Der Vorstand hat durch folgende Maßnahmen ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System implementiert: Es wurde ein externer Compliancebeauftragter bestellt, der direkt an den Vorstand berichtet. Zur Unterstützung der externen Funktion wurde eine interne Koordinationsstelle geschaffen. Die Kontaktdaten des externen Compliancebeauftragten sind den Mitarbeitern bekanntgegeben worden, wodurch eine Direktansprache möglich und gewünscht ist.
Dies erfolgt auch in der Praxis. Vor dem Hintergrund dieser bereits bestehenden vertrauensvollen Kommunikation zwischen Mitarbeitern, Vorgesetzten und dem externen Compliancebeauftragten wurde seitens des Vorstands auf die Implementierung einer gesonderten Whistleblowing-Stelle bewusst verzichtet.
Zur Feststellung der Risikolage im Bereich „Compliance“ wurde seitens des Vorstands zunächst eine Risikoanalyse der in Betracht kommenden Compliancerisiken durch eine Wirtschaftsprüfungsgesellschaft durchgeführt. Diese umfasste sowohl die Risiken des Unternehmens als auch der Konzernunternehmen. Als wesentliche Maßnahme wurde die Implementierung einer Compliancerichtlinie, welche für alle Mitarbeiter verpflichtend ist, durchgeführt. Diese Richtlinie wurde und wird in Präsenzschulungen (train-the-trainer-Modell) kommuniziert. Stichprobenartig wird deren Einhaltung durch den externen Compliancebeauftragten kontrolliert. Der Compliancebeauftragte berichtet hierzu an den Vorstand.
Weiterhin wurden in Abhängigkeit von der Bedeutung der jeweiligen Angelegenheit Meldewege (Reporting Lines) eingerichtet, die sicherstellen, dass der Vorstand und/oder die ihm nachgeordnete erste Führungsebene von bedeutenden Angelegenheiten und insbesondere von möglichen Compliance-Risiken Kenntnis erlangen. Ferner wurde durch die Implementierung von Freigaberegelungen für bestimmte Arten von Maßnahmen und Rechtsgeschäften sichergestellt, dass bedeutsame oder risikobehaftete Maßnahmen oder Rechtsgeschäfte nur nach vorheriger Einholung der Zustimmung des Vorstands oder der ihm nachgeordneten ersten Führungsebene vorgenommen werden dürfen. Die Einhaltung der Meldewege und der Freigaberegelungen ist zu dokumentieren.