• Erstens lässt sich mit der neuen Erwartungstheorie der Fehler vermeiden, Unternehmensmitarbeiter zu überschätzen, indem man von ihnen ausschließlich rationales Verhalten zum eigenen und zum Vorteil des Unternehmens erwartet und dabei übersieht, dass menschliches Entscheidungsverhalten systematisch irrational ist, Entscheidungsträger sich zu ihrem eigenen Nachteil verhalten und nur durch Anordnungen vor Verhaltensweisen zum eigenen Nachteil bewahrt werden können. Aus eigener Initiative sind insbesondere komplizierte Risikoanalysen, die Erfassung von Rechtspflichten zur Risikoabwendung, die freiwillige Einhaltung von Rechtspflicht ohne vorgegebene Kontrollen nicht zu erwarten.
• Zweitens darf gewohnheitsmäßiges Unterlassen als typisches Fehlverhalten nach dem Motto, wer nichts macht, macht auch keine Fehler und als Organisationsrisiko bei Führungskräften nicht verkannt werden. Nur durch ausdrückliche Anordnung eines verbindlichen Verfahrens in Form eines Compliance-Management-Systems lässt sich der Omission-Bias vermeiden, wonach systematisch Risiken und Rechtspflichten zu ihrer Abwehr ermittelt, delegiert, für ihre Einhaltung gesorgt, kontrolliert und dokumentiert werden.
• Drittens ist nach dem Dunning-Kruger-Effekt der Denkfehler bei Führungskräften ohne eigene Rechtskenntnisse zu vermeiden, ohne Rechtsrat Entscheidungen treffen zu können und den eigenen juristischen Beratungsbedarf zu verkennen. Dieser Entscheidungsfehler lässt sich nur dadurch vermeiden, dass sämtliche Unternehmenssachverhalte vor einer rechtlichen Prüfung ausnahmslos als Rechtsrisiken zu behandeln sind.
• Viertens ist der Verfügbarkeitsfehler (Availability-Bias) als Ursache für Rechtsverstöße durch unterschätzte Risiken zu vermeiden. Das Organisationsrisiko besteht in der verkürzten Risikoanalyse, wenn sich Manager beim Denken an mögliche Schadensverläufe nur auf das eigene Wissen beschränken und es versäumen, alle verfügbaren Informationsquellen auszuschöpfen und möglichst alle Erfahrungen zu denkbaren Schadensverläufen zu erfassen, sowohl unternehmensinterne, unternehmensextern, internationale und historische Erfahrung und Informationen.[1]
• Fünftens ist als Organisationsrisiko ist die kriminogene Verbandsattitüde zu erfassen, wonach der Gruppendruck im Unternehmen und die dadurch verursachte Neigung als Fehlverhalten zu beachten ist, wonach ausschließlich der Geschäftszweck ohne Rücksicht auf den Gesetzeszweck verfolgt wird und illegales Verhalten zum Nutzen des Unternehmens in Kauf genommen wird, anstatt nützliche Pflichtverletzungen grundsätzlich und ausnahmslos auszuschließen.
• Sechstens ist mit dem Conformation-Bias oder Bestätigungsfehler das Organisationsrisiko zu vermeiden, dass Fehlprognosen aufgestellt werden, indem Prognosen grundsätzlich erfolglosen Bestätigungs- und nicht Widerlegungsversuchen zur Feststellung ihrer Geltung ausgesetzt werden. Prognosen als Theorien können nicht verifiziert, sondern nur falsifiziert werden. Zu widerstehen ist der intuitiven Neigung, nur Argumente zur Bestätigung der eigenen Vorhersage zu sammeln und einzusetzen, anstatt sie möglichst vielen Widerlegungsversuchen auszusetzen. Hilfreich ist die Vorstellung, mit welchen Argumenten ein Gegenanwalt in einem späteren Gerichtsverfahren die eigene Risikoanalyse widerlegen könnte.
• Siebtens ist der Hindsight-Bias als Organisationsrisiko zu vermeiden. Er ist als Volksweisheit bekannt, wonach hinterher immer alle schlauer sind. Zum Risiko wird der Rückschaufehler, wenn Dritte einen Schadensverlauf im Unternehmen beurteilen sollen. In Kenntnis des Schadensverlaufs schließen Dritte voreilig und unbewusst auf die Vorhersehbarkeit des Schadensverlaufs und auch auf die Vermeidbarkeit. Der Rückschaufehler wirkt zu Lasten des beklagten Unternehmens. Das Risiko besteht darin, dass die Entscheidungsträger nicht beweisen können, was im Zeitpunkt der Entscheidung als Schaden vorhersehbar und vermeidbar war. Das Organisationsrisiko des Hindsight-Bias lässt sich durch die konsequente Dokumentation der Entscheidungsgrundlagen abwenden. Die Dokumentation im Compliance-Management-System „Recht im Betrieb“ wirkt als Beweissicherung für die Entscheidungsgrundlagen, mit denen widerlegt werden kann, dass im Zeitpunkt der Entscheidung der Schadensverlauf vorhersehbar und vermeidbar gewesen sein soll.

Sieben Denkfehler lassen sich typisieren und vermeiden. Die Übersicht und die Zusammenfassung aller bekannten Denkfehler soll dabei helfen, in der eigenen Entscheidungssituation sie zu erkennen, dem Organisationsfehler zu widerstehen und zum Vorteil des Unternehmens Schäden durch Organisationsfehler zu vermeiden.

Eine Übersicht zu typisierbaren Organisationsfehlern ist auch deshalb wichtig, weil eine gesetzliche Regelung zu Organisationspflichten fehlt und lediglich mit der DIN-ISO 19600 eine untergesetzliche Selbstregulierung zur Verfügung steht und das vermeidbare Fehlverhalten bei der Organisation der Pflicht zum legalen Verhalten im Unternehmen sich nur aus etwa 70 Einzelfallentscheidungen zum Organisationsverschulden des BGH und der des Reichsgerichts ergibt. Mit der Zusammenstellung soll ein Beitrag geleistet werden, das Risiko Management zu optimieren und Organisationsfehler zu vermeiden. Organisationsrisiken lassen sich nur durch verbindliche Routineverfahren im Rahmen eines Compliance-Management-Systems abwenden.

Zusammenfassend lässt sich festhalten, dass Vorstände und Geschäftsführer nach der ISION-Entscheidung des BGH zur „eigenen Risikoanalyse“ verpflichtet sind und sie nicht Dritten, insbesondere nicht Ratingagenturen oder Beratern überlassen dürfen. Risiken sind keine Fakten, sondern Fiktionen, die man nicht wie Fakten erkennen oder beweisen kann. Vielmehr muss man sie sich denken. Dabei können typische Denkfehler zur Unter- aber auch zur Überschätzung von Risiken führen. Risiken sind durch das Verfahren der Risikoanalyse zu erfassen. Sie lösen nämlich Rechtspflichten aus, deren Zweck darin besteht, die Risiken abzuwenden, noch bevor sie sich zu einem Schaden entwickeln konnten. Viele Risiken sind gesetzlich geregelt. Sie lassen sich mit den geregelten Rechtspflichten erfassen. Findet sich zu einem Sachverhalt eine Rechtspflicht, kann ohne eigene Analyse auf ein Risiko geschlossen werden. Der Gesetzgeber regelt nämlich nur Rechtspflichten, die ein Risiko abwenden. Ein Risiko lässt sich deshalb auch durch einen Rückschluss von einer gesetzlichen Regelung ermitteln.

Organisationsrisiken sind nicht oder nur unvollständig gesetzlich geregelt und können deshalb nicht durch Rückschlüsse aus einer gesetzlichen Regelung erfasst werden. Organisationspflichten sind Verkehrssicherungspflichten. Wer ein Risiko durch die Organisation eines Unternehmens begründet, ist verpflichtet, dieses Risiko präventiv abzuwenden. Gerade weil Organisationsrisiken nicht eindeutig geregelt sind, empfiehlt sich eine gesteigerte Sorgfalt bei der Risikoanalyse. Wenn man Risiken nicht wie Fakten erkennen kann, sondern sie sich denken muss, ist es umso wichtiger, typische Denkfehler bei der Risikoanalyse zu kennen und zu vermeiden. Mit Denk- oder auch Entscheidungsfehlern beschäftigt sich die Verhaltensforschung, deren Bedeutung allein daran abzulesen ist, dass mit Kahneman und Tversky, 2002 und mit Richard Thaler 2017 zwei Nobelpreise vergeben wurden.

[1] BGH vom 14.7.2008, ZIP 2008, S. 1676; OLG Düsseldorf vom 9.12.2009, AG 2010, S. 128 (IKB Entscheidung).