Mittelständische Unternehmen in Serbien befinden sich in einer besonderen Lage: Sie sind groß genug, um von regulatorischen Anforderungen erheblich belastet zu werden, verfügen jedoch häufig nicht über die rechtlichen und Compliance-Ressourcen, die Großkonzernen zur Verfügung stehen. Diese Lücke zwischen dem Wachstum eines Unternehmens und seiner internen Ordnung ist eine der Hauptquellen für rechtliche und finanzielle Risiken, die sich in der Praxis zu ungünstigen Zeitpunkten manifestieren – bei einer Akquisition, einer Investitionsrunde, einer Steuerprüfung oder einer Reputationskrise.
Corporate Governance und Compliance sind kein Vorrecht großer Konzerne – es sind Instrumente, die jedem Unternehmen unabhängig von seiner Größe Planbarkeit, Effizienz und Schutz bieten.
Dieser Text hat informativen Charakter und ersetzt keine individuelle Rechtsberatung.
Was Corporate Governance umfasst
Corporate Governance bezeichnet die Gesamtheit der Regeln, Praktiken und Prozesse, durch die ein Unternehmen gelenkt und kontrolliert wird. Im serbischen Kontext legt das Gesellschaftsgesetz (Zakon o privrednim društvima, ZPD) den formalen Rahmen fest, das die Leitungsorgane, ihre Zuständigkeiten und Verantwortlichkeiten definiert.
Für Aktiengesellschaften (Akcionarsko društvo, AD) sieht das ZPD das einstufige Führungsmodell vor (Hauptversammlung und ein oder mehrere Direktoren bzw. ein Vorstand) oder das zweistufige Modell (Hauptversammlung, Aufsichtsrat und ein oder mehrere Geschäftsführer bzw. ein Geschäftsführungsausschuss). Bei der Gesellschaft mit beschränkter Haftung (Društvo s ograničenom odgovornošću, DOO) ist die Führungsstruktur flexibler, doch muss der Gründungsbeschluss oder Gesellschaftsvertrag die Zuständigkeiten der Gesellschafterversammlung und des Geschäftsführers klar definieren.
Ein guter Corporate-Governance-Rahmen für ein mittelständisches Unternehmen umfasst:
- Klar getrennte Befugnisse zwischen Eigentümern und Management
- Dokumentierte Verfahren für die Entscheidungsfindung bei Schlüsselentscheidungen
- Ein System der internen Kontrolle und Revision
- Transparentes Berichtswesen gegenüber Eigentümern und Gläubigern
- Eine Interessenkonflikt-Managementrichtlinie
Entscheidende Unterscheidung: Corporate Governance ist nicht nur die formale Erfüllung gesetzlicher Mindestanforderungen – es ist eine Verantwortungskultur, die von oben aufgebaut wird.
Gesetzlicher Rahmen für Compliance in mittelständischen Unternehmen
Die serbische Gesetzgebung legt besondere Compliance-Pflichten in mehreren Bereichen fest:
Gesetz zur Verhinderung von Geldwäsche und Terrorismusfinanzierung (Zakon o sprečavanju pranja novca i finansiranja terorizma, ZSPNFT): Verpflichtete – darunter auch bestimmte Kategorien von Wirtschaftssubjekten außerhalb des Finanzsektors – müssen interne AML/CFT-Compliance-Verfahren (Anti-Money Laundering / Countering the Financing of Terrorism – Geldwäscheprävention und Bekämpfung der Terrorismusfinanzierung) eingerichtet haben, eine zuständige beauftragte Person benennen und Kundenbewertungen durchführen. Die Aufsicht der Behörde zur Geldwäscheprävention (Uprava za sprečavanje pranja novca) kann zu Inspektionen und Bußgeldern führen.
Datenschutzgesetz (Zakon o zaštiti podataka o ličnosti, ZZPL): Das Pendant zur DSGVO (Datenschutz-Grundverordnung, Verordnung (EU) 2016/679 – GDPR) im serbischen Recht. Jedes Unternehmen, das Daten von Mitarbeitern, Kunden oder Geschäftspartnern verarbeitet, muss eine Rechtsgrundlage für die Verarbeitung vorweisen, ein Verzeichnis von Verarbeitungstätigkeiten führen und in bestimmten Fällen eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) durchführen. Der Beauftragte für Informationen von öffentlichem Interesse und Datenschutz (Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti) übt die Aufsicht aus und kann Bußgelder verhängen.
Vergabegesetz (Zakon o javnim nabavkama, ZJN): Unternehmen, die sich um öffentliche Aufträge bewerben oder als Unterauftragnehmer tätig sind, müssen strenge Konformitätskriterien erfüllen – dokumentarische, finanzielle, technische und persönliche Eignung. Unvollständige oder ungenaue Unterlagen können ein Unternehmen vom Verfahren ausschließen.
Arbeitsrechtliche Compliance: Das Arbeitsgesetz, die Beitragsgesetze und steuerrechtliche Vorschriften legen präzise Pflichten in Bezug auf Arbeitsverträge, Lohnabrechnung, Urlaubsrechte und Arbeitssicherheit fest. Die Arbeitsinspektion führt regelmäßig Kontrollen durch, und die Sanktionen können auch die Einstellung des Betriebs umfassen.
Leitungsorgane und Haftung der Direktoren
Einer der häufig vernachlässigten Aspekte der Corporate Governance ist die persönliche Haftung der Direktoren. Das ZPD sieht vor, dass ein Direktor persönlich für entstandene Schäden haftet, wenn er entgegen dem Gesetz, den Gründungsdokumenten oder Beschlüssen der Hauptversammlung handelt – der sogenannte Sorgfaltspflicht- und Treuepflichtstandard (Duty of Care und Duty of Loyalty).
In der Praxis kann die persönliche Haftung des Direktors in folgenden Fällen ausgelöst werden: – Rechtswidrige Auszahlungen an Eigentümer in einer Situation, in der das Unternehmen nicht zahlungsfähig ist – Transaktionen mit verbundenen Parteien ohne entsprechendes Genehmigungsverfahren – Versäumnis der fristgerechten Insolvenzanmeldung – Nichterfüllung steuerlicher Pflichten, die zur persönlichen Haftung für Steuerschulden führt
Die Praxis der Directors-&-Officers-Versicherung (D&O-Police) ist in Serbien noch nicht so verbreitet wie in westlichen Rechtsordnungen, doch das wachsende Interesse an dieser Form des Schutzes deutet auf ein zunehmendes Risikobewusstsein hin.
Implementierung eines Compliance-Programms: Ein praktischer Ansatz
Die Implementierung eines Compliance-Programms für ein mittelständisches Unternehmen muss weder kompliziert noch kostspielig sein. Die wichtigsten Elemente sind:
1. Kartierung der regulatorischen Pflichten Identifikation aller Gesetze und Vorschriften, die auf die Geschäftstätigkeit des Unternehmens anwendbar sind – von sektorspezifischen bis zu allgemeinen Regelungen (Datenschutz, AML/CFT, Arbeitsrecht, Steuerrecht). Dies ist der Ausgangspunkt und sollte mindestens einmal jährlich aktualisiert werden.
2. Richtlinien und interne Regelwerke Verabschiedung der vorgeschriebenen internen Akte: Arbeitsordnung, Datenschutzrichtlinie, Interessenkonfliktrichtlinie, AML/CFT-Verfahren (sofern anwendbar), Verhaltenskodex für die Geschäftstätigkeit. Diese Dokumente sind nicht nur eine formale Anforderung – sie bilden die Grundlage für die disziplinarische Verantwortlichkeit der Mitarbeiter und stellen einen Schutz bei Inspektionskontrollen dar.
3. Einbindung der Compliance-Funktion Ab einer bestimmten Unternehmensgröße reduziert die Einstellung eines internen Compliance-Beauftragten oder eines externen Beraters, der die Compliance periodisch überprüft, das Risiko unerwarteter Probleme erheblich. Das Outsourcing-Compliance-Modell ist effizient für Unternehmen, die eine Vollzeitstelle wirtschaftlich nicht rechtfertigen können.
4. Regelmäßige interne Revisionen Regelmäßige Compliance-Prüfungen (mindestens einmal jährlich), bevor ein Inspektor dies tut. Ein intern festgestellter Befund, der nicht nach außen gemeldet wird, ermöglicht es dem Unternehmen, Fehler ohne Sanktionen zu korrigieren.
5. Schulung der Mitarbeiter Ein Compliance-Programm ist wirkungslos, wenn die Mitarbeiter ihre Rechte und Pflichten nicht kennen. Regelmäßige Schulungen, insbesondere für Personen, die personenbezogene Daten oder Bargeld handhaben, reduzieren das operationelle Risiko.
ESG und unternehmerische Verantwortung: Die neue Regulierungswelle
Die europäische Regulierung führt zunehmend ESG-Anforderungen (Environmental, Social, Governance – Umwelt, Soziales, Unternehmensführung) ein, die mittelbar auch serbische Unternehmen betreffen, die mit EU-Partnern zusammenarbeiten oder sich auf den Eintritt in den EU-Markt vorbereiten. Die CSRD-Richtlinie (Corporate Sustainability Reporting Directive – Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen) hat Nachhaltigkeitsberichtspflichten für bestimmte Unternehmenskategorien eingeführt, und ihre Auswirkungen reichen bis in Lieferketten außerhalb der EU. Der genaue Anwendungsbereich und die Umsetzungsdynamik der CSRD sind Gegenstand laufender Änderungen auf EU-Ebene (sog. Omnibus-Paket), daher ist die Beobachtung der Entwicklung dieser Regulierung Teil der Vorbereitung.
Serbische Unternehmen in den Lieferketten europäischer Unternehmen erhalten bereits jetzt Fragebögen zur ESG-Konformität. Die Vorbereitung auf diese Anforderungen – Dokumentation von Prozessen, Emissionsmessung, Diversitätsrichtlinien – wird ein Wettbewerbsvorteil sein, nicht nur eine regulatorische Pflicht.
Häufig gestellte Fragen (Q&A)
Muss jede Gesellschaft in Serbien über eine interne Datenschutzregelung verfügen? Jeder Verantwortliche im Sinne des ZZPL muss ein Verzeichnis von Verarbeitungstätigkeiten führen und für jede Kategorie der Verarbeitung eine Rechtsgrundlage vorweisen. Die Führung des Verzeichnisses von Verarbeitungstätigkeiten ist eine allgemeine gesetzliche Pflicht für alle Verantwortlichen. Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern gilt nur, wenn die Verarbeitung ausschließlich gelegentlich erfolgt, kein Risiko für die Rechte der betroffenen Personen birgt und keine besonderen Datenkategorien umfasst – da fast jedes Unternehmen kontinuierlich Mitarbeiterdaten verarbeitet, findet diese Ausnahme in der Praxis selten Anwendung, sodass das Verzeichnis in der Regel auch für kleinere Unternehmen verpflichtend ist.
Was sind die häufigsten Gründe für Bußgelder bei Inspektionen der serbischen Steuerverwaltung? In der Praxis sind die häufigsten: Nichtverbuchung von Einnahmen, fehlerhafte Berechnung der Mehrwertsteuer (PDV), ungeordnete Mitarbeiterdokumentation, Auszahlung nicht gemeldeter Vergütungen und unaktuelle Buchführung. Eine regelmäßige interne Steuerrevision mit einem Rechtsanwalt oder Steuerberater reduziert diese Risiken erheblich.
Welche Frist gilt für die Einberufung der Jahreshauptversammlung der Aktionäre bzw. der Gesellschafterversammlung einer DOO? Das ZPD sieht die Pflicht vor, die ordentliche Hauptversammlung spätestens innerhalb von 6 Monaten nach Abschluss des Geschäftsjahres abzuhalten. Die Versäumung dieser Frist stellt eine Ordnungswidrigkeit dar und ist insbesondere bei Aktiengesellschaften kritisch, die zur Veröffentlichung eines Jahresberichts verpflichtet sind.
Wie kann ein Unternehmen vor der Haftung für Handlungen seiner Mitarbeiter geschützt werden? Die wichtigsten Mechanismen sind: klare Regelwerke mit vorgeschriebenen Verfahren, regelmäßige Schulungen, dokumentierte disziplinarische Verantwortlichkeit und eine Hinweisgeberpolitik (Whistleblowing). Dokumentiertes Handeln nach den festgelegten Verfahren ist die stärkste Verteidigung im Streitfall.
Fazit
Corporate Governance und Compliance sind keine administrative Last – es sind Instrumente, mit denen mittelständische Unternehmen ihre Reputation aufbauen, Risiken minimieren und sich für Wachstum positionieren. Investoren, Banken und Geschäftspartner bewerten die interne Ordnung eines Unternehmens zunehmend als Kriterium für eine Zusammenarbeit.
Die proaktive Einrichtung eines Compliance-Systems, eine klare Aufgabenteilung in den Leitungsorganen und regelmäßige interne Revisionen – das sind Maßnahmen, die sich in verringerter Sanktionsexposition, niedrigeren Kapitalkosten und einer besseren Position bei etwaigen M&A-Transaktionen (Mergers & Acquisitions) niederschlagen.
Vereinbaren Sie eine Beratung mit dem VertexLaw-Team und machen Sie den ersten Schritt zu einer geordneten und belastbaren Corporate Governance.
Quellen: – https://www.paragraf.rs/propisi/zakon_o_privrednim_drustvima.html – https://www.paragraf.rs/propisi/zakon_o_zastiti_podataka_o_licnosti.html – https://www.paragraf.rs/propisi/zakon-o-sprecavanju-pranja-novca-i-finansiranja-terorizma.html