DSGVO

Mehr als 100 Tage DSGVO: Was hat sich getan?

Vier Monate ist es her, dass am 25. Mai 2018 die europäische Datenschutz Grundverordnung DSGVO in Kraft getreten ist. Das Beben, das mit der Umsetzung durch Unternehmen jeder Größenordnung bis hin zu Vereinen ging, ist noch nicht abgeebbt.

DSGVO – Schutz vor dem Missbrauch persönlicher Daten

Vom Grundgedanken her mag die DSGVO in Zeiten der Digitalisierung bis in die tiefste Privatsphäre hinein sinnvoll sein: „Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“, heißt es in Artikel 1 der Datenschutz Grundverordnung. So weit so gut. Schützen wollte das Europäische Parlament die Menschen vor allem vor den Datenkraken der Internetkonzerne, die personenbezogene Daten zu wirtschaftlichen Zwecken in großen Umfang verarbeiten und nutzen. Doch getroffen hat das Regelwerk auch Kleinstunternehmen, Handwerksbetriebe, gemeinnützige Vereine, Mittelständler, für die die Umsetzung oftmals mit unverhältnismäßigem Aufwand verbunden war und nach wie vor ist.

Und die verunsichert sind, was sie tun müssen oder dürfen, um noch datenschutzkonform zu agieren, um Abmahnungen und Strafzahlungen zu entgehen. So sind zahlreiche Unternehmen bis heute nicht datenschutzkonform aufgestellt. Ihnen fehlen die entsprechenden Datenschutzkonzepte, von der praktischen Umsetzung ganz zu schweigen. Die Zahl der Unternehmens- und Vereinswebsites, die wegen der gestiegenen Anforderungen aus der DSGVO sicherheitshalber vom Netz genommen wurden, ist in den letzten Monaten deutlich in die Höhe gegangen. Bosch hatte beispielsweise für seine Online-Handwerker-Community zwischenzeitlich die Reißleine gezogen. Amerikanische Zeitungen wie die Chicago Tribune sperren europäische Leser aus ihrem Online-Angebot ganz aus, weil sie die DSGVO nicht umsetzen können oder wollen.

Rechtssicherheit für Unternehmen aller Größenordnungen

Bereits kurz nach Inkrafttreten der Verordnung wurde die Forderung laut, höhere Rechtssicherheit zu schaffen. Unklar ist unter anderem immer noch, ob Verstöße gegen den Datenschutz überhaupt abmahnfähig sind. Ist Datenschutz ein Wettbewerbsfaktor? Entstehen Wettbewerbern Nachteile durch fehlenden Datenschutz des Konkurrenten? Diese Fragen haben bislang weder der  Gesetzgeber noch die Gerichte geklärt. Im „Handelsblatt“ hat Bundesjustizministerin Katarina Barley (SPD) bereits im Juni angekündigt, gegen missbräuchliche Abmahnungen vorzugehen. „Wir werden professionellen Abmahnern das Wasser abgraben. Dafür brauchen wir eine umfassende Lösung. Gerade kleine Unternehmen und Selbständige, aber auch Vereine und Privatpersonen, brauchen einen wirksamen Schutz vor dem Treiben von professionellen Abmahnern.“ (Handelsblatt vom 13.6.2018)

Abmahnwelle ausgeblieben

Möglicherweise auch aufgrund der rechtlichen Unklarheit hat eine Abmahnwelle bislang nicht im prognostizierten Umfang stattgefunden. „Viele der um den 25. Mai in der Öffentlichkeit kursierenden Fehlinformationen zur DSGVO haben zu unnötiger Unsicherheit geführt. Es wurde eine Abmahnwelle befürchtet oder die massenweise Verhängung von Geldbußen durch die Aufsichtsbehörden. Solche Szenarien sind ausgeblieben“, verkündete Anfang September Andrea Voßhoff, Bundesbeauftragte für den Datenschutz. Die Datenschutzbehörden hatten darüber hinaus angekündigt, mit der Verhängung von Bußgeldern zunächst zurückhaltend umzugehen, vielmehr Beratung und Ermahnung in den Vordergrund zu stellen.

Bürger nutzen Rechte aus DSGVO verstärkt

Was nach dem 25. Mai 2018 laut Andrea Voßhoff deutlich zugenommen hat, sind indes die Anfragen und Beschwerden der Menschen bei den Behörden: „Bürgerinnen und Bürger nehmen ihre neuen Rechte nach der DSGVO verstärkt wahr. Dies ist auch anhand der signifikant gestiegenen Eingänge bei den Aufsichtsbehörden erkennbar. So erreichten mein Haus seit dem 25. Mai bis Mitte August insgesamt 1.020 Beschwerden und 1.453 allgemeine Anfragen. Auch die in meinen Zuständigkeitsbereich fallenden Institutionen nehmen ihre Pflichten ernst, meldeten im vorgenannten Zeitraum 4.254 potentielle Datenschutzverstöße und baten darüber hinaus um Beratung. Mit bisher 262 europaweit anhängigen Fällen haben die europäischen Datenschutzaufsichtsbehörden ihre gemeinsame koordinierende Tätigkeit aufgenommen. Diese Entwicklung ist zu begrüßen, denn sie zeigt: Die DSGVO lernt Laufen“, schreibt Voßhoff in einer Pressemitteilung vom 4. September.

Bundesjustizministerin will „Kleine“ schützen

Ende August hat Bundesjustizministerin Katarina Barley (SPD) in der Tagesschau übrigens angekündigt,  dass „kleine Unternehmen, Vereine und Selbstständige […] nach den Plänen bei kleineren Verstößen gegen die DSGVO von kostenpflichtigen Abmahnungen ausgenommen werden.“ Ein entsprechender Gesetzentwurf sollte bis Anfang September 2018 vorliegen.

Trotz dieser Anpassungen der DSGVO bleibt es Aufgabe und Pflicht aller Organisationen – vom gemeinnützigen Verein über den Einzelunternehmer und Handwerker bis zum Großkonzern – die Anforderungen der Vorschrift umzusetzen. Denn sie räumt den Menschen umfassende Rechte ein, denen Unternehmen und Vereine gerecht werden müssen. Dazu gehört das Recht auf Auskunft, welche personenbezogenen Daten erhoben werden, das Recht auf Korrektur falscher oder lückenhafter Daten, das Recht auf Datenlöschung und das Recht auf Datenübertragung. Um diesen Anforderungen zu genügen, sollten Unternehmen und Vereine jeder Größenordnung ein Datenschutzkonzept entwickeln und kurz- bis mittelfristig umsetzen.

Risikoanalyse

Risikoanalyse im Compliance Management

Risikoanalyse im Compliance Management ist eine zentrale Aufgabe für jeden Compliance Beauftragen im Unternehmen. Die ISO 19600 als Compliance-Standard basiert sogar zu einem ganz wesentlichen Teil auf der Bewertung der Compliance-Risiken. Wie gehen Unternehmen dabei vor?

Risikoanalyse – Grundlage jedes Compliance Management Systems

Bei der Analyse und Bewertung der Risiken, die sich aus der Compliance oder Non-Compliance einer Organisation ergeben, geht es im Wesentlichen darum, sämtliche relevanten Gesetze, Vorschriften und Normen national und gegebenenfalls auch international zu identifizieren und in ihrer Bedeutung für das Unternehmen zu bewerten. Dabei geht es nicht nur um eine einmalige Feststellung der Gesetzeslage. „Die Organisation muss in regelmäßigen Abständen ihre Compliance-Risiken und –Verpflichtungen ermitteln, aktualisieren und neu bewerten oder bei folgenden Ereignissen eine Neubewertung vornehmen:

  • bei neuen oder geänderten anzuwendenden Gesetzen, Geschäftsaktivitäten, Produkten, Aufgaben oder Dienstleistungen,
  • bei einer geänderten Organisations- bzw. Unternehmensstruktur oder Unternehmensstrategie,
  • bei beträchtlichen äußeren Änderungen wie finanziellen, wirtschaftlichen Umständen, Haftungsänderungen und Kundenbeziehungen,
  • bei Änderungen von Compliance-Verpflichtungen und –Verstößen.“ (Quelle: Standard für Compliance-Management-Systeme – TR CMS 101:2015 des TÜV Rheinland, Köln)

Im besten Fall verfügt die Organisation deshalb über ein maßgeschneidertes Rechtskataster, das sämtliche relevanten Rechtsgebiete permanent beobachtet und Veränderungen auf ihre Bedeutung für das Unternehmen hin untersucht. Dieses Rechtskataster ist der Kern eines funktionierenden Compliance Management Systems, von dem alle weiteren Maßnahmen ausgehen.

Wie lassen sich Compliance-Risiken ermitteln?

Ein einzelner Compliance Manager oder selbst eine damit betraute Abteilung ist möglicherweise nicht in der Lage, die Risiken, gegen Compliance zu verstoßen, über alle Geschäftsbereiche und über alle Hierarchieebenen hinweg zu beurteilen. Sinnvoll scheint es daher zu sein, eine möglichst breite Basis zu schaffen – mit Beteiligten aus den verschiedenen Tätigkeitsfeldern und aus unterschiedlichen Managementfunktionen. Damit wird die Voraussetzung geschaffen, das Thema Compliance und potenzielle Risiken aus möglichst vielen Perspektiven zu betrachten und zu beurteilen.

Wir empfehlen, zu diesem Zweck die Beteiligten zumindest am Anfang oder in regelmäßigen Abständen für kurze Zeit aus ihrem Tagesgeschäft herauszuholen und beispielsweise in Arbeitstreffen konzentriert an das Thema heranzugehen. Strukturiert lassen sich die Compliance-Risiken beispielsweise pro Geschäfts- oder Produktbereich aufdecken. Ist die initiale Risikoanalyse erfolgt, bietet es sich an, über strukturierte Informations- und Kommunikationsprozesse den Austausch zwischen Compliance Beauftragtem und Geschäftsbereichen permanent aufrecht zu erhalten.

Bewertung der Compliance-Risiken

Die Risiken zu erkennen, ist der erste wichtige Schritt. Um ressourcenschonend zu arbeiten, ist es aber entscheidend zu beurteilen, wie groß die einzelnen Risiken für ein Unternehmen sind. Alle „Gefahrenherde“ für die  Compliance auf einmal ausschalten zu wollen, ist kaum praktikabel. Empfehlenswert ist deshalb die Entwicklung einer sogenannten „Compliance-Risikolandkarte“.

Ein Risiko einschätzen lässt sich an Kriterien wie der Wahrscheinlichkeit, dass ein Schaden eintritt und der möglichen Höhe eines Schadens bei Verstoßes gegen die Rechtskonformität. Führen Sie diese Kriterien zusammen, erhalten Sie einen Überblick, welche Schäden im negativen Fall mit hoher Wahrscheinlichkeit eintreten und dabei hohe Schäden verursachen. Oder im umgekehrten Fall kaum vorkommen werden und auch vernachlässigbare Folgen haben. Tragen Sie diese Bewertungen zusammen, erhalten Sie eine Risikolandkarte, mit der sich die Risiken und die daraus resultierenden Maßnahmen priorisieren lassen.

Was sind mögliche Schäden?

Mögliche Schäden durch Compliance-Verstöße sind nicht nur finanzieller Art, beispielsweise durch Strafzahlungen. Auch ein Imageverlust wirkt sich massiv negativ auf den Unternehmenserfolg aus, wenn Geschäftspartner die Zusammenarbeit beenden. Wichtig ist daher die qualitative Betrachtung und Bewertung der Compliance-Risiken. Das setzt voraus, dass die beteiligten Mitarbeiter und Führungskräfte in der Lage sind, Risiken hinsichtlich ihrer möglichen Schadenshöhe richtig einzuschätzen. Die Bild der Risikolandkarte kann sich schon dadurch entscheidend verändern, dass Risiken aus Compliance-Verstößen tendenziell eher zu gering bewertet werden.

Ist die Risikobewertung abgeschlossen, ist sie die Basis für die Entwicklung eines Maßnahmenkatalogs: Wie gehen Sie in Ihrem Unternehmen gegen Compliance-Risiken vor? Beseitigen, verringern, zunächst wegen geringer Relevanz zunächst zurückstellen? Diese Entscheidung ist ein zentrales Element der Unternehmensführung und -steuerung, die sowohl von Geschäftsführung und Vorstand als auch vom Aufsichtsrat wahrgenommen werden muss.

Compliance Quick Check

Compliance Quick Check: Wie reif ist Ihr Unternehmen?

Wie steht es in Ihrem Unternehmen um die Compliance? Sind sie in allen Berei­chen rechtskonform aufgestellt? Um eine seriöse Einschätzung zu erhalten, bietet SAT den Compliance Quick Check – schnell und zu überschaubaren Kosten.

Compliance Quick Check untersucht Compliance-Reife

Ziel des Compliance Quick Check  ist es, die Compliance-Reife eines Unterneh­mens in den wesentlichen Punkten zu bewerten. Er geht einem organisationswei­ten Compliance-Audit voraus, anhand dessen später detaillierte Aussagen zur Rechtskonformität getroffen werden können.

Folgende Punkte prüft der Quick-Check:

  • Compliance-Verständnis
  • Compliance-Ziele
  • Compliance-Prozess
  • Compliance-Verantwortung
  • Compliance-Bewusstsein
  • Compliance-Anforderungen
  • Compliance-Aktualität
  • Compliance-Konformität
  • Compliance-Überwachung
  • Compliance-Ereignis

In Gesprächen mit Führungskräften und Mitarbeitern in verschiedenen Unter­nehmensbereichen geht es um die realistische Einschätzung, wie tief das Thema Compliance in der Organisation verankert ist. Hier einige Beispielfragen:

  1. Was verstehen Sie unter „Compliance“?

Ziel der Frage:

Ist eine einheitliche Begriffsdefinition im Unternehmen vorhanden bzw. ist das Thema überhaupt bekannt?

Mindestanforderungen, damit ein Unternehmen als compliant gelten kann:

  • Aussage: jederzeit gesetzes- und regelkonform sein
  • Konformität hinsichtlich:
    • Gesetze:
      EU, Bund, Länder, Kommune
    • Regeln:
      unternehmensintern (Arbeitsanweisungen, Org.-Anweisungen); Technische Regelwerke (TRBS, TRBA, BG, …); technische Normen (DIN, VDI, VDE,…)

Welche Dokumente/Nachweise geht der/die Befragte zum Thema Compliance?

  • Grundsatzerklärung, Ethikrichtlinie, usw.

Anhand dieser Aussagen bewerten die Prüfer im Compliance Quick Check, ob es bei den Befragten ein grundsätzliches Verständnis von Compliance gibt. Daraus leiten wir entsprechende Maßnahmen und Empfehlungen.

Ebenso gehen wir beispielsweise bei der Frage zu den Compliance-Zielen vor:

  1. Existieren für das Unternehmen/Ihren Bereich Compliance-Ziele?

Ziel der Frage:

  • Wie systematisch wird das Thema Compliance im Unternehmen behandelt?
  • Ist der systematische Umgang mit dem Thema Compliance im Unterneh­men sichergestellt?

Mindestanforderungen, um von vorhandenen Compliance-Zielen sprechen zu können:

  • Es existieren formulierte und messbare Ziele.
  • Ziele sind bekannt und abrufbar.
  • Ziel sind bestenfalls in Zielvereinbarungen verankert

Es gibt Dokumente/Nachweise über die Compliance-Ziele:

  • freigegebene Compliance-Ziele
  • Zielvereinbarungen
  • Befragung von Mitarbeitern

Der Fragenkatalog erstreckt sich schließlich bis hin zur Compliance-Kon­formität, zu der die Mitarbeiter sich äußern sollen.

  1. Wie stellen Sie die Beachtung der Compliance-Anforderungen sicher?

Ziel der Frage:

  • Werden Compliance-Anforderungen termingerecht umgesetzt?

Mindestanforderungen, um von der Beachtung der Compliance-Anforderungen sprechen zu können:

  • Ableitungen von Maßnahmen aus Anforderungen
  • Festlegung von Zuständigkeiten und Terminen
  • Bereitstellung von Budget zur Erfüllung der Anforderungen

Als Dokumente oder Nachweise, dass die Compliance-Anforderungen be­achtet werden, gilt hier ein Maßnahmenplan mit Zuständigkeiten und Ter­minen.

Durch die unterschiedlichen Themenkomplexe rund um die Compliance ergibt sich im Gespräch mit den Mitarbeitern und Führungskräften ein aussagekräftiges Gesamtbild. Anhand dessen können wir beurteilen, ob Ihr Unternehmen die notwendige Compliance-Reife erreicht. Sollte das nicht so sein, geben wir Empfehlungen zu weiterführenden Maßnahmen ab, damit sie das rechtskonforme Handeln in Ihrer Organisation sicherstellen können.

Vorteil des Compliance Quick Check

Eine realistische Einschätzung zur Rechtskonformität in ihrem Unternehmen zu erhalten, verbinden viele Verantwortliche mit einem enormen zeitlichen und kos­tenintensiven Aufwand. Und obwohl ein funktionierendes Compliance Manage­ment System finanzielle und juristische Risiken durch mangelhafte Rechtskonfor­mität erheblich reduziert, fürchten insbesondere mittelständische Unternehmen oftmals den vermeintlichen Aufwand der Überprüfung und verzichten zuweilen ganz darauf. Das aber ist nicht nur aus Haftungsgründen äußerst riskant, sondern auch wegen des drohenden Imageverlustes bei den Geschäftspartnern, sollte eine Organisation nicht rechtskonform arbeiten.

Mit dem SAT Compliance Quick Check lösen wir dieses Problem: Wir bieten ihn zum Festpreis an. So können Sie sich zunächst einen Einblick über die Compliance-Situation in Ihrem Unternehmen machen, bevor Sie – falls notwendig – einen umfangreicheren Auftrag vergeben.

Compliance-Kontrolle

Compliance-Kontrolle: Compliance einführen und umsetzen

Ein Compliance-System im Unternehmen einführen ist ein dauerhafter Prozess. Denn nach der Implementierung kommt die Compliance-Kontrolle, die sicherstellen soll, dass die Gesetzeskonformität in allen Geschäftsbereichen von Dauer ist. Wie gehen Sie vor, was gehört dazu?

Einführung eines Compliance-Systems in fünf Schritten

In fünf Schritten führen Sie ein strukturiertes Compliance-System in Ihrem Unternehmen ein.

  1. Quick-Check: Überblick über die Situation im Unternehmen verschaffen

    Welche Compliance-Risiken bestehen aktuell in Ihrer Organisation? Gibt es schon Elemente eines Compliance-Management-Systems? Wo sehen Sie derzeit den größten Handlungsbedarf, um Ihr Unternehmen gesetzeskonform aufzustellen?

  2. Ausrichtung/Risiken: Compliance-Management-System grundsätzlich ausrichten

    Analysieren Sie, welche nationalen und internationalen Gesetze und Vorschriften für Ihr Unternehmen gelten. Nutzen Sie dazu ein vollständiges und aktuelles Gesetzes- und Vorschriftenkataster.

    Mit der Kenntnis der geltenden Regeln und Gesetze geht es an die Bewertung: Wie groß sind die Risiken für Ihr Unternehmen, wenn es nicht durchgängig gesetzes- und regelkonform aufgestellt ist? Davon hängt ab, für welchen Unternehmensbereich Sie sich zuerst Gedanken über ein funktionierendes Compliance-System machen.

  3. Unternehmens- und risikospezifische Konzeption des Compliance Management Systems

    Hier geht es um die Organisation des Compliance-Management-Systems. Welche Compliance-Instanzen gehören dazu, welche weiteren relevanten Bausteine? Die Entscheidung hängt von Ihrer Organisationsstruktur ab, aber auch von den individuellen Risiken, die Sie zuvor identifiziert haben. Sie entscheiden, auf welcher Organisationsebene das Thema Compliance verankert wird, wer dafür zuständig und verantwortlich ist, wer welche Beiträge dazu liefern muss. Installieren Sie einen Compliance-Beauftragen? Mit welchen Kompetenzen wird er ausgestattet? An wen berichtet er?

  4. Operationalisieren des Compliance-Konzeptes

    Sie legen Compliance-Prüfpunkte in den Unternehmensprozessen fest und definieren Verantwortlichkeiten. Bestimmen Sie, welche Unternehmensbereiche Sie kontinuierlich beobachten und an veränderte Gesetze und Vorschriften anpassen.

    Erstellen Sie Detailregelungen, beispielsweise zu Vertragswerken und Arbeitsverträgen. Ein nicht gesetzteskonformes Contracting mit Lieferanten beispielsweise ist haftungsträchtig. Hier sollten Sie Lieferanten vertraglich dazu verpflichten, sich im Sinne der Ethikrichtlinien des Unternehmens zu verhalten.

    Notwendig ist auch die kontinuierliche Information der Mitarbeiter im Unternehmen über die Pflicht zur Einhaltung gesetzlicher Regelungen. Hierzu gehört auch, die Ethikgrundsätze künftigen Arbeitsverträgen beizufügen und gegenzeichnen zu lassen.

    Konkretisieren und führen Sie die Compliance-Instanzen ein. Ziel ist es, die Compliance-Maßnahmen so detailliert zu planen, dass sie reif für die Umsetzung sind.

  5. Umsetzung der Compliance-Maßnahmen

    Setzen Sie die Maßnahmen in den Unternehmensbereichen um, die sie kontinuierlich auf Gesetzeskonformität beobachten. Die Implementierung in der Organisation sieht unter anderem

  • die Schulung der Führungskräfte und Mitarbeiter,
  • die Information der Führungskräfte und Mitarbeiter,
  • die Umsetzung der modifizierten Prozessen und Vorschriften in der Praxis

vor. Nur, wenn Sie die Führungskräfte und die Mitarbeiter ins Boot holen, lässt sich Compliance langfristig umsetzen und im Unternehmen leben.

  1. Kontinuierlicher Verbesserungsprozess und Compliance-Kontrolle

    Langfristig müssen Sie kontinuierlich an der Verbesserung der Compliance in Ihrem Unternehmen arbeiten. Stichwort: „Nachhaltigkeitssicherung“. Compliance muss zum integralen Bestandteil der täglichen Arbeit in der Organisation werden. Dazu gehört auch die Compliance-Kontrolle.

    Element der Überprüfung sind regelmäßige Audits der umgesetzten Maßnahmen: Werden sie in der Praxis tatsächlich gelebt? Überprüfen Sie Ihr Compliance-Management-System, ob es im Alltag praktikabel ist oder ob es angepasst werden muss. Entwickeln Sie es ständig weiter und tragen Sie dazu bei, dass es mittel- bis langfristig als völlig selbstverständlich wahrgenommen und umgesetzt wird.

    Schulung der Mitarbeiter

Weiterer Bestandteil der Compliance-Kontrolle ist die Schulung der Mitarbeiter. Mit Hilfe eines Gesetzeskatasters sollten Sie wissen, welche Gesetze, Vorschriften und Richtlinien sich ändern und welche Auswirkungen das auf Ihre Organisation hat. Ihre Mitarbeiter müssen Sie über die Veränderungen informieren und immer wieder schulen. Dazu empfehlen wir die Einführung eines Compliance Schulungsprogrammes.

Lassen Sie das Thema Compliance nicht aus den Augen. Sie müssen nicht regelkonformes Verhalten im Unternehmen nicht nur aufdecken, sondern verhindern. Schließlich sind die Konsequenzen mangelnder Compliance weitaus komplexer und komplizierter zu handhaben, als die notwendige Auseinandersetzung und Umsetzung eines Compliance-Systems und der notwendigen Compliance-Kontrolle.

Aufsichtsrat

Aufsichtsrat und Compliance – Überwachung und Steuerung

Die Geschäftsführung oder der Vorstand eines Unternehmens sind für die Einführung und Umsetzung eines wirkungsvollen Compliance Management Systems im gesamten Unternehmen verantwortlich. Doch wer kontrolliert die Unternehmensleitung, ob ihr Verhalten jederzeit gesetzeskonform ist und ob sie die Rechtskonformität über alle Unternehmensebenen hinweg umsetzt und überwacht? Hier kommt dem Aufsichtsrat oder Beirat eine wichtige Rolle bei der Kontrolle des Compliance Management Systems zu.

Systemüberwachung und Beratung des Vorstands

Gesetzlich ist der Aufsichtsrat von Geschäftsführungsaufgaben ausgeschlossen. Ihm kommt vielmehr die zentrale Aufgabe der Beratung, Systemüberwachung und Kontrolle der Geschäftsführung bzw. des Vorstandes zu. Dazu gehört auch die Klärung, ob die Geschäftsleitung dafür sorgt, dass im Rahmen eines funktionierenden und wirksamen Compliance Management Systems sämtliche relevanten Gesetze, Vorschriften und Regularien eingehalten werden, um Geldstrafen, aber auch Imageverlust in der Öffentlichkeit zu verhindern.

Informationspflicht des Vorstandes

Der Deutsche Corporate Governance Kodex sieht deshalb vor, dass ein Vorstand regelmäßig und umfassend den Aufsichtsrat über Compliance-relevante Themen im Unternehmen informieren muss. Findet dieser Austausch nicht statt, muss der Aufsichtsrat die Complianceberichte vom Vorstand oder der Geschäftsführung aktiv einfordern. Im „Schadensfall“ ist der Aufsichtsrat außerdem aufgerufen, zur Aufklärung und Behebung nicht rechtskonformen Verhaltens im Unternehmen beizutragen. Ansonsten können auch die Mitglieder des Kontrollgremiums persönlich haften.

Fachliche Auseinandersetzung gefordert

Der Aufsichtsrat eines Unternehmens kann diese Kontrollfunktion gegenüber dem Vorstand oder der Geschäftsführung indes nur nach einer intensiven fachlichen Auseinandersetzung mit dem Thema und bei einem funktionierenden Compliance Management System im Unternehmen effizient wahrnehmen. Nur dadurch wird er in die Lage versetzt, die Wirksamkeit des Systems zu beurteilen und die Frage zu klären, ob Risiken der Unternehmenstätigkeit darin angemessen abgebildet sind. Die fachliche Auseinandersetzung der Aufsichtsratsmitglieder mit allen Themen rund um die Compliance in ihrem Unternehmen ist heutzutage ein absolutes Muss.

Bundesdatenschutzgesetz

Auf einen Blick: Neufassung des Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG) wurde durch das “Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-, Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU)” neu gefasst.

Weiterlesen

Genehmigungskataster

Genehmigungskataster: Alle wichtigen Dokumente und Fristen auf einen Blick

Haben Sie alle Genehmigungen und Nebenbestimmungen für den rechtskonformen Betrieb Ihrer Anlagen und Prozesse im Blick und auf dem aktuellen Stand? Im Zuge der Compliance Ihres Unternehmens empfehlen wir, dass Sie ein Genehmigungskataster etablieren.

Damit stellen Sie sicher, dass alle Bestimmungen umgesetzt, fristgerecht eingehalten und ständig kontrolliert werden können.

Grundlage für ein Genehmigungskataster: Bestandsaufnahme

Ein Genehmigungskataster sollte fester Bestandteil jedes Compliance Management Systems in einem Unternehmen sein. Voraussetzung, um es inhaltlich sinnvoll und vollständig füllen zu können, ist zunächst die Bestandsaufnahme in Ihrem Betrieb: Welche behördlichen Genehmigungen brauchen Sie überhaupt für Ihre Anlagen? Gibt es international Unterschiede, wie müssen Sie auf länderspezifische Regularien reagieren? Diese Bestandsaufnahme können die unternehmensinternen Compliance-Beauftragten durchführen. Sie kann aber auch an externe Experten vergeben werden, um personelle Unternehmensressourcen zu sparen und sich weitergehendes Know-how zu sichern.

Kontinuierliche Kontrolle durch vollständige Unterlagen

Haben Sie die Grundlagen mit einem Überblick über alle notwendigen Genehmigungen geschaffen, bietet es sich aus unserer Erfahrung an, das Genehmigungskataster so anzulegen, dass es alle wichtigen Unterlagen und Dokumente enthält. So lässt es sich jederzeit zentral überwachen.

Vorschlag für ein Kataster:

  • Standort / Betrieb
  • Anlage / Prozess
  • Rechtsgrundlage
  • Titel Bescheid
  • Aktenzeichen
  • Datum
  • Titel Nebenstimmung
  • Aufgabe/Pflicht aus Nebenbestimmung

Durch das Genehmigungskataster erhalten Sie einen Überblick über alle relevanten Genehmigungen inklusive aller Nebenbestimmungen für Ihr Unternehmen. Hier sind also sämtliche Bewilligungen, Erlaubnisse und Bescheide in einem System erfasst. Es ermöglicht die permanente Kontrolle, erfordert aber auch die kontinuierliche Pflege.

Lästig, aber wichtig

Den Überblick über Genehmigungen und vor allem den damit verbundenen Nebenstimmungen zu behalten, gehört in den meisten Unternehmen allerdings nicht zu den beliebtesten Aufgaben und in den seltensten Fällen zum Kerngeschäft. Es raubt – obwohl existenziell wichtig – Zeit. Allerdings verhindert es oftmals weitaus größere Schäden: Werden Ihre Anlagen von den Behörden stillgelegt, weil Ihnen die entsprechende Genehmigung fehlt, haben Sie nicht nur Verluste durch den Produktionsausfall. Schlimmstenfalls können Sie Liefertermine nicht einhalten und leiden langfristig unter dem damit einhergehenden Vertrauensverlust Ihrer Geschäftspartner.

Ein Genehmigungskataster ist deshalb eine wichtige Investition, um Ihr Unternehmen im Sinne der Compliance dauerhaft regelkonform aufzustellen.

ISO 19600

ISO 19600 – Vorteile für Ihr Unternehmen

In unserem aktuellen Blog-Beitrag widmen wir uns der ISO 19600 und ihren Vorteilen für Ihr Unternehmen. Mit Hilfe dieser internationalen  Norm erhalten Unternehmen jeglicher Branche und Größe sowohl Empfehlungen wie auch praktische Hinweise, wie ein wirksames Compliance-Management System wirksam und organisationsspezifisch umgesetzt werden kann.

Hierdurch wird die Grundlage geschaffen, dass sich Führungskräfte und Mitarbeiter im Sinne ihres Compliance Management Systems regelkonform verhalten. Vor allem für grenzüberschreitend tätige Firmen bietet die international gültige ISO 19600 ein zuverlässig anwendbares System, damit die Organisation auch im Ausland regelkonform aufgestellt ist: Mehr als 160 Staaten weltweit tragen die Norm mit. Als Grundlage aber trägt sie insbesondere dazu bei, dass die Empfehlungen für ein Compliance Management System je nach Kontext, Art und Komplexität der Tätigkeiten einer Organisation praktikabel und umsetzbar sind.

ISO 19600: kein Zertifizierungsstandard

Die ISO 19600 ist kein Zertifizierungsstandard. Sollte sich ein Unternehmen entschließen, eine Zertifizierung vornehmen zu wollen, kann hierfür der TR CMS 101:2015 des TÜV Rheinland empfohlen werden. Dieser Standard ist sehr eng an die ISO 19600 angelehnt und beinhaltet alle Grundelemente für die Feststellung eines überprüfbaren und nachweisbaren Compliance Management Systems. Vorteil einer Zertifizierung: Ein zertifiziertes Unternehmen, bekennt sich nachweislich zur gesetzeskonformen Tätigkeit in allen Bereichen. Die extern überprüfte und dafür notwendige Transparenz schafft Vertrauen bei den Geschäftspartnern und bildet damit die Grundlage für einen langfristigen Unternehmenserfolg.

Anforderungen an Compliance Management System

Die ISO 19600 respektive die TR CMS 101:2015 beschreibt ausführlich, wie das unternehmensindividuelle Compliance Management System aufgestellt sein muss, um internationalen Rechtsnormen zu genügen. Dabei entwickelt die Norm Empfehlungen, wie ein Unternehmen sie in Abhängigkeit zum Beispiel von seiner Größe und seiner Geschäftstätigkeit optimal umsetzen kann.

Analyse der Rechtslage und Gesetzeskataster

Basis aller organisatorischen Maßnahmen im Sinne der Compliance ist dabei die Frage, welche rechtlichen Regelungen für das einzelne Unternehmen national und international relevant sind. Diese Analyse der Rechtsanlage muss individuell für die Organisation in Abhängigkeit von seiner Tätigkeit geschehen, auf ihrer Grundlage entwickelt ein Unternehmen sein konkretes Compliance Management System. Die Ingenieur- und Organisationsberatung SAT stellt zu diesem Zweck beispielsweise ein unternehmensindividuelles und ganzheitliches Gesetzes- und Regelwerkkataster zur Verfügung, bei dem alle relevanten Vorschriften identifiziert und Änderungen regelmäßig recherchiert, bewertet und ggf. mit notwendigen Maßnahmen versehen dem Unternehmen mitgeteilt werden.

Bekenntnis zur Compliance durch die Führung

Die ISO 19600 weist der Unternehmensführung im Rahmen des Compliance Management Systems eine besondere Rolle zu: Sie entscheidet darüber, ob die Organisation sich regelkonform aufstellt, definiert Ziele und gibt entsprechende personelle Ressourcen für die Entwicklung, Einrichtung und Implementierung des CMS im Unternehmen frei. Stehen die Führungskräfte nicht hinter der 100prozentigen Gesetzeskonformität ihres Handelns, ist den Mitarbeitern deren Einhaltung kaum glaubhaft zu vermitteln. Außerdem sind die Führungskräfte dafür verantwortlich, interne Regeln wie Handlungsvorschriften, Prozessdefinitionen oder Kodizes aufzustellen und mit den externen Gesetzen und Vorschriften in ein Compliance Management System einfließen zu lassen. Die Kombination interner und externer Regelwerke trägt langfristig dazu bei, die Gefahr der Gesetzesverstöße und daraus resultierender strafrechtlicher Konsequenzen deutlich zu reduzieren.

Schulung der Mitarbeiter

Ein Compliance Management System darf indes nicht nur auf dem Papier existieren, sondern muss Einzug in den praktischen Alltag der Mitarbeiter auf allen Ebenen halten. Dazu müssen sie informiert, trainiert und mit ihnen kommuniziert werden. ISO 19600 empfiehlt deshalb regelmäßige Schulungen, die den Mitarbeitern das rechtliche Umfeld in ihrem Arbeitsgebiet verdeutlichen und dazu beitragen, dass sie sich gesetzeskonform verhalten. Durch den ständigen Dialog mit der Führungsebene über diese Themen soll sich die Unternehmenskultur im Hinblick auf Compliance nachhaltig ändern.

Umsetzungskontrolle im Compliance Management System

Ob die im Rahmen des Compliance Management Systems geschaffenen Abläufe und Strukturen tatsächlich im Alltag eingehalten werden, bedarf der regelmäßigen Kontrolle. Stichproben im Rahmen eines regelmäßigen Monitorings tragen laut ISO 19600 ebenso bei wie interne Audits. Vor allem aber bedarf es der ständigen Überwachung der Gesetzeslage zum Beispiel mit Hilfe des genannten SAT-Gesetzeskatasters. Damit lässt sich das Ergebnis der anfänglichen Risikoanalyse regelmäßig aktualisieren und zeitnah auf rechtliche Veränderungen reagieren.

Vertrauen schaffen durch Zertifizierung

Ist ein Compliance Management System von unabhängiger Stelle nach dem TR CMS 101:2015 zertifiziert, ist dies auch ein Signal an die nationalen und internationalen Geschäftspartner: Das Unternehmen arbeitet gesetzeskonform, transparent und zuverlässig.

Gewerbeabfallverordnung

Auf einen Blick: Neue Fassung der Gewerbeabfallverordnung

Wichtige, aktuelle Veränderungen bei Gesetzen, Richtlinien und Verordnungen stellen wir Ihnen in regelmäßigen Abständen in unserem Compliance-Blog vor. Heute: Die grundlegende Ausrichtung der Gewerbeabfallverordnung musste geändert werden (BGBl. Nr. 22 vom 21.04.2017 S. 896). Die neue Fassung tritt am 1. August 2017 in Kraft. Überprüfen Sie anhand des Gesetzeskatasters schnell und einfach, ob Ihr Unternehmen betroffen ist.

Gemischte Gewerbeabfälle gelangen vielfach entgegen der Vorrangregelung der Abfallhierarchie und an vorhandenen Gewerbeabfallsortieranlagen vorbei direkt in die energetische Verwertung. Die Praxis zeigt, dass es aufwändig und kostenintensiv ist, möglichst sortenreine wertstoffhaltige Abfälle für einen Recyclingprozess zu generieren, wenn diese in Gemischen anfallen. Die getrennte Erfassung von Abfällen dagegen führt genau zu solchen weitgehend sortenreinen Abfallfraktionen und ist daher gegenüber der Erfassung von Abfallgemischen mit nachträglicher Sortierung die bevorzugte Handlungsoption. Dies gilt für gemischte gewerbliche Siedlungsabfälle ebenso wie für gemischte Bau- und Abbruchabfälle.

Anwendungsbereich

Die Gewerbeabfallverordnung gilt für die Bewirtschaftung, insbesondere die Erfassung, die Vorbehandlung, die Vorbereitung zur Wiederverwendung, das Recycling und die sonstige Verwertung

  1. gewerblicher Siedlungsabfällen und
  2. bestimmter Bau- und Abbruchabfällen.

Die Gewerbeabfallverordnung gilt für Erzeuger und Besitzer der vorgenannten Abfälle sowie für die Betreiber der Vorbehandlungs- und Aufbereitungsanlagen.

Gewerbliche Siedlungsabfälle sind Siedlungsabfälle aus anderen Herkunftsbereichen als privaten Haushaltungen. Siedlungsabfälle sind in Kapitel 20 der Anlage der Abfallverzeichnisverordnung (AVV) aufgelistet. Zu den gewerblichen Siedlungsabfällen zählen aber auch weitere gewerbliche und industrielle Abfälle, die nicht in Kapitel 20 der Anlage der Abfallverzeichnis-Verordnung enthalten sind, die aber nach Art, Schadstoffgehalt und Reaktionsverhalten wie Siedlungsabfälle entsorgt werden können. Diese Abfälle können nach getrennter Sammlung recycelt oder energetisch verwertet werden.

Bau- und Abbruchabfälle sind die bei Bau- und Abbruch anfallenden mineralischen und weiteren nicht mineralischen Abfälle, die in Kapitel 17 der Anlage der Abfallverzeichnisverordnung (AVV) aufgelistet sind, mit Ausnahme von Bodenaushub (Abfallgruppe 17 05).

§ 3 regelte die getrennte Sammlung, Vorbereitung zur Wiederverwendung und das Recycling von gewerblichen Siedlungsabfällen. In Umsetzung der fünfstufigen Abfallhierarchie des Kreislaufwirtschaftsgesetzes (KrWG) enthält  § 3 nunmehr eine stringente Verpflichtung zur getrennten Sammlung bestimmter gewerblicher Siedlungsabfälle und deren vorrangige Zuführung zur Vorbereitung zur Wiederverwendung oder zum Recycling und zwar wie folgt:

  1. Papier, Pappe und Karton mit Ausnahme von Hygienepapier,
  2. Glas,
  3. Kunststoffe,
  4. Metalle,
  5. Holz,
  6. Textilien,
  7. Bioabfälle
  8. Weiter Abfallfraktionen.

Das Vermischungsverbot von gefährlichen Abfällen bleibt bestehen.

Die Verpflichtung zur getrennten Sammlung entfällt nur, soweit die getrennte Sammlung der jeweiligen Abfallfraktion technisch nicht möglich oder wirtschaftlich nicht zumutbar ist.

Technisch nicht möglich ist die getrennte Sammlung insbesondere dann, wenn für eine Aufstellung der Abfallbehälter für die getrennte Sammlung nicht genug Platz zur Verfügung steht oder die Abfallbehälter an öffentlich zugänglichen Abfallstellen von einer Vielzahl von Erzeugern befüllt werden und die getrennte Sammlung aus diesem Grund durch den Besitzer nicht gewährleistet werden kann.

Wirtschaftliche Unzumutbarkeit liegt vor, wenn die Kosten für die getrennte Sammlung, insbesondere auf Grund einer sehr geringen Menge der jeweiligen Abfallfraktion, außer Verhältnis zu den Kosten für eine gemischte Sammlung und eine anschließende Vorbehandlung stehen.

§ 3 Abs. 3 bestimmt die jeweiligen Dokumentationspflichten für die Erzeuger und Besitzer von

gewerblichen Siedlungsabfällen näher. Sie sind unabhängig von den Nachweis- und Registerpflichten des §§ 49 und 50 KrWG, die nur für Erzeuger und Besitzer von gefährlichen Abfällen gelten. Die Dokumentation ist wie folgt vorzunehmen:

  1. für die getrennte Sammlung durch Lagepläne, Lichtbilder, Praxisbelege, wie Liefer- oder Wiegeschein oder ähnliche Dokumente (das Wahlrecht liegt beim Erzeuger und Besitzer)
  2. für die Zuführung der getrennt gesammelten Abfälle zur Vorbereitung zur Wiederverwendung oder zum Recycling durch eine Erklärung desjenigen, der die Abfälle übernimmt, wobei die Erklärung dessen Namen und Anschrift sowie die Masse und den beabsichtigten Verbleib des Abfalls zu enthalten hat, und
  3. für das Abweichen von der Pflicht zur getrennten Sammlung durch eine Darlegung der technischen Unmöglichkeit oder der wirtschaftlichen Unzumutbarkeit.

Die Pflichten zur Vorbehandlung von gewerblichen Siedlungsabfällen (§ 4) sind neu. Es werden die Anforderungen an Erzeuger und Besitzer hinsichtlich der Vorbehandlung von gemischten gewerblichen Siedlungsabfällen geregelt. Erzeuger und Besitzer sind verpflichtet gemischte gewerbliche Siedlungsabfälle unverzüglich (ohne schuldhaftes Zögern) einer Vorbehandlungsanlage zuzuführen. Die unverzügliche Zuführung ist auch dann noch erfüllt, wenn sie über eine genehmigte Umschlaganlage oder Zwischenlager erfolgt.

Eine unmittelbare Zuführung zu einer energetischen Verwertung, die nach der bislang geltenden Gewerbeabfallverordnung als gleichrangige Alternative zulässig war, wird zur Ausnahme und ist nur noch unter den Voraussetzungen der fehlenden technischen Möglichkeit oder wirtschaftlichen Zumutbarkeit zulässig (§ 4 Abs. 3). Bei der Zuführung zur energetischen Verwertung dürfen Gemische Bioabfälle, Glas, Metalle und mineralische Abfälle nur enthalten, soweit sie die Verwertung nicht beeinträchtigten oder verhindert (§ 4 Abs. 4).

§ 4 Abs. 2 stellt sicher, dass Erzeuger und Besitzer von Gemischen diese nur Vorbehandlungsanlagen zuführen, die eine qualitativ hochwertige Behandlung sicherstellen. Dafür haben sich Erzeuger und Besitzer bei der erstmaligen Übergabe der Gemische von dem Betreiber der Vorbehandlungsanlage in Textform bestätigen zu lassen, dass die Anlage die Anforderungen nach § 6 Abs. 1 und 3 (Anforderungen an Vorbehandlungsanlagen) erfüllt.

§ 4 Abs. 5 bestimmt die Dokumentationspflichten für die Erzeuger und Besitzer von gemischten gewerblichen Siedlungsabfällen näher. Die Darlegungs- und Beweislast für die Erfüllung der Pflicht zur Zuführung der Gemische zu einer Vorbehandlungsanlage oder dem Abweichen davon nach § 4 Abs. 3 i.V.m. § 4 Abs. 4 liegt ausschließlich beim Erzeuger und Besitzer der Abfälle. Die Dokumentation ist obligatorisch und muss grundsätzlich immer vorgehalten werden. Vorgaben des „Wie“ werden in der Verordnung nicht gemacht. § 4 Abs. 5 Satz 2 nennt nur Beispiele für Dokumentationsmöglichkeiten. So können zur Dokumentation der wirtschaftlichen Unzumutbarkeit Angebote von Sortieranlagen und sonstigen Verwertungsanlagen herangezogen werden. Die Dokumentation ist nur auf Verlangen der Behörde vorzulegen.

§ 7 regelt die Überlassung von gewerblichen Siedlungsabfällen, die nicht verwertet werden können. Diese sind dem zuständigen öffentlich-rechtlichen Entsorgungsträger nach Maßgabe des KrWG zu überlassen. Diese Vorgabe entspricht im Wesentlichen der bisherigen Gewerbeabfallverordnung.

§§ 8 und 9 regeln die getrennte Sammlung und Entsorgung von Bau- und Abbruchabfällen. Betroffen sind Neubau-, Renovierungs-, Sanierungs- und Abbruchmaßnahmen. Gegenüber der bisherigen Vorschrift wird die Getrenntsammlungspflicht stringenter gefasst, indem die weitgehende Parallelität von getrennter und gemischter Erfassung aufgegeben und ein echtes Regel-Ausnahme-Verhältnis statuiert wird. Erstmals einbezogen wird der selektive Rückbau als Mittel zur Förderung eines hochwertigen Recyclings.

Folgende Abfallfraktionen sind getrennt zu sammeln, zu befördern, der Vorbereitung zur Wiederverwendung oder dem Recycling zuzuführen:

  1. Glas
  2. Kunststoff
  3. Metalle, einschließlich Legierungen,
  4. Holz,
  5. Dämmmaterial,
  6. Bitumengemische,
  7. Baustoffe auf Gipsbasis,
  8. Beton,
  9. Ziegel,
  10. Fliesen und Keramik.

Holz, Dämmmaterial, Bitumengemische (finden sich z.B. in Abdichtungen, Estrich, Dachpappe, Trag-, Binde- und Deckschichten für Wege- und Straßenbau etc.) und Baustoffe auf Gipsbasis sind gegenüber dem bisher geltenden Recht neu hinzugekommen. Auch bei den Bau- und Abbruchabfällen besteht ein Vermischungsverbot für gefährliche Abfälle. Ebenso besteht bei den Bau- und Abbruchabfällen eine Ausnahme zur Verpflichtung der getrennten Sammlung, soweit dies technisch nicht möglich oder wirtschaftlich nicht zumutbar ist. Auch bei Bau- und Abbruchabfälle bestehen Dokumentationspflichten (§ 8 Abs. 3). Insoweit wird auf die obigen Ausführungen zu § 3 Abs. 3 verwiesen.

Gemische, die überwiegend Kunststoffe, Metalle, einschließlich Legierungen, oder Holz enthalten, sind unverzüglich einer Vorbehandlungsanlage zuzuführen. In diesen Gemischen dürfen Beton, Ziegel, Fliesen und Keramik nur enthalten sein, soweit sie die Vorbehandlung nicht beeinträchtigen oder verhindern. Gemische, die überwiegend Beton, Ziegel, Fliesen oder Keramik enthalten, sind unverzüglich Aufbereitungsanlagen zuzuführen.

Glas, Dämmmaterial, Bitumengemische und Baustoffe auf Gipsbasis dürfen nur enthalten sein, soweit sie die Vorbehandlung oder Aufbereitung nicht beeinträchtigen oder verhindern.

§ 9 Abs. 2 formuliert entsprechend der Parallelvorschrift des § 4 Absatz 2 eine Bestätigungspflicht für Aufbereitungsanlagen. Zu bestätigen ist die Herstellung von „definierten Gesteinskörnungen“.

Gemischte Bau- und Abbruchabfälle (Abfallschlüssel 17 09 04) sind unverzüglich entweder einer Vorbehandlungs- oder einer Aufbereitungsanlagen zuzuführen (§ 9 Abs. 2). Diese Pflicht entfällt auch hier nur dann, soweit die Behandlung der Gemische in einer Vorbehandlungs- oder Aufbereitungsanlage technisch nicht möglich oder wirtschaftlich nicht zumutbar ist (§ 9 Abs. 4). In diesem Fall sind die Gemische von anderen Abfällen getrennt zu halten und unverzüglich vorrangig einer ordnungsgemäßen, schadlosen und hochwertigen sonstigen Verwertung zuzuführen § 9 Abs. 5). Auch insoweit besteht eine Dokumentationspflicht entsprechend der Vorgaben des § 4 Abs. 5. Auf die Ausführungen dazu wird daher verwiesen.

Weitere Regelungen betreffen ausschließlich Betreiber von Vorbehandlungsanlagen und sind für das Unternehmen nicht relevant. Im Übrigen sind die mit der Neufassung der Gewerbeabfallverordnung verbundenen Änderungen für das Unternehmen relevant.

Inkrafttreten der Gewerbeabfallverordnung

Die Neufassung der Gewerbeabfallverordnung tritt am 01.08.2017 in Kraft. Die Verpflichtung zur Bestätigung durch den Betreiber der Vorbehandlungsanlage nach § 4 Abs. 2 tritt erst am 01.01.2019 in Kraft.

Handlungsempfehlung

Das Unternehmen hat sich mit den neuen Vorgaben zur getrennten Sammlung von Gewerbeabfällen auseinander zusetzen. Soweit bislang nicht alle Abfallfraktionen im Unternehmen getrennt gehalten worden sind, sollte die Sammlung entsprechend organisiert werden (Aufstellen von geeigneten Behältnissen, Auswahl eines geeigneten Aufstellungsortes, Kennzeichnung der Behältnisse, ggf. Erstellung von Betriebsanweisung, usw.). Ebenso sind die geänderten bzw. neuen Dokumentationspflichten zu beachten.

Es wird nochmals auf das getrennte Sammeln von gefährlichen Abfällen verwiesen. Bei Bau- und Abbruchabfällen zählen z.B. PCB-haltiges Fugenmaterial, asbesthaltige Bau- oder Dämmstoffe, DDT-haltige Wandanstriche oder Altholz der Kategorie A IV zu den gefährlichen Abfällen.

Compliance Audit

Compliance Audit: Werden in Ihrem Unternehmen alle gesetzlichen Vorschriften umgesetzt?

Mit einem Compliance Audit können Unternehmen prüfen, wie gut Regeln und Vorschriften in ihrer Organisation tatsächlich eingehalten werden.

Es scheint heutzutage fast selbstverständlich, dass ein Unternehmen sämtliche gesetzlichen Vorschriften und selbst auferlegte Verhaltenskodizes im Sinne der Compliance einhält. Doch ist das angesichts der zahlreichen Regelungen auf nationaler und internationaler Ebene, die für eine Organisation relevant sind, tatsächlich so eindeutig? Mit einem Compliance Audit können Unternehmen prüfen, wie gut Regeln und Vorschriften in ihrer Organisation tatsächlich eingehalten werden.

Basis für das Compliance Audit: ein Compliance Management System

Grundlage für die Gesetzeskonformität eines Unternehmens ist ein ganzheitliches Compliance Management System auf allen Ebenen und in allen Bereichen einer Organisation. Dieses System ist individuell nach den Voraussetzungen in einem Unternehmen zu gestalten. Ziel aber ist es immer, dass sich Führungskräfte, Organ-Mitglieder und Mitarbeiter gesetzeskonform verhalten und sich dabei außerdem an den definierten Unternehmenswerten und -kodizes orientieren.

Prüfung auf Alltagstauglichkeit und -relevanz

Im Rahmen von einem Compliance Audit wird geprüft, wie dieses Compliance Management System in der Praxis und im Alltag umgesetzt wird und wie wirkungsvoll es ist. Dadurch ist ein Unternehmen in der Lage, Risiken im Hinblick auf das gesetzeskonforme Verhalten und Arbeiten frühzeitig zu erkennen und etwaige Verstöße zu ahnden. Kontrolle und Überwachung der Compliance sind also präventive Maßnahmen im Sinne der Schadensbegrenzung und der Optimierung für die Zukunft.

Audit-Grundlage: PS 980

Die Grundlage der Audits zur Prüfung von Compliance-Management-Systemen ist der Standard IDW PS 980 des Institutes der Wirtschaftsprüfer (IDW). Mit ihm definiert das Institut die Anforderungen an ein ganzheitliches Compliance Management System.

Sieben überprüfbaren Grundelementen gehören laut PS 980 zu einem funktionierenden Compliance Management System dazu:

  1. Compliance-Kultur
  2. Compliance-Ziele
  3. Compliance-Risiken
  4. Compliance-Programm
  5. Compliance-Organisation
  6. Compliance-Kommunikation
  7. Compliance-Überwachung

Für die Verantwortlichen in einem Unternehmen hält PS 980 damit eine wichtige Orientierungshilfe für gesetzeskonformes Verhalten und eine damit einhergehende Organisationsform bereit. Zugleich lässt sich auf dieser Basis die eigene Compliance intern und extern belegen.

Was passiert beim Compliance Audit?

Zu überprüfen, ob eine Compliance-Organisation ordnungsgemäß arbeitet und im Alltag für Führungskräfte und Mitarbeiter ihre Relevanz entwickeln kann, liegt im Verantwortungsbereich der internen Revision eines Unternehmens. Bei einem Compliance Audit schauen sich die Auditoren datailliert an, wie die Vorgaben an eine gesetzeskonforme Organisation praxistauglich umgesetzt werden. Dazu führen sie unter anderem Interviews in allen oder ausgewählten Geschäftsbereichen, untersuchen Dokumente und beobachten Abläufe.

Entdecken sie bei ihrem Audit Defizite, kann das Unternehmen auf dieser Grundlage beispielsweise die Organisation anpassen oder Mitarbeiter noch einmal gezielt schulen. Ziel der Audits ist in jedem Fall, die Haftungsrisiken eines Unternehmens aus seiner Geschäftstätigkeit auf ein Minimum zu reduzieren und größtmögliche Rechtssicherheit herzustellen.