Eine Compliance-Organisation ist eine Organisationseinheit innerhalb eines Unternehmens, die für die Einhaltung von Gesetzen, Vorschriften und unternehmensinternen Vorgaben verantwortlich ist. Sie kann als eigenständige Abteilung oder als Teil einer anderen Abteilung, z. B. der Rechtsabteilung, organisiert sein.

Die Aufgaben umfassen:

  • Entwicklung und Umsetzung von Compliance-Richtlinien und -Verfahren
  • Schulung von Mitarbeitern zu Compliance-Themen
  • Überwachung der Einhaltung von Compliance-Vorgaben
  • Untersuchung von Compliance-Verstößen
  • Berichterstattung an das Top-Management

Die Compliance-Organisation spielt eine wichtige Rolle für die Unternehmenskultur und die Risikominimierung. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen Bußgelder und Strafen vermeiden, das Vertrauen von Kunden und Mitarbeitern stärken und seine Reputation schützen.

Eine effektive Organisation sollte folgende Merkmale aufweisen:

  • Unabhängigkeit: Die Compliance-Organisation sollte unabhängig von anderen Abteilungen sein, um ihre Objektivität zu gewährleisten.
  • Autorität: Die Compliance-Organisation sollte die Autorität haben, Compliance-Maßnahmen zu entwickeln und umzusetzen.
  • Ressourcen: Sie sollte über die notwendigen Ressourcen verfügen, um ihre Aufgaben effektiv zu erfüllen.
  • Unterstützung durch das Top-Management: Das Top-Management muss sich für die Compliance-Organisation einsetzen und deren Arbeit unterstützen.

Die Größe und Struktur der Organisation hängt von der Größe und Komplexität des Unternehmens sowie von den Compliance-Risiken des Unternehmens ab. Kleine Unternehmen können dafür eine einzige Person haben, während große Unternehmen eine Compliance-Abteilung mit mehreren Mitarbeitern haben können.

Unabhängig von ihrer Größe und Struktur spielt die Compliance-Organisation eine wichtige Rolle für das Unternehmen. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen vor Risiken geschützt und seine Reputation gestärkt werden.

By: Bard

Lieferkettensorgfaltspflichtengesetz

Lieferkettensorgfaltspflichtengesetz – was nun?

[vc_row][vc_column][vc_column_text]Das Lieferkettensorgfaltspflichtengesetz (oder kurz: Lieferkettengesetz) hat trotz heftiger Kontroversen vor der parlamentarischen Sommerpause den Bundestag und den Bundesrat passiert. Es gilt ab 1. Januar 2023 für Unternehmen in Deutschland und für ausländische Firmen mit einer Niederlassung hierzulande. Was bedeutet es für die Unternehmen, ihrer unternehmerischen Sorgfaltspflichten in Lieferketten nachkommen zu müssen?

Lieferkettensorgfaltspflichtengesetz für Menschenrechte und Umweltschutz

Das Lieferkettensorgfaltspflichtengesetz soll Menschenrechte entlang der globalen Lieferketten schützen und Nachhaltigkeit beim weltweiten Wirtschaften fördern. Dementsprechend wird es mit Inkrafttreten des Gesetzes eine wichtige Aufgabe, menschenrechtliche und umweltschutzrelevante Risiken offenzulegen, zu evaluieren und ein Risikomanagementsystem einzurichten, mit dem Unternehmen ihren Sorgfaltspflichten gerecht werden können. Der Fokus liegt dabei unter anderem auf der Verhinderung von Kinder- und Zwangsarbeit sowie fehlendem Arbeits- und Umweltschutz. Die Organisationen müssen dafür Sorge tragen, durch ihre Untersuchungen und entsprechende Maßnahmen eventuelle Verstöße gegen Menschenrechte und Umwelt aufzudecken, zu verhindern bzw. zu reduzieren.

Forcierung der unternehmerischen Compliance-Maßnahmen

Das Gesetz stellt in Deutschland ansässige Unternehmen mit mehr als 3000 Mitarbeitern (ab 2024: 1000 Mitarbeiter) künftig unabhängig von Branche oder Tätigkeit vor die Herausforderung, direkte und mittelbare Geschäftspartner regelmäßig auf die Einhaltung von Compliance-Regeln zu überprüfen. Zu den neuen Verpflichtungen gehört es unter anderem, die direkten Partner einer jährlichen Risikoanalyse zu unterziehen und die Einhaltung von Compliance-Maßnahmen sowie die entsprechende Schulung von Mitarbeitern zu überprüfen. Das Gesetz hebt die konsequente Einführung und Umsetzung eines Compliance Management Systems (CMS) also von einer unternehmensinternen „Angelegenheit“ auf eine allgemeingültige und vor allem verpflichtende Ebene. Als Kontrollinstanz wirkt künftig das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA), das nicht nur präventiv tätig werden soll, sondern künftig auch Bußgeldverfahren einleiten kann. Dass das Lieferkettensorgfaltspflichtengesetz maßgeblich dazu dient, den Auf- und Ausbau funktionierender Compliance Management Systeme zu forcieren, wird beim Blick auf die Bemessung der Bußgelder deutlich:  Unternehmen, die bereits über ein CMS verfügen, können im Vergehensfall mit niedrigeren Strafen rechnen.

Unternehmen, für die das Lieferkettensorgfaltspflichtengesetz Anwendung findet, müssen eine Grundsatzerklärung zur Menschenrechtsstrategie abgeben, die sich in geeigneten, auch präventiven Maßnahmen in ihrem eigenen unternehmerischen Handeln und dem ihrer unmittelbaren Lieferanten niederschlägt.  Kommt es dennoch zu Verletzungen von Menschenrechten oder Umweltschutz entlang der Lieferkette, müssen die Organisationen sofort angemessen reagieren – mit Maßnahmen zur Beseitigung der Verstöße bis hin zur Kündigung der Geschäftsbeziehung mit den unmittelbaren Geschäftspartnern. Haken an der Sache: Ratifizieren Lieferanten die Maßnahmen im Rahmen des Lieferkettensorgfaltspflichtengesetzes nicht, müssen die Geschäftsbeziehungen zu ihnen nicht automatisch beendet werden.

Was bringt das Lieferkettengesetz noch mit?

Es verpflichtet Unternehmen, ein Whistleblower-System einzuführen. Außerdem müssen sie spätestens vier Monate nach Ende ihres Geschäftsjahres einen Bericht über die Erfüllung ihrer Sorgfaltspflichten in diesem Zeitraum auf ihrer Homepage veröffentlichen.[/vc_column_text][/vc_column][/vc_row]

Beitrag teilen
Hinweisgeberschutzgesetz

Neue Whistleblower-Richtlinie – Was KMU beachten sollten

Unternehmen mit mehr als 50 Beschäftigten müssen im Zuge der Umsetzung der EU-Whistleblower-Richtlinie ein Meldesystem einführen. Ob der Gesetzgeber bis Ende 2021 die Umsetzung schafft, bleibt abzuwarten. Dennoch sollten sich auch kleine und mittlere Unternehmen darauf vorbereiten, kurz- bis mittelfristig ein funktionierendes Meldesystem aufzubauen.

Whistleblowing: Ist die Umsetzung in nationales Recht bis Ende 2021 noch zu schaffen?

In Amerika schon lange vollkommen normal, in Deutschland und in der EU oftmals immer noch mit dem Ruf des Nestbeschmutzers behaftet – der Whistleblower. Nicht selten stehen Mitarbeiter, die in ihrem Unternehmen auf einen Rechtsverstoß wie beispielsweise Korruption oder Kartellbildung aufmerksam werden, vor einer schwierigen Frage: wegschauen, um Kollegen und Unternehmen nicht zu belasten oder die Gesetzeswidrigkeit der Geschäftsführung oder sogar Behörden melden. In diesem Konflikt schafft die neue EU-Whistleblower-Richtlinie zum Schutz von Hinweisgebern ein geeignetes Mittel, um nicht gesetzeskonformes Verhalten im Unternehmen zu unterbinden. Bis zum 17. Dezember dieses Jahres müsste die Bundesregierung die EU-Richtlinie in nationales Recht umsetzen. Aber ob das funktionieren wird?

Eigentlich müsste sie ein großes Interesse daran haben. Immerhin unterstützen Whistleblower die Unternehmensleitung dabei, überhaupt erst einmal vom nicht gesetzeskonformen Verhalten ihrer Mitarbeiter zu erfahren. Das ist umso wichtiger, als bei Bekanntwerden nicht nur der betreffende Mitarbeiter zur Verantwortung gezogen wird. Auch die Geschäftsführung haftet selbst dann, wenn sie von den Verstößen zuvor keine Kenntnis hatte.

Ziel der neuen Richtlinie ist es also, geeignete Informationskanäle für Whistleblower zu schaffen, um Verstöße gegen die Compliance aufzuklären und künftig zu verhindern sowie die Risiken der Geschäftsleitung zu minimieren, für dieses Verhalten zu haften. Außerdem lässt sich über ein geeignetes Hinweisgebersystem die Compliance einer Organisation dauerhaft verbessern, indem vertrauenswürdige Informationskanäle geschaffen und Hinweisgeber vor persönlichen Nachteilen im beruflichen und privaten Umfeld geschützt werden. Denn nur durch den Schutz vor straf- oder zivilrechtlichen Konsequenzen finden sich Whistleblower, die im Sinne des Unternehmens aktiv werden. „Hinweisgeber tun das Richtige für die Gesellschaft und sollten von uns geschützt werden, damit sie dafür nicht bestraft, entlassen, degradiert oder vor Gericht verklagt werden“, sagte Frans Timmermans, zum Zeitpunkt der Entscheidung 2018 Erster Vizepräsident der EU-Kommission. Bis dahin war der Schutz von Whistleblowern in der Europäischen Union nicht einheitlich geregelt. Die neuen EU-weiten Vorschriften zum Schutz von Hinweisgebern dienten genau diesem Zweck und sorgten dafür, dass Hinweisgeber Verstöße gegen das EU-Recht in vielen Bereichen sicher melden könnten. Dies werde Betrug, Korruption, Steuervermeidung durch Unternehmen sowie Schädigungen der menschlichen Gesundheit und der Umwelt bekämpfen helfen.

Hinweisgeber sollen dabei helfen, rechtswidrige Handlungen und illegale Machenschaften aufzudecken. Die Whistleblower sollen aber zugleich umfassende Unterstützung und Schutz genießen. Das neue System stärkt außerdem Arbeitgeber darin,  Probleme intern zu lösen, Hinweisgebern aber auch die Möglichkeit zu erhalten, sich ohne Angst vor Vergeltung an Behörden zu wenden.

„Die neuen Vorschriften decken ein breites Spektrum an EU-Rechtsbereichen ab, unter anderem die Geldwäschebekämpfung, die Unternehmensbesteuerung, den Datenschutz, den Schutz der finanziellen Interessen der Union, die Lebensmittel- und Produktsicherheit sowie den Umweltschutz und die nukleare Sicherheit. Überdies steht es den Mitgliedstaaten frei, diese Vorschriften auf andere Bereiche auszuweiten“, hieß es schon 2019 seitens der Europäischen Kommission. Sie empfiehlt ihnen, umfassende Rahmenbedingungen für den Schutz von Hinweisgebern zu schaffen.

Wie sieht die neue EU-Richtlinie zum Schutz des Hinweisgebers nun im Detail aus?

Die neue Richtlinie zum Schutz des Hinweisgebers

Bereits im April vor zwei Jahren hat das EU-Parlament den Richtlinien-Vorschlag „zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“, verabschiedet. Der Vorschlag regelt nur offene, d.h. nicht anonyme Meldungen. Die Regelungen müssen innerhalb von zwei Jahren in nationales Recht umgesetzt werden, Deutschland steht also unter Druck, bis Ende 2021 ein entsprechendes Gesetz zu verabschieden. Ziel des Richtlinien-Vorschlages ist es, durch den Schutz der Personen, die Verstöße melden, geltendes Recht besser durchsetzen zu können.

Deshalb wird die Einrichtung von Meldekanälen sowie Verfahren für Meldungen und Folgemaßnahmen für alle Unternehmen und Behörden ab einer bestimmten Größenordnung zur Pflicht. Wichtig dabei: Nutzen Unternehmen zur Einführung und Gestaltung des Hinweisgebersystems elektronische Kommunikation, unterliegt das System dem Mitbestimmungsrechts des Betriebsrates nach § 87 Abs.1 BetrVG. Dies gilt insbesondere dann, wenn der Arbeitnehmer vom Arbeitgeber verpflichtet wird, Verstöße innerhalb des Unternehmens über einen internen Meldekanal zu melden.

Kategorisierung von „Whistleblowing“

Der Gesetzgeber unterscheidet beim Whistleblowing das sogenannte „interne“ vom „externen Whistleblowing“ sowie die „Offenlegung“. Beim „internen Whistleblowing“ meldet der Hinweisgeber Verstöße innerhalb seiner Organisation. Dabei kann die Meldung sowohl an unternehmenseigene Stellen wie den Chief Compliance Officer oder an vom Unternehmen beauftragte Berater wie einen Ombudsmann erfolgen. Beim „externen Whistleblowing“ gehen die Meldungen der Verstöße an zuständige Behörden außerhalb des Unternehmens des Hinweisgebers. Bei der sog. „Offenlegung“ macht der Hinweisgeber Verstöße schließlich öffentlich zugänglich.

Anwendungsbereich

Der Anwendungsbereich des EU-Richtlinien-Vorschlags bestimmt maßgebliche Eckpunkte für die rechtskonforme Ausgestaltung eines unternehmensinternen Hinweisgebersystems. Hierbei wird zwischen zwei Anwendungsbereichen unterschieden.

Sachlicher Anwendungsbereich

Erfasst werden u.a. Verstöße in den Bereichen

  • öffentliche Auftragsvergabe
  • Finanzdienstleistungen
  • Umweltschutz
  • Lebensmittel- und Futtermittelsicherheit
  • Verbraucherschutz
  • Datenschutz
  • EU-Wettbewerbsvorschriften
  • Körperschaftssteuer-Vorschriften

Persönlicher Anwendungsbereich

In personeller Hinsicht gilt die Richtlinie für Hinweisgeber, die im privaten oder im öffentlichen Sektor tätig sind und im beruflichen Kontext Informationen über Verstöße erlangt haben. Der Hinweisgeber ist eine natürliche Person, die im Zusammenhang mit ihren Arbeitstätigkeiten erlangte Informationen über Verstöße meldet oder offenlegt.

Der Begriff ist weit auszulegen und erfasst

  • Arbeitnehmer
  • Beamte
  • Selbstständige
  • Anteilseigner
  • Verwaltungs-, Leitungs- oder Aufsichtsorgane
  • ehrenamtlich tätige Personen
  • bezahlte oder unbezahlte Praktikanten
  • Personen von Auftragnehmern, Unterauftragnehmern oder Lieferanten

Dabei ist es nicht entscheidend, ob das „Arbeitsverhältnis“ noch besteht, bereits beendet ist oder noch gar nicht begonnen hat.

Informationen über Verstöße

Unter Informationen über Verstöße versteht der EU-Richtlinien-Vorschlag Informationen oder begründete Verdachtsmomente über tatsächliche oder potenzielle Verstöße. Erfasst werden auch Verschleierungsversuche bereits begangener oder sehr wahrscheinlich erfolgter Verstöße. Die Verstöße müssen jeweils in der Organisation, in der der Hinweisgeber tätig ist oder war oder in einer anderen Organisation, mit der er aufgrund seiner beruflichen Tätigkeit in Kontakt steht oder stand, begangen worden sein.

Der Erwägungsgrund 43 der EU Richtlinie bestimmt, dass zwar keine eindeutigen Beweise beigebracht, aber begründete Bedenken oder ein begründeter Verdacht  geäußert werden müssen. Eine „Behauptung ins Blaue hinein“, Spekulationen oder Gerüchte werden diesen Anforderungen nicht genügen.

Meldekanäle

Entscheidet sich ein Whistleblower dazu, Hinweise zu nicht rechtskonformen Verhalten in einer Organisation zu geben, stehen ihm drei verschiedene Meldekanäle zur Verfügung. Sie müssen je nach Unternehmensgröße unterschiedlich ausgestaltet werden.

Interne Meldekanäle (innerhalb juristischer Personen)

Die Verpflichtung zur Einrichtung eines internes Meldesystems gilt für sämtliche Unternehmen. Für Unternehmen der Finanzbranche sowie dem öffentlichen Sektor (Juristische Personen des Öffentlichen Rechts) gilt diese Verpflichtung unabhängig der Zahl ihrer Beschäftigten. Eine wichtige Ausnahme hiervon gilt jedoch für Juristische Personen des Privaten Rechts. Diese müssen erst ab einem Schwellenwert von 50 Mitarbeitern (einschließlich freier Mitarbeiter) ein internes Meldesystem einrichten.

Für Unternehmen mit 50 bis 249 Beschäftigten sieht der Gesetzgeber hingegen eine organisatorische Vereinfachung vor: Sie können Ressourcen beim Betrieb des Meldesystems teilen, um Synergieeffekte zu nutzen und Kosten einzusparen.

Unternehmen mit mehr als 249 Beschäftigten wiederum müssen auf jeden Fall ein eigenes Hinweisgebersystem vorhalten.

Anforderungen an die Meldekanäle

An die unterschiedlichen Meldekanäle stellt der Gesetzgeber strenge Anforderungen, um den Informationsgeber zuverlässig zu schützen. Sie müssen so sicher konzipiert, eingerichtet und betrieben werden, dass die Identitäten sowohl des Hinweisgebers als auch etwaiger dritter Personen stets vertraulich bleiben und Unbefugte keinen Zugriff auf das Meldesystem haben. Das gilt sowohl für interne Abteilungen, die sich mit den Informationen beschäftigen als auch für externe Dritte, die das Meldesystem unterhalten. Anderen Personen darf die Identität des Hinweisgebers nur mit dessen ausdrücklicher Zustimmung bekannt gemacht werden

Der Gesetzgeber legt zudem hohen Wert darauf, dass ein vorhandenes Meldesystem leicht genutzt werden kann. Deshalb muss die Organisation ihre Arbeitnehmer in klarer und leicht verständlicher Sprache darüber informieren, dass ein Meldesystem im Unternehmen existiert und wie sie es nutzen können. Der Hinweisgeber soll also ohne großen Aufwand herausfinden können, auf welche Weise er intern seinen Hinweis abgeben kann.

Übermittlungswege und Prozess

Hat sich ein Whistleblower entschieden, Informationen über möglicherweise nicht rechtskonformes Verhalten im Unternehmen weiterzugeben, muss er das mündlich, schriftlich oder auf Wunsch in einem persönlichen Treffen machen können. „Schriftlich“ bedeutet in diesem Zusammenhang auch die Übermittlung über eine Online Plattform (Intranet oder Internet).

Erhält das Unternehmen eine interne Meldung, hat es anschließend sieben Tage Zeit, dem Hinweisgeber den Eingang der Meldung zu bestätigen oder eine Rückmeldung zu geben, welche Folgemaßnahmen seine Meldung nach sich zieht. Erhält der Whistleblower eine Eingangsbestätigung, beträgt die Frist für die Rückmeldung über die Folgemaßnahmen drei Monate. Bereits in der Eingangsbestätigung soll eine neutrale Person oder Abteilung benannt sein, die für die Folgemaßnahmen zuständig ist. Dies darf die gleiche Person oder Stelle sein, die die Meldung entgegengenommen hat und mit dem Hinweisgeber in Kontakt bleibt.

Im Falle anonymer Meldungen, bei denen die Übermittlung einer Eingangsbestätigung oder Rückmeldung per se nicht in Betracht kommt, sieht der EU-Richtlinien-Vorschlag lediglich „ordnungsgemäße Folgemaßnahmen“ entsprechend dem nationalen Recht vor.

Alle eingehenden Meldungen müssen dokumentiert werden. Schriftliche oder elektronische Meldungen sind zu speichern, telefonische oder sonstige mündliche Informationen sollen aufgezeichnet oder mit einer Abschrift des Gespräches festzuhalten werden, sofern der Hinweisgeber seine Zustimmung hierzu erteilt. Tut er das nicht, muss ein Gesprächsprotokoll erstellt werden, das dem Hinweisgeber zur Kontrolle, Korrektur und Bestätigung durch Unterschrift vorgelegt werden muss. Gibt der Hinweisgeber seine Meldung im Rahmen einer persönlichen Zusammenkunft ab, darf auch diese mit einer Tonaufzeichnung oder detailliertem Protokoll festgehalten werden.

Grundsätzlich müssen bei dem gesamten Procedere die EU-rechtlichen Datenschutzregeln eingehalten werden. Dazu zählt die Wahrung des Grundsatzes der Verhältnismäßigkeit bei der Verarbeitung personenbezogener Daten – sowohl im Hinblick auf die Ausgestaltung als auch den Betrieb des Hinweisgebersystems, die Vornahme einer Datenschutz-Folgeabschätzung, der Abschluss erforderlicher Auftragsverarbeitungsverträge und die Erstellung eines Löschkonzeptes. Zum Schutz der Rechte der von der Datenverarbeitung betroffenen Personen müssen z.B. Auskunftsrechte, das Recht auf Löschung und das Recht auf Datenübertragbarkeit sichergestellt werden.

Externe Meldekanäle (Zuständige Behörde)

Dem Hinweisgeber sollen neben den unternehmensinternen auch externe Meldekanäle zur Verfügung stehen. Diese sollen in noch von den Mitgliedstaaten zu bestimmenden Behörden eingerichtet werden. Das externe Meldesystem soll ebenfalls in der Lage sein, Meldungen entgegenzunehmen, Rückmeldungen zu geben und adäquate Folgemaßnahmen zu ergreifen.

Im Einzelnen sind die Anforderungen an die externen Meldekanäle (Sicherheit, Vertraulichkeit, Fristen) denen der internen sehr ähnlich. Sie müssen zudem unabhängig und autonom sein. Ist eine externe Meldung erfolgt, soll sie eine behördliche Untersuchung nach sich ziehen.

Offenlegung (Öffentliches Zugänglichmachen)

Das öffentliche Zugänglichmachen von Informationen ist der letzte Ausweg (Ultima Ratio) des Hinweisgebers und durch den EU-Richtlinien-Vorschlag ebenfalls geschützt. Hierzu zählen das Publikmachen etwa direkt über Internet-Plattformen und soziale Medien oder indirekt über die Medien, gewählte Amtsträger, zivilgesellschaftliche Organisationen, Gewerkschaften oder Berufsverbände. Für eine Offenlegung müssen Personen, die Informationen über Verstöße melden, drei Voraussetzungen erfüllen, damit sie umfassenden Schutz als Whistleblower genießen:

  1. Wahrheitsgehalt der Information
    Der Hinweisgeber muss einen hinreichenden Grund zu der Annahme gehabt haben, dass die gemeldeten Informationen zum Zeitpunkt der Meldung der Wahrheit entsprochen haben. Geschützt werden dabei nicht nur Hinweisgeber, die eindeutige Beweise beibringen, sondern auch solche, die in gutem Glauben ungenaue Informationen melden. Hierfür hat der Hinweisgeber (lediglich) die ihm verfügbaren Informationen – unter Berücksichtigung der konkreten Umstände – auszuwerten.
    Keinen Schutz genießen Personen, die zum Zeitpunkt der Meldung wissentlich falsche oder irreführende Informationen melden und damit böswillig und missbräuchlich handeln.
  2. Eröffnung des Anwendungsbereiches
    Der Hinweisgeber muss einen hinreichenden Grund zu der Annahme gehabt haben, dass die gemeldeten Informationen in den Anwendungsbereich des EU-Richtlinien-Vorschlages fielen. Der Hinweisgeber wird auch dann geschützt, wenn er in gutem Glauben davon ausgeht, dass seine Meldung oder Offenlegung einen Verstoß gegen geschütztes Unionsrecht betrifft.
  3. Nutzung eines Meldekanals
    Der Hinweisgeber muss den Verstoß schließlich über einen der drei Meldekanäle melden bzw. offenlegen. Zwischen dem internen Meldekanal, dem externen Meldekanal und der Offenlegung kann er jedoch nur eingeschränkt frei wählen. Denn er muss auf jeden Fall die Meldereihenfolge – intern – extern – Offenlegung einhalten.

Eine Offenlegung ist im Übrigen nur bei drei Konstellationen zulässig:

  1. Der Hinweisgeber hat zunächst den internen und/oder externen Meldekanal benutzt. Es wurden jedoch innerhalb des festgelegten Zeitraumes keine geeigneten Maßnahmen ergriffen.
  2. Der Whistleblower hat hinreichenden Grund zu der Annahme, dass der Verstoß eine unmittelbare oder offenkundige Gefährdung des öffentlichen Interesses darstellen kann (Notsituation oder bei Gefahr eines irreversiblen Schadens).
  3. Oder er hat hinreichenden Grund zu der Annahme, dass Beweismittel unterschlagen oder vernichtet werden könnten, weil zwischen einer Behörde und dem Urheber des Verstoßes Absprachen bestehen oder die Behörde an dem Verstoß beteiligt ist. Unterbleibt z.B. die Bestätigung des Eingangs innerhalb einer Frist von sieben Tagen nach Meldungseingang, kann der Hinweisgeber am 9. Tag nach Meldungseingang offenlegen, wenn nicht am Tag zuvor geeignete Maßnahmen ergriffen wurden.

Whistleblower Meldesystem im Unternehmensinteresse

Die Konzeption, Einrichtung und der Betrieb eines unternehmensinternen Meldesystems ist für Unternehmen vergleichsweise aufwändig. Dennoch ist es in ihrem ureigensten Interesse, es zeitnah und zuverlässig in der Organisation zu etablieren. Was spricht dafür?

  • Durch das Meldesystem und die darin eingehenden Informationen erhält ein Unternehmen die Chance, nicht rechtskonformes Verhalten aufzudecken und für die Zukunft zu unterbinden. Außerdem gibt es Hinweise auf Schwächen im eigenen Compliance Management System, die es dadurch gezielt beseitigen kann. Das eindeutig rechtskonforme Verhalten spart im Zweifelsfall nicht nur Kosten, weil es Strafen verhindert. Es erhält auch die Reputation gegenüber den Geschäftspartnern.
  • Ein verlässliches internes Meldesystem senkt das Risiko, dass ein Whistleblower sich an externe Dritte wendet oder den Regelverstoß offenlegt.

Klare Vorschriften, wie ein Meldesystem auszusehen hat, gibt es im derzeitigen Referentenentwurf des Bundesjustizministeriums allerdings nicht. Das soll den Unternehmen zum einen ermöglichen, sich an „Best-Practice-Beispielen“ anderer Organisationen bei der eigenen Ausgestaltung zu orientieren, zum anderen die notwendige Freiheit für individuelle Lösungen geben.

Wichtig erscheint, dass sowohl Mitarbeiter als auch externe Dritte, die für das Hinweisgebersystem zuständig sind, regelmäßig über relevante Richtlinien und mögliche Veränderungen geschult werden. Auch die umfassende Information sämtlicher Mitarbeiter in einer Organisation ist entscheidend für den Erfolg eines Hinweisgebersystems: Sie müssen über die Möglichkeiten des Whistleblowings informiert sein und zugleich absolut sicher sein können, dass ihre Informationen vertraulich und nicht zu ihrem Nachteil behandelt werden.

Dieser Fachbeitrag ist auch beim Deutschen Mittelstandsbund erschienen.

Beitrag teilen
Compliance

Studie zu Compliance offenbart Kommunikationsprobleme

Welchen Stellenwert haben Compliance und Integrität bei Führungsverantwortlichen in großen Unternehmen? Offenbar einen sehr großen: Laut der Studie „Compliance und Integrität in der Krise“, die das Konstanzer Zentrum für Wirtschaftsethik (ZfW) und die Frankfurter Kommunikationsagentur A&B One gemacht haben, geben 56 Prozent der Führungskräfte an, dass sich ihr Arbeitgeber stärker als bisher für Integrität, Transparenz und Fairness im Wettbewerb einsetzen soll. Zu den Ergebnissen heißt es seitens der Initiatoren: „Ein ethisch einwandfreies Geschäftsgebaren ist für die Arbeitgeberbindung noch wichtiger als ein an Nachhaltigkeit oder Klimaschutz ausgerichteter „Purpose“. Die Entwicklung einer wertebasierten Compliance-Kultur und die Bereitschaft zur individuellen Verantwortungsübernahme werden im Homeoffice essenziell: Geltende Regeln sind dort weniger präsent, ihre Einhaltung kann schlechter kontrolliert werden.“

An der Befragung im November 2020 nahmen 303 Führungskräfte aller Ebenen teil, deren Unternehmen in der freien Wirtschaft mindestens 1.000 Beschäftigten haben. Demnach sprach sich die Mehrheit der Teilnehmenden für mehr Einsatz ihres Arbeitgebers für ökologische, rechtliche und soziale Werte aus. Bemerkenswert: Das ethisch einwandfreie Geschäftsgebaren auch in kritischen Situationen bewerten die Befragten sogar noch höher als soziale oder ökologische Ziele wie Umwelt- und Klimaschutz, Diversität oder Menschenrechte. Interpretation der Studieninitiatoren: „Nachhaltigkeit bleibt also wichtig, darf mit Blick auf die Gewinnung und Bindung von Mitarbeiter*innen aber nicht überschätzt werden.“

Dass dieses Ziel noch nicht erreicht ist, zeigen die Studienergebnisse allerdings ebenfalls: „Viele Unternehmen setzen aus Sicht der Befragten allerdings andere Prioritäten: Der wirtschaftliche Erfolg hat Vorrang, die Arbeitsbedingungen treten dahinter zurück. Defizite sehen die Führungskräfte vor allem in ethischen Konfliktfragen: Nur die Hälfte bescheinigt ihrem jeweiligen Arbeitgeber, dieser lege viel Wert darauf, auch dann integer zu handeln, wenn sich das einmal „nicht rechnet“. 64 % der Führungskräfte sind beunruhigt über Skandale und Missstände in der Wirtschaft, und 53 % glauben, dass Fehlverhalten heute häufiger vorkommt als vor zehn Jahren.“

Ein weiteres Manko: Obwohl es zwar in einem Großteil der teilnehmenden Unternehmen mittlerweile eigene Zuständigkeiten und Schulungen für Compliance gibt, sind die entsprechenden Regeln und Werte in den Unternehmen wenig präsent, werden von der Führungsetage nicht vorgelebt oder kommuniziert. Die Studie kommt zu dem Ergebnis: „In der Praxis wird noch zu wenig Wert auf persönlichen Austausch, Beratung und Diskussionsangebote gelegt: Diese Maßnahmen sind aus Sicht der Teilnehmenden besonders wirksam, werden aber nicht durchweg eingesetzt. Der offene Dialog erweist sich in unserer Studie als effektiver Hebel für die Förderung von Regelkonformität und individueller Verantwortungsübernahme – auch im Homoffice.“

Link zur Studie

Beitrag teilen
ISO 37301

Die ISO 37301:2021 – Interpretation der Anforderungen

SAT-Geschäftsführer Stefan Pawils veröffentlicht mit dem TÜV Rheinland eine topaktuelle Broschüre zur Interpretation der Anforderungen aus der ISO 37301:2021. Sie ist in Kürze im TÜV Media Verlag erhältlich. Wir halten Sie auf dem Laufenden.

Beitrag teilen
Rechtskataster im Gesundheitswesen

SAT und Inworks: Neue Compliance-Komplettlösung im Gesundheitswesen

Der Ulmer Software-Entwickler Inworks und  die Düsseldorfer Unternehmens- und Compliance-Beratung SAT kooperieren ab sofort bei Rechtskataster- und Compliance-Dienstleistungen im Gesundheitsbereich. Damit erhalten Kliniken und medizinische Einrichtungen eine Komplettlösung, mit der sie die für sie relevanten Gesetze und Vorschriften erfassen und ihr Compliance Management effektiv darauf ausrichten können.

Gerade Anbieter im Gesundheitswesen stehen vor immer größeren Herausforderungen, Compliance-Regeln jederzeit im Blick zu haben und auf Änderungen zeitnah reagieren zu können. Die Strafen bei nicht regelkonformem Verhalten aber steigen in gleichem Maße. Durch die Kooperation zwischen SAT und Inworks erfährt die Branche enorme Entlastung: Zusammen mit der Intrafox Health Care Software von Inworks und den Compliance-Dienstleistungen der SAT erhalten die Kunden aus dem Gesundheitsbereich ein digitales Rechtskataster-Modul inklusive Erstellungs- und Aktualisierungsservice. Dies sorgt für Transparenz und Sicherheit und ist der logische Ausganspunkt für alle weiteren Compliance-Aktivitäten.

„Die Kooperation ist die logische Konsequenz aus den enormen Compliance-Anforderungen einerseits und den digitalen Herausforderungen in der Gesundheitsbranche andererseits. Wir freuen uns, unseren Kunden nun eine ganzheitliche Lösung anbieten zu können“, sagen die Geschäftsführer Oliver Zwirner (Inworks) und Stefan Pawils (SAT).

SAT ist als Ingenieur- und Organisationsberatung spezialisiert auf die Erstellung und das permanente Monitoring von unternehmensindividuellen Gesetzes-, Genehmigungs- und Verordnungskatastern (Legal Compliance) – die Grundlage aller Compliance-Aufgaben. In diesem Bereich gehört die Gesellschaft bundesweit zu den führenden Experten.

Inworks erstellt digitale Lösungen vor allem für Gesundheitseinrichtungen zu den Themen QM, Risikomanagement, Compliance und Patientensicherheit. In diesen Bereichen ist Inworks mit der Intrafox Health Care Suite in über 1.000 Kliniken und Pflegeeinrichtungen marktführend.

https://sat-team.org
https://health-care.inworks.de

Beitrag teilen

Fax

Bremen: Fax nicht DSGVO-konform

[vc_row][vc_column][vc_column_text]Steht das Telefax auch mit Blick auf den Datenschutz vor dem endgültigen Aus? Vor kurzem hat Imke Sommer, Bremer Landesbeauftragte für Datenschutz, diese Technik für die Übertragung personenbezogener Daten als „in der Regel nicht geeignet“ eingestuft. Durch geänderte Technologien hätten neue Sicherheitsrisiken Einzug gehalten.

Die Datenschutzbehörde schreibt dazu auf ihrer Internetseite: „Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen.“ Zudem könne nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiere. Meist würden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandelten und diese dann an bestimmte E-Mail-Postfächer weiterleiteten.

„Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet“, zieht der Bremer Datenschutzbeauftragte als Fazit. Gemäß Artikel 9 Datenschutzgrundverordnung dürfen Fax-Dienste also für die Übertragung personenbezogener Daten bestimmter Kategorien nicht mehr genutzt werden. Dazu zählen beispielsweise die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, aber auch genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person und Gesundheitsdaten.

Als Alternative werden nicht nur Ende-zu-Ende verschlüsselte E-Mails empfohlen, sondern für sensible Daten auch die herkömmliche Post. Andere Bundesländer und deren Datenschutzbeauftragte haben sich zur Frage der Verwendung von Fax-Geräten noch nicht geäußert.[/vc_column_text][/vc_column][/vc_row]

Beitrag teilen

Corona

Corona in Unternehmen – Arbeitsunfall oder Berufskrankheit?

Wenn sich Menschen im Unternehmen mit dem Coronavirus infizieren, handelt es sich dann um einen Arbeitsunfall oder eine Berufskrankheit? Dazu gibt es jetzt aktuelle Informationen der Deutschen Gesetzlichen Unfallversicherung (DGUV).

Demnach kann es sich bei einer COVID-19-Erkrankung durchaus um einen Arbeitsunfall oder eine Berufskrankheit handeln. Beschäftigte sollten ihre Erkrankung daher dem Unternehmen melden, wenn davon auszugehen ist, dass sie sich im Arbeitsumfeld angesteckt haben.

Die DGUV schreibt dazu: „Arbeitgebende, Krankenkassen sowie Ärztinnen und Ärzte müssen COVID-19-Fälle der Berufsgenossenschaft oder Unfallkasse unter folgenden Voraussetzungen melden:

  • Der oder die Versicherte ist an COVID-19 erkrankt.
  • Eine Infektion mit SARS-CoV-2 ist nachgewiesen.
  • Bei der Arbeit oder in der Schule kam es zu einem intensiven Kontakt mit einer infizierten Person oder einem größeren Infektionsausbruch.
  • Bei Beschäftigten im Gesundheitswesen, in der Wohlfahrtspflege und in Laboren ist eine Berufskrankheit anzuzeigen. Hierfür stellen die Unfallversicherungsträger und die DGUV ein eigenes Formular zur Verfügung.
  • Bei Beschäftigten in anderen Branchen kann eine Erkrankung an COVID-19 ein Arbeitsunfall sein. Meldepflichtig ist dieser, wenn die Erkrankung zu einer Arbeitsunfähigkeit von mindestens drei Tagen oder zum Tode geführt hat.“

Nun kann es vorkommen, dass zwar eine Infektion mit dem Virus nachgewiesen wurde, der Beschäftigte aber keine Symptome einer Erkrankung hat. In diesem Fall empfiehlt die DGUV: „Alle Tatsachen, die mit der Infektion zusammenhängen, sollten im Verbandbuch des Unternehmens oder der Einrichtung dokumentiert werden. Kommt es nach einiger Zeit doch noch zu einer schweren Erkrankung, helfen diese Daten der Unfallkasse oder Berufsgenossenschaft bei ihren Ermittlungen. Eine spätere Meldung steht der Anerkennung als Arbeitsunfall oder Berufskrankheit nicht entgegen.“

Im Verbandbuch müssen Unternehmen gemäß Regelwerk der gesetzlichen Unfallversicherung solche Anlässe aufzeichnen, bei denen Erste Hilfe geleistet wurde. Die Aufbewahrungsfrist für diese Daten beträgt fünf Jahre. Die Aufzeichnungen dienen auch der Aufklärung bei eventuellen Spätfolgen.

Stellt ein Unternehmen fest, dass sich viele Beschäftigte infiziert haben (auch ohne Symptome), sollte es den Präventionsdienst der Berufsgenossenschaft oder Unfallkasse einschalten. Es folgt eine Überprüfung der Arbeitsbedingungen, insbesondere, ob sie die Verbreitung des Virus erleichtern. Ziel ist es, Empfehlungen aussprechen zu können, wie das Arbeitsumfeld gestaltet werden sollte, um die Ansteckungsgefahr zu reduzieren.

Wichtig ist auch folgende Information der DGUV: „Erhalten die Träger der gesetzlichen Unfallversicherung eine Unfallmeldung oder BK-Verdachtsanzeige, klären sie automatisch selbst, ob es sich um einen Versicherungsfall handelt. Weitere Anträge müssen nicht gestellt werden.“

Beitrag teilen
Compliance

Gesetzgebungsflut in der Pandemie

Die Pandemie scheint die Aktivitäten bei Gesetzgebungsverfahren zu beflügeln: In den letzten Monaten hat die Regierung eine Flut von Entwürfen vorgelegt, mit denen sie unter anderem europäischen Vorgaben genügen will. Die Herausforderung: Alle neuen Regeln müssen Einzug in künftige und bestehende Compliance Management Systeme finden und im individuellen Rechtskataster der Unternehmen angepasst werden.

Neue Gesetze und Vorhaben

Stärkung genießt bei den Gesetzgebungsvorhaben aktuell offenbar hohe Priorität. So hat die Bundesregierung schon im Juni 2020 einen Entwurf des Gesetzes zur Stärkung der Integrität in der Wirtschaft (Verbandssanktionengesetz VerSanG-E) beschlossen, so dass es aktuell in Bundestag und –rat debattiert werden kann. Auch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG-E) liegt zur Diskussion vor. Das Whistleblower-Gesetz zum Schutz von Hinweisgebern wird derzeit an EU-Vorgaben angepasst. Und auch das Lieferkettengesetz, mit dem Unternehmen angehalten werden sollen, ihrer Sorgfaltspflicht in der globalen Beschaffung nachzukommen, hat der Gesetzgeber in der Pipeline.

Bedeutung für Compliance Management Systeme

Sämtliche neuen Gesetze haben maßgeblichen Einfluss auf bestehende oder künftige Compliance Management Systeme in Unternehmen. Sie beeinflussen sich zudem gegenseitig, sind aber nicht zwingend aufeinander abgestimmt. Beispiel: VerSanG und Whistleblower-Richtlinie.

Was bedeutet das für Unternehmen?

Anfang April 2021 ist der neue, international anerkannte und zertifizierbare Compliance Management Standard ISO 37301  in Kraft getreten und deckt unter anderem die Vorgaben der Whistleblower-Richtlinie ab: Deren Umsetzung ist beispielsweise eine verbindliche Vorgabe, soll ein Compliance Management System künftig nach ISO 37301 zertifiziert werden. Unternehmen müssen also kurzfristig die organisatorischen Rahmenbedingungen für ein Hinweisgeber-System schaffen, um dem neuen Standard gerecht werden zu können.

Wollen Unternehmen angesichts der kommenden Gesetzesänderungen ihr Compliance Management System anpassen oder neu aufstellen, empfiehlt sich also Zweierlei: zum einen die Ausrichtung und Zertifizierung nach ISO 37301, weil sie damit in der Lage sind, der ganzen Bandbreite neuer Regelungen zu genügen. Zum anderen aber die Implementierung eines funktionierenden Rechtskatasters, um auch künftige Gesetzesänderungen im Blick zu behalten und darauf reagieren zu können.

Für beide Themen – ISO 37301 und Rechtskataster – sind wir Ihre Ansprechpartner.

Beitrag teilen
Erste Hilfe in der Pandemie

DGUV veröffentlicht Corona-Handlungshilfen

Die Deutsche Gesetzliche  Unfallversicherung e.V. (DGUV) hat eine Handlungshilfe für Ersthelfende herausgegeben, die sich mit der Ersten Hilfe im Betrieb im Umfeld der Corona (SARS-CoV-2)-Pandemie beschäftigt. Die betrieblichen Ersthelfenden sollen damit bei der Umsetzung der SARSCoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) vom 21.01.2021 und des vom Bundesministerium für Arbeit und Soziales (BMAS) gesetzten SARS-CoV-2-Arbeitsschutzstandards vom 16. April 2020 unterstützt werden.

Erläutert werden in der Handlungshilfe unter anderem die Maßnahmen zum Infektionsschutz bei der betrieblichen Ersten Hilfe. Wichtig: „Jeder und jede muss im Rahmen der Zumutbarkeit und ohne erhebliche eigene Gefährdung Erste Hilfe leisten.“ Um sich vor einer Ansteckung mit dem Corona-Virus zu schützen, gibt das Blatt Hilfestellungen zur eigenen Sicherheit, bei der Atemkontrolle,  bei der Beatmung im Rahmen einer Wiederbelebungsmaßnahme sowie vorübergehende Empfehlungen zur Ersten Hilfe für betriebliche Ersthelfende.

Die gesamte Handlungshilfe der DGUV finden Sie hier.

Die DGUV hat überdies weitere Informationen rund um die Corona-Pandemie herausgegeben:

  • Informationen für Unternehmen: Veröffentlichung FBEH-100 „Handlungshilfe für Unternehmen – Erste Hilfe im Betrieb im Umfeld der Corona (SARS-CoV-2)-Pandemie“
  • Informationen für ermächtigte Ausbildungsstellen: Veröffentlichung FBEH-102 „Handlungshilfe für ermächtigte Ausbildungsstellen – Erste Hilfe im Betrieb im Umfeld der Corona (SARS-CoV-2)- Pandemie“
Beitrag teilen