Die Professionalisierung von Aufsichtsräten ist seit vielen Jahren ein zentrales Thema in deutschen Unternehmen. Dabei hat der Deutsche Corporate Governance Kodex viel in Bewegung gesetzt. Ging es anfangs noch eher um formale Dinge wie die Empfehlung, dass sich das Gremium eine Geschäftsordnung gibt, kamen später vor allem der Ausbau der Diversität, das Vermeiden von Overboarding und die Erarbeitung eines Kompetenzprofils für die Unternehmenskontrolleure dazu. Der Skandal des Finanzdienstleisters Wirecard hat den Blick des Gesetzgebers schließlich verstärkt auf Finanzexpertise und auf die Notwendigkeit eines Prüfungsausschusses gerichtet.

Mit der jüngsten Reform des Corporate Governance Kodex sind die Anforderungen an die Zusammensetzung der Aufsichtsräte erweitert worden, und es wird mehr Gewicht auf nachhaltige Unternehmensführung gelegt. Das Kompetenzprofil des Gremiums soll nun auch Expertise zu den für das Unternehmen bedeutsamen Nachhaltigkeitsfragen nachweisen.

Mit Finanz- und Nachhaltigkeitskompetenz sowie Diversität allein ist es nicht getan. Von Investorenseite wird verstärkt eingefordert, dass umfassendes Know-how zur Bewältigung der wesentlichen Herausforderungen des Unternehmens nicht nur im Vorstand, sondern auch im Aufsichtsrat vorhanden ist. Hier geht es um Themen wie geopolitische Risiken, Digitalisierung, Biodiversität oder auch ESG-Transformation.

Speziell breite Digitalexpertise sucht man vielerorts in den Aufsichtsräten noch vergebens. Oft braucht es erst einen Cyberangriff, damit das Bewusstsein geschärft wird, einen Digital Native an Bord zu holen. Immerhin gibt es mit dem ehemaligen CEO der Software AG, Karl-Heinz Streibich, eine Persönlichkeit mit ausgewiesener IT-Erfahrung, die mittlerweile in drei Dax-Aufsichtsräten vertreten ist – bei der Deutschen Telekom, Munich Re und Siemens Health­ineers.

Eine gemeinsame Studie der Kanzlei Noerr und der Technischen Universität München zeigt, dass der digitalen Welt in Aufsichtsräten nach wie vor wenig Beachtung geschenkt wird. Digitale Kenntnisse und Erfahrungen spielen bei der Auswahl und Bestellung von Aufsichtsratsmitgliedern aktuell keine besondere Rolle, fassen es die Autoren der Studie zusammen. Für weniger als ein Drittel der Unternehmen habe die digitale Kompetenz des Aufsichtsrats eine hohe oder sehr hohe Relevanz. Für die Analyse haben Noerr und das Center for Digital Public Services des Wissenschaftlers Dirk Heckmann an der Technischen Universität München 300 Führungskräfte aus Unternehmen ab einer Größe von 250 Mitarbeitenden befragen lassen.

Aus Sicht der Berater müsste die Lernkurve deutlich steiler sein. „Durch die fortschreitende Digitalisierung von Unternehmensprozessen und Geschäftsmodellen ist digitale Kompetenz für den Aufsichtsrat essenziell“, sagt Sophia Habbe, Partnerin von Noerr in Frankfurt und Co-Leiterin der Praxisgruppe Compliance & interne Untersuchungen der Kanzlei. Nur dann könne er bei der Überwachung der Geschäftsleitung seine Rolle als zentrale Kontrollinstanz ausfüllen und beurteilen, ob die Geschäftsleitung die Risiken digitaler Technologien richtig eingeschätzt habe, gibt sie zu bedenken.

Die Studie schreibt Aufsichtsräten verschiedenste Aufgaben ins digitales Pflichtenheft: Das Gremium habe die Geschäftsleitung im Hinblick auf digitale Geschäftsprozesse, den Einsatz neuer Technologien und eine sichere und datenschutzkonforme IT-Infrastruktur zu kontrollieren. Zugleich müsse es sich davon überzeugen, dass die Geschäftsleitung geeignete Compliance-Strukturen im Unternehmen einrichtet.

Im Ergebnis der Umfrage sind viele Aufsichtsräte auf diese Aufgaben unzureichend vorbereitet. Nur 28% der Unternehmen schätzten digitale Kompetenzen und Fähigkeiten bei der Nominierung von Aufsichtsräten als wichtiges Kriterium ein. Selbst bei Unternehmen, in denen es in den vergangenen drei Jahren Compliance-Vorfälle gab, liege der Wert nur bei 33%. Die Autoren der Studie bewerten dieses Ergebnis als „bemerkenswerten Befund“. Denn zugleich hätten in der Befragung 42% der Unternehmen angegeben, dass der Aufsichtsrat konkrete Maßnahmen ergreife, um den digitalen Sachverstand der Geschäftsleitung sicherzustellen. Andererseits beschäftige sich auch nur gut die Hälfte (53%) der Aufsichtsräte regelmäßig mit Themen rund um die Digitalisierung (siehe Grafik). In den Unternehmen mit weniger als 1000 Beschäftigten seien es noch weniger.

„Es verwundert durchaus, dass nur ein Drittel der Unternehmen, die bereits Datenschutzverstöße oder Ransomware-Angriffe verzeichnen mussten, Wert auf die Digitalkompetenz ihres Aufsichtsrats legt“, unterstreicht Peter Bräutigam, Experte für IT-Recht und Partner der Kanzlei Noerr in München. Dabei ist aus der Studie abzulesen, dass die Risiken durch die Digitalisierung zunehmen. Nach den Worten von Bräutigam waren 47% der befragten Firmen in den vergangenen drei Jahren von Hacking, Datenschutzrechtverstößen, Ransomware, IT-Sicherheitsdefiziten oder Urheberrechtsverletzungen betroffen.

Nach Compliance-Vorfällen in ihrem Unternehmen knöpfen sich Aufsichtsräte immerhin häufiger direkt das Thema Digitalisierung vor: In 61% der Fälle kommen Digitalthemen dann auf die Tagesordnung. Meist (39%) befasse sich der Aufsichtsrat selbst mit dem Thema, ein Viertel greife auf Experten zurück, und 13% haben dafür einen Ausschuss eingerichtet. Demgegenüber ist in Unternehmen ohne Compliance-Vorfälle der Studie zufolge lediglich gut ein Fünftel der Aufsichtsräte regelmäßig mit der Digitalisierung befasst. „Angesichts dieser ernüchternden Zahlen sollten Unternehmen das Anforderungsprofil für neue Mitglieder im Aufsichtsrat überprüfen und gegebenenfalls anpassen“, empfiehlt Compliance-Expertin Habbe.

Es mag branchenspezifische Unterschiede geben, in Unternehmen mit hohem Digitalisierungsgrad oder einer hohen Risikoexposition sollte der Aufsichtsrat dem Thema aus Sicht der Anwälte besondere Aufmerksamkeit widmen. „Wir empfehlen, einen speziellen Ausschuss einzurichten, der sich unter Gesichtspunkten der Compliance Digitalthemen widmet“, sagt Habbe. Alternativ könne ein fachkundiges Mitglied des Aufsichtsrats sich regelmäßig mit Digital-Compliance befassen.

Der Studie zufolge sind die ausgewiesenen Digitalisierungsexperten im Aufsichtsrat zumeist Betriebswirte (41%), gefolgt von Informatikern (28%) und Technikern (24%). In den Kompetenzprofilen weisen Unternehmen oft auf digitales Know-how hin, ohne explizit einen Experten zu benennen. So schreibt der Chemiekonzern BASF 7 von 12 Aufsichtsräten Kompetenz in Digitalisierung und IT zu.

Zu den Unternehmen, die einen Digitalisierungsausschuss eingerichtet haben, zählt der Versorger EnBW. Die Deutsche Bank hat einen Technologie-, Daten- und Innovationsausschuss mit sechs Sitzen, geleitet von der ehemaligen IT-Chefin der UBS, Michele Trogni. Eher im Trend sind derzeit ESG- oder Nachhaltigkeitsausschüsse, obwohl auch in dem Thema die Meinung vertreten wird, damit habe sich stets das gesamte Gremium zu befassen.