ISO 37301

Zertifizierbare ISO 37301 kommt 2021

Bei der Einführung und Umsetzung eines Compliance Management Systems geht es darum, ein Unternehmen rechtskonform aufzustellen. Ein Aspekt nimmt dabei aber einen immer größeren Raum ein: Wie dokumentiert das Unternehmen seine Compliance-konformen Strukturen nach außen? Wie profitiert es nicht nur rechtlich, sondern auch Image-mäßig von einem funktionierenden Compliance Management System? Als zertifizierbarer und vor allem Praxis-naher Standard wird der neue ISO 37301 alle gewünschten Aufgaben übernehmen. Mit der Einführung ist Anfang 2021 zu rechnen. SAT bietet praxisnah die Organisations-Analyse und den Aufbau eines individuellen CMS für Unternehmen.

Standards gibt es schon – wozu ISO 37301?

Bereits heute gibt es Standards, nach denen ein Compliance Management System eingeführt und in seiner Umsetzung bewertet werden kann. Die international anerkannte ISO 19600 ist der bekannteste Standard, da er für alle Unternehmensbranchen und -größen gleichermaßen nutzbar ist. Ziel der ISO 19600 ist es, Unternehmen einen strukturierten Rahmen für die Konzeption, Implementierung und dauerhafte Anwendung eines CMS in der Organisation zu geben.

Nachteil des ISO 19600: Obwohl praxisnah und international anwendbar, ist er nicht zertifizierbar. Der Imagevorteil durch ein funktionierendes CMS geht dadurch ein Stück weit verloren.

Abhilfe soll deshalb der IDW PS 980-Standard schaffen.  Das Institut der Wirtschaftsprüfer (IDW) hat mit dem PS 980 einen Standard entwickelt, der nicht nur das Vorgehen bei der Einführung eines CMS beschreibt, sondern auch dessen Wirksamkeit bewertet. Der Standard ist zertifizierbar, schafft also gleichermaßen Sicherheit für die unternehmensinternen Compliance-Verantwortlichen als auch Vertrauen bei Geschäftspartnern.

Nachteil des IDW PS 980: Der Standard wurde für Wirtschaftsprüfer entwickelt, nur sie können zertifizieren. Er ist sehr kaufmännisch ausgerichtet.

Um das Problem der fehlenden Zertifizierbarkeit der ISO 19600 zu beheben, hat der TÜV Rheinland außerdem den Standard TR CMS 101:2011 entwickelt. Er ist zertifizierbar. „Der Standard TR CMS 101:2011 für Compliance Management Systeme ermöglicht es, einer Organisation nach erfolgreicher Durchführung des Systemaudits in einem Zertifikat zu bescheinigen, dass sie nachweislich

  1. ein wirksames Compliance Management System aufrecht erhält,
  2. die Mindestanforderungen an ein Compliance Management System erfüllt und
  3. in der Lage ist, präventive wie korrigierende Maßnahmen umzusetzen.“, heißt es dazu vom TÜV Rheinland

Nachteil des TR CMS 101:2011: Dieser Standard wird nur vom TÜV Rheinland zertifiziert.

Was bringt die ISO 37301?

Der ISO 37301 wird ein internationaler Typ-A-Standard werden und die direkte Zertifizierung ermöglichen. Die wichtigsten Vorteile des ISO 37301 werden neben der Zertifizierbarkeit sein ganzheitlicher Ansatz über alle Branchen, Unternehmensgrößen und –bereiche, seine Praxisnähe und seine Anwendbarkeit für alle Prüforganisationen sein. Der neue Standard wird nicht nur vorgeben, wie ein Compliance Management System einzuführen ist. Er gibt auch die Anforderungen vor, wann ein CMS ein Zertifikat erhält. Das geht über die bisherigen „Leitlinien“ der ISO 19600 deutlich hinaus. Außerdem wird ein Anhang der ISO 37301 praxisnahe Anleitungen enthalten, wie der Standard angewendet werden soll.

Praxisnahe Hilfe für Unternehmen

Das Thema Compliance ist vollständig in den Unternehmen angekommen und benötigt nun eine praxisrelevante Umsetzbarkeit, die zugleich nach außen dokumentiert werden kann. Außerdem wird es spürbare Auswirkungen im Zusammenhang mit dem kommenden Unternehmensstrafrecht verweisen haben: Das künftige Gesetz sieht strafmildernde Elemente für den Fall vor, dass ein Unternehmen ein CMS eingeführt hat. Das lässt sich am besten nachweisen, wenn es von neutraler Stelle wie dem TÜV Rheinland zertifiziert wurde.

Diese Ansprüche wird die ISO 37301 künftig erfüllen. Konkret beinhaltet die ISO 37301 unter anderem diese Anforderungen an die CMS-Einführung:

  • Festlegung der unternehmensindividuellen Compliance-Ziele in Abhängigkeit von Unternehmensgröße und -struktur
  • Analyse und Bewertung der individuellen Compliance-Risiken eines Unternehmens nach Eintrittswahrscheinlichkeit und Auswirkungen eines Regelverstosses
  • Festlegung der Compliance-Verantwortlichkeiten im Unternehmen
  • Priorisierung der Maßnahmen in Abhängigkeit von Eintrittswahrscheinlichkeit und Auswirkungen eines Risikos
  • Kontinuierliche Überwachung und Verbesserung des CMS
  • Einführung kontinuierlicher Compliance-Kultur und -Kommunikation sowie Schulungen für Mitarbeiter und externe Geschäftspartner

„Wir erwarten, dass die ISO 37301 dieselbe Bedeutung für Unternehmen bekommen wird wie die 2018 in Kraft getretene EU-Datenschutzgrundverordnung“, betonen die SAT-Geschäftsführer Jochen Wilckens und Stefan Pawils. „Wichtig ist die Praxisrelevanz des neuen Standards, die nicht nur auf dem Papier existiert. Ein wirkungsvolles Compliance Management System muss auf allen Ebenen einer Organisation umgesetzt und gelebt werden. Dafür stehen wir mit unseren Beratern bereit.“ Was SAT für Unternehmen bietet, lesen Sie hier.

Beitrag teilen
RegScan

SAT internationalisiert und gewinnt RegScan als Partner

Die Compliance-Experten des SAT-Teams haben mit der amerikanischen Firma RegScan einen neuen Partner gewonnen, mit dem sie ihr Angebot rund um das Compliance Management in Unternehmen noch einmal deutlich ausbauen können. Über die bereits bestehenden Serviceleistungen für Deutschland hinaus bietet SAT seinen Kunden nun auch für andere Länder die Erstellung und Pflege unternehmensspezifischer  Rechts- und Vorschriftenkataster  an.

Digitales Recherche- und Warnsystem

Durch die Zusammenarbeit mit RegScan One™ ist SAT in der Lage, ein digitales Analyse- und Warnsystem für globale behördliche Informationen in mehreren Sprachen zu nutzen. Es können Rechtsregister und Prüfprotokolle für mehr als 140 Gerichtsbarkeiten angepasst, auf einer Benutzeroberfläche kann in neun Sprachen zugegriffen werden. Weitere Sprachen befinden sich derzeit in der Entwicklung. Zusammen mit RegScan hat SAT Zugriff auf Regulierungen und Gesetze nahezu weltweit. „Damit sind wir künftig noch besser aufgestellt, um unsere Kunden im internationalen Umfeld in allen Compliance-Fragen zu beraten“, nennen die SAT-Geschäftsführer Jochen Wilckens und Stefan Pawils ihre Gründe für die Partnerschaft mit RegScan.

SAT-Rechtskataster mit Beratung und Handlungsempfehlung

Bereits heute bietet SAT mit seinem eigenen Rechtskataster für sämtliche Rechtsgebiete ein umfassendes System, mit dem Unternehmen die für sie relevanten Gesetze und Verordnungen in Deutschland beobachten und bei Änderungen gegebenenfalls darauf reagieren können. Die Beratung der Düsseldorfer Compliance-Experten geht aber über die eigentliche Beobachtung weit hinaus. „Wir prüfen in den Unternehmen vor Ort die technischen Rahmenbedingungen und bewerten auf dieser Basis, welche Gesetze und Regelungen relevant sind. Im laufenden Geschäft überwachen wir die rechtlichen Veränderungen nicht nur, sondern geben mit einem Ampelsystem zugleich an, ob und wie ein Unternehmen im Rahmen seines Compliance-Management-Systems darauf reagieren muss“, sagt Stefan Pawils. Die Kunden erhalten entsprechende Handlungsempfehlungen. Diese Beratungsleistung erbringt RegScan zwar nicht, die Relevanzeinschätzung verbleibt bei den Nutzern. Dennoch erlaubt das System eine internationale Beobachtung der Gesetzeslage.

Branchenübergreifende Lösungen

Die RegScan-Produktpalette umfasst Online-Compliance-Lösungen für zahlreiche Branchen, vor allem in den Bereichen Produktion, Transport, Energie und Gesundheitsvorsorge. Zu den Service-Tools gehören Volltextbestimmungen, Prüflisten und verschiedene Methoden zum Nachverfolgen von Gesetzesänderungen. Nutzer erhalten Benachrichtigungen über Gesetzesänderungen per E-Mail-Benachrichtigung oder über das Online-Dashboard.

Marktführer für „Regulatory Publishing“

RegScan wurde 1987 mit der Idee gegründet, die Einhaltung gesetzlicher Vorschriften optimal zu steuern. Mittlerweile hat sich das Unternehmen zum Marktführer für digitales „Regulatory Publishing“ entwickelt.

Beitrag teilen
Nudging

Chancen für Compliance durch Nudging

Die Möglichkeiten des „Nudging“, Englisch für „anstupsen“, werden seit geraumer Zeit auf dem vergleichsweise neuen wissenschaftlichen Feld der Verhaltensökonomie diskutiert. Auch für das Thema Compliance könnte das „Anstupsen“ der Mitarbeiter im Sinne des rechtskonformen Verhaltens im Unternehmen große Bedeutung haben.

„Der Begriff „Nudging“ wurde durch den Wirtschaftswissenschaftler Richard Thaler und den Rechtswissenschaftler Cass Sunstein geprägt („Nudge. Improving Decisions About Health, Wealth and Happiness“, 2008). Nudging möchte das Verhalten von Menschen positiv beeinflussen, ohne dabei auf Ge- oder Verbote zurückzugreifen. Der Mensch soll in seiner Entscheidungsfindung weiterhin frei bleiben, wird jedoch durch eine Veränderung der ihn umgebenden Umstände in die richtige Richtung „gestupst“. (Quelle)

Nudging fördert kluge rechtskonforme Entscheidungen

Nudging kann Mitarbeiter dazu veranlassen, kluge im Sinne rechtskonformer Entscheidungen zu treffen, ohne dass Zwang beispielsweise durch Androhung von Sanktionen ausgeübt wird. Die Verhaltensökonomie hat in diesem Zusammenhang festgestellt, dass Menschen Entscheidungen – über den eigentlichen Inhalt hinaus – immer in einem gewissen Kontext treffen. Für die Umsetzung der Compliance bedeutet das, dass das gestaltbare Unternehmensumfeld mit dafür verantwortlich ist, ob sich die Mitarbeiter auf allen Hierarchieebenen regelkonform verhalten oder nicht.

Umsetzungsmöglichkeiten für Nudging

Wie kann das Umfeld nun so gestaltet werden, dass es regelkonforme Entscheidungen der Mitarbeiter positiv beeinflusst? Der Compliance Officer Dr. Jörg Viebranz zählt in seinem Artikel „Wie können Ideen der Verhaltensökonomie für Compliance und Integrity genutzt werden?“ (Quelle) interessante Beispiele auf:

  • „Seien Sie sich der Macht der richtigen Formulierung bewusst. Beispielsweise können die Formulierungen von Verhaltenskodizes (Code of Conduct), spezielle Richtlinien und andere Informationsmaterialen erheblichen Einfluss auf die Regelbefolgung haben. Verhaltensökonomische Experimente haben gezeigt, dass die Aufforderung „Sei kein Betrüger“ im Gegensatz zu „betrüge nicht“ vor einem Test dazu führt, dass Teilnehmer weniger schummeln. Appellieren Sie in Formulierungen also an den Anstand der Personen und an ihr integres Selbstbild.
  • Nutzen Sie Vorbildverhalten. Menschen orientieren sich an bekannten Verhaltensmustern und wollen nicht jede Entscheidung überdenken müssen. Verhaltensmuster werden häufig durch Beobachtung von Vorbildern gelernt und übernommen. Seien Sie sich bewusst, dass Vorgesetzte auch Vorbilder sind und sie durch ihr Verhalten die akzeptierten Verhaltensmuster von Mitarbeitern beeinflussen. Wie das am einfachsten umgesetzt werden kann?
    1. Machen Sie allen Führungspersonen im Unternehmen immer wieder klar, dass sie eine solche Vorbildrolle auch ausfüllen müssen.
    2. Setzen Sie den Punkt regelmäßig auf die Tagesordnung von Führungskräftemeetings.
    3. Vermeiden Sie Sonderregeln für unterschiedliche Hierarchiestufen, da dies von Mitarbeitern als Rechtfertigung für eigenes Fehlverhalten genutzt wird.
    4. Falls Abweichungen nicht vermieden werden können, erklären und kommunizieren Sie die Gründe hierfür intensiv.
    5. Der „Tone from the Top“ ist auf allen Hierarchiestufen wichtig. Nicht nur an der Spitze.
      • Verinnerlichen Sie erwünschte Verhaltensmuster durch regelmäßige und praktische Schulungen. Belassen Sie es nicht bei einmaligen Präsentationen Ihres Verhaltenskodex. Wiederholen Sie Schulungen regelmäßig. Für so genannte Risikogruppen wie Vertrieb, Einkauf und Accounting sollten Sie 1-2 Mal pro Jahr eine Schulung einplanen. Machen Sie Schulungen so praktisch relevant wie möglich, indem Sie konkrete Fälle aus dem Alltag der Mitarbeiter diskutieren. […]
      • Gestalten Sie kritische Entscheidungssituationen in Hinblick auf Compliance und rufen Sie die erwünschten Verhaltensmuster ins Gedächtnis. Bei einem Experiment wurde gezeigt, dass Probanden, die gebeten wurden, die Zehn Gebote aufzuschreiben, in einem nachfolgenden Test nicht schummeln. Genauso schummeln Studenten nicht, wenn ihnen vor dem Test mitgeteilt wird, dass dieser dem Ehrenkodex der Universität unterliege (selbst wenn die Universität über keinen solchen Kodex verfügt). […]
      • Verstehen Sie sich als Dienstleister und machen Sie Mitarbeitern ihre Entscheidung so einfach wie möglich. Wenn Sie beispielsweise erwarten, dass Mitarbeiter erhaltene Geschenke bei Ihnen jährlich melden, dann unterstützen Sie diese durch ein elektronisches Zuwendungsregister oder stellen Sie ein einfaches Formular zur Verfügung, das nur die relevanten Daten abfragt und häufige Fälle als Multiple-Choice-Antworten zum Ankreuzen bereits vorformuliert.“

Nudging und Compliance bei SAT

Die Berater und Unternehmer bei SAT identifizieren Kostentreiber und Verschwendung in den Unternehmensstrukturen und -abläufen, um sie effizient und maximal wertschöpfend zu optimieren und zu modellieren. Unser Blick geht aber über die rein organisatorischen und monetären Aspekte hinaus. Als Praktiker aktivieren und motivieren wir Ihre Mitarbeiter zielorientiert auf allen Hierarchieebenen. Für SAT ist „Nudging“ vor allem der respektvolle und an die eigene Verantwortung appellierende Umgang mit Menschen in allen Bereichen eines Unternehmens – im Sinne zielführender Compliance.

Beitrag teilen
HR und Compliance

HR und Compliance

Die Personalabteilung ist nicht erst seit Inkrafttreten der EU-Datenschutzgrundverordnung vor knapp zwei Jahren von besonderer Bedeutung bei der Einhaltung der Compliance im Unternehmen. Der HR-Bereich ist zudem ein wichtiger Bereich bei der grundsätzlichen Ausgestaltung der Compliance-Organisation und -Kultur in einer Organisation. Zu denken ist hier beispielsweise an die Beteiligung des Personalwesens, wenn es um die Implementierung eines Verhaltenskodex oder eines Sanktionskatalogs bei nicht gesetzeskonformem Verhalten geht.

HR, DSGVO und Compliance

Eine große Zielgruppe der EU-Datenschutzgrundverordnung im Unternehmen sind die eigenen Beschäftigten. Außerdem gibt es zahlreiche rechtliche Vorschriften vor allem zum Schutz der Mitarbeiter. Es ist die Aufgabe der Personalabteilung, arbeitsrechtsrelevante Themen und vor allem deren Risiken bei Nichtbeachtung zu identifizieren und sich rechtlich und organisatorisch entsprechend zu organisieren.

Zu den Kernthemen der Compliance im Personalwesen gehört also der Schutz der Mitarbeiter-Daten. HR muss schnell und professionell reagieren können, wenn Beschäftigte beispielsweise ihr in der DSGVO verankertes Auskunftsrecht über ihre Daten im Unternehmen nutzen möchten. Dazu ist ein Überblick über die gespeicherten Informationen essentiell – von der Bewerbung bis hin zur Lohn- oder Gehaltsabrechnung, nicht zu vergessen Informationen über Krankheitstage oder Spesen. Sowohl nach innen als auch nach außen muss die Personalabteilung mit Blick auf die Rechtskonformität gemäß DSGVO also organisatorisch richtig aufgestellt sein: nach innen, indem die personenbezogenen Angaben jederzeit und umfassend abrufbar sind – nach außen, damit HR gegenüber den entsprechenden Aufsichtsbehörden nachweisen kann, dass sie DSGVO-konform arbeitet.

Zu den weiteren Compliance-relevanten Fragestellungen im Personalwesen zählen unter anderem die Gleichstellung männlicher und weiblicher Beschäftigter, der Schutz der Gesundheit der Mitarbeiter, die Arbeitszeiterfassung und Pausenregelungen oder der Schutz schwangerer Mitarbeiterinnen. Als Maßnahmen zum umfassenden Erhalt der Rechtskonformität stehen dem Unternehmen dabei verschiedene Möglichkeiten offen – von der Ausgestaltung der Arbeitsverträge über die Formulierung von Betriebsordnungen (z.B. zur Unfallverhütung) sowie Weisungen und Anordnung für das Verhalten im Unternehmen bis hin zu individuell ausgearbeitete Unternehmens-Kodizes.

Rechtskataster für HR

Um einen permanenten Überblick über die rechtlichen Regelungen rund ums Personalwesen zu behalten, empfiehlt sich der Einsatz eines Rechtskatasters. Es enthält die für ein Unternehmen relevanten Gesetze und Vorschriften auch aus dem HR-Bereich, so dass die Personalabteilung in die Lage versetzt wird, bei Änderungen auch kurzfristig entsprechende organisatorische Veränderungen anzustoßen. SAT berät Sie auf Wunsch dazu.

HR und Unternehmenskultur

Das Personalwesen ist im Zusammenhang mit einem funktionierenden Compliance-System aber nicht nur für den Schutz der Mitarbeiterdaten oder die Einhaltung der sonstigen rechtlichen Vorgaben verantwortlich. Den HR-Verantwortlichen kommt darüber hinaus eine wichtige Rolle zu, wenn es darum geht, die Compliance-Kultur in einem Unternehmen zu verankern. Hier gilt: „Wie man in den Wald hineinruft, so schallt es zurück.“ Lebt das Unternehmen in Personalfragen rechtskonformes, faires Verhalten vor, wird das entscheidend dazu beitragen, dass die Mitarbeiter Compliance auf allen Unternehmensebenen erleben und vor allem selber leben. Gegenseitiger Respekt, transparenter Umgang in Personalfragen, keinerlei Diskriminierung sind grundlegende Bausteine, dass eine belastbare Compliance-Kultur im Unternehmen Einzug hält und langfristig erhalten bleibt.

Beitrag teilen
Weihnachten und Compliance

Weihnachten und Compliance – ein Konflikt?

Weihnachten und Compliance, ein Duo, das es in sich haben kann. Weil auch in der Geschäftswelt Geschenke die Freundschaft erhalten, überreichen viele Unternehmen ihren Geschäftspartnern kleine oder größere Aufmerksamkeiten. Doch gerade die Größe ist dabei der entscheidende Faktor: Könnte das Geschenk als Bestechung gewertet werden, bringt es nicht nur dem Schenkenden, sondern auch dem Beschenkten im Zweifelsfall mehr Ärger als Freude ein. Unternehmen sollten klare Compliance-Richtlinien auch für die Annahme von Geschenken definieren.

Schenkender und Beschenkter können sich strafbar machen

Im Strafgesetzbuch heißt es in § 299 zu „Bestechlichkeit und Bestechung im geschäftlichen Verkehr“: „Mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe wird bestraft, wer im geschäftlichen Verkehr als Angestellter oder Beauftragter eines Unternehmens einen Vorteil für sich oder einen Dritten als Gegenleistung dafür fordert, sich versprechen lässt oder annimmt, dass er bei dem Bezug von Waren oder Dienstleistungen einen anderen im inländischen oder ausländischen Wettbewerb in unlauterer Weise bevorzuge, oder ohne Einwilligung des Unternehmens einen Vorteil für sich oder einen Dritten als Gegenleistung dafür fordert, sich versprechen lässt oder annimmt, dass er bei dem Bezug von Waren oder Dienstleistungen eine Handlung vornehme oder unterlasse und dadurch seine Pflichten gegenüber dem Unternehmen verletze.“ Dieselben Strafen drohen im Übrigen auch dem Beschenkten.

Keine definierte Wertgrenze für Geschenke

Das grundsätzliche Problem: Bis wohin ein Geschenk noch eine kleine Aufmerksamkeit und ab wann es bereits ein Bestechungsversuch ist, ist nirgends klar definiert. Als grober Anhaltspunkt kann die Stellung des Beschenkten im Unternehmen herhalten: Teurer Champagner für einen Angestellten auf mittlerer Ebene „riecht“ nach Beeinflussung, dasselbe Geschenk für einen Geschäftsführer kann hingegen in Ordnung sein. Es kommt also auf die Verhältnismäßigkeit an. Auch hat die aktuelle Beziehung zwischen Beschenktem und Schenkendem eine Rolle: Sind beide gerade in Vertragsverhandlungen, könnte ein Geschenk der Versuch einer Manipulation sein. Dabei ist auch die Größe des Geschenkes unerheblich. Geschenke an Einkäufer laufen fast immer Gefahr, als Beeinflussung verstanden zu werden. Auf der anderen Seite gibt es kleine Zuwendungen, die fast immer „sozialadäquat“ und damit vertretbar sind. Darunter fallen beispielsweise Kugelschreiber oder Kalender.

Compliance-Richtlinie für Geschenke

Das Gesetz schreibt keine Werte vor, die je nach Situation korrekt sein könnten. Die sicherste Lösung finden Unternehmen daher am besten mit einer Compliance-Richtlinie zu diesem Thema. Darin kann definiert sein, ob Geschenke generell abgelehnt werden müssen oder bis zu welcher Höhe Geschenke ohne Rücksprache mit einem Vorgesetzten angenommen werden dürfen. Eine Grenze könnte beispielsweise bei 35 Euro liegen, weil bis zu diesem Wert Geschenke an Geschäftspartner für den Schenkenden steuerlich absetzbar sind. Außerdem empfiehlt es sich, Geschenke oder auch Veranstaltungseinladungen genau zu dokumentieren, um das ganze Thema transparent und nachvollziehbar zu gestalten.

Wichtig: Betrachten Sie nicht nur Ihre eigenen Compliance-Richtlinien als Schenkender, sondern gegebenenfalls auch die unternehmensinternen Regeln des Beschenkten. Ansonsten kann das Geschenk vieles auslösen – nur nicht den Erhalt der geschäftlichen Freundschaft.

Das SAT-Team wünscht Ihnen und Ihren Familien ein gesegnetes Weihnachtsfest und einen guten Rutsch in ein erfolgreiches 2020.

Unternehmenskriminalität

Neues Gesetz gegen Unternehmenskriminalität geplant

Die Bundesregierung plant aktuell das „Gesetz zur Sanktionierung von verbandsbezogenen Straftaten“ zur Bekämpfung der Unternehmenskriminalität. Ein entsprechender Referentenentwurf liegt seit geraumer Zeit vor. Damit soll nicht nur die Bußgeldhöhe bei Unternehmensdelikten steigen. Auch der Anreiz zur Umsetzung von Compliance-Management-Systemen in Unternehmen steigt.

Zum Hintergrund: Straftaten durch Unternehmen sind nach geltendem Recht Ordnungswidrigkeiten und können bislang nur mit einer Geldbuße nach dem Gesetz über Ordnungswidrigkeiten (OWiG) bestraft werden. Damit aber lässt sich auf Unternehmenskriminalität nicht angemessen reagieren. Auch die maximale Höhe der Strafe von zehn Millionen Euro unabhängig von der Unternehmensgröße ist für Großkonzerne keine spürbare Sanktion und darüber hinaus nicht angemessen gegenüber kleinen und mittelständischen Unternehmen, die dasselbe Strafmaß erwartet. „Konkrete und nachvollziehbare Zumessungsregeln für Verbandsgeldbußen fehlen ebenso wie rechtssichere Anreize für Investitionen in Compliance“, heißt es im Referentenentwurf aus dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV). Das geltende Recht lege die Verfolgung auch schwerster Unternehmenskriminalität zudem allein in das Ermessen der zuständigen Behörden, was zu einer uneinheitlichen und unzureichenden Ahndung geführt habe. Verbandsstraftaten deutscher Unternehmen im Ausland könnten vielfach nicht verfolgt werden.

Der Entwurf verfolgt laut BMJV das Ziel, die Sanktionierung von Verbänden auf eine eigenständige gesetzliche Grundlage zu stellen und eine angemessene Ahndung von Verbandsstraftaten zu ermöglichen. „Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Unternehmen mit internen Untersuchungen dazu beitragen, Straftaten aufzuklären.“

Was sieht das Gesetz konkret vor?

Eine Verbandssanktion gegen ein Unternehmen sieht das Gesetz unter anderem in diesen Fällen vor:

  • Personen in leitender Funktion haben eine sogenannte Verbandsstraftat begangen oder
  • Personen in leitender Funktion verhindern oder erschweren eine Straftat nicht durch „angemessene Vorkehrungen zur Vermeidung von Verbandsstraftaten wie insbesondere Organisation, Auswahl, Anleitung und Aufsicht“.

Im Gegensatz zur bisherigen Regelung kann die Bußgeldhöhe bei einer vorsätzlichen Verbandsstraftat nun bis zu 10 Prozent des durchschnittlichen weltweiten Jahresumsatzes betragen.

Das Gericht hat die Möglichkeit, Unternehmen anzuweisen, bestimmte Vorkehrungen zu treffen, um Verbandsstrafen zu vermeiden. Diese Maßnahmen müssen durch eine sachkundige, vom Gericht genehmigte Stelle, bescheinigt werden. Darunter kann beispielsweise die Installation eine unternehmensspezifischen Compliance-Management-Systems fallen.

Schließlich kann das Gericht die Verbandsauflösung anordnen, und zwar unter anderem

  • in besonders schweren Fällen,
  • wenn Führungspersonen im Unternehmen „beharrlich erhebliche Verbandstraftaten“ begangen haben oder
  • wenn die Gefahr besteht, dass das Unternehmen weiter erhebliche Verbandsstraftaten begehen wird.

Einen erheblichen Imageverlust dürften sanktionierte Unternehmen auch dadurch erleiden, dass der Referentenentwurf neben der Verhängung einer Verbandssanktion die öffentliche Bekanntmachung der Verurteilung vorsieht. Als Medium sind dabei Zeitungen, Rundfunk oder Internet denkbar.

Als weitere Maßnahme sieht der Gesetzentwurf die Einführung eines Verbandssanktionsregisters vor. Darin sollen künftig verhängte Verbandssanktionen und Geldbußen über 300 Euro registriert werden. Einsehbar soll es aber nur für Gerichte, Staatsanwaltschaften und Behörden sein, nicht jedoch für Medienvertreter oder Geschädigte.

Wie kann eine Verbandsstrafe gemildert werden?

Der Referentenentwurf sieht vor, dass die Strafe in verschiedenen Fällen geringer ausfallen kann. Das trifft zum Beispiel dann zu, wenn

  • der Verband oder von ihm beauftragte Dritte wesentlich dazu beigetragen haben, dass die Straftat aufgeklärt werden konnte oder
  • das Unternehmen uneingeschränkt mit den Verfolgungsbehörden zusammenarbeitet.

Einen erheblichen Einfluss auf die Höhe der Strafe wird künftig außerdem ein funktionierendes Compliance-Management-System haben. Damit reduziert das Unternehmen sein Risiko nicht regelkonformen Verhaltens innerhalb der Organisation und kommt zugleich seinen Pflichten der Leitung, Organisation und Kontrolle nach.

Der Referentenentwurf betont ausdrücklich, dass diese “vor der Verbandsstraftat getroffene Vorkehrungen zur Vermeidung und Aufdeckung von Verbandsstraftaten“ bei einem Verstoß Art und die Höhe der Verbandssanktion mildern können.

Durch unsere Auditorentätigkeit hat SAT zum einen große Erfahrung im Hinblick auf die Anforderungen an ein Compliance Management System. Zum anderen haben wir bereits mehrere CMS Systeme implementiert. Sprechen Sie mit uns, wenn Sie Fragen haben.

DSGVO

Sinnvolle DSGVO Tools schützen vor hohen Strafen

[vc_row][vc_column][vc_column_text]Die Datenschutzgrundverordnung DSGVO beschäftigt seit mehr als anderthalb Jahren Unternehmen, Vereine und Organisationen in der Europäischen Union. Zwar ist die die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten am 25. Mai 2018 ausgeblieben. Doch mittlerweile schauen sich die Datenschutzbeauftragten der Länder vor allem die Unternehmen und den von ihnen praktizierten Datenschutz sehr genau an. Jüngst teilte die Berliner Datenschutzbeauftragte mit, dass der Immobilienkonzern Deutsche Wohnen 14,5 Millionen Euro Strafe wegen Verstößen gegen die DSGVO zahlen müsse. SAT empfiehlt auch vor diesem Hintergrund die Nutzung zweier Websites, mit denen sich Unternehmen einen Überblick über den Stand ihres Datenschutzes verschaffen und im Zweifelsfall die entsprechenden Maßnahmen einleiten können.

1. dsgvo-bussgeld-rechner.de

Sollten Sie sich immer noch nicht sicher sein, ob Sie das Thema DSGVO überhaupt betrifft, empfehlen wir Ihnen die Nutzung des DSGVO-Bußgeld-Rechners. Damit können Sie ganz leicht Ihr individuelles Bußgeldrisiko wegen Verstößen gegen die Datenschutzgrundverordnung berechnen. Es basiert auf der Formel zur Berechnung von Bußgeldern, die die Deutsche Datenschutzkonferenz am 14. Oktober 2019 veröffentlicht hat.

2. seeyourdata.de

SeeYourData ist die bequemste Art für Unternehmen und Selbständige, ihre gesetzliche Pflicht aus Art. 30 DSGVO zu erfüllen. Der schreibt vor, dass jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. www.seeyourdata.de bietet Vorlagen für die häufigsten Verarbeitungen, Vorlagen für typische Unternehmenssoftware (Office, Google Dienste, Slack …) inklusive Empfänger, komfortable TOM / AV Verwaltung und einen automatischen Vollständigkeitscheck.

Auch für Websites bietet SeeYourData ein interessantes Tool, um die Datenschutzerklärung vollständig und richtig zu machen.

  • Automatischer Website Scan
    SeeYour Data scannt automatisch eine Website mit allen Unterseiten, um Abmahnrisiken zu erkennen.
  • Übernahme in Ihr Verzeichnis von Verarbeitungstätigkeiten
    Die auf der Website gefundenen Verarbeitungen werden automatisch in das Verarbeitungsverzeichnis importiert inklusive Rechtsgrundlagen, Zweck der Verarbeitung usw.
  • Anpassung Ihrer Datenschutzerklärung
    Ein Datenschutzerklärungsgenerator erzeugt eine abmahnsichere Fassung der Datenschutzerklärung.

SeeYourData gibt es sowohl in einer kostenlosen Basisversion (ohne Website-Scan) als Monatsabonnement sowie als Einmalkauf.

Warum empfiehlt SAT diese Tools für Ihren Datenschutz?

Entwickelt wurden die Websites und die dahinterliegenden Analysewerk-zeuge von Rechtsanwalt Fritz Mehler und der Hamburger Herting Oberbeck Datenschutz GmbH. „Aus Compliance-Sicht befürworten wir diese Tools eindeutig. Unternehmen erfahren dadurch schnell und zuverlässig, an welcher Stelle sie beim Thema Datenschutz – und damit Compliance – nacharbeiten müssen“, sagt SAT-Geschäftsführer Stefan Pawils.

Außerdem folge das Angebot dem unumkehrbaren Trend, die künstliche Intelligenz in der juristischen Welt voranzutreiben.[/vc_column_text][/vc_column][/vc_row]

Bußgeldzumessung

Datenschutzaufsichtsbehörden legen Konzept zur Bußgeldzumessung vor

[vc_row][vc_column][vc_column_text]Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben Mitte Oktober 2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen vorgelegt, die gegen die europäische Datenschutz-Grundverordnung DSGVO verstoßen haben. Ziel des Konzeptes ist es laut einer Pressemitteilung der Deutschen Datenschutzkonferenz vom 16. Oktober 2019, „den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.“ Das Konzept richtet sich ausschließlich an Unternehmen, nicht aber an Vereine oder Private.

Bußgeld richtet sich nach Unternehmensumsatz

Die Bußgeldzumessung bei DSGVO-Verstößen ist mit dem neuen Konzept an den Umsatz eines Unternehmens geknüpft. Darin kommt der „Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen“, zum Ausdruck.

Das Konzept sieht die Bußgeldzumessung in fünf Schritten vor:

  1. Zuordnung des Unternehmens zu einer Größenklasse nach weltweit erzieltem Vorjahresumsatz
    • Kleinstunternehmen mit maximal 2 Mio. Euro Jahresumsatz
    • Kleine Unternehmen (Umsatz zwischen 2 und 10 Mio. Euro)
    • Mittlere Unternehmen (Umsatz zwischen 10 und 50 Mio. Euro)
    • Großunternehmen mit einem Umsatz größer 50 Mio. Euro
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung eines wirtschaftlichen Grundwertes
  4. Multiplikation des Grundwertes mit einem Faktor, der von der Schwere der Tatumstände abhängt:
    Hier spielen Art und Dauer des Verstoßes, Zahl der betroffenen Personen und das Schadensausmaß eine Rolle.
  5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände.

Das neue Bußgeldkonzept gilt ausschließlich für deutsche Aufsichtsbehörden und zwar solange, bis es endgültige Leitlinie des Europäischen Datenschutzausschuss gibt. Wie die Berechnung konkret erfolgt, lesen Sie hier in einer Information der Datenschutzkonferenz.

Aktuelle Bußgeldverfahren

Nachdem die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten der DSGVO im Mai 2018 ausgeblieben war, greifen die Aufsichtsbehörden beim Thema Datenschutz in jüngster Zeit offenbar stärker durch. Gegen die Delivery Hero Germany GmbH hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk das bislang höchste Bußgeld in Deutschland über 195.407 Euro verhängt. „Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch“, schrieb die Berliner Datenschützerin in einer Presserklärung vom 19.9.2019. Dort hieß es weiter: „Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DSGVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.“

Konsequenzen für Unternehmen

Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DSGVO wirkt dem entgegen. „Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten“, sagte Maja Smoltczyk.

Wer mit personenbezogenen Daten arbeite, brauche ein funktionierendes Datenschutzmanagement. Das helfe nicht nur, Bußgelder zu vermeiden, sondern stärke auch das Vertrauen und die Zufriedenheit der Kundschaft.

In Berlin beispielsweise gibt es zweimal im Monat Start-up-Sprechstunden für Unternehmen in der Gründungsphase, in denen sie Fragen zum Datenschutz klären können. Auch SAT unterstützt Unternehmen mit Kooperationspartnern bei der Umsetzung der EU-Vorschriften zu Datenschutz und Datenverarbeitung. Suchen Sie einen externen Datenschutzbeauftragten, können Sie sich gerne für ein erstes unverbindliches Gespräch an das SAT-Team wenden.[/vc_column_text][/vc_column][/vc_row]

Compliance Management System

Compliance Management System gibt vor Gericht den Ausschlag

Das Oberlandesgericht Hamm hat im Sommer ein weitreichendes Urteil über die Relevanz eines Compliance Management Systems in Unternehmen getroffen. Es urteilte, dass einem Geschäftsführer wegen gravierender Compliance-Verstöße aus wichtigem Grund ohne vorherige Abmahnung gekündigt werden kann (OLG Hamm, 8 U 146/18).

In dem Fall hatte der Geschäftsführer einer konzernzugehörigen GmbH mit einem Geschäftspartner eine Provisionsvereinbarung getroffen, die den im Konzern geltenden Compliance-Vorschriften widersprach. Demnach musste bei Provisionen ab einer bestimmten Größenordnung das Vier-Augen-Prinzip eingehalten werden. Auch durften derartige Vereinbarungen nicht ohne Zustimmung des Bereichsvorstandes getroffen werden. Im Urteil des OLG Hamm heißt es daher: „Gibt ein GmbH-Geschäftsführer eine Zahlung auf eine – wie er weiß – fingierte Forderung frei, um damit eine Provisionsabrede zu honorieren, die gegen die unternehmensinternen Compliance-Vorschriften über zustimmungsbedürftige Geschäfte verstieß, kann darin eine Pflichtverletzung liegen, die einen wichtigen Grund zur Kündigung des Anstellungsvertrages darstellt.“ (Quelle: justiz.nrw.de)

Das Oberlandesgericht Hamm stellte in seinem Urteil fest, dass der Verstoß gegen die Compliance-Regelung schon für sich eine schwerwiegende Pflichtverletzung darstelle. Die Klage des ehemaligen Geschäftsführers gegen die Abberufung als Geschäftsführer und die fristlose Kündigung des Dienstverhältnisses sowie auf Fortzahlung des Geschäftsführergehaltes wies es daher ab. Das OLG betont: „Wer die Compliance-Regeln seines eigenen Unternehmens und die Sanktionen, mit denen sie bewehrt sind, nicht kennt, ist von vornherein ungeeignet, dieses zu führen.“

Bedeutung des Urteils für die Praxis

Das Urteil des OLG Hamm stellt einmal mehr klar, dass ein Compliance Management System in Unternehmen nicht nur „nice to have“ ist und ethisches wie moralisches Verhalten der Mitarbeiter und Führungskräfte regelt. Es ist darauf ausgerichtet, alle Abläufe in einer Organisation regel- und gesetzeskonform umzusetzen. Relevant sind dabei alle nationalen und internationalen Richtlinien und Gesetze, die eine Firma – definiert durch ihr Tätigkeitsfeld – berücksichtigen muss. Die Größe der Organisation ist dabei irrelevant: Vom Konzern bis zum mittelständischen oder kleinen Unternehmen sind alle an rechtskonformes Handeln und Verhalten gebunden.

Ganz klar wird durch das Urteil, dass mit einem funktionierenden Compliance Management System dem Unternehmen ein Werkzeug an die Hand gegeben ist, gegen Mitarbeiter und Führungskräfte – bis zur fristlosen Kündigung – vorzugehen, die sich nicht Compliance-konform verhalten.

Etablierung eines Compliance Management Systems

Vor diesem Hintergrund sei darauf hingewiesen, dass ein unternehmensinternes Compliance Management System der langfristigen, strategischen Vorbereitung, Einführung, Umsetzung und Kontrolle bedarf. Mit Hilfe eines Gesetzeskataster sollten Unternehmen die Grundlage schaffen zu ermitteln, welche gesetzlichen Regelungen für das eigene Tätigkeitsgebiet relevant sind. Darauf aufbauend, muss ein Compliance Management System über alle Geschäftsbereiche und –hierarchien in das Unternehmen eingeführt und dessen Umsetzung in regelmäßigen Abständen überprüft werden.

SAT berät Sie zu den detaillierten Schritten bei der Umsetzung Ihres Compliance Management Systems.

Dual-Use-Güter

EU-Kommission empfiehlt interne Compliance-Programme für Dual-Use-Güter

[vc_row][vc_column][vc_column_text]Die Europäische Kommission hat am 30. Juli dieses Jahres Empfehlungen „zu internen Compliance-Programmen für die Kontrolle des Handels mit Gütern mit doppeltem Verwendungszweck (Dual-Use-Gütern) nach Maßgabe der Verordnung (EG) Nr. 428/2009 des Rates“ veröffentlicht.

Darin heißt es unter anderem: „Ein wirksames, einheitliches und kohärentes Kontrollsystem für die Ausfuhr von Gütern mit doppeltem Verwendungszweck ist notwendig, um die Sicherheit der EU und die internationale Sicherheit zu fördern und die Einhaltung der internationalen Verpflichtungen und Zuständigkeiten der Mitgliedstaaten und der Europäischen Union (EU), insbesondere hinsichtlich der Nichtverbreitung, sowie die Förderung gleicher Bedingungen für die Wirtschaftsbeteiligten in der EU zu gewährleisten.  Gemeinsame Ansätze und Verfahren in Bezug auf interne Compliance-Programme können zu einer einheitlichen und kohärenten Durchführung von Kontrollen in der EU beitragen.“

Was sind Dual-Use-Güter?

Als „Dual-Use-Güter“ werden solche Waren, Software und Technologien bezeichnet, die sowohl militärisch als auch zivil eingesetzt werden können. „Die überwiegende Mehrheit der Dual-use-Güter wird in der gesamten EU einheitlich kontrolliert. Basis hierfür ist die Dual-use-Verordnung (Verordnung (EG) Nr. 428/2009). Diese Güter sind in Anhang I der EG-Dual-use-Verordnung enthalten.  Die Listen sind regelmäßigen Änderungen unterworfen“, schreibt die Industrie- und Handelskammer Stuttgart dazu auf Ihrer Website. Die jeweils aktuelle Fassung sei auf der Internetseite des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) unter dem Stichwort „Güterlisten” zu finden.

Was bedeutet das für Unternehmen?

Für Unternehmen besteht die Herausforderung im Umgang mit Dual-Use-Gütern darin sicherzustellen, dass sie keine Waren ungenehmigt ausführen. Die regelmäßige Prüfung der Güterlisten ist deshalb ein Muss. Die Kontrollmechanismen mit den notwendigen Maßnahmen und Verfahren sollten in einem internen Compliance Programm festgehalten werden. „Diese Leitlinien bieten Ausführern einen Orientierungsrahmen, der ihnen helfen soll, Risiken im Zusammenhang mit der Kontrolle des Handels mit Gütern mit doppeltem Verwendungszweck zu ermitteln, zu steuern und zu verringern und die Einhaltung der einschlägigen Rechtsvorschriften der EU und der Mitgliedstaaten zu gewährleisten“, heißt es im Schreiben der Europäischen Kommission.

Zugleich bieten die „Leitlinien den Behörden der Mitgliedstaaten einen Orientierungsrahmen für ihre Bewertung von Risiken im Rahmen ihrer Zuständigkeit für Entscheidungen über Einzel- und Globalausfuhrgenehmigungen und nationale allgemeine Ausfuhrgenehmigungen, Genehmigungen für Vermittlungstätigkeiten, für die Durchfuhr von nichtgemeinschaftlichen Gütern mit doppeltem Verwendungszweck und Genehmigungen für die Verbringung von Gütern mit doppeltem Verwendungszweck innerhalb der Europäischen Union.“

Lesen Sie das gesamte Schreiben HIER.[/vc_column_text][/vc_column][/vc_row]