Wie Unternehmen Krisen managen

Im Blickpunkt: Ergebnisse einer aktuellen Studie der Kanzlei Noerr und des Centers for Corporate ­Compliance der EBS Law School

Von Dr. Julia Sophia Habbe und Prof. Dr. Dr. rer. pol. Michael Nietsch

Beitrag als PDF (Download)

Unternehmen in Deutschland sehen sich einem stetig wachsenden Risiko von Complianceverstößen ausgesetzt. Diese lösen nicht selten Veränderungen aus, die krisenhafte Ausmaße erreichen. Wenig überraschend, gewinnen Prävention und Bewältigung solcher Situationen für Unternehmen zunehmend an Bedeutung. Insbesondere Unternehmen, die selbst von Krisensituationen betroffen waren, zeigen eine gesteigerte Aufmerksamkeit im Bereich der Vorbeugung und verfügen über konkrete Pläne, um Schäden zu minimieren. Doch auch Unternehmen, die in den vergangenen Jahren keine Krise zu bewältigen hatten, befürchten innerhalb der nächsten Zeit den Eintritt von Krisensituationen. Dies betrifft insbesondere kapitalmarktorientierte Unternehmen.
Vor diesem Hintergrund sind die Kanzlei Noerr LLP und das Center for Corporate Compliance der EBS Law School der Frage nachgegangen, wie Unternehmen Krisen wahrnehmen und mit diesen umgehen. Dafür wurden über 200 Interviews mit Entscheidern deutscher privatwirtschaftlicher Unternehmen geführt und ausgewertet. Das Resultat dieser Interviews liegt nun als Studie „Wie Unternehmen Krisen managen“ vor. Die Untersuchung kommt insbesondere zu folgenden Ergebnissen:

Krisensituationen
Zwar sind sowohl kleine, also solche mit weniger als 1.000 Mitarbeitern, als auch große Unternehmen Krisensituationen ausgesetzt. Jedoch lässt sich insgesamt feststellen, dass die untersuchten Bedrohungsszenarien, wie operative Risiken, arbeitsrechtliche Konflikte oder auch Kartellverstöße, in größeren Unternehmen deutlich häufiger auftreten. Dies ist unter anderem darauf zurückzuführen, dass mehr Personen handeln und die Anzahl der Bereiche zunimmt, in denen Krisensituationen entstehen können.
Das größte Bedrohungspotential geht nach Einschätzung der Befragten von Verletzungen des Datenschutzrechts aus. Dem liegen insbesondere die Änderungen der EU-weiten Datenschutzbestimmungen zugrunde, die bei vielen Unternehmen enorme Unsicherheiten auslösen. So gaben 48%der Befragten an, eine Verletzung von Datenschutzbestimmungen in den kommenden zwei Jahren für möglich zu halten, während lediglich 6% der Befragten in den vergangenen Jahren tatsächlich davon betroffen waren.
Ein weiteres Toprisiko stellen Cyber-Security-Vorfälle dar. Darunter werden insbesondere auch Hackerattacken erfasst, denen rund jedes dritte Unternehmen in den vergangenen zwei Jahren zum Opfer gefallen ist. Dazu kommen etwa 50%, die einen solchen Vorfall befürchten, ohne bislang davon betroffen gewesen zu sein.
Fast genauso groß ist das Gesamtrisikopotential von Non-Compliance. Jedes fünfte Unternehmen war in den vergangenen Jahren schon von behördlichen Ermittlungen betroffen. Aus den Befragungen ergibt sich, dass, abgesehen von Naturkatastrophen und Produktfehlern, die von jedem zweiten Unternehmen als Risikopotential benannt wurden, alle übrigen Szenarien auf die Non-Compliance mit Gesetzen und Richtlinien zurückzuführen sind. So waren 83% der Unternehmen in der letzten Zeit von solchen Krisensituationen betroffen oder halten sie in nächster Zeit für möglich.

Vorliegen einer Krisenmanagementfunktion
Es fällt auf, dass Unternehmen, die über eine spezielle Krisenmanagementabteilung oder -funktion verfügen, seltener von Krisensituationen wie arbeitsrechtlichen Konflikten, operativen Risiken und Korruption betroffen sind als solche ohne eine Krisenmanagementfunktion. Die Betroffenheit weicht hier um bis zu 8 bis 11 Prozentpunkte ab. Dies kann unter anderem auch auf die präventive Wirkung einer solchen Stelle zurückgeführt werden.
Dieser Präventionseffekt verstärkt sich, wenn auch externe Berater wie beispielsweise Rechtsanwälte, Steuerberater oder forensische Dienstleister personell eingebunden sind. Hier liegt das Betroffensein von Krisensituationen bei 65%, während Unternehmen, die nur über eine unternehmensinterne Abteilung verfügen, zu 74% von Krisensituationen betroffen sind.

Kapitalmarktcompliance
Insbesondere kapitalmarktorientierte Unternehmen begegnen der zunehmenden Regulierung mit Unsicherheit. Zwar waren lediglich 2 bis 3% in jüngster Vergangenheit von Verstößen gegen kapitalmarktrechtliche Pflichten betroffen. Umso überraschender ist es, dass rund ein Viertel der Unternehmen nur ein geringes Vertrauen in die eigene Kapitalmarktcompliance hat.
Die Sorge der Befragten lässt sich auf die zunehmende Komplexität der Regulierung im Bereich des Kapitalmarkts zurückführen. Außerdem sorgt die Vielzahl unbestimmter Rechtsbegriffe für viele Unsicherheiten, insbesondere auch in Ansehung drohender Sanktionen. Hier zeigt sich, dass der Bedarf an einer geeigneten Krisenvorsorge vergleichsweise groß ist.
Bei börsennotierten Unternehmen waren insgesamt zwei von fünf entweder bereits selbst von kapitalmarktspezifischen Risiken betroffen oder halten den Eintritt einer Krisensituation, ausgelöst durch einen Complianceverstoß im Umfeld des Kapitalmarkts, in nächster Zeit für möglich. Das größte Risikopotential birgt dabei die unbefugte Weitergabe von Insiderinformationen oder auch die verspätete oder unterlassene Ad-hoc-Mitteilung.

Krisenauswirkungen
Die häufigste Auswirkung von Unternehmenskrisen sind Umsatzeinbußen. So hatten in 47% der Fälle die als Krisen wahrgenommenen Situationen in der einen oder anderen Form Umsatzeinbußen zur Folge. Diese kennzeichnen für kleine Unternehmen deutlich häufiger das Vorliegen einer Krisensituation als für große.
Weitere als relevant erachtete Auswirkungen von Unternehmenskrisen sind Reputationsschäden, arbeitsrechtliche Konsequenzen sowie mögliche Schadensersatzansprüche. Häufig bleibt die Korrelation zwischen Reputationsschaden und Umsatzeinbußen allerdings unklar. Langfristiges Schadenspotential bergen dabei insbesondere Cyberangriffe und Complianceverstöße.
Bei Auswertung der Studie überraschte insbesondere die fehlende Sensibilität für Bußgelder, obgleich gerade US-amerikanische Behörden in den vergangenen Jahren Bußgelder in Rekordhöhe verhängten. Beispielhaft sei hier die Rekordgeldbuße in Höhe von 8,9 Milliarden Euro zu nennen, die das amerikanische Justizministerium gegen die BNP Paribas anordnete. Zwar sehen die Regelungen der §§ 130, 30 OWiG in Deutschland deutlich niedrigere Geldbußen in Höhe von maximal 10 Millionen Euro vor. Die Hauptrisiken gehen jedoch nicht hiervon aus, vielmehr ist die Einziehung ein nicht zu unterschätzendes Risiko. Unabhängig von derartigen Sanktionen führt mitunter bereits die Durchführung eines Ermittlungsverfahrens für die Unternehmen und betroffenen Mitarbeiter in der Regel zu schwerwiegenden Beeinträchtigungen. Die Befragungen ergeben, dass Unternehmen, die über ein fest eingerichtetes Krisenmanagement verfügen, deutlich seltener von solch einschneidenden Krisenfolgen berichten.

Umgang mit Krisensituationen
Der Umgang mit den vorher genannten Krisensituationen erweist sich noch immer als schwerfällig. Bei 30% der Unternehmen liegt das Hauptproblem in der allgemeinen Krisenkommunikation. Aus den Befragungen ergibt sich, dass insgesamt jedes zweite Unternehmen die defizitäre Kommunikation zu den größten Fehlern im Umgang mit Unternehmenskrisen zählt. Zu den weiteren Schwachstellen gehören außerdem fehlendes Krisenbewusstsein und die planlose oder zu späte Reaktion.
Viele Unternehmen erkennen neben dem fehlerhaften Umgang mit Krisen an sich auch Mängel im Vorfeld. Insbesondere fehle es an vorbeugenden Maßnahmen, hinreichenden Risikoanalysen sowie klar definierten Verantwortlichkeiten, die zur Prävention beitragen könnten. Unterschiede werden hier insbesondere innerhalb verschiedener Verantwortungsbereiche deutlich. Während Verantwortliche in den Kommunikationsabteilungen ein größeres Augenmerk auf die unzureichende Koordination und unklare Verantwortlichkeiten legen (22 und 20%), bemängeln Leiter von Complianceabteilungen unstrukturierte Reaktionen und fehlende Notfallpläne (33 und 19%).

Krisenmanagement ist Chefsache
Die Mehrheit (60%) der Unternehmen in Deutschland verfügt über eine planmäßig angelegte Funktion für Krisenmanagement. In den meisten der befragten Unternehmen ist das Krisenmanagement Chefsache: Bei 41% übernimmt der Vorstand die Leitung einer solchen Funktion. Dahingegen haben lediglich 12% der befragten Unternehmen die Leitung der Complianceabteilung übertragen. Bei börsennotierten Unternehmen liegt dieser Wert mit 18% etwas höher. Neben der jeweils zuständigen Abteilung verbleibt jedoch bei vier von fünf Unternehmen eine direkte Beteiligung der Vorstandsebene. Darüber hinaus nimmt jedes zweite Unternehmen auch die Dienste externer Berater wahr. Das führt nicht nur zur Bewältigung des akuten Risikozustands, sondern ebnet nicht selten auch den Weg hin zu einem ganzheitlich verstandenen Krisenmanagement.
Insbesondere Unternehmen, die selbst bereits von einer Krisensituation betroffen waren, erkennen den Mehrwert von Maßnahmenplänen. So haben über 60% der Großunternehmen konkrete Notfallregeln wie beispielsweise Dawn-Raid-Guidelines, die festhalten, wie bei On-Site-Inspektionen durch Behörden vorzugehen ist. Besonders auffällig ist hier die Korrelation zwischen der Existenz eines konkreten Plans und der Betroffenheit von Krisensituationen in jüngerer Zeit. Fast zwei Drittel der befragten Unternehmen, die innerhalb der vergangenen zwei Jahre Krisenfälle erlebt haben, verfügen auch über einen Maßnahmenkatalog mit entsprechenden Leitlinien.

Fazit
Obwohl das Bewusstsein für die Notwendigkeit eines systematischen Krisenmanagements bei deutschen Unternehmen zunimmt und sich dessen positive Effekte klar erkennen lassen, zeigt die dahingehende Praxis deutliche Unterschiede. Wie so oft, setzt man sich damit erst auseinander, wenn das Kind in den Brunnen gefallen ist. Wenig überraschend, lässt bei Unternehmen, die über keine eingerichtete Krisenstelle verfügen, auch das Schnittstellenmanagement zu wünschen übrig. Herausforderungen steht das Krisenmanagement schließlich dadurch gegenüber, dass es – wie viele Bereiche unternehmerischen Handelns – einer zunehmenden Verrechtlichung unterliegt. Daraus ergeben sich Risiken ganz eigener Art, die unabhängig von den eigentlichen Krisen bestehen.

Sophia.habbe@noerr.com

Michael.nietsch@ebs.edu