Eine Compliance-Organisation ist eine Organisationseinheit innerhalb eines Unternehmens, die für die Einhaltung von Gesetzen, Vorschriften und unternehmensinternen Vorgaben verantwortlich ist. Sie kann als eigenständige Abteilung oder als Teil einer anderen Abteilung, z. B. der Rechtsabteilung, organisiert sein.

Die Aufgaben umfassen:

  • Entwicklung und Umsetzung von Compliance-Richtlinien und -Verfahren
  • Schulung von Mitarbeitern zu Compliance-Themen
  • Überwachung der Einhaltung von Compliance-Vorgaben
  • Untersuchung von Compliance-Verstößen
  • Berichterstattung an das Top-Management

Die Compliance-Organisation spielt eine wichtige Rolle für die Unternehmenskultur und die Risikominimierung. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen Bußgelder und Strafen vermeiden, das Vertrauen von Kunden und Mitarbeitern stärken und seine Reputation schützen.

Eine effektive Organisation sollte folgende Merkmale aufweisen:

  • Unabhängigkeit: Die Compliance-Organisation sollte unabhängig von anderen Abteilungen sein, um ihre Objektivität zu gewährleisten.
  • Autorität: Die Compliance-Organisation sollte die Autorität haben, Compliance-Maßnahmen zu entwickeln und umzusetzen.
  • Ressourcen: Sie sollte über die notwendigen Ressourcen verfügen, um ihre Aufgaben effektiv zu erfüllen.
  • Unterstützung durch das Top-Management: Das Top-Management muss sich für die Compliance-Organisation einsetzen und deren Arbeit unterstützen.

Die Größe und Struktur der Organisation hängt von der Größe und Komplexität des Unternehmens sowie von den Compliance-Risiken des Unternehmens ab. Kleine Unternehmen können dafür eine einzige Person haben, während große Unternehmen eine Compliance-Abteilung mit mehreren Mitarbeitern haben können.

Unabhängig von ihrer Größe und Struktur spielt die Compliance-Organisation eine wichtige Rolle für das Unternehmen. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen vor Risiken geschützt und seine Reputation gestärkt werden.

By: Bard

Fax

Bremen: Fax nicht DSGVO-konform

[vc_row][vc_column][vc_column_text]Steht das Telefax auch mit Blick auf den Datenschutz vor dem endgültigen Aus? Vor kurzem hat Imke Sommer, Bremer Landesbeauftragte für Datenschutz, diese Technik für die Übertragung personenbezogener Daten als „in der Regel nicht geeignet“ eingestuft. Durch geänderte Technologien hätten neue Sicherheitsrisiken Einzug gehalten.

Die Datenschutzbehörde schreibt dazu auf ihrer Internetseite: „Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen.“ Zudem könne nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiere. Meist würden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandelten und diese dann an bestimmte E-Mail-Postfächer weiterleiteten.

„Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet“, zieht der Bremer Datenschutzbeauftragte als Fazit. Gemäß Artikel 9 Datenschutzgrundverordnung dürfen Fax-Dienste also für die Übertragung personenbezogener Daten bestimmter Kategorien nicht mehr genutzt werden. Dazu zählen beispielsweise die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, aber auch genetische oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person und Gesundheitsdaten.

Als Alternative werden nicht nur Ende-zu-Ende verschlüsselte E-Mails empfohlen, sondern für sensible Daten auch die herkömmliche Post. Andere Bundesländer und deren Datenschutzbeauftragte haben sich zur Frage der Verwendung von Fax-Geräten noch nicht geäußert.[/vc_column_text][/vc_column][/vc_row]

Corona

Corona in Unternehmen – Arbeitsunfall oder Berufskrankheit?

Wenn sich Menschen im Unternehmen mit dem Coronavirus infizieren, handelt es sich dann um einen Arbeitsunfall oder eine Berufskrankheit? Dazu gibt es jetzt aktuelle Informationen der Deutschen Gesetzlichen Unfallversicherung (DGUV).

Demnach kann es sich bei einer COVID-19-Erkrankung durchaus um einen Arbeitsunfall oder eine Berufskrankheit handeln. Beschäftigte sollten ihre Erkrankung daher dem Unternehmen melden, wenn davon auszugehen ist, dass sie sich im Arbeitsumfeld angesteckt haben.

Die DGUV schreibt dazu: „Arbeitgebende, Krankenkassen sowie Ärztinnen und Ärzte müssen COVID-19-Fälle der Berufsgenossenschaft oder Unfallkasse unter folgenden Voraussetzungen melden:

  • Der oder die Versicherte ist an COVID-19 erkrankt.
  • Eine Infektion mit SARS-CoV-2 ist nachgewiesen.
  • Bei der Arbeit oder in der Schule kam es zu einem intensiven Kontakt mit einer infizierten Person oder einem größeren Infektionsausbruch.
  • Bei Beschäftigten im Gesundheitswesen, in der Wohlfahrtspflege und in Laboren ist eine Berufskrankheit anzuzeigen. Hierfür stellen die Unfallversicherungsträger und die DGUV ein eigenes Formular zur Verfügung.
  • Bei Beschäftigten in anderen Branchen kann eine Erkrankung an COVID-19 ein Arbeitsunfall sein. Meldepflichtig ist dieser, wenn die Erkrankung zu einer Arbeitsunfähigkeit von mindestens drei Tagen oder zum Tode geführt hat.“

Nun kann es vorkommen, dass zwar eine Infektion mit dem Virus nachgewiesen wurde, der Beschäftigte aber keine Symptome einer Erkrankung hat. In diesem Fall empfiehlt die DGUV: „Alle Tatsachen, die mit der Infektion zusammenhängen, sollten im Verbandbuch des Unternehmens oder der Einrichtung dokumentiert werden. Kommt es nach einiger Zeit doch noch zu einer schweren Erkrankung, helfen diese Daten der Unfallkasse oder Berufsgenossenschaft bei ihren Ermittlungen. Eine spätere Meldung steht der Anerkennung als Arbeitsunfall oder Berufskrankheit nicht entgegen.“

Im Verbandbuch müssen Unternehmen gemäß Regelwerk der gesetzlichen Unfallversicherung solche Anlässe aufzeichnen, bei denen Erste Hilfe geleistet wurde. Die Aufbewahrungsfrist für diese Daten beträgt fünf Jahre. Die Aufzeichnungen dienen auch der Aufklärung bei eventuellen Spätfolgen.

Stellt ein Unternehmen fest, dass sich viele Beschäftigte infiziert haben (auch ohne Symptome), sollte es den Präventionsdienst der Berufsgenossenschaft oder Unfallkasse einschalten. Es folgt eine Überprüfung der Arbeitsbedingungen, insbesondere, ob sie die Verbreitung des Virus erleichtern. Ziel ist es, Empfehlungen aussprechen zu können, wie das Arbeitsumfeld gestaltet werden sollte, um die Ansteckungsgefahr zu reduzieren.

Wichtig ist auch folgende Information der DGUV: „Erhalten die Träger der gesetzlichen Unfallversicherung eine Unfallmeldung oder BK-Verdachtsanzeige, klären sie automatisch selbst, ob es sich um einen Versicherungsfall handelt. Weitere Anträge müssen nicht gestellt werden.“

Compliance

Gesetzgebungsflut in der Pandemie

Die Pandemie scheint die Aktivitäten bei Gesetzgebungsverfahren zu beflügeln: In den letzten Monaten hat die Regierung eine Flut von Entwürfen vorgelegt, mit denen sie unter anderem europäischen Vorgaben genügen will. Die Herausforderung: Alle neuen Regeln müssen Einzug in künftige und bestehende Compliance Management Systeme finden und im individuellen Rechtskataster der Unternehmen angepasst werden.

Neue Gesetze und Vorhaben

Stärkung genießt bei den Gesetzgebungsvorhaben aktuell offenbar hohe Priorität. So hat die Bundesregierung schon im Juni 2020 einen Entwurf des Gesetzes zur Stärkung der Integrität in der Wirtschaft (Verbandssanktionengesetz VerSanG-E) beschlossen, so dass es aktuell in Bundestag und –rat debattiert werden kann. Auch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG-E) liegt zur Diskussion vor. Das Whistleblower-Gesetz zum Schutz von Hinweisgebern wird derzeit an EU-Vorgaben angepasst. Und auch das Lieferkettengesetz, mit dem Unternehmen angehalten werden sollen, ihrer Sorgfaltspflicht in der globalen Beschaffung nachzukommen, hat der Gesetzgeber in der Pipeline.

Bedeutung für Compliance Management Systeme

Sämtliche neuen Gesetze haben maßgeblichen Einfluss auf bestehende oder künftige Compliance Management Systeme in Unternehmen. Sie beeinflussen sich zudem gegenseitig, sind aber nicht zwingend aufeinander abgestimmt. Beispiel: VerSanG und Whistleblower-Richtlinie.

Was bedeutet das für Unternehmen?

Anfang April 2021 ist der neue, international anerkannte und zertifizierbare Compliance Management Standard ISO 37301  in Kraft getreten und deckt unter anderem die Vorgaben der Whistleblower-Richtlinie ab: Deren Umsetzung ist beispielsweise eine verbindliche Vorgabe, soll ein Compliance Management System künftig nach ISO 37301 zertifiziert werden. Unternehmen müssen also kurzfristig die organisatorischen Rahmenbedingungen für ein Hinweisgeber-System schaffen, um dem neuen Standard gerecht werden zu können.

Wollen Unternehmen angesichts der kommenden Gesetzesänderungen ihr Compliance Management System anpassen oder neu aufstellen, empfiehlt sich also Zweierlei: zum einen die Ausrichtung und Zertifizierung nach ISO 37301, weil sie damit in der Lage sind, der ganzen Bandbreite neuer Regelungen zu genügen. Zum anderen aber die Implementierung eines funktionierenden Rechtskatasters, um auch künftige Gesetzesänderungen im Blick zu behalten und darauf reagieren zu können.

Für beide Themen – ISO 37301 und Rechtskataster – sind wir Ihre Ansprechpartner.

Erste Hilfe in der Pandemie

DGUV veröffentlicht Corona-Handlungshilfen

Die Deutsche Gesetzliche  Unfallversicherung e.V. (DGUV) hat eine Handlungshilfe für Ersthelfende herausgegeben, die sich mit der Ersten Hilfe im Betrieb im Umfeld der Corona (SARS-CoV-2)-Pandemie beschäftigt. Die betrieblichen Ersthelfenden sollen damit bei der Umsetzung der SARSCoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) vom 21.01.2021 und des vom Bundesministerium für Arbeit und Soziales (BMAS) gesetzten SARS-CoV-2-Arbeitsschutzstandards vom 16. April 2020 unterstützt werden.

Erläutert werden in der Handlungshilfe unter anderem die Maßnahmen zum Infektionsschutz bei der betrieblichen Ersten Hilfe. Wichtig: „Jeder und jede muss im Rahmen der Zumutbarkeit und ohne erhebliche eigene Gefährdung Erste Hilfe leisten.“ Um sich vor einer Ansteckung mit dem Corona-Virus zu schützen, gibt das Blatt Hilfestellungen zur eigenen Sicherheit, bei der Atemkontrolle,  bei der Beatmung im Rahmen einer Wiederbelebungsmaßnahme sowie vorübergehende Empfehlungen zur Ersten Hilfe für betriebliche Ersthelfende.

Die gesamte Handlungshilfe der DGUV finden Sie hier.

Die DGUV hat überdies weitere Informationen rund um die Corona-Pandemie herausgegeben:

  • Informationen für Unternehmen: Veröffentlichung FBEH-100 „Handlungshilfe für Unternehmen – Erste Hilfe im Betrieb im Umfeld der Corona (SARS-CoV-2)-Pandemie“
  • Informationen für ermächtigte Ausbildungsstellen: Veröffentlichung FBEH-102 „Handlungshilfe für ermächtigte Ausbildungsstellen – Erste Hilfe im Betrieb im Umfeld der Corona (SARS-CoV-2)- Pandemie“
2021

Compliance-Herausforderungen: Was erwartet uns 2021?

Die Entwicklungen, die uns 2020 vor große Herausforderungen gestellt haben, waren wahrlich nicht vorherzusehen: Die Corona-Pandemie hat den Prozess der Digitalisierung ebenso rasant beschleunigt wie die Flexibilität der Unternehmen, in kürzester Zeit alternative Arbeitsformen wie Homeoffice und mobile Arbeitsplätze zu ermöglichen. Das ist nur ein kleiner Ausschnitt von Herausforderungen, die auch Einfluss auf die Compliance haben und weiterhin haben werden.

Was erwarten wir für 2021? Sicher kein abruptes Ende der Corona-Pandemie, sicher kein Zurück zu alten Arbeitsformen, aber sicher die steigende Herausforderung, diese Ansprüche samt rechtskonformer Unternehmensorganisation unter einen Hut zu bringen. Das Management ist gefordert, das Compliance Management an die veränderte Situation anzupassen und für künftige Krisenfälle vorbereitet zu sein.

Mehraufwand für Compliance durch Homeoffice und Digitalisierung

Arbeiten durch Corona immer mehr Menschen im Homeoffice oder zumindest an mobilen Arbeitsplätzen, steigen zugleich die Anforderungen an Compliance: Die Möglichkeiten der Kontrolle im Unternehmen vor Ort gehen zurück, die Gefahr beispielsweise durch fehlenden Datenschutz, Datenmissbrauch, Korruption und Betrug wird möglicherweise steigen. Die Bedingungen, die bereits während der globalen Finanz- und Wirtschaftskrise 2008/2009 zu einem Anstieg von Compliance-Verstößen bis hin zum Betrug führten, können wir auch heute beobachten: wirtschaftliche Unsicherheit, fehlende Kontrolle und enorme Herausforderungen im Bereich der IT und Digitalisierung.

Die Unternehmen sind auch jetzt wieder gefordert, in sichere digitale Lösungen zu investieren und die Compliance-Kultur in der gesamten Organisation weiter zu implementieren – einschließlich geeigneter Kontrollmechanismen. Ein Instrument wird dabei die Umsetzung der EU-Whistleblower-Richtlinie in nationales Recht sein. Sie sieht vor, dass Unternehmen mit mehr als 50 Mitarbeitern Hinweisgeber rechtlich schützen und sichere Meldekanäle zur Verfügung stellen müssen. Whistleblower dürfen weder zivil-, noch straf- oder verwaltungsrechtlich haftbar gemacht werden. Der ab Anfang 2021 gültige Compliance-Standard ISO 37301 greift diese Richtlinie bereits auf und macht die Umsetzung zur verbindlichen Vorgabe, soll ein Compliance Management System künftig zertifiziert werden. Unternehmen müssen also kurzfristig die organisatorischen Rahmenbedingungen für ein Hinweisgeber-System schaffen, um der ISO 37301 gerecht werden zu können.

Druck zur Kontrolle wächst

In 2021 ist durch den wirtschaftlichen Druck einerseits und die zunehmend dezentralen Arbeitsstrukturen andererseits außerdem zu erwarten, dass Share- und Stakeholder verstärkte Kontrolle fordern. Das heißt, dass Compliance Manager noch stärker gefordert sein werden, Compliance-Risiken im Unternehmen genauer zu analysieren und zu bewerten, um sie beherrschbar zu machen.

Hier gibt ihnen der neue Compliance Standard ISO 37301 geeignete Werkzeuge an die Hand. Im Gegensatz zu allen bisherigen Compliance-Standards ist ISO 37301 von allen Prüforganisationen zertifizierbar. Damit können Unternehmen ihre gesetzeskonforme Organisation nach innen und außen dokumentieren – eine wichtige vertrauensbildende Maßnahme. Zugleich schafft ISO 37301 eine wichtige Orientierung und Grundlage, damit sich Führungskräfte und Mitarbeiter im Sinne ihres Compliance Management Systems regelkonform verhalten.

Wir erwarten also, dass die Umsetzung der Whistleblower-Richtlinie und der neuen ISO 37301 zu den wichtigsten Aufgaben im Compliance Management der Unternehmen in 2021 gehören wird. Wir stehen bereit, sie dabei zu unterstützen.

Arbeiten daheim

Compliance gilt auch bei der Arbeit daheim

Die Infektionszahlen schnellen aktuell in die Höhe, Corona nimmt nach einer vermeintlichen Verschnaufpause im Sommer in diesen Wochen wieder deutlich Fahrt auf. Damit rückt auch das Arbeiten daheim erneut in den Fokus der Unternehmen. Dabei sollte das Thema Compliance nicht außer Acht bleiben.

Es ist nicht davon auszugehen, dass jeder, der aktuell daheim statt im gewohnten Büro arbeitet, einen gleichwertigen Arbeitsplatz wie jenseits der Pandemie hat. Doch die Compliance-Regeln eines Unternehmens sind nicht außer Kraft. Auch daheim gelten beispielsweise die Regeln zum Datenschutz, zu IT-Sicherheit, zur persönlichen Integrität und zu Unternehmenswerten. Zugleich steigt die Gefahr, ohne den Austausch mit Kollegen und nicht eingebunden in die normalen Unternehmensprozesse Opfer von Betrügern zu werden. Rüdiger Kirsch, Vorsitzender der AG Vertrauensschadenversicherung im Gesamtverband der Deutschen Versicherungswirtschaft (GDV), warnte schon im Mai dieses Jahres: „Viele Compliance-Regeln und Sicherheitsvorkehrungen haben es nicht mit ins Home Office geschafft.“

Wie aber können Unternehmen sicherstellen, dass das Virus nicht auch die Compliance angreift? Wie schützen sich Mitarbeiter im Homeoffice beispielsweise vor Betrügern?

Im Beitrag von Rüdiger Kirsch heißt es dazu:

  • „Das 4-Augen-Prinzip muss auch im Home-Office gelten. Bei größeren Überweisungen sind ein 6-Augen-Prinzip und ein zweiter Kommunikationsweg besser, dafür können Sie sich zum Beispiel den Inhalt einer Mail-Anweisung telefonisch bestätigen lassen.
  • Prüfen Sie jede Änderung von Kontodaten bei Kunden oder Lieferanten und alle internen wie externen Aufträge, die Ihnen seltsam vorkommen.
  • Nutzen Sie für die Kontaktaufnahme zur Gegenprüfung Ihnen bekannte Telefonnummern und Mail-Adressen. Liegt ein Betrugsversuch vor, erreichen Sie über den „Antworten-Button“ doch wieder nur die Kriminellen.
  • Viele Kriminelle werden versuchen, Sie unter Zeitdruck zu setzen. Haben Sie die wichtigsten Telefonnummern daher immer griffbereit.
  • Wappnen Sie sich gegen die Gefahr durch Stimmensimulatoren – nehmen Sie niemals Zahlungsanweisungen am Telefon entgegen und schon gar nicht per WhatsApp-Sprachnachricht. Bestehen Sie stattdessen auf einer schriftlichen Bestätigung des Gesagten.
  • Nutzen Sie niemals Ihre berufliche E-Mail-Adresse oder Passwörter für private Zwecke im Internet!
  • Nutzen Sie umgekehrt auch keine privaten oder öffentlich zugänglichen Computer für dienstliche Zwecke. Wenn Sie im Home Office ihren privaten Computer nutzen müssen, besprechen Sie die nötigen Sicherheitsvorkehrungen mit dem IT-Verantwortlichen.“

Gefährdungsbeurteilung der Mitarbeiter

Doch nicht nur das Betrugsrisiko in Corona-Zeiten im Homeoffice kann steigen. Arbeitgeber sollten außerdem die Gefährdungen bei oft nur temporären Arbeitsplätzen in der Gefährdungsbeurteilung berücksichtigen und die Mitarbeiter für die „Gefährdungen in der privaten Umgebung“ sensibilisieren.

SAT hat vor diesem Hintergrund eine Gefährdungsbeurteilung “Häusliche Arbeitsumgebung” erstellt. Sie können dieses Modul bei uns im Excel und PDF Format für 39,00 Euro beziehen. Weitere standardisierte, aber auch individuelle Module zur Gefährdungsbeurteilung liefern wir gerne auf Anfrage. Sprechen Sie mit uns, wir beraten Sie gern und umfassend.

VerSanG

VerSanG geht auf die Zielgerade, ISO 37301 folgt

In ein funktionierendes Compliance Management System investieren? Unternehmen und Führungskräfte, die das bislang für zu aufwändig, unnötig oder zu teuer hielten, bekommen mit dem Gesetz zur Sanktionierung von verbandsbezogenen Straftaten (VerSanG) künftig eine Extra-Portion Motivation, sich mit der Regelkonformität in ihrer Organisation zu beschäftigen: Können Straftaten, die  durch juristische Personen und Personenvereinigungen begangen werden, nach geltendem Recht bislang nur mit einer Geldbuße als Ordnungswidrigkeit bestraft werden, gibt das neue VerSanG den Verfolgungsbehörden und Gerichten ein scharfes und flexibles Sanktionsinstrumentarium an die Hand und schafft erstmals verbandsspezifische Zumessungskriterien sowie ein Verbandssanktionenregister. „Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Unternehmen mit internen Untersuchungen dazu beitragen, Straftaten aufzuklären“, heißt es seitens Bundesjustizministerium (Quelle). Das VerSanG ist Teil des neuen Gesetzes zur Stärkung der Integrität in der Wirtschaft, das noch in dieser Legislaturperiode verabschiedet werden soll.

VerSanG ermöglicht angemessene Reaktion auf Gesetzesverstöße

Die meisten Unternehmen in Deutschland verhalten sich nach Ansicht der Gesetzgeber durchaus rechtstreu. Deshalb richtet sich die Neuregelung vor allem gegen die Minderheit, die sich auf Kosten anderer einen  illegitimen Vorteil verschafft, den Ruf der Wirtschaft und das Vertrauen in den Rechtsstaat schädigt.

Das Ministerium beschreibt die bisherige Gesetzeslage so: „Eine angemessene Reaktion auf Unternehmenskriminalität ist damit nicht möglich. Die Höchstgrenze des Ahndungsteils der Verbandsgeldbuße von zehn Millionen Euro gilt unabhängig von der Verbandsgröße; sie lässt insbesondere gegenüber finanzkräftigen multinationalen Konzernen keine empfindliche Sanktion zu und benachteiligt damit kleinere und mittelständische Unternehmen. Konkrete und nachvollziehbare Zumessungsregeln für Verbandsgeldbußen fehlen ebenso wie rechtssichere Anreize für Investitionen in Compliance. Das geltende Recht legt die Verfolgung auch schwerster Unternehmenskriminalität zudem allein in das Ermessen der zuständigen Behörden, was zu einer uneinheitlichen und unzureichenden Ahndung geführt hat. Verbandstaten deutscher Unternehmen im Ausland können vielfach nicht verfolgt werden.“

Strafen hängen von funktionierendem Compliance Management ab

Das soll sich absehbar ändern: Der Entwurf verfolge das Ziel, die Sanktionierung von Verbänden, deren Zweck auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, auf eine eigenständige gesetzliche Grundlage zu stellen, sie dem Legalitätsprinzip zu unterwerfen und durch ein verbessertes Instrumentarium eine angemessene Ahndung von Verbandstaten zu ermöglichen.  Wie hoch die Strafe für regelwidriges Verhalten einer Organisation, ihrer Führungskräfte und Mitarbeiter künftig ausfällt, wird nach VerSanG davon abhängen, ob sie ein wirkungsvolles Compliance Management System eingerichtet hat und der Pflicht nachkommt, strafbares Verhalten zu unterbinden sowie bei Regelverstößen dafür sorgt, dass betriebliche Abläufe umgestaltet werden, damit „vergleichbare Normverletzungen zukünftig jedenfalls deutlich erschwert werden“.

Was sind angemessene Maßnahmen gegen Normverletzungen?

Doch was sind angemessene Maßnahmen und wie wird ein angemessenes und wirksames CMS ausgestaltet? Dieser Frage gehen Jan-Hendrik Gnändiger, Timo Herold in ihrem Beitrag vom 3.8.2020 in Springer Professional nach. Darin heißt es: „Um Compliance-Risiken und -Verstöße aktiv zu managen, folgen Compliance-Management-Systeme einem Regelkreis-Prinzip. Das heißt, festgelegte Regeln, Maßnahmen und Kontrollen des CMS werden immer wieder in der Unternehmensrealität geprüft und stetig verbessert. Ausgangspunkt ist eine detaillierte Risikoanalyse, welche die sensitiven Rechtsgebiete für Compliance-Verstöße und somit Verbandstaten und den damit verbundenen Compliance-Risiken identifiziert.

Im zweiten Schritt sind präventive Maßnahmen zu ergreifen, um diese Risiken aktiv zu steuern. Hierzu zählt, Richtlinien zu verfassen oder diese zu aktualisieren sowie entsprechende Kontrollen und Prozesse zu etablieren. Um die Akzeptanz der Mitarbeiter hinsichtlich der Maßnahmen und damit auch die Regeltreue der Mitarbeiter selbst zu fördern, empfehlen sich begleitende Kommunikationsmaßnahmen, um eine Compliance-Kultur zu schaffen. Diese Kultur kann zudem durch die Einführung entsprechender Anreizsysteme bei der Vergütung gefördert werden.“

Neben der Prävention solle ein CMS auch Elemente zur Aufdeckung haben, um Verstöße gegen die Regelungen zu identifizieren. Dies sei notwendig, um im Ernstfall angemessen reagieren zu können. Dies sei auch nach dem VerSanG-E wichtig, da bei einem Verstoß die im Nachhinein getroffenen Maßnahmen nur dann berücksichtigt würden, wenn dies vom Unternehmen selbst erkannt und angezeigt wurde.

„Zudem lassen sich durch die Überwachung des Systems auch Schwachstellen und Optimierungspotenziale am System erkennen und damit Verbesserungen am System anstoßen (react). Deshalb sollte ein wirksames CMS neben der anlassbezogenen Überwachung (Investigation) auch die regelmäßige prozessintegrierte und prozessunabhängige Überwachung beinhalten“, schreiben Gnändiger und Herold weiter.

Nachweis durch international zertifizierbare Norm ISO 37301

Zusätzlich zu „Vorsorge“, „Aufdeckung“ und „Reaktion“ halten wir es für wichtig, dass Unternehmen ihre konsequente Ausrichtung auf Compliance auch nach außen gegenüber Share- und Stakeholdern dokumentieren können. Dafür ist eine weitere wichtige Neuregelung in der Entwicklung: Mit der ISO 37301 entsteht derzeit eine zertifizierbare Compliance-Norm, die international anwendbar sein wird. SAT ist daher nicht nur bei der Einführung und Umsetzung eines funktionierenden Compliance Management Systems Ihr Partner, sondern führt Ihre Organisation bis zur erfolgreichen Zertifizierung.

Risiken des Homeoffice

Lesenswerter Artikel zu Risiken des Homeoffice

Ein lesenswerter Artikel ist am 8. Juli 2020 im Haufe-Verlag erschienen: Autor Jens Carsten Laue titelt “Corporate Governance im Stresstest: Die Aufrechterhaltung der Überwachungssysteme im Homeoffice“, es geht um die gerade zu Corona-Zeiten sehr aktuellen Risiken des Homeoffice. SAT bietet in diesem Zusammenhang seit März 2020 unter anderem eine Gefährdungsbeurteilung “Häusliche Arbeitsumgebung”. Der aktuelle Artikel […]

ISO 37301

ISO 37301: Erster Entwurf liegt vor

Es geht voran: Das Technische Komitee ISO/TC309 „Governance of organizations“ hat den ersten Entwurf der neuen internationalen Norm ISO37301:2020 vorgelegt. Die ISO 37301 beschreibt die Anforderungen an Organisationen jeder Größenordnung und Branche für die Installation eines wirkungsvolles Compliance Management Systems. Die internationale Norm wird künftig zertifizierbar sein. Erhältlich ist der Entwurf beim Berliner Beuth Verlag. Außerdem können sich Interessenten mit SAT austauschen.

Im Entwurf heißt es dazu: „Organisationen, die langfristig erfolgreich sein möchten, müssen eine Kultur der Integrität und Compliance in Anbetracht der Bedürfnisse und Erwartungen interessierter Parteien einführen und aufrechterhalten. Integrität und Compliance sind daher nicht nur die Grundlage, sondern auch eine Möglichkeit für eine erfolgreiche und nachhaltige Organisation. […] Ein effektives organisationsweites Compliance-Managementsystem ermöglicht es einer Organisation, ihre Verpflichtung zur Einhaltung relevanter Gesetze einschließlich legislativer Anforderungen, Industrievorschriften und Organisationnormen sowie der Normen der guten Unternehmensführung, besten Praktiken, ethischen Grundsätze und Erwartungen der Gesellschaft zu beweisen.“

Die ISO 37301 legt künftig Leitlinien für Compliance-Managementsysteme und empfohlene Praktiken fest. Sie soll  eine Organisation bei der Verbesserung des allgemeinen Managements ihrer Compliance- Verpflichtungen unterstützen.

SAT steht für Umsetzung der ISO 37301 bereit

„Wir erwarten, dass die ISO 37301 dieselbe Bedeutung für Unternehmen bekommen wird wie die 2018 in Kraft getretene EU-Datenschutzgrundverordnung“, betonen die SAT-Geschäftsführer Jochen Wilckens und Stefan Pawils. „Wichtig ist die Praxisrelevanz des neuen Standards. Ein wirkungsvolles Compliance Management System muss auf allen Ebenen einer Organisation umgesetzt und gelebt werden. Dafür stehen wir mit unseren Beratern bereit.“ Was SAT für Unternehmen bietet, lesen Sie hier.