zwei Personen arbeiten in einem Büro mit Papier, Laptop und Daten, im Vordergrund sind Symbole für Personal- und Organisationsmanagement abgebildet
mauritius images / EyeEm / Thanapol Mongta

Compliance in der Wissenschaft
Compliance ist eine universitäre Leitungsaufgabe

Führt Compliance Hochschulen weg von der akademischen Selbstverwaltung oder sichert sie die Wissenschaftsfreiheit? Notwendiges Übel oder eine Chance?

Von Beatrix Weber 06.07.2020

Compliance bedeutet, die Einhaltung von Recht und Gesetz, organisationsinternen Normen sowie ethischen Richtlinien und Werten zu sichern. Aufgabe von Compliance ist hierbei, die organisatorischen und prozessualen Voraussetzungen zur Rechtskonformität einer Organisation und des Handelns ihrer Mitglieder zu schaffen.

Compliance war lange Zeit in vielen Hochschulen ein Randthema. Während Unternehmen nach und nach Compliance-Abteilungen aufbauten, gab es in den meisten Hochschulen und Universitäten weder eine Compliance-Organisation noch einen strukturierten Compliance-Management-Prozess. Die Urteile des Bundesgerichtshofs aus dem Jahr 2002 zur Einschränkung des Straftatbestands der Vorteilsnahme durch Einrichtung und Einhaltung eines von der Hochschule vorgeschriebenen Verfahrens zur Einwerbung von Drittmitteln und aus dem Jahr 2009 zum Pflichtenkreis und zur strafrechtlichen Verantwortlichkeit des Compliance-Officers im öffentlichen Dienst wurden kaum wahrgenommen. Noch 2019 fragte der Verein zur Förderung des deutschen und internationalen Wissenschaftsrechts auf einer Tagung "Braucht Wissenschaft Compliance?".

Compliance: Widerspruch zur Wissenschaftsfreiheit?

"Wissenschaft ist immer gefährlich" titelte Forschung & Lehre schon 2014. Forscher stützen sich auf der Suche nach Erkenntnis, ihrer Deutung und Weitergabe auf Prozesse, Verhaltensweisen und Entscheidungen, die einer wissenschaftlichen Eigengesetzlichkeit unterliegen. Sie reklamieren hierbei zu Recht und vom Bundesverfassungsgericht vielfach gebilligt, einen von staatlicher Fremdbestimmung freien Bereich autonomer Verantwortung. Der Forscher ist in der Wahl der Fragestellung, der Methode, der Bewertung des Forschungsergebnisses und der Verbreitung frei. Hier eine von außen bestimmte Regeltreue einzufordern, scheint auf den ersten Blick systemwidrig.

Aber: Die gute wissenschaftliche Praxis verlangt von jedem Wissenschaftler, nach den Regeln seiner Disziplin transparent und nachvollziehbar zu forschen. Die Einhaltung der guten wissenschaftlichen Praxis ist mittlerweile nicht mehr nur zu versichern, sondern auch durch organisatorische Strukturen nachzuweisen, will der Forscher Bundes- oder DFG-Mittel erhalten (DFG-Kodex, Leitlinien zur Sicherung guter wissenschaftlicher Praxis, 2019). Die Bindung an Recht und Gesetz gem. Art. 20 Abs. 3 GG gilt für Hochschulen als staatliche Einrichtungen wie für alle Behörden, beinhaltet aber keine Selbstverständlichkeit der Einhaltung und entbindet Hochschulen daher auch nicht von der Verpflichtung, organisatorisch für Rechtstreue zu sorgen. Beispiel ist die Trennungsrechnung, nach der wirtschaftliche und nichtwirtschaftliche Projekte nach Kostenstellen getrennt geführt und dokumentiert werden müssen, um unzulässige Quersubventionierungen zu vermeiden.

Compliance ist Teil des Risikomanagements in Hochschulen. Risiken bestehen bei Unsicherheit über den Eintritt eines zukünftigen Ereignisses. Sie können vereinfacht durch die Wahrscheinlichkeit des Eintritts des Ereignisses und die potenzielle Höhe eines zu erwartenden Schadens beschrieben werden. Risikokultur ist die Bereitschaft einer Organisation und ihrer Mitglieder, Risiken bei der Aufgabenerfüllung einzugehen. Führungskräfte im öffentlichen Sektor werden in der Literatur typischerweise als risikoavers beschrieben. Als Gründe werden das Fehlen von privatem Eigentum und Marktdruck, stark formalisierte und hierarchische Prozesse, fehlende finanzielle Anreizsysteme zum Eingehen von Risiken und die hohe Aufmerksamkeit der Öffentlichkeit angeführt. Teile hiervon treffen sicherlich auf das Verwaltungshandeln beziehungsweise die Handelnden in Hochschulen zu. Im Gegensatz dazu werden in vielen Förderprogrammen ausdrücklich Vorschläge erbeten, bei denen besonders hohe wissenschaftliche Erträge zu erwarten sind, auch wenn das Vorhaben mit einem hohen Risiko einhergeht (High Risk – High Gain).

"Viele Konflikte in Hochschulen bestehen zwischen 'Kontrolleuren' und 'Gipfelstürmern'".

Viele Konflikte in Hochschulen resultieren aus diesem Gegensatz, bei dem die Rollen zwischen den "regelbewahrenden, erfolgsverhindernden Kontrolleuren" und den "erfolgreichen, aber rechtsverletzenden Gipfelstürmern" vermeintlich klar verteilt sind. Hier muss die Erkenntnis reifen, dass Chancen immer auch Risiken beinhalten, und dass die Ablehnung oder Negierung von Risiken diese nicht aufhebt. Vielmehr sind durch Compliance als rechtlichem Teil des präventiven Risikomanagements, Risikobereiche zu benennen und zu priorisieren und Freiräume wie auch rote Linien, insbesondere Verstöße gegen das Straf- und das Beihilferecht, zu ziehen.

Compliance muss organisiert sein

Der Aufbau eines strukturierten Compliance-Management-Systems ist ein Change Prozess und betrifft fünf Aspekte: Die inhaltlichen Grundsätze, das heißt Ziele und Aufgaben und die hierfür geltenden Normen und Werte, sind zu erfassen und durch interne Richtlinien weiter auszugestalten, zum Beispiel zur guten wissenschaftlichen Praxis, zur Betreuung des wissenschaftlichen Nachwuchses, zur Annahme von Geschenken et cetera. Zweitens sind Zuständigkeiten und Schnittstellen für die Einhaltung von Recht und Gesetz zu klären (Aufbauorganisation). Drittens sind die Abläufe, das heißt die Prozesse zu definieren, auf Recht und Gesetze hin zu überprüfen und gegebenenfalls Änderungen zu implementieren. Schließlich ist das Erreichte nach innen und außen, zum Beispiel über regelmäßige Schulungen, zu kommunizieren und idealiter jährlich auf seine Wirksamkeit hin intern oder extern zu auditieren.

Der Aufwand zur Einführung und Betreiben eines Compliance-Management-Systems hängt von der Größe der Hochschule und der Komplexität der Risikofelder ab. Internationale Bezüge sowie Forschung und Lehre in technischen oder medizinischen Bereichen erhöhen die Risiken regelmäßig, für ersteres durch divergierende rechtliche Regelungen und für letzteres durch sicherheitsrelevante Anlagen und Labore, Produktnähe in der Auftragsforschung beziehungsweise durch die Anwendung am Patienten. Für ein gleichzeitiges Ausrollen auf alle Bereiche und Prozesse der Hochschule wird regelmäßig die Kapazität fehlen. Aufbauend auf den in der Regel im Geschäftsverteilungsplan bereits erfassten organisatorischen Strukturen und durch die Qualitätssicherung definierten (Kern-)Prozessen ist intern oder mit externer Unterstützung eine Aufnahme und Priorisierung der rechtlichen Risiken durchzuführen, verbunden mit einem Zeitplan zur iterativen Bearbeitung der einzelnen Compliance-Projekte.

Hochschulleitung gefragt

Compliance ist Leitungsaufgabe, die in die Organisationshoheit der Hochschule fällt. Entscheidungen und Maßnahmen unterliegen nur der Rechts- und nicht der Fachaufsicht des zuständigen Ministeriums. Die Zuständigkeiten und Rechte der Organe der Selbstverwaltung sind zu beachten. Sie haben aber keine compliance-spezifischen Rechte, da die Gesamtorganisation einer Hochschule ihrer Leitung zugewiesen ist. Für die Einführung eines Compliance-Management-Systems ist daher ein Beschluss der Hochschulleitung erforderlich, der in der gesamten Hochschule breit kommuniziert werden sollte.

Diese erste Phase des Change Prozesses ist auch in kleinen Hochschulen nicht unter einem Jahr zu bewältigen und setzt die Schaffung der entsprechenden internen oder externen Compliance-Ressourcen voraus. Nach zögerlichen Anfängen werden jedenfalls in den größeren Hochschulen und Universitäten nun immer mehr Compliance-Beauftragte benannt, der Stabsstelle Recht, teilweise der Revision zugeordnet oder mit dem Datenschutz zusammengeführt. Best Practice, das heißt als eigene Abteilung oder Stabsstelle mit Anbindung oder Integration in die Hochschulleitung, findet sich eher selten. Organisatorisch ist die TUM Anfang des Jahres nun nach einigem Zögern ein gutes Stück vorgeprescht und hat eine Vizepräsidentin Compliance ernannt. Compliance nimmt dabei eine präventive Funktion zur Vermeidung von Rechtsverstößen ein, wohingegen dem Justitiariat die Bearbeitung der aktuellen Fälle zugewiesen ist und die Revision in der Rückschau die Wirtschaftlichkeit und Zweckmäßigkeit des Handelns überprüft.

Die Betrachtung der Risikofelder kann sich an Aufgabenbereichen oder übergreifenden Themen orientieren. Der Grundsatz "Compliance für alle!" erfordert die Einbeziehung aller Beschäftigten aus Verwaltung und Wissenschaft einschließlich der Organisationsleitung. Allerdings sind die einzelnen Hochschulmitglieder von den folgenden Themen unterschiedlich betroffen: Drittmittel und Forschung, gute wissenschaftliche Praxis, Ethik-Kommissionen, Beschaffung und Vergabe, Haushalt, IT-Strukturen, Prüfungswesen, Korruptionsprävention, Datenschutz, Urheberrecht in Lehre und Forschung, Personal: Nebentätigkeit, Leistungsanreize, Hinweisgebersysteme, Mobbing et cetera. Für spezifische Bereiche aus Lehre oder Forschung können sich die Compliance-Aktivitäten, zum Beispiel durch Institutsschulungen, auf diese konzentrieren.

Besser auf Risiken reagieren können

Hochschulen benötigen als hybride Organisationen zwischen staatlicher Einrichtung und Wissenschaftsbetrieb eine wissenschaftsadäquate Compliance-Organisation, die die Freiheiten der akademischen Selbstverwaltung respektiert, die Ziele der Forschungs- und Lehrexzellenz nicht behindert und die Einhaltung von Recht und Gesetz, das heißt insbesondere das Beihilferecht und die gute wissenschaftliche Praxis, organisatorisch und risikoadäquat sichert. Forschungsfreundliche Strukturen und Rahmenbedingungen zu schaffen, ist – unter Vorbehalt des Finanzierbaren – Verpflichtung der Hochschulleitung.

Notwendig ist eine Compliance-Kultur, die die Existenz von Fehlern und Rechtsverstößen anerkennt, den offenlegenden Mitarbeiter nicht stigmatisiert und den Austausch über Compliance-Themen insgesamt fördert. Die Hochschulleitung ist zusammen mit dem Compliance-Beauftragten gefordert, einen Rahmen für risikoadäquates Handeln zu setzen, innerhalb dessen sich jeder Mitarbeiter orientieren kann. Zur Compliance-Kultur gehört aber auch, dass vorsätzliche Gesetzesverstöße insbesondere in strafrechtlich relevanten Bereichen und im Beihilferecht nicht akzeptiert und geahndet werden.