Eine Compliance-Organisation ist eine Organisationseinheit innerhalb eines Unternehmens, die für die Einhaltung von Gesetzen, Vorschriften und unternehmensinternen Vorgaben verantwortlich ist. Sie kann als eigenständige Abteilung oder als Teil einer anderen Abteilung, z. B. der Rechtsabteilung, organisiert sein.

Die Aufgaben umfassen:

  • Entwicklung und Umsetzung von Compliance-Richtlinien und -Verfahren
  • Schulung von Mitarbeitern zu Compliance-Themen
  • Überwachung der Einhaltung von Compliance-Vorgaben
  • Untersuchung von Compliance-Verstößen
  • Berichterstattung an das Top-Management

Die Compliance-Organisation spielt eine wichtige Rolle für die Unternehmenskultur und die Risikominimierung. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen Bußgelder und Strafen vermeiden, das Vertrauen von Kunden und Mitarbeitern stärken und seine Reputation schützen.

Eine effektive Organisation sollte folgende Merkmale aufweisen:

  • Unabhängigkeit: Die Compliance-Organisation sollte unabhängig von anderen Abteilungen sein, um ihre Objektivität zu gewährleisten.
  • Autorität: Die Compliance-Organisation sollte die Autorität haben, Compliance-Maßnahmen zu entwickeln und umzusetzen.
  • Ressourcen: Sie sollte über die notwendigen Ressourcen verfügen, um ihre Aufgaben effektiv zu erfüllen.
  • Unterstützung durch das Top-Management: Das Top-Management muss sich für die Compliance-Organisation einsetzen und deren Arbeit unterstützen.

Die Größe und Struktur der Organisation hängt von der Größe und Komplexität des Unternehmens sowie von den Compliance-Risiken des Unternehmens ab. Kleine Unternehmen können dafür eine einzige Person haben, während große Unternehmen eine Compliance-Abteilung mit mehreren Mitarbeitern haben können.

Unabhängig von ihrer Größe und Struktur spielt die Compliance-Organisation eine wichtige Rolle für das Unternehmen. Durch die Einhaltung von Gesetzen und Vorschriften kann das Unternehmen vor Risiken geschützt und seine Reputation gestärkt werden.

By: Bard

Weihnachten und Compliance

Weihnachten und Compliance – ein Konflikt?

Weihnachten und Compliance, ein Duo, das es in sich haben kann. Weil auch in der Geschäftswelt Geschenke die Freundschaft erhalten, überreichen viele Unternehmen ihren Geschäftspartnern kleine oder größere Aufmerksamkeiten. Doch gerade die Größe ist dabei der entscheidende Faktor: Könnte das Geschenk als Bestechung gewertet werden, bringt es nicht nur dem Schenkenden, sondern auch dem Beschenkten im Zweifelsfall mehr Ärger als Freude ein. Unternehmen sollten klare Compliance-Richtlinien auch für die Annahme von Geschenken definieren.

Schenkender und Beschenkter können sich strafbar machen

Im Strafgesetzbuch heißt es in § 299 zu „Bestechlichkeit und Bestechung im geschäftlichen Verkehr“: „Mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe wird bestraft, wer im geschäftlichen Verkehr als Angestellter oder Beauftragter eines Unternehmens einen Vorteil für sich oder einen Dritten als Gegenleistung dafür fordert, sich versprechen lässt oder annimmt, dass er bei dem Bezug von Waren oder Dienstleistungen einen anderen im inländischen oder ausländischen Wettbewerb in unlauterer Weise bevorzuge, oder ohne Einwilligung des Unternehmens einen Vorteil für sich oder einen Dritten als Gegenleistung dafür fordert, sich versprechen lässt oder annimmt, dass er bei dem Bezug von Waren oder Dienstleistungen eine Handlung vornehme oder unterlasse und dadurch seine Pflichten gegenüber dem Unternehmen verletze.“ Dieselben Strafen drohen im Übrigen auch dem Beschenkten.

Keine definierte Wertgrenze für Geschenke

Das grundsätzliche Problem: Bis wohin ein Geschenk noch eine kleine Aufmerksamkeit und ab wann es bereits ein Bestechungsversuch ist, ist nirgends klar definiert. Als grober Anhaltspunkt kann die Stellung des Beschenkten im Unternehmen herhalten: Teurer Champagner für einen Angestellten auf mittlerer Ebene „riecht“ nach Beeinflussung, dasselbe Geschenk für einen Geschäftsführer kann hingegen in Ordnung sein. Es kommt also auf die Verhältnismäßigkeit an. Auch hat die aktuelle Beziehung zwischen Beschenktem und Schenkendem eine Rolle: Sind beide gerade in Vertragsverhandlungen, könnte ein Geschenk der Versuch einer Manipulation sein. Dabei ist auch die Größe des Geschenkes unerheblich. Geschenke an Einkäufer laufen fast immer Gefahr, als Beeinflussung verstanden zu werden. Auf der anderen Seite gibt es kleine Zuwendungen, die fast immer „sozialadäquat“ und damit vertretbar sind. Darunter fallen beispielsweise Kugelschreiber oder Kalender.

Compliance-Richtlinie für Geschenke

Das Gesetz schreibt keine Werte vor, die je nach Situation korrekt sein könnten. Die sicherste Lösung finden Unternehmen daher am besten mit einer Compliance-Richtlinie zu diesem Thema. Darin kann definiert sein, ob Geschenke generell abgelehnt werden müssen oder bis zu welcher Höhe Geschenke ohne Rücksprache mit einem Vorgesetzten angenommen werden dürfen. Eine Grenze könnte beispielsweise bei 35 Euro liegen, weil bis zu diesem Wert Geschenke an Geschäftspartner für den Schenkenden steuerlich absetzbar sind. Außerdem empfiehlt es sich, Geschenke oder auch Veranstaltungseinladungen genau zu dokumentieren, um das ganze Thema transparent und nachvollziehbar zu gestalten.

Wichtig: Betrachten Sie nicht nur Ihre eigenen Compliance-Richtlinien als Schenkender, sondern gegebenenfalls auch die unternehmensinternen Regeln des Beschenkten. Ansonsten kann das Geschenk vieles auslösen – nur nicht den Erhalt der geschäftlichen Freundschaft.

Das SAT-Team wünscht Ihnen und Ihren Familien ein gesegnetes Weihnachtsfest und einen guten Rutsch in ein erfolgreiches 2020.

Unternehmenskriminalität

Neues Gesetz gegen Unternehmenskriminalität geplant

Die Bundesregierung plant aktuell das „Gesetz zur Sanktionierung von verbandsbezogenen Straftaten“ zur Bekämpfung der Unternehmenskriminalität. Ein entsprechender Referentenentwurf liegt seit geraumer Zeit vor. Damit soll nicht nur die Bußgeldhöhe bei Unternehmensdelikten steigen. Auch der Anreiz zur Umsetzung von Compliance-Management-Systemen in Unternehmen steigt.

Zum Hintergrund: Straftaten durch Unternehmen sind nach geltendem Recht Ordnungswidrigkeiten und können bislang nur mit einer Geldbuße nach dem Gesetz über Ordnungswidrigkeiten (OWiG) bestraft werden. Damit aber lässt sich auf Unternehmenskriminalität nicht angemessen reagieren. Auch die maximale Höhe der Strafe von zehn Millionen Euro unabhängig von der Unternehmensgröße ist für Großkonzerne keine spürbare Sanktion und darüber hinaus nicht angemessen gegenüber kleinen und mittelständischen Unternehmen, die dasselbe Strafmaß erwartet. „Konkrete und nachvollziehbare Zumessungsregeln für Verbandsgeldbußen fehlen ebenso wie rechtssichere Anreize für Investitionen in Compliance“, heißt es im Referentenentwurf aus dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV). Das geltende Recht lege die Verfolgung auch schwerster Unternehmenskriminalität zudem allein in das Ermessen der zuständigen Behörden, was zu einer uneinheitlichen und unzureichenden Ahndung geführt habe. Verbandsstraftaten deutscher Unternehmen im Ausland könnten vielfach nicht verfolgt werden.

Der Entwurf verfolgt laut BMJV das Ziel, die Sanktionierung von Verbänden auf eine eigenständige gesetzliche Grundlage zu stellen und eine angemessene Ahndung von Verbandsstraftaten zu ermöglichen. „Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Unternehmen mit internen Untersuchungen dazu beitragen, Straftaten aufzuklären.“

Was sieht das Gesetz konkret vor?

Eine Verbandssanktion gegen ein Unternehmen sieht das Gesetz unter anderem in diesen Fällen vor:

  • Personen in leitender Funktion haben eine sogenannte Verbandsstraftat begangen oder
  • Personen in leitender Funktion verhindern oder erschweren eine Straftat nicht durch „angemessene Vorkehrungen zur Vermeidung von Verbandsstraftaten wie insbesondere Organisation, Auswahl, Anleitung und Aufsicht“.

Im Gegensatz zur bisherigen Regelung kann die Bußgeldhöhe bei einer vorsätzlichen Verbandsstraftat nun bis zu 10 Prozent des durchschnittlichen weltweiten Jahresumsatzes betragen.

Das Gericht hat die Möglichkeit, Unternehmen anzuweisen, bestimmte Vorkehrungen zu treffen, um Verbandsstrafen zu vermeiden. Diese Maßnahmen müssen durch eine sachkundige, vom Gericht genehmigte Stelle, bescheinigt werden. Darunter kann beispielsweise die Installation eine unternehmensspezifischen Compliance-Management-Systems fallen.

Schließlich kann das Gericht die Verbandsauflösung anordnen, und zwar unter anderem

  • in besonders schweren Fällen,
  • wenn Führungspersonen im Unternehmen „beharrlich erhebliche Verbandstraftaten“ begangen haben oder
  • wenn die Gefahr besteht, dass das Unternehmen weiter erhebliche Verbandsstraftaten begehen wird.

Einen erheblichen Imageverlust dürften sanktionierte Unternehmen auch dadurch erleiden, dass der Referentenentwurf neben der Verhängung einer Verbandssanktion die öffentliche Bekanntmachung der Verurteilung vorsieht. Als Medium sind dabei Zeitungen, Rundfunk oder Internet denkbar.

Als weitere Maßnahme sieht der Gesetzentwurf die Einführung eines Verbandssanktionsregisters vor. Darin sollen künftig verhängte Verbandssanktionen und Geldbußen über 300 Euro registriert werden. Einsehbar soll es aber nur für Gerichte, Staatsanwaltschaften und Behörden sein, nicht jedoch für Medienvertreter oder Geschädigte.

Wie kann eine Verbandsstrafe gemildert werden?

Der Referentenentwurf sieht vor, dass die Strafe in verschiedenen Fällen geringer ausfallen kann. Das trifft zum Beispiel dann zu, wenn

  • der Verband oder von ihm beauftragte Dritte wesentlich dazu beigetragen haben, dass die Straftat aufgeklärt werden konnte oder
  • das Unternehmen uneingeschränkt mit den Verfolgungsbehörden zusammenarbeitet.

Einen erheblichen Einfluss auf die Höhe der Strafe wird künftig außerdem ein funktionierendes Compliance-Management-System haben. Damit reduziert das Unternehmen sein Risiko nicht regelkonformen Verhaltens innerhalb der Organisation und kommt zugleich seinen Pflichten der Leitung, Organisation und Kontrolle nach.

Der Referentenentwurf betont ausdrücklich, dass diese “vor der Verbandsstraftat getroffene Vorkehrungen zur Vermeidung und Aufdeckung von Verbandsstraftaten“ bei einem Verstoß Art und die Höhe der Verbandssanktion mildern können.

Durch unsere Auditorentätigkeit hat SAT zum einen große Erfahrung im Hinblick auf die Anforderungen an ein Compliance Management System. Zum anderen haben wir bereits mehrere CMS Systeme implementiert. Sprechen Sie mit uns, wenn Sie Fragen haben.

DSGVO

Sinnvolle DSGVO Tools schützen vor hohen Strafen

[vc_row][vc_column][vc_column_text]Die Datenschutzgrundverordnung DSGVO beschäftigt seit mehr als anderthalb Jahren Unternehmen, Vereine und Organisationen in der Europäischen Union. Zwar ist die die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten am 25. Mai 2018 ausgeblieben. Doch mittlerweile schauen sich die Datenschutzbeauftragten der Länder vor allem die Unternehmen und den von ihnen praktizierten Datenschutz sehr genau an. Jüngst teilte die Berliner Datenschutzbeauftragte mit, dass der Immobilienkonzern Deutsche Wohnen 14,5 Millionen Euro Strafe wegen Verstößen gegen die DSGVO zahlen müsse. SAT empfiehlt auch vor diesem Hintergrund die Nutzung zweier Websites, mit denen sich Unternehmen einen Überblick über den Stand ihres Datenschutzes verschaffen und im Zweifelsfall die entsprechenden Maßnahmen einleiten können.

1. dsgvo-bussgeld-rechner.de

Sollten Sie sich immer noch nicht sicher sein, ob Sie das Thema DSGVO überhaupt betrifft, empfehlen wir Ihnen die Nutzung des DSGVO-Bußgeld-Rechners. Damit können Sie ganz leicht Ihr individuelles Bußgeldrisiko wegen Verstößen gegen die Datenschutzgrundverordnung berechnen. Es basiert auf der Formel zur Berechnung von Bußgeldern, die die Deutsche Datenschutzkonferenz am 14. Oktober 2019 veröffentlicht hat.

2. seeyourdata.de

SeeYourData ist die bequemste Art für Unternehmen und Selbständige, ihre gesetzliche Pflicht aus Art. 30 DSGVO zu erfüllen. Der schreibt vor, dass jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. www.seeyourdata.de bietet Vorlagen für die häufigsten Verarbeitungen, Vorlagen für typische Unternehmenssoftware (Office, Google Dienste, Slack …) inklusive Empfänger, komfortable TOM / AV Verwaltung und einen automatischen Vollständigkeitscheck.

Auch für Websites bietet SeeYourData ein interessantes Tool, um die Datenschutzerklärung vollständig und richtig zu machen.

  • Automatischer Website Scan
    SeeYour Data scannt automatisch eine Website mit allen Unterseiten, um Abmahnrisiken zu erkennen.
  • Übernahme in Ihr Verzeichnis von Verarbeitungstätigkeiten
    Die auf der Website gefundenen Verarbeitungen werden automatisch in das Verarbeitungsverzeichnis importiert inklusive Rechtsgrundlagen, Zweck der Verarbeitung usw.
  • Anpassung Ihrer Datenschutzerklärung
    Ein Datenschutzerklärungsgenerator erzeugt eine abmahnsichere Fassung der Datenschutzerklärung.

SeeYourData gibt es sowohl in einer kostenlosen Basisversion (ohne Website-Scan) als Monatsabonnement sowie als Einmalkauf.

Warum empfiehlt SAT diese Tools für Ihren Datenschutz?

Entwickelt wurden die Websites und die dahinterliegenden Analysewerk-zeuge von Rechtsanwalt Fritz Mehler und der Hamburger Herting Oberbeck Datenschutz GmbH. „Aus Compliance-Sicht befürworten wir diese Tools eindeutig. Unternehmen erfahren dadurch schnell und zuverlässig, an welcher Stelle sie beim Thema Datenschutz – und damit Compliance – nacharbeiten müssen“, sagt SAT-Geschäftsführer Stefan Pawils.

Außerdem folge das Angebot dem unumkehrbaren Trend, die künstliche Intelligenz in der juristischen Welt voranzutreiben.[/vc_column_text][/vc_column][/vc_row]

Bußgeldzumessung

Datenschutzaufsichtsbehörden legen Konzept zur Bußgeldzumessung vor

[vc_row][vc_column][vc_column_text]Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben Mitte Oktober 2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen vorgelegt, die gegen die europäische Datenschutz-Grundverordnung DSGVO verstoßen haben. Ziel des Konzeptes ist es laut einer Pressemitteilung der Deutschen Datenschutzkonferenz vom 16. Oktober 2019, „den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.“ Das Konzept richtet sich ausschließlich an Unternehmen, nicht aber an Vereine oder Private.

Bußgeld richtet sich nach Unternehmensumsatz

Die Bußgeldzumessung bei DSGVO-Verstößen ist mit dem neuen Konzept an den Umsatz eines Unternehmens geknüpft. Darin kommt der „Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen“, zum Ausdruck.

Das Konzept sieht die Bußgeldzumessung in fünf Schritten vor:

  1. Zuordnung des Unternehmens zu einer Größenklasse nach weltweit erzieltem Vorjahresumsatz
    • Kleinstunternehmen mit maximal 2 Mio. Euro Jahresumsatz
    • Kleine Unternehmen (Umsatz zwischen 2 und 10 Mio. Euro)
    • Mittlere Unternehmen (Umsatz zwischen 10 und 50 Mio. Euro)
    • Großunternehmen mit einem Umsatz größer 50 Mio. Euro
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung eines wirtschaftlichen Grundwertes
  4. Multiplikation des Grundwertes mit einem Faktor, der von der Schwere der Tatumstände abhängt:
    Hier spielen Art und Dauer des Verstoßes, Zahl der betroffenen Personen und das Schadensausmaß eine Rolle.
  5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände.

Das neue Bußgeldkonzept gilt ausschließlich für deutsche Aufsichtsbehörden und zwar solange, bis es endgültige Leitlinie des Europäischen Datenschutzausschuss gibt. Wie die Berechnung konkret erfolgt, lesen Sie hier in einer Information der Datenschutzkonferenz.

Aktuelle Bußgeldverfahren

Nachdem die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten der DSGVO im Mai 2018 ausgeblieben war, greifen die Aufsichtsbehörden beim Thema Datenschutz in jüngster Zeit offenbar stärker durch. Gegen die Delivery Hero Germany GmbH hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk das bislang höchste Bußgeld in Deutschland über 195.407 Euro verhängt. „Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch“, schrieb die Berliner Datenschützerin in einer Presserklärung vom 19.9.2019. Dort hieß es weiter: „Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DSGVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.“

Konsequenzen für Unternehmen

Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DSGVO wirkt dem entgegen. „Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten“, sagte Maja Smoltczyk.

Wer mit personenbezogenen Daten arbeite, brauche ein funktionierendes Datenschutzmanagement. Das helfe nicht nur, Bußgelder zu vermeiden, sondern stärke auch das Vertrauen und die Zufriedenheit der Kundschaft.

In Berlin beispielsweise gibt es zweimal im Monat Start-up-Sprechstunden für Unternehmen in der Gründungsphase, in denen sie Fragen zum Datenschutz klären können. Auch SAT unterstützt Unternehmen mit Kooperationspartnern bei der Umsetzung der EU-Vorschriften zu Datenschutz und Datenverarbeitung. Suchen Sie einen externen Datenschutzbeauftragten, können Sie sich gerne für ein erstes unverbindliches Gespräch an das SAT-Team wenden.[/vc_column_text][/vc_column][/vc_row]

Compliance Management System

Compliance Management System gibt vor Gericht den Ausschlag

Das Oberlandesgericht Hamm hat im Sommer ein weitreichendes Urteil über die Relevanz eines Compliance Management Systems in Unternehmen getroffen. Es urteilte, dass einem Geschäftsführer wegen gravierender Compliance-Verstöße aus wichtigem Grund ohne vorherige Abmahnung gekündigt werden kann (OLG Hamm, 8 U 146/18).

In dem Fall hatte der Geschäftsführer einer konzernzugehörigen GmbH mit einem Geschäftspartner eine Provisionsvereinbarung getroffen, die den im Konzern geltenden Compliance-Vorschriften widersprach. Demnach musste bei Provisionen ab einer bestimmten Größenordnung das Vier-Augen-Prinzip eingehalten werden. Auch durften derartige Vereinbarungen nicht ohne Zustimmung des Bereichsvorstandes getroffen werden. Im Urteil des OLG Hamm heißt es daher: „Gibt ein GmbH-Geschäftsführer eine Zahlung auf eine – wie er weiß – fingierte Forderung frei, um damit eine Provisionsabrede zu honorieren, die gegen die unternehmensinternen Compliance-Vorschriften über zustimmungsbedürftige Geschäfte verstieß, kann darin eine Pflichtverletzung liegen, die einen wichtigen Grund zur Kündigung des Anstellungsvertrages darstellt.“ (Quelle: justiz.nrw.de)

Das Oberlandesgericht Hamm stellte in seinem Urteil fest, dass der Verstoß gegen die Compliance-Regelung schon für sich eine schwerwiegende Pflichtverletzung darstelle. Die Klage des ehemaligen Geschäftsführers gegen die Abberufung als Geschäftsführer und die fristlose Kündigung des Dienstverhältnisses sowie auf Fortzahlung des Geschäftsführergehaltes wies es daher ab. Das OLG betont: „Wer die Compliance-Regeln seines eigenen Unternehmens und die Sanktionen, mit denen sie bewehrt sind, nicht kennt, ist von vornherein ungeeignet, dieses zu führen.“

Bedeutung des Urteils für die Praxis

Das Urteil des OLG Hamm stellt einmal mehr klar, dass ein Compliance Management System in Unternehmen nicht nur „nice to have“ ist und ethisches wie moralisches Verhalten der Mitarbeiter und Führungskräfte regelt. Es ist darauf ausgerichtet, alle Abläufe in einer Organisation regel- und gesetzeskonform umzusetzen. Relevant sind dabei alle nationalen und internationalen Richtlinien und Gesetze, die eine Firma – definiert durch ihr Tätigkeitsfeld – berücksichtigen muss. Die Größe der Organisation ist dabei irrelevant: Vom Konzern bis zum mittelständischen oder kleinen Unternehmen sind alle an rechtskonformes Handeln und Verhalten gebunden.

Ganz klar wird durch das Urteil, dass mit einem funktionierenden Compliance Management System dem Unternehmen ein Werkzeug an die Hand gegeben ist, gegen Mitarbeiter und Führungskräfte – bis zur fristlosen Kündigung – vorzugehen, die sich nicht Compliance-konform verhalten.

Etablierung eines Compliance Management Systems

Vor diesem Hintergrund sei darauf hingewiesen, dass ein unternehmensinternes Compliance Management System der langfristigen, strategischen Vorbereitung, Einführung, Umsetzung und Kontrolle bedarf. Mit Hilfe eines Gesetzeskataster sollten Unternehmen die Grundlage schaffen zu ermitteln, welche gesetzlichen Regelungen für das eigene Tätigkeitsgebiet relevant sind. Darauf aufbauend, muss ein Compliance Management System über alle Geschäftsbereiche und –hierarchien in das Unternehmen eingeführt und dessen Umsetzung in regelmäßigen Abständen überprüft werden.

SAT berät Sie zu den detaillierten Schritten bei der Umsetzung Ihres Compliance Management Systems.

Transparenzregister

Transparenzregister gegen Geldwäsche wird öffentlich zugänglich

Seit Sommer 2017 ist das Geldwäschegesetz in Kraft, das ein elektronisches Transparenzregister vorsieht. Konnten bislang nur Strafverfolgungsbehörden, Steuerfahnder und Menschen mit „berechtigtem Interesse“ auf das Register zugreifen, soll es nun im Zuge der Umsetzung der Fünften EU-Geldwäscherichtlinie öffentlich zugänglich gemacht werden.

Das sogenannte Transparenzregister ist ein elektronisches Verzeichnis, in dem „wirtschaftlich Berechtigte“ aufgeführt werden, die mehr als 25 Prozent an einem Unternehmen besitzen. Es soll verhindern, dass illegale Vermögenswerte durch komplexe Firmenkonstruktionen verschleiert werden. Ziel ist es außerdem, die strafrechtliche Verfolgung unter anderem von organisierter Kriminalität, Geldwäsche und Steuerhinterziehung zu erleichtern.

Meldepflicht für das Transparenzregister

Die Pflicht zur Eintragung ins Transparenzregister gilt prinzipiell für alle Unternehmen. Aktiv werden sollten spätestens jetzt aber vor allem ältere Gesellschaften mit beschränkter Haftung (GmbH) ohne elektronisch abrufbare Gesellschafterlisten im Handelsregister. Sie müssen die wirtschaftlich Berechtigten ihres Unternehmens offenlegen. Betroffen sind vor allem Gesellschaften mit Eintragung vor 2007 und seither nicht mehr aktualisierter Gesellschafterliste.

Die IHK Hannover schreibt dazu auf Ihrer Internetseite https://www.hannover.ihk.de: „Die Angaben zu den wirtschaftlich Berechtigten dieser Vereinigungen sind auf aktuellem Stand zu halten.  Bei juristischen Personen oder sonstigen Vereinigungen ist jede natürliche Person wirtschaftlich Berechtigter, die unmittelbar oder mittelbar mehr als 25 Prozent der Kapitalanteile hält oder mehr als 25 Prozent der Stimmrechte kontrolliert oder auf vergleichbare Weise Kontrolle ausübt.“ Außerdem informiert die IHK darüber, wer die Eintragungen im Transparenzregister vornehmen muss: „Gesetzliche Vertreter von juristischen Personen des Privatrechts und rechtsfähige Personengesellschaften (vgl. § 20 Abs. 1 GwG) sowie Trustees und Treuhänder (vgl. § 21 Abs. 1 und 2 GwG) sind zu unverzüglichen Mitteilungen ihrer wirtschaftlich Berechtigten an das Transparenzregister verpflichtet, sofern sich die wirtschaftlich Berechtigten nicht bereits aus anderen öffentlichen Quellen (z. B. dem Handelsregister) ergeben. Börsennotierte Gesellschaften sind von gesonderten Mitteilungen an das Transparenzregisters ausgenommen, sofern sich die kontrollierende Stellung bereits aus entsprechenden Stimmrechtsmitteilungen ergibt.“

Angaben im Transparenzregister

Mitteilungspflichtig seien folgende Angaben zum wirtschaftlich Berechtigten: der Vor- und Familienname, das Geburtsdatum, der Wohnort, der Typ des wirtschaftlich Berechtigten (fiktiv oder tatsächlich) sowie Art und der Umfang des wirtschaftlichen Interesses (vgl. § 19 Abs. 1 GwG). Sowohl nachträgliche Änderungen der Angaben zum wirtschaftlich Berechtigten als auch Hinweise darauf, dass der wirtschaftlich Berechtigte sich zwischenzeitlich (wieder) aus anderen Registern ergibt, seien mitteilungspflichtig.

Kritik wegen Datenschutz

Kritik an den Plänen von Bundesfinanzminister Scholz, das Transparenzregister nach EU-Vorgaben öffentlich zugänglich zu machen, hat es zuletzt aus der Wirtschaft gegeben: Ihr gehen die Auskünfte über die „wirtschaftlich Berechtigten“ aus Datenschutzgründen zu weit. Deshalb will die Bundesregierung den eingeräumten Spielraum bei der Umsetzung der 5. Geldwäscherichtlinie für Auskünfte aus dem Transparenzregister nicht nutzen. „In der Antwort (19/10716) auf eine Kleine Anfrage der FDP-Fraktion (19/10359) erläutert die Regierung, Auskünfte über wirtschaftlich Berechtigte von Unternehmen für die Öffentlichkeit würden mindestens Name, Jahr der Geburt, Wohnsitzland und Staatsangehörigkeit sowie Art und Umfang des wirtschaftlichen Interesses enthalten. Darüber hinaus könnten die Mitgliedstaaten Zugang zu weiteren Informationen wie Geburtstag und Kontaktdaten der wirtschaftlich Berechtigten gewähren. Die Bundesregierung beabsichtigt jedoch zum Schutz der personenbezogenen Daten der wirtschaftlich Berechtigten nicht, von den erweiterten Möglichkeiten Gebrauch zu machen und Zugang zu weiteren als den mindestens erforderlichen Daten zu gewähren, heißt es in der Antwort“ laut Pressemitteilung des Deutschen Bundestages.

Im vergangenen Jahr wurden insgesamt 1003 Anträge auf Einsichtnahme aus dem Personenkreis der Öffentlichkeit gestellt. In 512 Fällen wurde dem Antrag stattgegeben, in 421 abgelehnt. 70 Anträge haben die Antragsteller selbst zurückgenommen.

Das Transparenzregister bietet eine kostenlose Servicenummer (0800-1234337), Mo–Fr von 8:00 bis 18:30 Uhr.

Whistleblower

EU schützt Whistleblower künftig einheitlich

Auf europäischer Ebene wird es künftig hohe Standards für den Schutz sogenannter Whistleblower geben, die Verstöße gegen das EU-Recht in Unternehmen melden. „Hinweisgeber tun das Richtige für die Gesellschaft und sollten von uns geschützt werden, damit sie dafür nicht bestraft, entlassen, degradiert oder vor Gericht verklagt werden“, sagte Frans Timmermans, zum Zeitpunkt der Entscheidung in diesem Frühjahr Erster Vizepräsident der EU-Kommission. Bislang ist der Schutz von Whistleblowern in der Europäischen Union nicht einheitlich geregelt.

„Die neuen EU-weiten Vorschriften zum Schutz von Hinweisgebern dienen genau diesem Zweck und werden dafür sorgen, dass Hinweisgeber Verstöße gegen das EU-Recht in vielen Bereichen sicher melden können. Dies wird Betrug, Korruption, Steuervermeidung durch Unternehmen sowie Schädigungen der menschlichen Gesundheit und der Umwelt bekämpfen helfen. Wir fordern die Mitgliedstaaten auf, ausgehend von diesen Prinzipien umfassende Rahmenbedingungen für den Schutz von Hinweisgebern zu schaffen“, so Timmermans weiter.

Hinweisgeber sollen dabei helfen, rechtswidrige Handlungen und illegale Machenschaften aufzudecken. Die Whistleblower sollen aber zugleich umfassende Unterstützung und Schutz genießen. Das neue System stärkt außerdem Arbeitgeber darin,  Probleme intern zu lösen, Hinweisgebern aber auch die Möglichkeit zu erhalten, sich ohne Angst vor Vergeltung an Behörden zu wenden.

„Die neuen Vorschriften decken ein breites Spektrum an EU-Rechtsbereichen ab, unter anderem die Geldwäschebekämpfung, die Unternehmensbesteuerung, den Datenschutz, den Schutz der finanziellen Interessen der Union, die Lebensmittel- und Produktsicherheit sowie den Umweltschutz und die nukleare Sicherheit. Überdies steht es den Mitgliedstaaten frei, diese Vorschriften auf andere Bereiche auszuweiten. Die Kommission empfiehlt ihnen, ausgehend von diesen Prinzipien umfassende Rahmenbedingungen für den Schutz von Hinweisgebern zu schaffen.

Klare Meldeverfahren und Pflichten für Arbeitgeber

Mit den neuen Vorschriften wird ein System von sicheren Kanälen für die Meldung von Missständen sowohl innerhalb einer Organisation als auch an Behörden geschaffen.

Sichere Meldekanäle

Hinweisgeber werden ermutigt, Missstände zunächst intern zu melden, wenn der Verstoß, den sie aufdecken möchten, innerhalb ihrer Organisation wirksam angegangen werden kann und sie keine Vergeltungsmaßnahmen riskieren. Je nach den Umständen im jeweiligen Fall können sie sich auch direkt an die zuständigen Behörden wenden. Wenn nach der Meldung an die Behörden keine geeigneten Maßnahmen ergriffen werden, eine drohende oder offenkundige Gefahr für das öffentliche Interesse zu erkennen ist oder eine Meldung an die Behörden keine Option wäre, beispielsweise weil die betreffenden Behörden und der Straftäter Absprachen getroffen haben, können Hinweisgeber mit ihren Informationen an die Öffentlichkeit gehen und hierfür auch die Medien nutzen. Dies bietet Hinweisgebern Schutz, wenn sie als Quellen für investigativen Journalismus dienen.

Vermeidung von Vergeltungsmaßnahmen und wirksamer Schutz

Die Vorschriften schützen Hinweisgeber vor Kündigungen, Zurückstufungen und anderen Repressalien. Ferner werden die nationalen Behörden verpflichtet, die Bürgerinnen und Bürger über die Verfahren zur Meldung von Missständen und über den bestehenden Schutz zu informieren. Darüber hinaus werden Hinweisgeber in Gerichtsverfahren geschützt.“  (Quelle: Pressemitteilung der Europäischen Kommission vom 12. März 2019)

Was bedeutet das für Unternehmen?

Unternehmen werden künftig verpflichtet sein, ein Hinweisgebersystem aufzubauen, so dass Whistleblower interne Verstöße gegen geltendes Recht anzeigen können, ohne Repressalien befürchten zu müssen. SAT wird Sie künftig beraten, wie Sie ein solches System einführen können und damit den EU-Vorschriften gerecht werden.

ISO 37301

Zertifizierbare Compliance-Management-Norm ISO 37301 kommt Ende 2020

Mit Hilfe der internationalen  Norm ISO 19600 erhalten Unternehmen jeglicher Branche und Größe bereits heute sowohl Empfehlungen wie auch praktische Hinweise, wie ein Compliance-Management-System wirksam und organisationsspezifisch umgesetzt werden kann. Hierdurch wird die Grundlage geschaffen, dass sich Führungskräfte und Mitarbeiter im Sinne ihres Compliance Management Systems regelkonform verhalten. Die ISO 19600 hat jedoch einen entscheidenden Nachteil: Sie ist kein zertifizierbarer Standard. Diese Lücke soll ab Ende 2020 die neue Norm ISO 37301 schließen.

ISO 37301 ist bei Anti-Korruption angesiedelt

Aktuell wird die Norm ISO 19600 einer Revision unterzogen. Als Ergebnis soll im kommenden Jahr die ISO 37301 als Managementsystem-Standard etabliert werden, der dann auch zertifiziert werden kann. Der neue Standard wird von der Systematik her beim internationalen Standard für Anti-Korruptionsmanagementsysteme ISO 37001 angesiedelt sein, den die International Organization for Standardization ISO bereits im Oktober 2016 veröffentlicht hat. ISO 37001 beschreibt die Anforderungen an Organisationen jeder Größenordnung und Branche, ein wirkungsvolles Anti-Korruptionsmanagement-System einzuführen und umzusetzen. Ziel ist es, optimale Rahmenbedingungen zu schaffen, um Korruption und Bestechung erfolgreich aufzudecken und dauerhaft und zu verhindern.

Zertifizierbarkeit der ISO-Standards

Sollte ein Unternehmen bereits jetzt eine Zertifizierung anstreben, empfehlen wir aktuell den TR CMS 101:2015 des TÜV Rheinland. Dieser Standard ist sehr eng an die ISO 19600 angelehnt und beinhaltet alle Grundelemente für die Feststellung eines überprüfbaren und nachweisbaren Compliance-Management Systems. Der TR CMS 101:2015 wird voraussichtlich durch die ISO 37301 abgelöst werden.

Mit der Zertifizierung können die Unternehmen den Beweis antreten, dass sie alle notwendigen und möglichen Maßnahmen ergriffen haben, um die Anforderungen der verschiedenen Standards umzusetzen. Das betrifft ISO 37001 für die Korruptionsbekämpfung ebenso wie den kommenden ISO 37301 für die Etablierung von Compliance-Management-Systemen. Ein zertifiziertes Unternehmen bekennt sich nachweislich zur gesetzeskonformen Tätigkeit in allen Bereichen. Die extern überprüfte und dafür notwendige Transparenz schafft Vertrauen bei den Geschäftspartnern und bildet damit die Grundlage für einen langfristigen Unternehmenserfolg.

Neben der ISO 37301 soll die ISO 19600 als Informationsstandard auch über das Jahr 2020 hinaus erhalten bleiben.

Stellenwert der Compliance

Stellenwert der Compliance im Unternehmen nimmt weiter zu

Sind es die verschärften gesetzlichen Auflagen oder ein rein wirtschaftlich-monetärer Aspekt? Der Stellenwert der Compliance nimmt weiter zu – wenn auch der Antrieb oftmals noch von der Korruptionsbekämpfung im Unternehmen ausgeht.

Compliance – mehr als Korruptionsbekämpfung

Wir verstehen Compliance als die Einhaltung sämtlicher Gesetze, Regeln und Vorschriften, die für ein Unternehmen aufgrund seiner Tätigkeit relevant sind, und zwar national wie international. Korruption oder Bestechung sind dabei nur ein Aspekt, allerdings nach wie vor der mit der stärksten Öffentlichkeitswirkung, wenn er bekannt wird.

Ein wesentlicher Antrieb, die Compliance-Maßnahmen im Unternehmen zu verstärken, liegt daher immer noch in der Korruptionsbekämpfung, um Imageverluste bei Geschäftspartnern und Kunden zu vermeiden. Denn: Die Zusammenarbeit mit nicht nur wirtschaftlich, sondern auch ethisch einwandfrei auf- und eingestellten Firmen ist mittlerweile zum Wert an sich geworden.

Compliance als Wettbewerbsfaktor

Unternehmen, die gesetzeskonform handeln und sich an die regulatorischen Auflagen im Rahmen ihrer Tätigkeit halten, steigern ihre Reputation am Markt, werden als vertrauenswürdig wahrgenommen. Dementsprechend gehört es zu den wichtigsten Zielen vieler Compliance-Beauftragter, das Thema nachhaltig auf allen Ebenen in ein Unternehmen hineinzutragen und die notwendige Compliance-Kultur zur fördern.

Dieser Veränderungsprozess hin zur durchgängigen Gesetzeskonformität hat zugleich unmittelbaren Einfluss auf den wirtschaftlichen Erfolg – ein entscheidender Grund, warum das Thema Compliance mittlerweile in vielen Vorstands- und Geschäftsführungsetagen angekommen ist.

Volkswagen ist ein Beispiel dafür, dass Compliance zunehmend höchste Aufmerksamkeit genießt: Nach dem Bekanntwerden des Dieselskandals wurde 2016 das Ressort „Recht und Integrität“ auf oberster Führungsebene installiert. Seit 2017 hat Airbus mit Sylvie Kandé de Beaupuy einen Chief Compliance Officer im Vorstand.

Stellenwert der Compliance steigt auch durch Gesetzesänderungen

Doch weder der ethische noch der wirtschaftlichen Aspekt allein stärken den Stellenwert der Compliance in Unternehmen. Hinzu kommt vor allem die veränderte Gesetzeslage auf den internationalen Märkten, die viele Firmen zum Handeln zwingt. Wer nicht zahlen will (mit allen negativen finanziellen Aspekten plus Imageverlust), hält sich an die rechtlichen Bestimmungen. In diesem Sommer ist beispielsweise die fünfte EU-Geldwäscherichtlinie in Kraft getreten, die  Geldwäsche und Terrorismusfinanzierung vorbeugen soll. Sie sieht eine höhere Sorgfaltspflichte bei Geschäftspartnern in Hochrisiko-Drittländern vor, außerdem mehr Transparenz über die wirtschaftlichen Eigentümer eines Unternehmens.

Bei den gesetzlichen Veränderungen ist außerdem zu denken an die deutsche ISO19600, an den amerikanischen „Foreign Corrupt Practices Act“ oder an den UK Bribery Act: In den USA und in Großbritannien machen sich Unternehmen strafbar, wenn sie nicht durch ihre internen Strukturen Korruption bekämpfen oder verhindern. Damit steht die Wirksamkeit der unternehmerischen Compliance-Management-Systeme auf dem Prüfstand.

 

 

DSGVO

Mehr als 100 Tage DSGVO: Was hat sich getan?

Vier Monate ist es her, dass am 25. Mai 2018 die europäische Datenschutz Grundverordnung DSGVO in Kraft getreten ist. Das Beben, das mit der Umsetzung durch Unternehmen jeder Größenordnung bis hin zu Vereinen ging, ist noch nicht abgeebbt.

DSGVO – Schutz vor dem Missbrauch persönlicher Daten

Vom Grundgedanken her mag die DSGVO in Zeiten der Digitalisierung bis in die tiefste Privatsphäre hinein sinnvoll sein: „Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“, heißt es in Artikel 1 der Datenschutz Grundverordnung. So weit so gut. Schützen wollte das Europäische Parlament die Menschen vor allem vor den Datenkraken der Internetkonzerne, die personenbezogene Daten zu wirtschaftlichen Zwecken in großen Umfang verarbeiten und nutzen. Doch getroffen hat das Regelwerk auch Kleinstunternehmen, Handwerksbetriebe, gemeinnützige Vereine, Mittelständler, für die die Umsetzung oftmals mit unverhältnismäßigem Aufwand verbunden war und nach wie vor ist.

Und die verunsichert sind, was sie tun müssen oder dürfen, um noch datenschutzkonform zu agieren, um Abmahnungen und Strafzahlungen zu entgehen. So sind zahlreiche Unternehmen bis heute nicht datenschutzkonform aufgestellt. Ihnen fehlen die entsprechenden Datenschutzkonzepte, von der praktischen Umsetzung ganz zu schweigen. Die Zahl der Unternehmens- und Vereinswebsites, die wegen der gestiegenen Anforderungen aus der DSGVO sicherheitshalber vom Netz genommen wurden, ist in den letzten Monaten deutlich in die Höhe gegangen. Bosch hatte beispielsweise für seine Online-Handwerker-Community zwischenzeitlich die Reißleine gezogen. Amerikanische Zeitungen wie die Chicago Tribune sperren europäische Leser aus ihrem Online-Angebot ganz aus, weil sie die DSGVO nicht umsetzen können oder wollen.

Rechtssicherheit für Unternehmen aller Größenordnungen

Bereits kurz nach Inkrafttreten der Verordnung wurde die Forderung laut, höhere Rechtssicherheit zu schaffen. Unklar ist unter anderem immer noch, ob Verstöße gegen den Datenschutz überhaupt abmahnfähig sind. Ist Datenschutz ein Wettbewerbsfaktor? Entstehen Wettbewerbern Nachteile durch fehlenden Datenschutz des Konkurrenten? Diese Fragen haben bislang weder der  Gesetzgeber noch die Gerichte geklärt. Im „Handelsblatt“ hat Bundesjustizministerin Katarina Barley (SPD) bereits im Juni angekündigt, gegen missbräuchliche Abmahnungen vorzugehen. „Wir werden professionellen Abmahnern das Wasser abgraben. Dafür brauchen wir eine umfassende Lösung. Gerade kleine Unternehmen und Selbständige, aber auch Vereine und Privatpersonen, brauchen einen wirksamen Schutz vor dem Treiben von professionellen Abmahnern.“ (Handelsblatt vom 13.6.2018)

Abmahnwelle ausgeblieben

Möglicherweise auch aufgrund der rechtlichen Unklarheit hat eine Abmahnwelle bislang nicht im prognostizierten Umfang stattgefunden. „Viele der um den 25. Mai in der Öffentlichkeit kursierenden Fehlinformationen zur DSGVO haben zu unnötiger Unsicherheit geführt. Es wurde eine Abmahnwelle befürchtet oder die massenweise Verhängung von Geldbußen durch die Aufsichtsbehörden. Solche Szenarien sind ausgeblieben“, verkündete Anfang September Andrea Voßhoff, Bundesbeauftragte für den Datenschutz. Die Datenschutzbehörden hatten darüber hinaus angekündigt, mit der Verhängung von Bußgeldern zunächst zurückhaltend umzugehen, vielmehr Beratung und Ermahnung in den Vordergrund zu stellen.

Bürger nutzen Rechte aus DSGVO verstärkt

Was nach dem 25. Mai 2018 laut Andrea Voßhoff deutlich zugenommen hat, sind indes die Anfragen und Beschwerden der Menschen bei den Behörden: „Bürgerinnen und Bürger nehmen ihre neuen Rechte nach der DSGVO verstärkt wahr. Dies ist auch anhand der signifikant gestiegenen Eingänge bei den Aufsichtsbehörden erkennbar. So erreichten mein Haus seit dem 25. Mai bis Mitte August insgesamt 1.020 Beschwerden und 1.453 allgemeine Anfragen. Auch die in meinen Zuständigkeitsbereich fallenden Institutionen nehmen ihre Pflichten ernst, meldeten im vorgenannten Zeitraum 4.254 potentielle Datenschutzverstöße und baten darüber hinaus um Beratung. Mit bisher 262 europaweit anhängigen Fällen haben die europäischen Datenschutzaufsichtsbehörden ihre gemeinsame koordinierende Tätigkeit aufgenommen. Diese Entwicklung ist zu begrüßen, denn sie zeigt: Die DSGVO lernt Laufen“, schreibt Voßhoff in einer Pressemitteilung vom 4. September.

Bundesjustizministerin will „Kleine“ schützen

Ende August hat Bundesjustizministerin Katarina Barley (SPD) in der Tagesschau übrigens angekündigt,  dass „kleine Unternehmen, Vereine und Selbstständige […] nach den Plänen bei kleineren Verstößen gegen die DSGVO von kostenpflichtigen Abmahnungen ausgenommen werden.“ Ein entsprechender Gesetzentwurf sollte bis Anfang September 2018 vorliegen.

Trotz dieser Anpassungen der DSGVO bleibt es Aufgabe und Pflicht aller Organisationen – vom gemeinnützigen Verein über den Einzelunternehmer und Handwerker bis zum Großkonzern – die Anforderungen der Vorschrift umzusetzen. Denn sie räumt den Menschen umfassende Rechte ein, denen Unternehmen und Vereine gerecht werden müssen. Dazu gehört das Recht auf Auskunft, welche personenbezogenen Daten erhoben werden, das Recht auf Korrektur falscher oder lückenhafter Daten, das Recht auf Datenlöschung und das Recht auf Datenübertragung. Um diesen Anforderungen zu genügen, sollten Unternehmen und Vereine jeder Größenordnung ein Datenschutzkonzept entwickeln und kurz- bis mittelfristig umsetzen.