Eine Compliance-Organisation ist eine Organisationseinheit innerhalb eines Unternehmens, die für die Einhaltung von Gesetzen, Vorschriften und unternehmensinternen Vorgaben verantwortlich ist. Sie kann als eigenständige Abteilung oder als Teil einer anderen Abteilung, z. B. der Rechtsabteilung, organisiert sein.

Die Aufgaben umfassen:

  • Entwicklung und Umsetzung von Compliance-Richtlinien und -Verfahren
  • Schulung von Mitarbeitern zu Compliance-Themen
  • Überwachung der Einhaltung von Compliance-Vorgaben
  • Untersuchung von Compliance-Verstößen
  • Berichterstattung an das Top-Management

Die Compliance-Organisation spielt eine wichtige Rolle für die Unternehmenskultur und die Risikominimierung. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen Bußgelder und Strafen vermeiden, das Vertrauen von Kunden und Mitarbeitern stärken und seine Reputation schützen.

Eine effektive Organisation sollte folgende Merkmale aufweisen:

  • Unabhängigkeit: Die Compliance-Organisation sollte unabhängig von anderen Abteilungen sein, um ihre Objektivität zu gewährleisten.
  • Autorität: Die Compliance-Organisation sollte die Autorität haben, Compliance-Maßnahmen zu entwickeln und umzusetzen.
  • Ressourcen: Sie sollte über die notwendigen Ressourcen verfügen, um ihre Aufgaben effektiv zu erfüllen.
  • Unterstützung durch das Top-Management: Das Top-Management muss sich für die Compliance-Organisation einsetzen und deren Arbeit unterstützen.

Die Größe und Struktur der Organisation hängt von der Größe und Komplexität des Unternehmens sowie von den Compliance-Risiken des Unternehmens ab. Kleine Unternehmen können dafür eine einzige Person haben, während große Unternehmen eine Compliance-Abteilung mit mehreren Mitarbeitern haben können.

Unabhängig von ihrer Größe und Struktur spielt die Compliance-Organisation eine wichtige Rolle für das Unternehmen. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen vor Risiken geschützt und seine Reputation gestärkt werden.

By: Bard

ISO 37301

ISO 37301: Erster Entwurf liegt vor

Es geht voran: Das Technische Komitee ISO/TC309 „Governance of organizations“ hat den ersten Entwurf der neuen internationalen Norm ISO37301:2020 vorgelegt. Die ISO 37301 beschreibt die Anforderungen an Organisationen jeder Größenordnung und Branche für die Installation eines wirkungsvolles Compliance Management Systems. Die internationale Norm wird künftig zertifizierbar sein. Erhältlich ist der Entwurf beim Berliner Beuth Verlag. Außerdem können sich Interessenten mit SAT austauschen.

Im Entwurf heißt es dazu: „Organisationen, die langfristig erfolgreich sein möchten, müssen eine Kultur der Integrität und Compliance in Anbetracht der Bedürfnisse und Erwartungen interessierter Parteien einführen und aufrechterhalten. Integrität und Compliance sind daher nicht nur die Grundlage, sondern auch eine Möglichkeit für eine erfolgreiche und nachhaltige Organisation. […] Ein effektives organisationsweites Compliance-Managementsystem ermöglicht es einer Organisation, ihre Verpflichtung zur Einhaltung relevanter Gesetze einschließlich legislativer Anforderungen, Industrievorschriften und Organisationnormen sowie der Normen der guten Unternehmensführung, besten Praktiken, ethischen Grundsätze und Erwartungen der Gesellschaft zu beweisen.“

Die ISO 37301 legt künftig Leitlinien für Compliance-Managementsysteme und empfohlene Praktiken fest. Sie soll  eine Organisation bei der Verbesserung des allgemeinen Managements ihrer Compliance- Verpflichtungen unterstützen.

SAT steht für Umsetzung der ISO 37301 bereit

„Wir erwarten, dass die ISO 37301 dieselbe Bedeutung für Unternehmen bekommen wird wie die 2018 in Kraft getretene EU-Datenschutzgrundverordnung“, betonen die SAT-Geschäftsführer Jochen Wilckens und Stefan Pawils. „Wichtig ist die Praxisrelevanz des neuen Standards. Ein wirkungsvolles Compliance Management System muss auf allen Ebenen einer Organisation umgesetzt und gelebt werden. Dafür stehen wir mit unseren Beratern bereit.“ Was SAT für Unternehmen bietet, lesen Sie hier.

Beitrag teilen
Gesetz zur Stärkung der Integrität in der Wirtschaft

Veröffentlicht: Gesetz zur Stärkung der Integrität in der Wirtschaft

Neuer Titel, gleiches Anliegen: Bundesjustizministerin Christine Lambrecht hat kürzlich das Gesetz zur Stärkung der Integrität in der Wirtschaft veröffentlicht, das bereits seit 2019 als „Gesetz zur Bekämpfung der Unternehmenskriminalität“ diskutiert wird. Damit soll es künftig möglich werden, Unternehmen, die für Straftaten wie Korruption oder Betrug verantwortlich sind, mit bis zu zehn Prozent ihres Jahresumsatzes zu belangen. Der Titel wurde geändert, um zu betonen, dass sich die meisten Firmen korrekt verhalten. Länder und Verbände können nun bis zum 12. Juni 2020 Stellung zum Gesetzentwurf nehmen.

Gesetz schafft Anreize für Compliance-Management-System

Egal, wie das Gesetz am Ende des Tages heißt: Es wird schon allein durch das neue Strafmaß einen Anreiz liefern, in Unternehmen Compliance-Management-Systeme (CMS) einzurichten und umzusetzen. Waren bislang die Bußgelder für wirtschaftskriminelle Straftaten gemäß dem Gesetz über Ordnungswidrigkeiten (OWiG) auf maximal 10 Millionen Euro begrenzt (und taten damit großen Konzernen kaum weh), können demnächst 10 Prozent des Jahresumsatzes leicht in dreistellige Millionenhöhe steigen. Ein funktionierendes CMS aber wird künftig erheblichen Einfluss auf die Höhe der Strafe haben. Damit reduziert das Unternehmen sein Risiko nicht regelkonformen Verhaltens innerhalb der Organisation und kommt zugleich seinen Pflichten der Leitung, Organisation und Kontrolle nach.

Verbandsstraftaten müssen verfolgt werden – auch im Ausland

Bislang legte das geltende Recht die Verfolgung auch schwerster Unternehmenskriminalität allein in das Ermessen der zuständigen Behörden. Uneinheitliche und unzureichende Ahndung war das Ergebnis, Verbandsstraftaten deutscher Unternehmen konnten im Ausland vielfach nicht verfolgt werden. Nun aber wird mit dem Gesetz zur Stärkung der Integrität in der Wirtschaft das Legalitätsprinzips eingeführt: Staatsanwaltschaften müssen künftig ein Ermittlungsverfahren bei allen Verbandsstraftaten einleiten. Kriminelle Machenschaften von Unternehmen mit Sitz im Inland können auch im Ausland verfolgt werden.

Nicht mehr im Referentenentwurf enthalten ist hingegen die Verbandsauflösung als Konsequenz nicht rechtskonformen Verhaltens.

Bundesjustizministerium schafft Verbandssanktionenregister

„Das für bloßes Verwaltungsunrecht konzipierte OWiG und sein Verfahrensrecht sind insgesamt keine zeitgemäße Grundlage mehr für die Verfolgung und Ahndung kriminellen Unternehmensverhaltens. Der Entwurf verfolgt das Ziel, die Sanktionierung von Verbänden, deren Zweck auf einen wirtschaftlichen Geschäftsbetrieb gerichtet ist, auf eine eigenständige gesetzliche Grundlage zu stellen, sie dem Legalitätsprinzip zu unterwerfen und durch ein verbessertes Instrumentarium eine angemessene Ahndung von Verbandstaten zu ermöglichen. Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Unternehmen mit internen Untersuchungen dazu beitragen, Straftaten aufzuklären“, heißt es vom Bundesjustizministerum zum Referentenentwurf vom 22. April 2020 über das Gesetz zur Stärkung der Integrität in der Wirtschaft. Verfolgungsbehörden und Gerichten bekämen ein ausreichend scharfes und zugleich flexibles Sanktionsinstrumentarium an die Hand, das Gesetz schaffe erstmals verbandsspezifische Zumessungskriterien sowie ein Verbandssanktionenregister. Das bisher im Ordnungswidrigkeitenrecht nur rudimentär geregelte Verbandsverfahren werde neu geordnet, verbandsspezifische Einstellungsvorschriften gewährleisteten die in der Praxis erforderliche Verfolgungsflexibilität und erlaubten insbesondere die Berücksichtigung von Compliance-Maßnahmen. „Auch die Mitwirkung des Verbandes am Verfahren durch Durchführung interner Untersuchungen wird geregelt und mit Sanktionsmilderungen verbunden“, so das Ministerium.

Verbandssanktionenregister

Im Referentenentwurf zum Gesetz zur Stärkung der Integrität in der Wirtschaft heißt es zum geplanten Verbandssanktionenregister: „Das Bundesamt für Justiz als Registerbehörde führt ein Verbandssanktionenregister. Das Register enthält:

  1. rechtskräftige gerichtliche Entscheidungen über die Verhängung von Verbandssanktionen,
  2. rechtskräftige Entscheidungen über die Festsetzung einer Geldbuße nach § 30 des Gesetzes über Ordnungswidrigkeiten, wenn die Geldbuße mehr als dreihundert Euro beträgt.

Wird aus mehreren Einzelsanktionen nachträglich eine Gesamtsanktion gebildet, so ist auch diese in das Register einzutragen.“

Durch unsere Auditorentätigkeit hat SAT zum einen große Erfahrung im Hinblick auf die Anforderungen an ein Compliance Management System. Zum anderen haben wir bereits mehrere CMS Systeme implementiert. Sprechen Sie mit uns, wenn Sie Fragen haben.

Beitrag teilen
Arbeitsschutzstandard Covid 19

Neuer Arbeitsschutzstandard COVID 19

Ende vergangener Woche hat Bundesarbeitsminister Hubertus Heil gemeinsam mit Dr. Stefan Hussy, Hauptgeschäftsführer der Deutschen Gesetzlichen Unfallversicherung (DGUV) den neuen Arbeitsschutzstandard COVID 19 vorgestellt. Er soll ab sofort in allen Betrieben umgesetzt werden. “Ein betrieblicher Infektionsschutzstandard, der die notwendigen zusätzlichen Schutzmaßnahmen zum Schutz der Beschäftigten vor SARS-CoV-2 beschreibt, soll den Menschen die notwendige Sicherheit geben, ihre Arbeit wieder aufzunehmen”, heißt es zu den Zielen des Arbeitsschutzstandards in einer Pressemitteilung des Bundesarbeitsministeriums. Mit der Umsetzung von Arbeitsschutzstandard Covid 19 werden die Arbeitgeber ihrer Verantwortung für die Sicherheit und den Gesundheitsschutz ihrer Mitarbeiter gerecht. Lesen Sie die Details hier.

Bereits zuvor hatte die DGUV gemeinsam mit dem Verband Deutscher Betriebs- und Werksärzte und dem Verband für Sicherheit, Gesundheit und Umweltschutz bei der Arbeit außerdem eine nützliche Checkliste mit 10 Tipps veröffentlicht, die bei der betrieblichen Pandemieplanung hilft. Sie gibt Antworten auf Fragen wie “Was ist genau zu tun, wenn ein Mitarbeiter sich mit dem Corona-Virus infiziert hat oder der begründete Verdacht auf eine Infektion besteht?” Sie erhalten die Tipps hier.

Beitrag teilen
Häusliche Arbeitsumgebung

Gefährdungsbeurteilung “Häusliche Arbeitsumgebung”

Aktuell arbeiten zahlreiche Mitarbeiter aufgrund der Corona-Krise von zu Hause, um die Anordnung der Reduzierung von persönlichen Kontakten einzuhalten. Nicht jeder Mitarbeiter hat dabei die Möglichkeit, auf einen eigens dafür eingerichteten Arbeitsraum im Sinne eines Home Office zurückzugreifen. Viele Mitarbeiter arbeiten an Küchen- oder Esstischen bzw. haben nur kleine Nischen mit kleinen Tischplatten zur Verfügung. Hinzu kommen Einflüsse aus der häuslichen Umgebung, wie zum Beispiel Störungen der Konzentration (spielende Kinder, die aktuell nur zu Hause betreut werden können, laufende Haushaltsgeräte, weitere in häuslicher Umgebung arbeitende Personen) oder nicht mit den Anforderungen an Arbeitsplätze einhergehende Wohnungseinrichtungen.

Arbeitgeber sollten die Gefährdungen bei diesen temporären, nicht mit Home Office-Arbeitsplätzen vergleichbaren Arbeitsplätzen in der Gefährdungsbeurteilung berücksichtigen und die Mitarbeiter für die „Gefährdungen in der privaten Umgebung“ sensibilisieren.

Dieses Modul können Sie bei uns sofort und direkt im Excel und PDF Format für 39,00 Euro beziehen. Weitere standardisierte, aber auch individuelle Module zur Gefährdungsbeurteilung liefern wir gerne auf Anfrage. Sprechen Sie mit uns, wir beraten Sie gern und umfassend.

Beitrag teilen
Gefährdungsbeurteilung

Gefährdungsbeurteilung “Corona Virus”

Arbeitgeberinnen und Arbeitgeber sind für die Sicherheit und den Gesundheitsschutz der Beschäftigten verantwortlich: Die Erstellung einer Gefährdungsbeurteilung gibt ihnen Rechtssicherheit im Schadensfall. Gerade in der jetzigen Situation mit dem Corona-Virus besteht eine besondere Fürsorgepflicht gegenüber den Mitarbeitern. Deshalb sollte die betriebliche Gefährdungsbeurteilung um die Bewertung der Risiken hinsichtlich des Corona-Virus erweitert werden.

Im Rahmen des modularen Ansatzes der SAT (Vermeidung von Doppelbeschreibungen) zur Erstellung von Gefährdungsbeurteilungen, getrennt nach Tätigkeit, Arbeitsumgebung, Arbeitsmittel, haben wir unsere Standardmodule um das Modul „Gefährdungsbeurteilung Corona Virus“ erweitert.

Dieses Modul können Sie bei uns sofort und direkt im Excel und PDF Format für 39,00 Euro beziehen. Weitere standardisierte, aber auch individuelle Module zur Gefährdungsbeurteilung liefern wir gerne auf Anfrage. Sprechen Sie mit uns, wir beraten Sie gern und umfassend.

Beitrag teilen
Weihnachten und Compliance

Weihnachten und Compliance – ein Konflikt?

Weihnachten und Compliance, ein Duo, das es in sich haben kann. Weil auch in der Geschäftswelt Geschenke die Freundschaft erhalten, überreichen viele Unternehmen ihren Geschäftspartnern kleine oder größere Aufmerksamkeiten. Doch gerade die Größe ist dabei der entscheidende Faktor: Könnte das Geschenk als Bestechung gewertet werden, bringt es nicht nur dem Schenkenden, sondern auch dem Beschenkten im Zweifelsfall mehr Ärger als Freude ein. Unternehmen sollten klare Compliance-Richtlinien auch für die Annahme von Geschenken definieren.

Schenkender und Beschenkter können sich strafbar machen

Im Strafgesetzbuch heißt es in § 299 zu „Bestechlichkeit und Bestechung im geschäftlichen Verkehr“: „Mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe wird bestraft, wer im geschäftlichen Verkehr als Angestellter oder Beauftragter eines Unternehmens einen Vorteil für sich oder einen Dritten als Gegenleistung dafür fordert, sich versprechen lässt oder annimmt, dass er bei dem Bezug von Waren oder Dienstleistungen einen anderen im inländischen oder ausländischen Wettbewerb in unlauterer Weise bevorzuge, oder ohne Einwilligung des Unternehmens einen Vorteil für sich oder einen Dritten als Gegenleistung dafür fordert, sich versprechen lässt oder annimmt, dass er bei dem Bezug von Waren oder Dienstleistungen eine Handlung vornehme oder unterlasse und dadurch seine Pflichten gegenüber dem Unternehmen verletze.“ Dieselben Strafen drohen im Übrigen auch dem Beschenkten.

Keine definierte Wertgrenze für Geschenke

Das grundsätzliche Problem: Bis wohin ein Geschenk noch eine kleine Aufmerksamkeit und ab wann es bereits ein Bestechungsversuch ist, ist nirgends klar definiert. Als grober Anhaltspunkt kann die Stellung des Beschenkten im Unternehmen herhalten: Teurer Champagner für einen Angestellten auf mittlerer Ebene „riecht“ nach Beeinflussung, dasselbe Geschenk für einen Geschäftsführer kann hingegen in Ordnung sein. Es kommt also auf die Verhältnismäßigkeit an. Auch hat die aktuelle Beziehung zwischen Beschenktem und Schenkendem eine Rolle: Sind beide gerade in Vertragsverhandlungen, könnte ein Geschenk der Versuch einer Manipulation sein. Dabei ist auch die Größe des Geschenkes unerheblich. Geschenke an Einkäufer laufen fast immer Gefahr, als Beeinflussung verstanden zu werden. Auf der anderen Seite gibt es kleine Zuwendungen, die fast immer „sozialadäquat“ und damit vertretbar sind. Darunter fallen beispielsweise Kugelschreiber oder Kalender.

Compliance-Richtlinie für Geschenke

Das Gesetz schreibt keine Werte vor, die je nach Situation korrekt sein könnten. Die sicherste Lösung finden Unternehmen daher am besten mit einer Compliance-Richtlinie zu diesem Thema. Darin kann definiert sein, ob Geschenke generell abgelehnt werden müssen oder bis zu welcher Höhe Geschenke ohne Rücksprache mit einem Vorgesetzten angenommen werden dürfen. Eine Grenze könnte beispielsweise bei 35 Euro liegen, weil bis zu diesem Wert Geschenke an Geschäftspartner für den Schenkenden steuerlich absetzbar sind. Außerdem empfiehlt es sich, Geschenke oder auch Veranstaltungseinladungen genau zu dokumentieren, um das ganze Thema transparent und nachvollziehbar zu gestalten.

Wichtig: Betrachten Sie nicht nur Ihre eigenen Compliance-Richtlinien als Schenkender, sondern gegebenenfalls auch die unternehmensinternen Regeln des Beschenkten. Ansonsten kann das Geschenk vieles auslösen – nur nicht den Erhalt der geschäftlichen Freundschaft.

Das SAT-Team wünscht Ihnen und Ihren Familien ein gesegnetes Weihnachtsfest und einen guten Rutsch in ein erfolgreiches 2020.

Unternehmenskriminalität

Neues Gesetz gegen Unternehmenskriminalität geplant

Die Bundesregierung plant aktuell das „Gesetz zur Sanktionierung von verbandsbezogenen Straftaten“ zur Bekämpfung der Unternehmenskriminalität. Ein entsprechender Referentenentwurf liegt seit geraumer Zeit vor. Damit soll nicht nur die Bußgeldhöhe bei Unternehmensdelikten steigen. Auch der Anreiz zur Umsetzung von Compliance-Management-Systemen in Unternehmen steigt.

Zum Hintergrund: Straftaten durch Unternehmen sind nach geltendem Recht Ordnungswidrigkeiten und können bislang nur mit einer Geldbuße nach dem Gesetz über Ordnungswidrigkeiten (OWiG) bestraft werden. Damit aber lässt sich auf Unternehmenskriminalität nicht angemessen reagieren. Auch die maximale Höhe der Strafe von zehn Millionen Euro unabhängig von der Unternehmensgröße ist für Großkonzerne keine spürbare Sanktion und darüber hinaus nicht angemessen gegenüber kleinen und mittelständischen Unternehmen, die dasselbe Strafmaß erwartet. „Konkrete und nachvollziehbare Zumessungsregeln für Verbandsgeldbußen fehlen ebenso wie rechtssichere Anreize für Investitionen in Compliance“, heißt es im Referentenentwurf aus dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV). Das geltende Recht lege die Verfolgung auch schwerster Unternehmenskriminalität zudem allein in das Ermessen der zuständigen Behörden, was zu einer uneinheitlichen und unzureichenden Ahndung geführt habe. Verbandsstraftaten deutscher Unternehmen im Ausland könnten vielfach nicht verfolgt werden.

Der Entwurf verfolgt laut BMJV das Ziel, die Sanktionierung von Verbänden auf eine eigenständige gesetzliche Grundlage zu stellen und eine angemessene Ahndung von Verbandsstraftaten zu ermöglichen. „Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Unternehmen mit internen Untersuchungen dazu beitragen, Straftaten aufzuklären.“

Was sieht das Gesetz konkret vor?

Eine Verbandssanktion gegen ein Unternehmen sieht das Gesetz unter anderem in diesen Fällen vor:

  • Personen in leitender Funktion haben eine sogenannte Verbandsstraftat begangen oder
  • Personen in leitender Funktion verhindern oder erschweren eine Straftat nicht durch „angemessene Vorkehrungen zur Vermeidung von Verbandsstraftaten wie insbesondere Organisation, Auswahl, Anleitung und Aufsicht“.

Im Gegensatz zur bisherigen Regelung kann die Bußgeldhöhe bei einer vorsätzlichen Verbandsstraftat nun bis zu 10 Prozent des durchschnittlichen weltweiten Jahresumsatzes betragen.

Das Gericht hat die Möglichkeit, Unternehmen anzuweisen, bestimmte Vorkehrungen zu treffen, um Verbandsstrafen zu vermeiden. Diese Maßnahmen müssen durch eine sachkundige, vom Gericht genehmigte Stelle, bescheinigt werden. Darunter kann beispielsweise die Installation eine unternehmensspezifischen Compliance-Management-Systems fallen.

Schließlich kann das Gericht die Verbandsauflösung anordnen, und zwar unter anderem

  • in besonders schweren Fällen,
  • wenn Führungspersonen im Unternehmen „beharrlich erhebliche Verbandstraftaten“ begangen haben oder
  • wenn die Gefahr besteht, dass das Unternehmen weiter erhebliche Verbandsstraftaten begehen wird.

Einen erheblichen Imageverlust dürften sanktionierte Unternehmen auch dadurch erleiden, dass der Referentenentwurf neben der Verhängung einer Verbandssanktion die öffentliche Bekanntmachung der Verurteilung vorsieht. Als Medium sind dabei Zeitungen, Rundfunk oder Internet denkbar.

Als weitere Maßnahme sieht der Gesetzentwurf die Einführung eines Verbandssanktionsregisters vor. Darin sollen künftig verhängte Verbandssanktionen und Geldbußen über 300 Euro registriert werden. Einsehbar soll es aber nur für Gerichte, Staatsanwaltschaften und Behörden sein, nicht jedoch für Medienvertreter oder Geschädigte.

Wie kann eine Verbandsstrafe gemildert werden?

Der Referentenentwurf sieht vor, dass die Strafe in verschiedenen Fällen geringer ausfallen kann. Das trifft zum Beispiel dann zu, wenn

  • der Verband oder von ihm beauftragte Dritte wesentlich dazu beigetragen haben, dass die Straftat aufgeklärt werden konnte oder
  • das Unternehmen uneingeschränkt mit den Verfolgungsbehörden zusammenarbeitet.

Einen erheblichen Einfluss auf die Höhe der Strafe wird künftig außerdem ein funktionierendes Compliance-Management-System haben. Damit reduziert das Unternehmen sein Risiko nicht regelkonformen Verhaltens innerhalb der Organisation und kommt zugleich seinen Pflichten der Leitung, Organisation und Kontrolle nach.

Der Referentenentwurf betont ausdrücklich, dass diese “vor der Verbandsstraftat getroffene Vorkehrungen zur Vermeidung und Aufdeckung von Verbandsstraftaten“ bei einem Verstoß Art und die Höhe der Verbandssanktion mildern können.

Durch unsere Auditorentätigkeit hat SAT zum einen große Erfahrung im Hinblick auf die Anforderungen an ein Compliance Management System. Zum anderen haben wir bereits mehrere CMS Systeme implementiert. Sprechen Sie mit uns, wenn Sie Fragen haben.

DSGVO

Sinnvolle DSGVO Tools schützen vor hohen Strafen

[vc_row][vc_column][vc_column_text]Die Datenschutzgrundverordnung DSGVO beschäftigt seit mehr als anderthalb Jahren Unternehmen, Vereine und Organisationen in der Europäischen Union. Zwar ist die die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten am 25. Mai 2018 ausgeblieben. Doch mittlerweile schauen sich die Datenschutzbeauftragten der Länder vor allem die Unternehmen und den von ihnen praktizierten Datenschutz sehr genau an. Jüngst teilte die Berliner Datenschutzbeauftragte mit, dass der Immobilienkonzern Deutsche Wohnen 14,5 Millionen Euro Strafe wegen Verstößen gegen die DSGVO zahlen müsse. SAT empfiehlt auch vor diesem Hintergrund die Nutzung zweier Websites, mit denen sich Unternehmen einen Überblick über den Stand ihres Datenschutzes verschaffen und im Zweifelsfall die entsprechenden Maßnahmen einleiten können.

1. dsgvo-bussgeld-rechner.de

Sollten Sie sich immer noch nicht sicher sein, ob Sie das Thema DSGVO überhaupt betrifft, empfehlen wir Ihnen die Nutzung des DSGVO-Bußgeld-Rechners. Damit können Sie ganz leicht Ihr individuelles Bußgeldrisiko wegen Verstößen gegen die Datenschutzgrundverordnung berechnen. Es basiert auf der Formel zur Berechnung von Bußgeldern, die die Deutsche Datenschutzkonferenz am 14. Oktober 2019 veröffentlicht hat.

2. seeyourdata.de

SeeYourData ist die bequemste Art für Unternehmen und Selbständige, ihre gesetzliche Pflicht aus Art. 30 DSGVO zu erfüllen. Der schreibt vor, dass jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. www.seeyourdata.de bietet Vorlagen für die häufigsten Verarbeitungen, Vorlagen für typische Unternehmenssoftware (Office, Google Dienste, Slack …) inklusive Empfänger, komfortable TOM / AV Verwaltung und einen automatischen Vollständigkeitscheck.

Auch für Websites bietet SeeYourData ein interessantes Tool, um die Datenschutzerklärung vollständig und richtig zu machen.

  • Automatischer Website Scan
    SeeYour Data scannt automatisch eine Website mit allen Unterseiten, um Abmahnrisiken zu erkennen.
  • Übernahme in Ihr Verzeichnis von Verarbeitungstätigkeiten
    Die auf der Website gefundenen Verarbeitungen werden automatisch in das Verarbeitungsverzeichnis importiert inklusive Rechtsgrundlagen, Zweck der Verarbeitung usw.
  • Anpassung Ihrer Datenschutzerklärung
    Ein Datenschutzerklärungsgenerator erzeugt eine abmahnsichere Fassung der Datenschutzerklärung.

SeeYourData gibt es sowohl in einer kostenlosen Basisversion (ohne Website-Scan) als Monatsabonnement sowie als Einmalkauf.

Warum empfiehlt SAT diese Tools für Ihren Datenschutz?

Entwickelt wurden die Websites und die dahinterliegenden Analysewerk-zeuge von Rechtsanwalt Fritz Mehler und der Hamburger Herting Oberbeck Datenschutz GmbH. „Aus Compliance-Sicht befürworten wir diese Tools eindeutig. Unternehmen erfahren dadurch schnell und zuverlässig, an welcher Stelle sie beim Thema Datenschutz – und damit Compliance – nacharbeiten müssen“, sagt SAT-Geschäftsführer Stefan Pawils.

Außerdem folge das Angebot dem unumkehrbaren Trend, die künstliche Intelligenz in der juristischen Welt voranzutreiben.[/vc_column_text][/vc_column][/vc_row]

Bußgeldzumessung

Datenschutzaufsichtsbehörden legen Konzept zur Bußgeldzumessung vor

[vc_row][vc_column][vc_column_text]Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben Mitte Oktober 2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen vorgelegt, die gegen die europäische Datenschutz-Grundverordnung DSGVO verstoßen haben. Ziel des Konzeptes ist es laut einer Pressemitteilung der Deutschen Datenschutzkonferenz vom 16. Oktober 2019, „den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.“ Das Konzept richtet sich ausschließlich an Unternehmen, nicht aber an Vereine oder Private.

Bußgeld richtet sich nach Unternehmensumsatz

Die Bußgeldzumessung bei DSGVO-Verstößen ist mit dem neuen Konzept an den Umsatz eines Unternehmens geknüpft. Darin kommt der „Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen“, zum Ausdruck.

Das Konzept sieht die Bußgeldzumessung in fünf Schritten vor:

  1. Zuordnung des Unternehmens zu einer Größenklasse nach weltweit erzieltem Vorjahresumsatz
    • Kleinstunternehmen mit maximal 2 Mio. Euro Jahresumsatz
    • Kleine Unternehmen (Umsatz zwischen 2 und 10 Mio. Euro)
    • Mittlere Unternehmen (Umsatz zwischen 10 und 50 Mio. Euro)
    • Großunternehmen mit einem Umsatz größer 50 Mio. Euro
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung eines wirtschaftlichen Grundwertes
  4. Multiplikation des Grundwertes mit einem Faktor, der von der Schwere der Tatumstände abhängt:
    Hier spielen Art und Dauer des Verstoßes, Zahl der betroffenen Personen und das Schadensausmaß eine Rolle.
  5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände.

Das neue Bußgeldkonzept gilt ausschließlich für deutsche Aufsichtsbehörden und zwar solange, bis es endgültige Leitlinie des Europäischen Datenschutzausschuss gibt. Wie die Berechnung konkret erfolgt, lesen Sie hier in einer Information der Datenschutzkonferenz.

Aktuelle Bußgeldverfahren

Nachdem die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten der DSGVO im Mai 2018 ausgeblieben war, greifen die Aufsichtsbehörden beim Thema Datenschutz in jüngster Zeit offenbar stärker durch. Gegen die Delivery Hero Germany GmbH hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk das bislang höchste Bußgeld in Deutschland über 195.407 Euro verhängt. „Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch“, schrieb die Berliner Datenschützerin in einer Presserklärung vom 19.9.2019. Dort hieß es weiter: „Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DSGVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.“

Konsequenzen für Unternehmen

Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DSGVO wirkt dem entgegen. „Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten“, sagte Maja Smoltczyk.

Wer mit personenbezogenen Daten arbeite, brauche ein funktionierendes Datenschutzmanagement. Das helfe nicht nur, Bußgelder zu vermeiden, sondern stärke auch das Vertrauen und die Zufriedenheit der Kundschaft.

In Berlin beispielsweise gibt es zweimal im Monat Start-up-Sprechstunden für Unternehmen in der Gründungsphase, in denen sie Fragen zum Datenschutz klären können. Auch SAT unterstützt Unternehmen mit Kooperationspartnern bei der Umsetzung der EU-Vorschriften zu Datenschutz und Datenverarbeitung. Suchen Sie einen externen Datenschutzbeauftragten, können Sie sich gerne für ein erstes unverbindliches Gespräch an das SAT-Team wenden.[/vc_column_text][/vc_column][/vc_row]

Compliance Management System

Compliance Management System gibt vor Gericht den Ausschlag

Das Oberlandesgericht Hamm hat im Sommer ein weitreichendes Urteil über die Relevanz eines Compliance Management Systems in Unternehmen getroffen. Es urteilte, dass einem Geschäftsführer wegen gravierender Compliance-Verstöße aus wichtigem Grund ohne vorherige Abmahnung gekündigt werden kann (OLG Hamm, 8 U 146/18).

In dem Fall hatte der Geschäftsführer einer konzernzugehörigen GmbH mit einem Geschäftspartner eine Provisionsvereinbarung getroffen, die den im Konzern geltenden Compliance-Vorschriften widersprach. Demnach musste bei Provisionen ab einer bestimmten Größenordnung das Vier-Augen-Prinzip eingehalten werden. Auch durften derartige Vereinbarungen nicht ohne Zustimmung des Bereichsvorstandes getroffen werden. Im Urteil des OLG Hamm heißt es daher: „Gibt ein GmbH-Geschäftsführer eine Zahlung auf eine – wie er weiß – fingierte Forderung frei, um damit eine Provisionsabrede zu honorieren, die gegen die unternehmensinternen Compliance-Vorschriften über zustimmungsbedürftige Geschäfte verstieß, kann darin eine Pflichtverletzung liegen, die einen wichtigen Grund zur Kündigung des Anstellungsvertrages darstellt.“ (Quelle: justiz.nrw.de)

Das Oberlandesgericht Hamm stellte in seinem Urteil fest, dass der Verstoß gegen die Compliance-Regelung schon für sich eine schwerwiegende Pflichtverletzung darstelle. Die Klage des ehemaligen Geschäftsführers gegen die Abberufung als Geschäftsführer und die fristlose Kündigung des Dienstverhältnisses sowie auf Fortzahlung des Geschäftsführergehaltes wies es daher ab. Das OLG betont: „Wer die Compliance-Regeln seines eigenen Unternehmens und die Sanktionen, mit denen sie bewehrt sind, nicht kennt, ist von vornherein ungeeignet, dieses zu führen.“

Bedeutung des Urteils für die Praxis

Das Urteil des OLG Hamm stellt einmal mehr klar, dass ein Compliance Management System in Unternehmen nicht nur „nice to have“ ist und ethisches wie moralisches Verhalten der Mitarbeiter und Führungskräfte regelt. Es ist darauf ausgerichtet, alle Abläufe in einer Organisation regel- und gesetzeskonform umzusetzen. Relevant sind dabei alle nationalen und internationalen Richtlinien und Gesetze, die eine Firma – definiert durch ihr Tätigkeitsfeld – berücksichtigen muss. Die Größe der Organisation ist dabei irrelevant: Vom Konzern bis zum mittelständischen oder kleinen Unternehmen sind alle an rechtskonformes Handeln und Verhalten gebunden.

Ganz klar wird durch das Urteil, dass mit einem funktionierenden Compliance Management System dem Unternehmen ein Werkzeug an die Hand gegeben ist, gegen Mitarbeiter und Führungskräfte – bis zur fristlosen Kündigung – vorzugehen, die sich nicht Compliance-konform verhalten.

Etablierung eines Compliance Management Systems

Vor diesem Hintergrund sei darauf hingewiesen, dass ein unternehmensinternes Compliance Management System der langfristigen, strategischen Vorbereitung, Einführung, Umsetzung und Kontrolle bedarf. Mit Hilfe eines Gesetzeskataster sollten Unternehmen die Grundlage schaffen zu ermitteln, welche gesetzlichen Regelungen für das eigene Tätigkeitsgebiet relevant sind. Darauf aufbauend, muss ein Compliance Management System über alle Geschäftsbereiche und –hierarchien in das Unternehmen eingeführt und dessen Umsetzung in regelmäßigen Abständen überprüft werden.

SAT berät Sie zu den detaillierten Schritten bei der Umsetzung Ihres Compliance Management Systems.