Gegenwärtig stellt sich weniger die Frage, ob ein Unternehmen von einer Krise betroffen sein könnte, als vielmehr, wann und in welcher Form eine Krise auftreten wird. Das Spektrum möglicher Auslöser ist denkbar weit: Es reicht von Compliance-Verstößen in den Bereichen Korruption, Geldwäsche oder Kartellrecht über MeToo- oder Greenwashing-Vorwürfe, Datenschutzverletzungen und Cyberangriffe bis hin zu Störungen der Lieferketten durch Zölle oder geopolitische Spannungen sowie naturbedingten Ereignissen wie Pandemien oder Überschwemmungen.
Krisenvorsorge als unternehmerische Notwendigkeit und rechtliche Pflicht
Krisen treten typischerweise plötzlich ein und treffen Unternehmen besonders hart, wenn keine Vorkehrungen getroffen wurden. Auch wenn sich nicht jede Krise verhindern lässt, können ihre Folgen begrenzt werden. Krisenvorsorge ist daher nicht nur unternehmerisch geboten, sondern eine rechtliche Pflicht der Geschäftsleitung: Für Aktiengesellschaften ergibt sich aus § 91 Abs. 2 AktG die Pflicht des Vorstands, geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. § 91 Abs. 3 AktG verpflichtet zudem börsennotierte Gesellschaften ausdrücklich zur Einrichtung eines angemessenen und wirksamen internen Kontrollsystems und Risikomanagementsystems. Verstöße gegen diese Organisationspflichten können eine persönliche Haftung der Vorstandsmitglieder nach § 93 Abs. 2 Satz 1 AktG begründen. Darüber hinaus drohen im Ernstfall Geldbußen – sowohl gegen das Unternehmen als auch gegen den Unternehmensinhaber – wegen Verletzung von Aufsichtspflichten.
Schließlich ist auch der Aufsichtsrat in die Krisenvorsorge einzubinden. Gemäß § 111 Abs. 1 AktG hat der Aufsichtsrat die Geschäftsführung des Vorstands zu überwachen. Diese Überwachungspflicht erstreckt sich auch auf die Frage, ob der Vorstand ein angemessenes Risikomanagementsystem eingerichtet hat und ob dieses System die Krisenvorsorge in hinreichendem Maße abdeckt.
Risikoanalyse: Den eigenen blinden Fleck kennen
Die Entscheidung über Art und Umfang der Krisenvorsorge ist eine unternehmerische, die grundsätzlich einen Beurteilungsspielraum gemäß der Business Judgment Rule einräumt. Voraussetzung ist jedoch, dass der Vorstand auf der Grundlage angemessener Information handelt. Mit Blick auf das Thema Krisenvorsorge bedeutet dies, dass zunächst eine systematische Risikoanalyse durchgeführt werden muss. Jedes Unternehmen hat ein individuelles Risikoprofil, und nur wer die eigenen Risiken kennt, kann geeignete Maßnahmen ergreifen, um ihnen zu begegnen.
Typische rechtliche Risikobereiche, die in einer solchen Analyse – neben den vielfältigen unternehmensbezogenen und strategischen Risiken – abzudecken sind, umfassen unter anderem Korruption und Bestechung, Wettbewerbs- und Kartellrecht, Umwelt- und Arbeitssicherheit sowie Menschenrechte und Lieferkette. Daneben haben gerade Cyberrisiken massiv an Bedeutung gewonnen. Die Risikoanalyse sollte dabei nicht nur mögliche Krisenquellen identifizieren, sondern auch deren potenzielle Auswirkungen bewerten – von finanziellen Konsequenzen über Reputationsschäden bis hin zu Klageverfahren.
Der Krisenplan: Vorbereitung ist alles
Auf Basis der Risikoanalyse sollte jedes Unternehmen einen Krisenreaktionsplan entwickeln, der im Ernstfall aktiviert werden kann. Dies ermöglicht es, sich im Ernstfall auf strategische Fragen zu konzentrieren, anstatt zunächst Organisationsstrukturen aufbauen zu müssen.
Ein solcher Plan sollte folgende Kernelemente umfassen:
Klare Zuständigkeiten und Eskalationswege: Neben der Zusammensetzung des Krisenmanagementteams bedarf es klarer Eskalationsregeln, die eine zügige Einbeziehung weiterer Führungsebenen ermöglichen. Obwohl die Verantwortlichkeiten eindeutig verteilt sein sollten, ist für jedes Schlüsselmitglied eine Vertretungsregelung für den Fall unvorhergesehener Abwesenheit vorzusehen.
Meldepflichten im Blick haben: Jedes Unternehmen sollte seine gesetzlichen Meldepflichten kennen, denn je nach Problem kann es gesetzlich verpflichtet sein, den Sachverhalt offenzulegen und den Behörden zu melden. Das Wissen um den rechtlichen Rahmen und die einschlägigen Meldefristen ist für die Mitglieder des Krisenreaktionsteams unerlässlich und sollte daher Eingang in den Krisenreaktionsplan finden.
Vorbereitete Kommunikationsmaterialien: Sinnvoll ist die Erstellung vorgefertigter Kommunikationsmaterialien für bestimmte Szenarien. Vorab abgestimmte Formulierungen erleichtern eine zeitnahe und souveräne Reaktion gegenüber Medien und Mitarbeitenden gleichermaßen.
Maßgeschneidert statt von der Stange: Einen universellen Krisenreaktionsplan, der für alle Unternehmen gleichermaßen passt, gibt es nicht. Nur wenn der Plan auf die individuellen Bedürfnisse und Organisationsstrukturen des jeweiligen Unternehmens zugeschnitten ist, kann er seinen Zweck erfüllen.
Übung macht den Meister: Training und Simulation
Ein Krisenreaktionsplan entfaltet seinen Nutzen nur dann, wenn die Beteiligten mit ihm vertraut sind. Unternehmen sollten daher regelmäßige Schulungen und Simulationsübungen durchführen, in denen realistische Krisenszenarien durchgespielt werden – zugeschnitten auf die jeweiligen Fachbereiche.
Ein praxisrelevantes Beispiel ist die Vorbereitung auf behördliche Durchsuchungen (sog. „Dawn Raids“). Es hat sich bewährt, Schulungen zu den Verhaltensregeln bei Durchsuchungen durchzuführen und entsprechende Leitfäden an den Empfangsbereichen der Unternehmensstandorte vorzuhalten.
Jeder Krisenplan muss zudem flexibel genug sein, um den Anforderungen unterschiedlicher Krisenszenarien gerecht zu werden. Die Pläne sollten in regelmäßigen Abständen – mindestens jährlich – überprüft und an veränderte Rahmenbedingungen angepasst werden.
Kommunikation in der Krise: Besonnen und mit einer Stimme sprechen
Wird eine Krise öffentlich bekannt, steht das Unternehmen unter erheblichem Kommunikationsdruck. Da anfangs häufig nicht alle relevanten Fakten bekannt sind, hat es sich bewährt, zunächst eine knappe Stellungnahme abzugeben, die deutlich macht, dass das Unternehmen die Situation ernst nimmt und den Sachverhalt aufklärt.
Dabei besteht regelmäßig ein Spannungsverhältnis zwischen kommunikativen und rechtlichen Erwägungen. Während ein öffentliches Eingeständnis von Fehlern das Ansehen des Unternehmens in der Öffentlichkeit verbessern kann, kann sich eine rechtlich bindende Haftungsanerkennung in späteren Gerichtsverfahren als nachteilig erweisen. Eine enge Abstimmung zwischen Rechtsabteilung, externen Rechtsberatern und Kommunikationsabteilung ist daher unerlässlich. Sämtliche externen Stellungnahmen sollten vor ihrer Veröffentlichung rechtlich freigegeben werden.
Nicht zu vernachlässigen ist die interne Kommunikation. Die Mitarbeitenden werden erwarten, von der Unternehmensführung über die Lage informiert zu werden. Es empfiehlt sich, einen zentralen Ansprechpartner für krisenbezogene Fragen der Mitarbeitenden zu benennen und klare Anweisungen zu erteilen, dass keine eigenständigen Äußerungen gegenüber Medien oder Dritten erfolgen dürfen.
Eine mögliche Rolle für Compliance-Abteilungen
Compliance-Abteilungen, die sich als Schnittstelle zwischen der Identifikation rechtlicher Risiken und der Entwicklung operativer Lösungen etabliert haben, sind in besonderer Weise prädestiniert, im Rahmen des Krisenmanagements eine führende und konsolidierende Rolle zu übernehmen. Gerade mit Blick auf die vorstehend skizzierten rechtlichen Risikobereiche verfügen sie über die erforderliche fachliche Expertise und die organisatorische Einbindung, um eine bereichsübergreifende Risikoanalyse zu koordinieren, regulatorische Anforderungen zu bündeln und die Ergebnisse in konkrete Präventionsmaßnahmen zu übersetzen.
Wenn die Krise da ist: Aufklären und daraus lernen
Ist die akute Krise bewältigt, beginnt die Phase der Aufarbeitung. Zunächst ist sicherzustellen, dass sämtliche gesetzlichen Meldepflichten gegenüber Aufsichtsbehörden erfüllt wurden. Sodann sollte eine strukturierte Ursachenanalyse durchgeführt werden, die klärt, wie es zu der Krise kommen konnte, ob bestehende Präventionsmaßnahmen versagt haben und welche organisatorischen oder prozessualen Änderungen erforderlich sind, um vergleichbare Vorfälle künftig zu verhindern.
Externe Rechtsberater können in dieser Phase einen wesentlichen Beitrag leisten – insbesondere bei der rechtlichen Bewertung der Untersuchungsergebnisse, der Prüfung etwaiger Berichtspflichten gegenüber Behörden oder Vertragspartnern sowie bei der Entwicklung konkreter Empfehlungen zur Anpassung des Compliance-Management-Systems. Die Ergebnisse der Aufarbeitung sollten dokumentiert und in die Fortentwicklung des Crisis Management Systems einfließen. Jede Krise birgt Lernpotenzial – und die systematische Nutzung dieses Potenzials ist ein wesentliches Merkmal einer reifen Krisenvorsorgeorganisation.
Fazit: Krisenvorsorge als Daueraufgabe
Krisenvorsorge ist keine einmalige Maßnahme, sondern eine Daueraufgabe der Unternehmensleitung. Die rechtlichen Anforderungen an die Krisenvorsorge – von den allgemeinen Organisationspflichten des Vorstands über die Überwachungspflicht des Aufsichtsrats bis hin zu den zahlreichen sektorspezifischen Vorgaben – verdeutlichen, dass es sich nicht um eine freiwillige Kür, sondern um eine rechtliche Pflicht handelt. Unternehmen, die ihr Risikoprofil systematisch analysieren, über ein erprobtes und ganzheitliches Crisis Management System verfügen, ihre Mitarbeitenden regelmäßig schulen und aus vergangenen Krisenerfahrungen lernen, sind nicht nur besser auf den Ernstfall vorbereitet – auch ihre Leitungsorgane kommen damit ihren rechtlichen Pflichten nach. Der beste Zeitpunkt, sich auf eine Krise vorzubereiten, ist stets, bevor sie eintritt.
