaßnahmen tatsächlich greifen. Die besten Unternehmen behandeln Compliance als kontinuierlichen Verbesserungsprozess. Ein Compliance-Standard betont beispielsweise, „die laufende Überwachung und Auswertung gesammelter Daten im Antikorruptionsmanagement“. Durch regelmäßige Kontrollen und Auswertungen wird sichergestellt, „dass das Programm aktuell und wirksam bleibt und interne Schwachstellen erkannt werden, noch bevor Verstöße auftreten“. Die Richtlinie sollte daher vorsehen, dass die Unternehmensleitung das Compliance-System periodisch überprüft (z.B. Bericht an Geschäftsführung oder Beirat) und dass anhand von Prüfungsfeststellungen oder geänderten Rechtslagen Anpassungen vorgenommen werden.

Zusammengefasst verfügt ein Bieter mit starken organisatorischen Maßnahmen über: einen verantwortlichen Compliance-Beauftragten, ein eingerichtetes Hinweisgebersystem, verpflichtende Schulungen, definierte Abläufe zur Vorfallsbearbeitung und einen Zyklus von Überwachung und Verbesserung. Diese Elemente vermitteln dem Auftraggeber das Vertrauen, dass die schriftliche Anti-Korruptionsrichtlinie nicht bloß Zierde ist, sondern im Tagesgeschäft verankert und vom Unternehmen ernsthaft gelebt wird.

Um die obigen Erwartungen durchzusetzen, sollten Vergabestellen konkrete Einreichungsanforderungen und Bewertungskriterien in die Ausschreibungsunterlagen aufnehmen. Zunächst muss jeder Bieter verpflichtend eine formelle Compliance- und Anti-Korruptionsrichtlinie als Teil seines Angebots vorlegen. Es sollte sich um eine vollwertige Richtlinie handeln (in der Regel als Anhang oder separate PDF-Datei), die von der Geschäftsführung unterzeichnet ist – beispielsweise vom Geschäftsführer oder Vorstand des Sicherheitsdienstleisters. Die Unterschrift auf höchster Ebene signalisiert Commitment von oben (“tone at the top”). In der Angebotsdarstellung sollten die Schlüsselpunkte der Richtlinie hervorgehoben werden, aber die Vergabestelle wird den gesamten Text prüfen wollen, um sicherzustellen, dass alle geforderten Aspekte abgedeckt sind (Rechtsbezüge, verbotene Handlungen, interne Kontrollen etc.). Eine bloße allgemeine Erklärung wie „Wir halten alle Gesetze ein“ reicht nicht; die Richtlinie wird auf Substanz und Konkretheit geprüft.

Des Weiteren sollten Bieter eine Ehrenerklärung zur Integrität einreichen. Dabei handelt es sich um eine eidesstattliche Erklärung (in deutschen Vergaben oft gefordert), in der das Unternehmen und seine Führungskräfte versichern, dass sie aktuell in keine Korruptionsermittlungen oder -verfahren verwickelt sind und dass sie nicht aufgrund von Korruption von öffentlichen Auftragsvergaben ausgeschlossen wurden. In vielen Jurisdiktionen führt eine frühere rechtskräftige Verurteilung wegen Bestechung oder Betrugs zum zwingenden Ausschluss von zukünftigen Ausschreibungen. Die Eigenerklärung zwingt den Bieter, zu bestätigen, dass keine derartigen Ausschlussgründe vorliegen. Typischerweise umfasst sie Punkte wie: keine relevanten Vorstrafen im Unternehmen oder bei Führungspersonen, keine laufenden behördlichen Ermittlungen wegen Korruption, keine Sperrungen oder Ausschlüsse von Vergabeverfahren in der Vergangenheit. Die Abgabe einer falschen Erklärung würde selbst einen Ausschlussgrund darstellen und rechtliche Konsequenzen nach sich ziehen – es handelt sich also um ein sehr verbindliches Dokument. Die Vergabestelle sollte Stichproben zur Plausibilisierung erwägen (z.B. Abgleich mit öffentlichen Sanktionsregistern oder Handelsausschlüssen). Die Integritätserklärung stellt sicher, dass nur ethisch unbescholtene Unternehmen im Wettbewerb bleiben.

Über Richtlinie und Erklärung hinaus sollte die Ausschreibung Bieter auffordern, eine Darstellung ihrer internen Kontrollmechanismen und Compliance-Strukturen einzureichen – gewissermaßen Nachweise, wie die Richtlinie praktisch umgesetzt wird.

• Mitarbeiter-Screening und Hintergrundprüfungen: Bieter sollten bestätigen, dass sie ihr Personal – insbesondere für den Einsatz beim Kunden – auf Zuverlässigkeit überprüfen. Z.B.: Führt das Unternehmen polizeiliche Führungszeugnisse für Sicherheitskräfte und Vorgesetzte ein? Werden Arbeitszeugnisse und Referenzen geprüft, um Personen mit nachgewiesener Betrugs- oder Gewaltvergangenheit auszusortieren? Ein gutes Compliance-Programm beginnt bereits bei der Einstellung ehrlicher Mitarbeiter und dem sorgfältigen Einsatz in vertrauensvollen Positionen.

• Funktionstrennung (Segregation of Duties): Der Bieter sollte darlegen, wie er Aufgaben trennt, um unkontrollierte Handlungsspielräume zu vermeiden, die missbraucht werden könnten. Beispielsweise sollten die Mitarbeiter, die im Sicherheitsunternehmen für Einkauf/Beschaffung zuständig sind (etwa für Uniformen oder Technik), nicht identisch mit jenen sein, die Zahlungen freigeben – das verringert das Risiko von Kickbacks oder Unterschlagung. Oder: Der Objektleiter, der dem Kunden gegenübersteht, sollte nicht allein ohne Kontrollen Subunternehmer beauftragen dürfen. Generell ist das Vier-Augen-Prinzip für finanzielle Entscheidungen und eine klare Trennung zwischen operativen Funktionen und Compliance-Überwachung ein starkes Kontrollinstrument. Dadurch wird sichergestellt, dass kein einzelner Mitarbeiter unbemerkt korrupte Handlungen vornehmen kann.

• Hinweisgebersystem-Details: Falls nicht bereits anderweitig beschrieben, kann der Bieter hier sein Hinweisgebersystem erläutern (z.B. „Wir nutzen einen externen Hotline-Dienstleister, erreichbar 24/7 und in mehreren Sprachen“ oder „Wir haben eine interne Ombudsstelle; Meldungen können über ein sicheres Webformular auch anonym erfolgen“). Die Zugänglichkeit und Vertrauenswürdigkeit des Systems zu betonen (und ggf. anonymisierte Kennzahlen, wie viele Hinweise eingegangen und bearbeitet wurden) untermauert die Glaubwürdigkeit.

• Weitere interne Kontrollen: Hierunter fallen z.B. ein Geschenke- und Einladungsregister (wo jeder angebotene oder angenommene Vorteil ab einem geringen Wert erfasst und ab einer Schwelle durch Compliance genehmigt werden muss), regelmäßige Berichte der Compliance-Abteilung an die Geschäftsführung und erlangte Zertifizierungen oder Prüfsiegel. Falls das Unternehmen einschlägige Zertifizierungen vorweisen kann (etwa ISO 37301 für Compliance-Management oder ISO 37001 für Anti-Bestechungsmanagement), sollte es das hier anführen. Zwar sind solche Zertifikate noch nicht zwingend branchenüblich, doch ein Bieter, der die Mühe auf sich genommen hat, eine externe Zertifizierung zu erlangen, zeigt damit ein besonderes Engagement für Compliance. Beispielsweise bedeutet eine ISO 37001-Zertifizierung, dass ein externer Auditor das Anti-Korruptionsprogramm des Unternehmens anhand internationaler Maßstäbe geprüft hat – ein starkes Qualitätsmerkmal. Die Ausschreibungsunterlagen können klarstellen, dass solche Zertifikate nicht Pflicht sind, aber im Rahmen der Bewertung positiv berücksichtigt werden.

Die Vergabestelle sollte transparente Bewertungskriterien festlegen, um diese Unterlagen zu beurteilen.

• Qualität der Richtlinie: Bewertet wird die Vollständigkeit und Stringenz der vorgelegten Compliance-/Anti-Korruptionsrichtlinie. Indikatoren: Bezieht sie sich explizit auf die relevanten Gesetze und Standards (StGB, UK Bribery Act, FCPA etc.) und stimmt mit diesen überein? Enthält sie konkrete Verfahrensregeln zu heiklen Themen (z.B. Umgang mit Geschenken/Einladungen, Interessenkonflikten, Hinweisgeberschutz)? Sind Abläufe eindeutig beschrieben (etwa Meldwege bei Verdachtsfällen, Schritte zur Geschäftspartnerprüfung)? Eine Richtlinie, die nur aus allgemeinen Absichtserklärungen besteht, würde schlechter bewertet als eine, die spezifische, umsetzbare Vorgaben macht und detailliert die rechtlichen Pflichten in betriebliche Regeln übersetzt. Klarheit und Detailtiefe sind entscheidend – die Richtlinie sollte wie ein durchsetzbarer Verhaltenskodex formuliert sein, nicht wie ein werblicher Hochglanzprospekt.

• Infrastruktur & Zuständigkeiten: Bewertet wird die Compliance-Infrastruktur des Bieters. Indikatoren: Ist ein benannter Compliance-Ansprechpartner vorhanden (mit Stellung in der Führungsstruktur)? Hat das Unternehmen Kontaktdaten einer Compliance-Abteilung oder einer Ethik-Hotline angegeben? Existiert ein Meldesystem für Hinweisgeber und wird Anonymität ermöglicht? Ebenfalls relevant: Hat das Unternehmen klar dargestellt, welche personellen Ressourcen für Compliance bereitstehen und wie die Unabhängigkeit gewährleistet ist? Beispielsweise wird positiv sein, wenn ersichtlich ist, dass der Compliance-Beauftragte direkt der Geschäftsleitung berichtet. Auch Informationen darüber, ob das Unternehmen ein Disziplinarverfahren bei Verstößen vorsieht oder wie etwaige Verstöße intern geahndet werden, fallen hier hinein. Dieser Bewertungsaspekt prüft im Kern, ob das Unternehmen die Werkzeuge und Verantwortlichen hat, um die Richtlinie in die Tat umzusetzen – z.B. ein Organigramm oder eine Beschreibung, die zeigt, dass Compliance organisatorisch verankert ist.

• Präventionsmaßnahmen & Erfolgsnachweise: Hier geht es um die gelebte Umsetzung von Präventionsmaßnahmen und den Leistungsausweis des Unternehmens in Sachen Compliance. Indikatoren: Nachweise über regelmäßige Schulungsprogramme – z.B. Schulungspläne, Teilnehmerlisten oder Zertifikate – zeigen, dass das Bewusstsein im Unternehmen verankert wird. Der Bieter könnte angeben: „100 % unserer Mitarbeiter absolvieren jährlich ein Antikorruptions-Training“ oder spezifische Zahlen zu Schulungsstunden und -themen nennen. Awareness-Maßnahmen wie interne Kommunikationskampagnen (Plakate, Ethik-Newsletter) und interne Überprüfungen/Audits (etwa Zusammenfassungen vergangener Compliance-Audits) können ebenfalls genannt werden, um aktive Prävention zu belegen. Zusätzlich wird berücksichtigt, ob es keine negativen Vorkommnisse in der Vergangenheit gab: Ein Unternehmen, das glaubhaft machen kann, nie in einen Korruptionsskandal verwickelt gewesen zu sein oder stets angemessen reagiert zu haben, falls etwas vorgefallen ist, sammelt Vertrauen. Die Vergabestelle könnte nach Referenzen oder Selbstangaben fragen, ob in den letzten X Jahren irgendwelche behördlichen Ermittlungen oder Presseberichte zu Fehlverhalten auftraten.

• Zertifikate und Standards (optional, Bonuspunkte): Indikatoren: Besitz von Zertifizierungen wie ISO 37301 (Compliance Management Systems) oder ISO 37001 (Anti-Bribery Management Systems), oder Teilnahme an relevanten Initiativen (z.B. Unterzeichnung des UN Global Compact, der Prinzip 10 zu Anti-Korruption enthält). Zwar verfügen nicht alle Sicherheitsdienstleister über solche Zertifikate, doch wenn ein Bieter z.B. ISO 37001-zertifiziert ist, bedeutet dies, er hat ein überprüftes Anti-Korruptionsmanagement implementiert – ein deutliches Plus an Glaubwürdigkeit. Aus Sicht der Bewertung signalisiert ein Zertifikat: Das Unternehmen hat erheblich in Compliance investiert und lässt sich von unabhängiger Stelle messen, was als „Gütesiegel für Integrität“ gelten kann. Die Ausschreibung kann angeben, dass solche Nachweise freiwillig sind, aber mit Zusatzpunkten honoriert werden.

Indem die Vergabestelle diese Kriterien zum Bestandteil der Angebotswertung macht, stellt sie sicher, dass Integrität ein Bewertungskriterium neben technischen und kommerziellen Aspekten wird. In der Praxis könnte man die Bieter etwa einen Fragenkatalog zur Compliance ausfüllen lassen oder eine Eigenauskunft mit den genannten Punkten fordern. Die Prüfer vergeben dann Punkte oder Bewertungen pro Kriterium. Zum Beispiel könnte das Gesamtbewertungsschema einen Anteil von – sagen wir – 15 % der Punkte für das Compliance-/Integritätskonzept vorsehen. Das schafft für die Bieter einen Anreiz, nicht nur die geforderten Dokumente einzureichen, sondern tatsächlich ein starkes Compliance-Programm vorzuhalten. Es sendet die klare Botschaft: Ein Sicherheitsauftrag wird nicht allein nach Preis und Leistung vergeben – die ethische Qualifikation und interne Governance des Anbieters sind ein entscheidender Bestandteil seiner Eignung.

Die Forderung nach einer wirksamen Richtlinie in der Angebotsphase ist der erste Schritt; der nächste Schritt ist, die Einhaltung von Compliance-Anforderungen auch im Dienstleistungsvertrag selbst zu verankern. Einkaufs- und Rechtsabteilungen sollten zusammenwirken, um robuste Anti-Korruptionsklauseln in den finalen Vertrag mit dem ausgewählten Sicherheitsdienstleister aufzunehmen. Diese Klauseln begründen rechtlich bindende Pflichten und Konsequenzen in Bezug auf Compliance, sodass der Auftragnehmer über die gesamte Vertragslaufzeit an sein Integritätsversprechen gebunden ist.

• Recht zur Kündigung bei Compliance-Verstößen: Der Vertrag sollte dem Auftraggeber das ausdrückliche Recht einräumen, den Vertrag fristlos zu kündigen, falls der Sicherheitsanbieter in korrupte oder unethische Praktiken verwickelt wird. Dies wird oft als “Kündigung aus wichtigem Grund bei Korruption” oder ähnlich bezeichnet. In Rahmenverträgen heißt es zum Beispiel, dass der Auftraggeber berechtigt ist, den Vertrag mit sofortiger Wirkung zu beenden, wenn der Auftragnehmer oder seine Vertreter ein „Verbotenes Verhalten“ wie Bestechung begangen haben. Praktisch bedeutet das: Sollte sich herausstellen, dass der Auftragnehmer (oder jemand in seinem Auftrag) einen Bestechungsversuch unternommen, Unterlagen gefälscht, an einer Absprachenbildung beteiligt war oder sonst die Anti-Korruptionspflichten verletzt hat, kann der Auftraggeber den Vertrag vorzeitig beenden. Eine solche Klausel schützt den Auftraggeber davor, an einen unzuverlässigen Partner gebunden zu bleiben. Sie wirkt auch als starkes Abschreckungsmittel – dem Auftragnehmer ist bewusst, dass ein einziger Bestechungsfall nicht nur strafrechtliche Folgen haben kann, sondern ihn auch den laufenden Auftrag und Einnahmen kostet. Die Klausel sollte weit gefasst sein, sodass sie auch korruptes Verhalten von Subunternehmern oder Mitarbeitern des Auftragnehmers abdeckt, nicht nur Taten des Top-Managements. In deutschen öffentlichen Verträgen sind Kündigungsklauseln bei Compliance-Verstößen bereits üblich und spiegeln das Prinzip wider, dass durch Steuergelder finanzierte Aufträge sauber bleiben müssen.

• Meldepflicht bei Verdachtsmomenten: Der Vertrag sollte den Sicherheitsanbieter verpflichten, dem Auftraggeber unverzüglich jeden vermuteten Verstoß gegen Compliance-Vorschriften im Zusammenhang mit dem Auftrag zu melden. Dies ergänzt das Versprechen aus der Richtlinie und erhebt es zur vertraglichen Pflicht. Eine solche Klausel kann z.B. vorsehen, dass der Auftragnehmer, sobald er Kenntnis von Umständen erlangt, die auf Bestechung, Betrug oder einen Interessenkonflikt im Kontext des Auftrags hindeuten, unverzüglich den benannten Ansprechpartner des Auftraggebers informiert. In einem Anti-Korruptions-Mustertext heißt es etwa: „der Auftragnehmer hat den Kunden sofort zu benachrichtigen, wenn er einen Verstoß oder möglichen Verstoß gegen diese Anti-Korruptionsklausel vermutet oder feststellt“. Eine frühzeitige Meldung ermöglicht es dem Auftraggeber und dem Auftragnehmer, gemeinsam das Problem anzugehen, Schaden zu begrenzen und ggf. gesetzliche Meldepflichten zu erfüllen. Sie schafft auch Vertrauen – der Auftraggeber möchte nicht erst Monate später aus der Presse oder von Behörden erfahren, dass der Dienstleister ein Compliance-Problem unter den Teppich gekehrt hat. Durch die vertraglich auferlegte Offenlegungspflicht ist Transparenz sichergestellt.

• Prüfungs- und Audit-Rechte: Um die Einhaltung überwachen zu können, sollte sich der Auftraggeber ein Vertragsprüfungs- bzw. Auditrecht sichern. Das bedeutet, der Sicherheitsanbieter muss sich einverstanden erklären, dass der Auftraggeber (oder von ihm beauftragte Prüfer) bei Bedarf relevante Unterlagen und Prozesse des Anbieters überprüfen darf. Dies umfasst insbesondere die Bereiche, die mit den Compliance-Verpflichtungen zusammenhängen. In der Praxis könnte das z.B. heißen: der Auftraggeber darf sich Nachweise über durchgeführte Schulungen vorlegen lassen, Einblick in Personaldossiers nehmen (um zu prüfen, ob Hintergrundchecks und Interessenkonflikt-Erklärungen dokumentiert sind), oder das Hinweisgeber-Reporting prüfen (in anonymisierter Form, um zu sehen, ob und wie Meldungen bearbeitet wurden). Die Vertragsklausel würde formulieren, dass der Auftragnehmer bei solchen Prüfungen uneingeschränkt kooperieren und Zugang zu Informationen gewähren muss. Beispielsweise im Kontext einer Untersuchung heißt es: „der Auftragnehmer wird… auf Anfrage vollständig mit Ermittlungen kooperieren und dem Auftraggeber gestatten, Einsicht in Bücher, Aufzeichnungen und sonstige relevante Unterlagen zu nehmen“. Auch außerhalb konkreter Verdachtsfälle kann dem Auftraggeber ein regelmäßiges Audit-Recht eingeräumt werden (z.B. ein Recht auf jährliche Überprüfung). In sensiblen Verträgen führen Auftraggeber solche Audits teils auch spontan vor Ort durch – etwa um sicherzustellen, dass die Wachleute die Vorschriften befolgen und keine unerlaubten Zahlungen fließen. Diese Prüfungsrechte halten den Auftragnehmer auch nach Zuschlag rechenschaftspflichtig – er weiß, dass der Kunde jederzeit nachsehen kann.

• Vertragliche Zusicherungen (Warranties) der Integrität: Viele Verträge enthalten Zusicherungen, in denen der Auftragnehmer erklärt, dass er keine korrupten Handlungen begangen hat und nicht begehen wird, um den Vertrag zu erlangen oder durchzuführen. So könnte der Anbieter zusichern, dass er diesen Auftrag ohne Bestechung oder betrügerische Machenschaften erhalten hat und auch künftig davon absieht. Ebenfalls üblich: die Zusicherung, dass er über ein angemessenes Anti-Korruptionsprogramm verfügt (was durch Vorlage der Richtlinie und Beschreibung bereits untermauert wurde) und dass alle Angaben im Vergabeverfahren (wie die oben erwähnte Ehrenerklärung) wahrheitsgemäß waren. Sollte sich später herausstellen, dass diese Zusicherungen unwahr waren, kann dies selbst eine Vertragsverletzung darstellen, die z.B. zur Kündigung oder Schadensersatz verpflichtet. Durch solche Warranties werden die während der Ausschreibung gemachten Versprechen fest in die Vertragslaufzeit hineingeschrieben.

• Sanktionen und Vertragsstrafen: Über das Recht zur Kündigung hinaus kann der Vertrag Zwischenstufen von Sanktionen bei Compliance-Verstößen definieren. Beispielsweise ließe sich ein Katalog von Vertragsstrafen für bestimmte Pflichtverletzungen vereinbaren – etwa eine Geldstrafe oder Honorarkürzung, falls der Auftragnehmer die vereinbarte Compliance-Schulung nicht fristgerecht für alle Mitarbeiter durchgeführt hat, oder wenn Mitarbeiter des Anbieters vom Auftraggeber beim Fordern von Gefälligkeiten erwischt werden. Ein anderes Beispiel: Der Vertrag könnte eine Strafe vorsehen, wenn der Auftragnehmer einen Interessenkonflikt nicht anzeigt, der später aufgedeckt wird. Zwar sind Vertragsstrafen im deutschen Recht nur in angemessenem Rahmen zulässig (sie dürfen keinen Strafcharakter haben, sondern sollten vorweg vereinbarte Schadenshöhen darstellen), doch ihre Existenz unterstreicht die Ernsthaftigkeit. Eine weitere mögliche Sanktion ist die Vertragsaussetzung: Der Auftraggeber könnte sich vorbehalten, den Vertrag vorübergehend auszusetzen (Leistungen pausieren und Zahlungen zurückhalten), während ein Korruptionsverdacht untersucht wird. Das ist sinnvoll, wenn der Vorfall eventuell behoben werden kann (z.B. durch Austausch eines beteiligten Managers) und der Auftraggeber nicht sofort kündigen will. Die Möglichkeit einer Suspendierung schafft Flexibilität in der Reaktion.

• Ausschluss von zukünftigen Geschäften: Zwar weniger eine Klausel im laufenden Vertrag, aber in den Vergabeunterlagen oder einer separaten Vereinbarung (wie einer Integritätserklärung) kann festgehalten werden, dass ein Compliance-Verstoß zur Ausschließung von künftigen Ausschreibungen oder Aufträgen führt. Das Vergaberecht der EU/Deutschlands sieht explizit vor, dass Unternehmen, die in Korruption verwickelt sind, für eine bestimmte Zeit von öffentlichen Aufträgen ausgeschlossen werden können. Entsprechend könnte der Vertrag darauf Bezug nehmen – quasi als Warnung, dass ein Verstoß nicht nur zur Kündigung dieses Vertrags führt, sondern das Unternehmen auch für kommende Projekte gesperrt sein kann. Im privatwirtschaftlichen Bereich kann ein Unternehmen ebenfalls in seinen Einkaufsrichtlinien festlegen, dass es keine Geschäftsbeziehungen mit Partnern fortführt, die gegen den Code of Conduct verstoßen haben. Die Aufnahme dieser Erwartung macht dem Auftragnehmer die langfristigen Folgen eines Fehlverhaltens deutlich.

Bei der Ausgestaltung dieser Klauseln ist wichtig, dass sie präzise definiert sind – z.B. was genau als “Compliance-Verstoß” oder “Verbotene Handlung” gilt (meist werden hier Bestechung, Betrug, Verstöße gegen bestimmte Gesetze etc. aufgelistet). Der Vertrag sollte auch das Verfahren regeln (insb. Benachrichtigungspflichten, evtl. eingeräumte Fristen), wie das Kündigungs- oder Sanktionsrecht ausgeübt wird. Oft wird bei Korruption keine Nachfrist zur “Heilung” eingeräumt, sondern eine fristlose Kündigungsmöglichkeit vorgesehen, da Korruption typischerweise als gravierender Vertrauensbruch gilt, der eine weitere Zusammenarbeit unzumutbar macht.

In der Praxis akzeptieren Auftragnehmer solche Klauseln in der Regel, da sie in kompetitiven Ausschreibungen kaum Verhandlungsspielraum haben – zudem haben redliche Anbieter prinzipiell nichts dagegen. Durch die verbindliche Verankerung von Compliance-Pflichten im Vertrag stellt der Auftraggeber sicher, dass er rechtliche Handhaben hat, um die während der Ausschreibung gemachten Zusagen durchzusetzen. Das Risiko für Integritätsverstöße wird zum Teil auf den Auftragnehmer übertragen – missachtet er die Regeln, drohen ihm Verlust des Auftrags und weitere Konsequenzen. Damit wird aus einem vormals abstrakten Versprechen eine konkrete Rechenschaftspflicht.

Compliance in der Sicherheitsbeschaffung darf keine einmalige “Haken drangemacht”-Übung bleiben. Sobald der Zuschlag erteilt und der Sicherheitsdienstleister im Einsatz ist, müssen die Einkaufs- bzw. Fachabteilung und die Compliance-Verantwortlichen des Auftraggebers aktiv die Einhaltung fortlaufend überwachen und durchsetzen. Diese anhaltende Wachsamkeit schließt den Kreis all der vorbeugenden Maßnahmen, die zu Beginn gefordert wurden.

Überprüfungen seitens des Auftraggebers sollten entweder regelmäßig terminiert oder anlassbezogen stattfinden. Viele Organisationen führen jährliche oder halbjährliche Compliance-Review-Meetings mit ihren Dienstleistern durch. In solchen Überprüfungen kann der Auftraggeber Updates zum Compliance-Programm des Auftragnehmers einfordern: Beispielsweise, „bitte legen Sie den aktuellen Schulungsstand aller für uns eingesetzten Sicherheitskräfte vor“ oder „berichten Sie über eventuelle Hinweisgebersachverhalte im Zusammenhang mit unserem Auftrag (in anonymisierter Form)“. Der Compliance Officer des Auftraggebers kann systematisch die wichtigsten Punkte abfragen: Ist der benannte Compliance-Beauftragte des Dienstleisters noch im Amt? Wurden bei neu eingestelltem Personal die Hintergründe überprüft? Gab es irgendwelche Verdachtsfälle oder Warnsignale? Wenn der Auftrag besonders umfangreich oder sensibel ist, könnte der Auftraggeber auch Vor-Ort-Audits beim Dienstleister durchführen – vergleichbar mit einer Qualitätskontrolle beim Lieferanten. Dabei würden z.B. Dokumente stichprobenartig geprüft und Schlüsselpersonen befragt. Darüber hinaus sollten außerplanmäßige Überprüfungen erfolgen, sobald es Hinweise auf mögliche Probleme gibt. Falls beispielsweise ein Hinweis über das interne Meldesystem (sei es des Auftragnehmers oder des Auftraggebers) auf einen möglichen Korruptionsfall hindeutet (etwa meldet ein Wachmann anonym, sein Vorgesetzter nehme Geld für bessere Dienstpläne), sollte der Auftraggeber eine Sonderprüfung oder Untersuchung einleiten. Das kann bedeuten, dass der Auftragnehmer aufgefordert wird, selbst zu ermitteln und Bericht zu erstatten, oder dass eine gemeinsame Untersuchung erfolgt. Dank der vertraglichen Prüf- und Mitwirkungspflichten ist der Auftragnehmer verpflichtet, dabei zu unterstützen.

• Er sollte dafür sorgen, dass seine Richtlinie und Prozesse stets aktuell bleiben. Gesetze und Standards können sich ändern (z.B. eine neue Anti-Korruptionsvorschrift oder Anpassungen beim Hinweisgeberschutz). Der Dienstleister sollte zumindest jährlich seine Richtlinie überprüfen und bei Bedarf überarbeiten, dies dem Auftraggeber mitteilen und seine Mitarbeiter zu eventuellen Neuerungen schulen. Eine veraltete Richtlinie birgt Risiken; kontinuierliche Verbesserung ist gefragt.

• Er muss sicherstellen, dass Auffrischungsschulungen durchgeführt werden. Ein guter Vertrag kann sogar vorsehen, dass „alle für den Auftrag eingesetzten Mitarbeiter jährlich eine Compliance-Schulung absolvieren und dem Auftraggeber hierüber auf Verlangen Nachweise vorzulegen sind.“ In der Sicherheitsbranche gibt es ohnehin oft jährliche Fortbildungen (z.B. zu Erster Hilfe, Deeskalationstechniken); hier sollte die Ethikschulung fester Bestandteil sein. Der Auftraggeber könnte beispielsweise jährlich eine Bestätigung verlangen: „Wir bestätigen, dass alle im Rahmen Ihres Auftrags eingesetzten Wachpersonen und Manager das jährliche Ethiktraining abgeschlossen haben.“ Kontinuierliche Schulungen halten das Bewusstsein wach – gerade da die Fluktuation im Wachgewerbe hoch sein kann, müssen neu hinzukommende Mitarbeiter zeitnah eingewiesen werden.

• Der Anbieter sollte Audits durch den Auftraggeber aktiv ermöglichen. Das bedeutet, vorbereitet zu sein – sprich, die relevanten Aufzeichnungen ordentlich zu führen (Schulungslisten, Personaldokumente, Meldungsregister usw.) – und einen Ansprechpartner zu benennen, der bei Prüfungen kooperiert. Auch sollte er nötigenfalls Dolmetscher oder Übersetzungen stellen, falls der Auftraggeber internationales Personal zur Prüfung einsetzt. Zeigt sich der Anbieter bei Audits offen und lösungsorientiert, stärkt dies das Vertrauen und kann sogar die Partnerschaft verbessern (da er Transparenz demonstriert). Werden bei einer Prüfung kleinere Mängel festgestellt (z.B. es fehlt eine Interessenkonflikterklärung eines bestimmten Mitarbeiters), sollte der Anbieter diese umgehend beheben und dem Auftraggeber die Korrektur mitteilen.

Um Compliance auch als Bestandteil der Leistung zu verankern, greifen manche Auftraggeber dazu, Compliance-Kennzahlen (KPIs) in die Leistungsbewertung des Vertrags aufzunehmen. In Dienstleistungsverträgen werden üblicherweise Kennzahlen wie Reaktionszeiten, Personalfluktuation oder Kundenzufriedenheit gemessen.

• „Bearbeitungszeit von Beschwerden/Hinweisen“ – praktisch ein Maß dafür, wie schnell ein gemeldetes Compliance-Problem aufgegriffen und gelöst wird. Wenn z.B. ein Hinweis eingeht: Wie viele Tage benötigt der Dienstleister, um ihn zu untersuchen und Maßnahmen einzuleiten? Kürzere Reaktionszeiten deuten auf ein effektives Compliance-Management hin (dies entspricht dem in der Anfrage genannten „complaint-to-action time“).

• Schulungsdurchführungsquote – also der Anteil der Mitarbeiter, die die vorgeschriebenen Schulungen fristgerecht absolviert haben. Ziel muss 100 % sein; alles darunter sollte zumindest einen Handlungsplan auslösen (und könnte vertraglich als Nichterfüllung gelten).

• Anzahl begründeter Meldungen – hier würde verfolgt, ob es irgendwelche nachgewiesenen Korruptions- oder Compliance-Zwischenfälle gab. Idealerweise bleibt dieser Wert bei null; andernfalls liegt ein kritischer Fall vor. (Manche Auftraggeber definieren das nicht direkt als KPI, beobachten es aber natürlich sehr aufmerksam.)

• Audit-Feststellungen und deren Behebung – falls bei Audits Mängel festgestellt wurden, wird gemessen, ob der Auftragnehmer diese innerhalb einer gewissen Frist behoben hat.

Solche Kennzahlen können Teil der Service Level Agreements sein. Zwar sind Compliance-KPIs noch kein allgemeiner Standard, aber im Zuge von ESG und verstärkter Nachhaltigkeits- und Integritätsorientierung kommen sie vermehrt zur Anwendung. Ihre Erfassung hilft, das zuvor „weiche“ Thema Kultur in messbare Größen zu fassen. Wie eine Fachquelle festhält, „Compliance-Kennzahlen… ermöglichen eine ganzheitliche Beurteilung der Wirksamkeit eines Compliance-Programms“, indem sie z.B. Vorfallsmeldungen, Reaktionszeiten, Schulungsraten und Prüfungsergebnisse quantitativ erfassen. Durch die Auswertung solcher Indikatoren können Dienstleister und Auftraggeber erkennen, wo das Compliance-Programm steht, Ressourcen gezielt einsetzen und Risiken proaktiv managen. Falls vertraglich Boni/Mali an Leistungen geknüpft sind, ließe sich erwägen, einen Teil davon auch von der Compliance-Performance abhängig zu machen – z.B. ein Bonus, wenn alle KPIs dauerhaft erfüllt sind, oder Abzüge, wenn wichtige Compliance-Kennzahlen unter Soll liegen.

Zusammengefasst zielt das Post-Award Monitoring darauf, das einmal etablierte hohe Niveau über die gesamte Vertragslaufzeit aufrechtzuerhalten. Es erfordert Engagement von beiden Seiten: Der Auftraggeber muss die Überwachung aktiv betreiben („Vertrauen ist gut, Kontrolle ist besser“), und der Auftragnehmer muss fortlaufend Integrität praktisch beweisen. Dieser dauerhafte Durchsetzungsansatz stellt sicher, dass die Compliance-Richtlinie nicht in der Schublade verschwindet, sondern ein lebendiger Bestandteil der Vertragsdurchführung bleibt. Zugleich vermindert es deutlich Risiken für den Auftraggeber – durch frühzeitiges Erkennen und Abstellen etwaiger Probleme sinkt die Wahrscheinlichkeit eines größeren Skandals oder Sicherheitsvorfalls infolge von Korruption erheblich.