Nudging

Chancen für Compliance durch Nudging

Die Möglichkeiten des „Nudging“, Englisch für „anstupsen“, werden seit geraumer Zeit auf dem vergleichsweise neuen wissenschaftlichen Feld der Verhaltensökonomie diskutiert. Auch für das Thema Compliance könnte das „Anstupsen“ der Mitarbeiter im Sinne des rechtskonformen Verhaltens im Unternehmen große Bedeutung haben.

„Der Begriff „Nudging“ wurde durch den Wirtschaftswissenschaftler Richard Thaler und den Rechtswissenschaftler Cass Sunstein geprägt („Nudge. Improving Decisions About Health, Wealth and Happiness“, 2008). Nudging möchte das Verhalten von Menschen positiv beeinflussen, ohne dabei auf Ge- oder Verbote zurückzugreifen. Der Mensch soll in seiner Entscheidungsfindung weiterhin frei bleiben, wird jedoch durch eine Veränderung der ihn umgebenden Umstände in die richtige Richtung „gestupst“. (Quelle)

Nudging fördert kluge rechtskonforme Entscheidungen

Nudging kann Mitarbeiter dazu veranlassen, kluge im Sinne rechtskonformer Entscheidungen zu treffen, ohne dass Zwang beispielsweise durch Androhung von Sanktionen ausgeübt wird. Die Verhaltensökonomie hat in diesem Zusammenhang festgestellt, dass Menschen Entscheidungen – über den eigentlichen Inhalt hinaus – immer in einem gewissen Kontext treffen. Für die Umsetzung der Compliance bedeutet das, dass das gestaltbare Unternehmensumfeld mit dafür verantwortlich ist, ob sich die Mitarbeiter auf allen Hierarchieebenen regelkonform verhalten oder nicht.

Umsetzungsmöglichkeiten für Nudging

Wie kann das Umfeld nun so gestaltet werden, dass es regelkonforme Entscheidungen der Mitarbeiter positiv beeinflusst? Der Compliance Officer Dr. Jörg Viebranz zählt in seinem Artikel „Wie können Ideen der Verhaltensökonomie für Compliance und Integrity genutzt werden?“ (Quelle) interessante Beispiele auf:

  • „Seien Sie sich der Macht der richtigen Formulierung bewusst. Beispielsweise können die Formulierungen von Verhaltenskodizes (Code of Conduct), spezielle Richtlinien und andere Informationsmaterialen erheblichen Einfluss auf die Regelbefolgung haben. Verhaltensökonomische Experimente haben gezeigt, dass die Aufforderung „Sei kein Betrüger“ im Gegensatz zu „betrüge nicht“ vor einem Test dazu führt, dass Teilnehmer weniger schummeln. Appellieren Sie in Formulierungen also an den Anstand der Personen und an ihr integres Selbstbild.
  • Nutzen Sie Vorbildverhalten. Menschen orientieren sich an bekannten Verhaltensmustern und wollen nicht jede Entscheidung überdenken müssen. Verhaltensmuster werden häufig durch Beobachtung von Vorbildern gelernt und übernommen. Seien Sie sich bewusst, dass Vorgesetzte auch Vorbilder sind und sie durch ihr Verhalten die akzeptierten Verhaltensmuster von Mitarbeitern beeinflussen. Wie das am einfachsten umgesetzt werden kann?
    1. Machen Sie allen Führungspersonen im Unternehmen immer wieder klar, dass sie eine solche Vorbildrolle auch ausfüllen müssen.
    2. Setzen Sie den Punkt regelmäßig auf die Tagesordnung von Führungskräftemeetings.
    3. Vermeiden Sie Sonderregeln für unterschiedliche Hierarchiestufen, da dies von Mitarbeitern als Rechtfertigung für eigenes Fehlverhalten genutzt wird.
    4. Falls Abweichungen nicht vermieden werden können, erklären und kommunizieren Sie die Gründe hierfür intensiv.
    5. Der „Tone from the Top“ ist auf allen Hierarchiestufen wichtig. Nicht nur an der Spitze.
      • Verinnerlichen Sie erwünschte Verhaltensmuster durch regelmäßige und praktische Schulungen. Belassen Sie es nicht bei einmaligen Präsentationen Ihres Verhaltenskodex. Wiederholen Sie Schulungen regelmäßig. Für so genannte Risikogruppen wie Vertrieb, Einkauf und Accounting sollten Sie 1-2 Mal pro Jahr eine Schulung einplanen. Machen Sie Schulungen so praktisch relevant wie möglich, indem Sie konkrete Fälle aus dem Alltag der Mitarbeiter diskutieren. […]
      • Gestalten Sie kritische Entscheidungssituationen in Hinblick auf Compliance und rufen Sie die erwünschten Verhaltensmuster ins Gedächtnis. Bei einem Experiment wurde gezeigt, dass Probanden, die gebeten wurden, die Zehn Gebote aufzuschreiben, in einem nachfolgenden Test nicht schummeln. Genauso schummeln Studenten nicht, wenn ihnen vor dem Test mitgeteilt wird, dass dieser dem Ehrenkodex der Universität unterliege (selbst wenn die Universität über keinen solchen Kodex verfügt). […]
      • Verstehen Sie sich als Dienstleister und machen Sie Mitarbeitern ihre Entscheidung so einfach wie möglich. Wenn Sie beispielsweise erwarten, dass Mitarbeiter erhaltene Geschenke bei Ihnen jährlich melden, dann unterstützen Sie diese durch ein elektronisches Zuwendungsregister oder stellen Sie ein einfaches Formular zur Verfügung, das nur die relevanten Daten abfragt und häufige Fälle als Multiple-Choice-Antworten zum Ankreuzen bereits vorformuliert.“

Nudging und Compliance bei SAT

Die Berater und Unternehmer bei SAT identifizieren Kostentreiber und Verschwendung in den Unternehmensstrukturen und -abläufen, um sie effizient und maximal wertschöpfend zu optimieren und zu modellieren. Unser Blick geht aber über die rein organisatorischen und monetären Aspekte hinaus. Als Praktiker aktivieren und motivieren wir Ihre Mitarbeiter zielorientiert auf allen Hierarchieebenen. Für SAT ist „Nudging“ vor allem der respektvolle und an die eigene Verantwortung appellierende Umgang mit Menschen in allen Bereichen eines Unternehmens – im Sinne zielführender Compliance.

Beitrag teilen
HR und Compliance

HR und Compliance

Die Personalabteilung ist nicht erst seit Inkrafttreten der EU-Datenschutzgrundverordnung vor knapp zwei Jahren von besonderer Bedeutung bei der Einhaltung der Compliance im Unternehmen. Der HR-Bereich ist zudem ein wichtiger Bereich bei der grundsätzlichen Ausgestaltung der Compliance-Organisation und -Kultur in einer Organisation. Zu denken ist hier beispielsweise an die Beteiligung des Personalwesens, wenn es um die Implementierung eines Verhaltenskodex oder eines Sanktionskatalogs bei nicht gesetzeskonformem Verhalten geht.

HR, DSGVO und Compliance

Eine große Zielgruppe der EU-Datenschutzgrundverordnung im Unternehmen sind die eigenen Beschäftigten. Außerdem gibt es zahlreiche rechtliche Vorschriften vor allem zum Schutz der Mitarbeiter. Es ist die Aufgabe der Personalabteilung, arbeitsrechtsrelevante Themen und vor allem deren Risiken bei Nichtbeachtung zu identifizieren und sich rechtlich und organisatorisch entsprechend zu organisieren.

Zu den Kernthemen der Compliance im Personalwesen gehört also der Schutz der Mitarbeiter-Daten. HR muss schnell und professionell reagieren können, wenn Beschäftigte beispielsweise ihr in der DSGVO verankertes Auskunftsrecht über ihre Daten im Unternehmen nutzen möchten. Dazu ist ein Überblick über die gespeicherten Informationen essentiell – von der Bewerbung bis hin zur Lohn- oder Gehaltsabrechnung, nicht zu vergessen Informationen über Krankheitstage oder Spesen. Sowohl nach innen als auch nach außen muss die Personalabteilung mit Blick auf die Rechtskonformität gemäß DSGVO also organisatorisch richtig aufgestellt sein: nach innen, indem die personenbezogenen Angaben jederzeit und umfassend abrufbar sind – nach außen, damit HR gegenüber den entsprechenden Aufsichtsbehörden nachweisen kann, dass sie DSGVO-konform arbeitet.

Zu den weiteren Compliance-relevanten Fragestellungen im Personalwesen zählen unter anderem die Gleichstellung männlicher und weiblicher Beschäftigter, der Schutz der Gesundheit der Mitarbeiter, die Arbeitszeiterfassung und Pausenregelungen oder der Schutz schwangerer Mitarbeiterinnen. Als Maßnahmen zum umfassenden Erhalt der Rechtskonformität stehen dem Unternehmen dabei verschiedene Möglichkeiten offen – von der Ausgestaltung der Arbeitsverträge über die Formulierung von Betriebsordnungen (z.B. zur Unfallverhütung) sowie Weisungen und Anordnung für das Verhalten im Unternehmen bis hin zu individuell ausgearbeitete Unternehmens-Kodizes.

Rechtskataster für HR

Um einen permanenten Überblick über die rechtlichen Regelungen rund ums Personalwesen zu behalten, empfiehlt sich der Einsatz eines Rechtskatasters. Es enthält die für ein Unternehmen relevanten Gesetze und Vorschriften auch aus dem HR-Bereich, so dass die Personalabteilung in die Lage versetzt wird, bei Änderungen auch kurzfristig entsprechende organisatorische Veränderungen anzustoßen. SAT berät Sie auf Wunsch dazu.

HR und Unternehmenskultur

Das Personalwesen ist im Zusammenhang mit einem funktionierenden Compliance-System aber nicht nur für den Schutz der Mitarbeiterdaten oder die Einhaltung der sonstigen rechtlichen Vorgaben verantwortlich. Den HR-Verantwortlichen kommt darüber hinaus eine wichtige Rolle zu, wenn es darum geht, die Compliance-Kultur in einem Unternehmen zu verankern. Hier gilt: „Wie man in den Wald hineinruft, so schallt es zurück.“ Lebt das Unternehmen in Personalfragen rechtskonformes, faires Verhalten vor, wird das entscheidend dazu beitragen, dass die Mitarbeiter Compliance auf allen Unternehmensebenen erleben und vor allem selber leben. Gegenseitiger Respekt, transparenter Umgang in Personalfragen, keinerlei Diskriminierung sind grundlegende Bausteine, dass eine belastbare Compliance-Kultur im Unternehmen Einzug hält und langfristig erhalten bleibt.

Beitrag teilen
Weihnachten und Compliance

Weihnachten und Compliance – ein Konflikt?

Weihnachten und Compliance, ein Duo, das es in sich haben kann. Weil auch in der Geschäftswelt Geschenke die Freundschaft erhalten, überreichen viele Unternehmen ihren Geschäftspartnern kleine oder größere Aufmerksamkeiten. Doch gerade die Größe ist dabei der entscheidende Faktor: Könnte das Geschenk als Bestechung gewertet werden, bringt es nicht nur dem Schenkenden, sondern auch dem Beschenkten im Zweifelsfall mehr Ärger als Freude ein. Unternehmen sollten klare Compliance-Richtlinien auch für die Annahme von Geschenken definieren.

Schenkender und Beschenkter können sich strafbar machen

Im Strafgesetzbuch heißt es in § 299 zu „Bestechlichkeit und Bestechung im geschäftlichen Verkehr“: „Mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe wird bestraft, wer im geschäftlichen Verkehr als Angestellter oder Beauftragter eines Unternehmens einen Vorteil für sich oder einen Dritten als Gegenleistung dafür fordert, sich versprechen lässt oder annimmt, dass er bei dem Bezug von Waren oder Dienstleistungen einen anderen im inländischen oder ausländischen Wettbewerb in unlauterer Weise bevorzuge, oder ohne Einwilligung des Unternehmens einen Vorteil für sich oder einen Dritten als Gegenleistung dafür fordert, sich versprechen lässt oder annimmt, dass er bei dem Bezug von Waren oder Dienstleistungen eine Handlung vornehme oder unterlasse und dadurch seine Pflichten gegenüber dem Unternehmen verletze.“ Dieselben Strafen drohen im Übrigen auch dem Beschenkten.

Keine definierte Wertgrenze für Geschenke

Das grundsätzliche Problem: Bis wohin ein Geschenk noch eine kleine Aufmerksamkeit und ab wann es bereits ein Bestechungsversuch ist, ist nirgends klar definiert. Als grober Anhaltspunkt kann die Stellung des Beschenkten im Unternehmen herhalten: Teurer Champagner für einen Angestellten auf mittlerer Ebene „riecht“ nach Beeinflussung, dasselbe Geschenk für einen Geschäftsführer kann hingegen in Ordnung sein. Es kommt also auf die Verhältnismäßigkeit an. Auch hat die aktuelle Beziehung zwischen Beschenktem und Schenkendem eine Rolle: Sind beide gerade in Vertragsverhandlungen, könnte ein Geschenk der Versuch einer Manipulation sein. Dabei ist auch die Größe des Geschenkes unerheblich. Geschenke an Einkäufer laufen fast immer Gefahr, als Beeinflussung verstanden zu werden. Auf der anderen Seite gibt es kleine Zuwendungen, die fast immer „sozialadäquat“ und damit vertretbar sind. Darunter fallen beispielsweise Kugelschreiber oder Kalender.

Compliance-Richtlinie für Geschenke

Das Gesetz schreibt keine Werte vor, die je nach Situation korrekt sein könnten. Die sicherste Lösung finden Unternehmen daher am besten mit einer Compliance-Richtlinie zu diesem Thema. Darin kann definiert sein, ob Geschenke generell abgelehnt werden müssen oder bis zu welcher Höhe Geschenke ohne Rücksprache mit einem Vorgesetzten angenommen werden dürfen. Eine Grenze könnte beispielsweise bei 35 Euro liegen, weil bis zu diesem Wert Geschenke an Geschäftspartner für den Schenkenden steuerlich absetzbar sind. Außerdem empfiehlt es sich, Geschenke oder auch Veranstaltungseinladungen genau zu dokumentieren, um das ganze Thema transparent und nachvollziehbar zu gestalten.

Wichtig: Betrachten Sie nicht nur Ihre eigenen Compliance-Richtlinien als Schenkender, sondern gegebenenfalls auch die unternehmensinternen Regeln des Beschenkten. Ansonsten kann das Geschenk vieles auslösen – nur nicht den Erhalt der geschäftlichen Freundschaft.

Das SAT-Team wünscht Ihnen und Ihren Familien ein gesegnetes Weihnachtsfest und einen guten Rutsch in ein erfolgreiches 2020.

Unternehmenskriminalität

Neues Gesetz gegen Unternehmenskriminalität geplant

Die Bundesregierung plant aktuell das „Gesetz zur Sanktionierung von verbandsbezogenen Straftaten“ zur Bekämpfung der Unternehmenskriminalität. Ein entsprechender Referentenentwurf liegt seit geraumer Zeit vor. Damit soll nicht nur die Bußgeldhöhe bei Unternehmensdelikten steigen. Auch der Anreiz zur Umsetzung von Compliance-Management-Systemen in Unternehmen steigt.

Zum Hintergrund: Straftaten durch Unternehmen sind nach geltendem Recht Ordnungswidrigkeiten und können bislang nur mit einer Geldbuße nach dem Gesetz über Ordnungswidrigkeiten (OWiG) bestraft werden. Damit aber lässt sich auf Unternehmenskriminalität nicht angemessen reagieren. Auch die maximale Höhe der Strafe von zehn Millionen Euro unabhängig von der Unternehmensgröße ist für Großkonzerne keine spürbare Sanktion und darüber hinaus nicht angemessen gegenüber kleinen und mittelständischen Unternehmen, die dasselbe Strafmaß erwartet. „Konkrete und nachvollziehbare Zumessungsregeln für Verbandsgeldbußen fehlen ebenso wie rechtssichere Anreize für Investitionen in Compliance“, heißt es im Referentenentwurf aus dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV). Das geltende Recht lege die Verfolgung auch schwerster Unternehmenskriminalität zudem allein in das Ermessen der zuständigen Behörden, was zu einer uneinheitlichen und unzureichenden Ahndung geführt habe. Verbandsstraftaten deutscher Unternehmen im Ausland könnten vielfach nicht verfolgt werden.

Der Entwurf verfolgt laut BMJV das Ziel, die Sanktionierung von Verbänden auf eine eigenständige gesetzliche Grundlage zu stellen und eine angemessene Ahndung von Verbandsstraftaten zu ermöglichen. „Zugleich soll er Compliance-Maßnahmen fördern und Anreize dafür bieten, dass Unternehmen mit internen Untersuchungen dazu beitragen, Straftaten aufzuklären.“

Was sieht das Gesetz konkret vor?

Eine Verbandssanktion gegen ein Unternehmen sieht das Gesetz unter anderem in diesen Fällen vor:

  • Personen in leitender Funktion haben eine sogenannte Verbandsstraftat begangen oder
  • Personen in leitender Funktion verhindern oder erschweren eine Straftat nicht durch „angemessene Vorkehrungen zur Vermeidung von Verbandsstraftaten wie insbesondere Organisation, Auswahl, Anleitung und Aufsicht“.

Im Gegensatz zur bisherigen Regelung kann die Bußgeldhöhe bei einer vorsätzlichen Verbandsstraftat nun bis zu 10 Prozent des durchschnittlichen weltweiten Jahresumsatzes betragen.

Das Gericht hat die Möglichkeit, Unternehmen anzuweisen, bestimmte Vorkehrungen zu treffen, um Verbandsstrafen zu vermeiden. Diese Maßnahmen müssen durch eine sachkundige, vom Gericht genehmigte Stelle, bescheinigt werden. Darunter kann beispielsweise die Installation eine unternehmensspezifischen Compliance-Management-Systems fallen.

Schließlich kann das Gericht die Verbandsauflösung anordnen, und zwar unter anderem

  • in besonders schweren Fällen,
  • wenn Führungspersonen im Unternehmen „beharrlich erhebliche Verbandstraftaten“ begangen haben oder
  • wenn die Gefahr besteht, dass das Unternehmen weiter erhebliche Verbandsstraftaten begehen wird.

Einen erheblichen Imageverlust dürften sanktionierte Unternehmen auch dadurch erleiden, dass der Referentenentwurf neben der Verhängung einer Verbandssanktion die öffentliche Bekanntmachung der Verurteilung vorsieht. Als Medium sind dabei Zeitungen, Rundfunk oder Internet denkbar.

Als weitere Maßnahme sieht der Gesetzentwurf die Einführung eines Verbandssanktionsregisters vor. Darin sollen künftig verhängte Verbandssanktionen und Geldbußen über 300 Euro registriert werden. Einsehbar soll es aber nur für Gerichte, Staatsanwaltschaften und Behörden sein, nicht jedoch für Medienvertreter oder Geschädigte.

Wie kann eine Verbandsstrafe gemildert werden?

Der Referentenentwurf sieht vor, dass die Strafe in verschiedenen Fällen geringer ausfallen kann. Das trifft zum Beispiel dann zu, wenn

  • der Verband oder von ihm beauftragte Dritte wesentlich dazu beigetragen haben, dass die Straftat aufgeklärt werden konnte oder
  • das Unternehmen uneingeschränkt mit den Verfolgungsbehörden zusammenarbeitet.

Einen erheblichen Einfluss auf die Höhe der Strafe wird künftig außerdem ein funktionierendes Compliance-Management-System haben. Damit reduziert das Unternehmen sein Risiko nicht regelkonformen Verhaltens innerhalb der Organisation und kommt zugleich seinen Pflichten der Leitung, Organisation und Kontrolle nach.

Der Referentenentwurf betont ausdrücklich, dass diese “vor der Verbandsstraftat getroffene Vorkehrungen zur Vermeidung und Aufdeckung von Verbandsstraftaten“ bei einem Verstoß Art und die Höhe der Verbandssanktion mildern können.

Durch unsere Auditorentätigkeit hat SAT zum einen große Erfahrung im Hinblick auf die Anforderungen an ein Compliance Management System. Zum anderen haben wir bereits mehrere CMS Systeme implementiert. Sprechen Sie mit uns, wenn Sie Fragen haben.

DSGVO

Sinnvolle DSGVO Tools schützen vor hohen Strafen

[vc_row][vc_column][vc_column_text]Die Datenschutzgrundverordnung DSGVO beschäftigt seit mehr als anderthalb Jahren Unternehmen, Vereine und Organisationen in der Europäischen Union. Zwar ist die die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten am 25. Mai 2018 ausgeblieben. Doch mittlerweile schauen sich die Datenschutzbeauftragten der Länder vor allem die Unternehmen und den von ihnen praktizierten Datenschutz sehr genau an. Jüngst teilte die Berliner Datenschutzbeauftragte mit, dass der Immobilienkonzern Deutsche Wohnen 14,5 Millionen Euro Strafe wegen Verstößen gegen die DSGVO zahlen müsse. SAT empfiehlt auch vor diesem Hintergrund die Nutzung zweier Websites, mit denen sich Unternehmen einen Überblick über den Stand ihres Datenschutzes verschaffen und im Zweifelsfall die entsprechenden Maßnahmen einleiten können.

1. dsgvo-bussgeld-rechner.de

Sollten Sie sich immer noch nicht sicher sein, ob Sie das Thema DSGVO überhaupt betrifft, empfehlen wir Ihnen die Nutzung des DSGVO-Bußgeld-Rechners. Damit können Sie ganz leicht Ihr individuelles Bußgeldrisiko wegen Verstößen gegen die Datenschutzgrundverordnung berechnen. Es basiert auf der Formel zur Berechnung von Bußgeldern, die die Deutsche Datenschutzkonferenz am 14. Oktober 2019 veröffentlicht hat.

2. seeyourdata.de

SeeYourData ist die bequemste Art für Unternehmen und Selbständige, ihre gesetzliche Pflicht aus Art. 30 DSGVO zu erfüllen. Der schreibt vor, dass jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. www.seeyourdata.de bietet Vorlagen für die häufigsten Verarbeitungen, Vorlagen für typische Unternehmenssoftware (Office, Google Dienste, Slack …) inklusive Empfänger, komfortable TOM / AV Verwaltung und einen automatischen Vollständigkeitscheck.

Auch für Websites bietet SeeYourData ein interessantes Tool, um die Datenschutzerklärung vollständig und richtig zu machen.

  • Automatischer Website Scan
    SeeYour Data scannt automatisch eine Website mit allen Unterseiten, um Abmahnrisiken zu erkennen.
  • Übernahme in Ihr Verzeichnis von Verarbeitungstätigkeiten
    Die auf der Website gefundenen Verarbeitungen werden automatisch in das Verarbeitungsverzeichnis importiert inklusive Rechtsgrundlagen, Zweck der Verarbeitung usw.
  • Anpassung Ihrer Datenschutzerklärung
    Ein Datenschutzerklärungsgenerator erzeugt eine abmahnsichere Fassung der Datenschutzerklärung.

SeeYourData gibt es sowohl in einer kostenlosen Basisversion (ohne Website-Scan) als Monatsabonnement sowie als Einmalkauf.

Warum empfiehlt SAT diese Tools für Ihren Datenschutz?

Entwickelt wurden die Websites und die dahinterliegenden Analysewerk-zeuge von Rechtsanwalt Fritz Mehler und der Hamburger Herting Oberbeck Datenschutz GmbH. „Aus Compliance-Sicht befürworten wir diese Tools eindeutig. Unternehmen erfahren dadurch schnell und zuverlässig, an welcher Stelle sie beim Thema Datenschutz – und damit Compliance – nacharbeiten müssen“, sagt SAT-Geschäftsführer Stefan Pawils.

Außerdem folge das Angebot dem unumkehrbaren Trend, die künstliche Intelligenz in der juristischen Welt voranzutreiben.[/vc_column_text][/vc_column][/vc_row]

Bußgeldzumessung

Datenschutzaufsichtsbehörden legen Konzept zur Bußgeldzumessung vor

[vc_row][vc_column][vc_column_text]Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben Mitte Oktober 2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen vorgelegt, die gegen die europäische Datenschutz-Grundverordnung DSGVO verstoßen haben. Ziel des Konzeptes ist es laut einer Pressemitteilung der Deutschen Datenschutzkonferenz vom 16. Oktober 2019, „den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.“ Das Konzept richtet sich ausschließlich an Unternehmen, nicht aber an Vereine oder Private.

Bußgeld richtet sich nach Unternehmensumsatz

Die Bußgeldzumessung bei DSGVO-Verstößen ist mit dem neuen Konzept an den Umsatz eines Unternehmens geknüpft. Darin kommt der „Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen“, zum Ausdruck.

Das Konzept sieht die Bußgeldzumessung in fünf Schritten vor:

  1. Zuordnung des Unternehmens zu einer Größenklasse nach weltweit erzieltem Vorjahresumsatz
    • Kleinstunternehmen mit maximal 2 Mio. Euro Jahresumsatz
    • Kleine Unternehmen (Umsatz zwischen 2 und 10 Mio. Euro)
    • Mittlere Unternehmen (Umsatz zwischen 10 und 50 Mio. Euro)
    • Großunternehmen mit einem Umsatz größer 50 Mio. Euro
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung eines wirtschaftlichen Grundwertes
  4. Multiplikation des Grundwertes mit einem Faktor, der von der Schwere der Tatumstände abhängt:
    Hier spielen Art und Dauer des Verstoßes, Zahl der betroffenen Personen und das Schadensausmaß eine Rolle.
  5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände.

Das neue Bußgeldkonzept gilt ausschließlich für deutsche Aufsichtsbehörden und zwar solange, bis es endgültige Leitlinie des Europäischen Datenschutzausschuss gibt. Wie die Berechnung konkret erfolgt, lesen Sie hier in einer Information der Datenschutzkonferenz.

Aktuelle Bußgeldverfahren

Nachdem die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten der DSGVO im Mai 2018 ausgeblieben war, greifen die Aufsichtsbehörden beim Thema Datenschutz in jüngster Zeit offenbar stärker durch. Gegen die Delivery Hero Germany GmbH hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk das bislang höchste Bußgeld in Deutschland über 195.407 Euro verhängt. „Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch“, schrieb die Berliner Datenschützerin in einer Presserklärung vom 19.9.2019. Dort hieß es weiter: „Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DSGVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.“

Konsequenzen für Unternehmen

Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DSGVO wirkt dem entgegen. „Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten“, sagte Maja Smoltczyk.

Wer mit personenbezogenen Daten arbeite, brauche ein funktionierendes Datenschutzmanagement. Das helfe nicht nur, Bußgelder zu vermeiden, sondern stärke auch das Vertrauen und die Zufriedenheit der Kundschaft.

In Berlin beispielsweise gibt es zweimal im Monat Start-up-Sprechstunden für Unternehmen in der Gründungsphase, in denen sie Fragen zum Datenschutz klären können. Auch SAT unterstützt Unternehmen mit Kooperationspartnern bei der Umsetzung der EU-Vorschriften zu Datenschutz und Datenverarbeitung. Suchen Sie einen externen Datenschutzbeauftragten, können Sie sich gerne für ein erstes unverbindliches Gespräch an das SAT-Team wenden.[/vc_column_text][/vc_column][/vc_row]

Compliance Management System

Compliance Management System gibt vor Gericht den Ausschlag

Das Oberlandesgericht Hamm hat im Sommer ein weitreichendes Urteil über die Relevanz eines Compliance Management Systems in Unternehmen getroffen. Es urteilte, dass einem Geschäftsführer wegen gravierender Compliance-Verstöße aus wichtigem Grund ohne vorherige Abmahnung gekündigt werden kann (OLG Hamm, 8 U 146/18).

In dem Fall hatte der Geschäftsführer einer konzernzugehörigen GmbH mit einem Geschäftspartner eine Provisionsvereinbarung getroffen, die den im Konzern geltenden Compliance-Vorschriften widersprach. Demnach musste bei Provisionen ab einer bestimmten Größenordnung das Vier-Augen-Prinzip eingehalten werden. Auch durften derartige Vereinbarungen nicht ohne Zustimmung des Bereichsvorstandes getroffen werden. Im Urteil des OLG Hamm heißt es daher: „Gibt ein GmbH-Geschäftsführer eine Zahlung auf eine – wie er weiß – fingierte Forderung frei, um damit eine Provisionsabrede zu honorieren, die gegen die unternehmensinternen Compliance-Vorschriften über zustimmungsbedürftige Geschäfte verstieß, kann darin eine Pflichtverletzung liegen, die einen wichtigen Grund zur Kündigung des Anstellungsvertrages darstellt.“ (Quelle: justiz.nrw.de)

Das Oberlandesgericht Hamm stellte in seinem Urteil fest, dass der Verstoß gegen die Compliance-Regelung schon für sich eine schwerwiegende Pflichtverletzung darstelle. Die Klage des ehemaligen Geschäftsführers gegen die Abberufung als Geschäftsführer und die fristlose Kündigung des Dienstverhältnisses sowie auf Fortzahlung des Geschäftsführergehaltes wies es daher ab. Das OLG betont: „Wer die Compliance-Regeln seines eigenen Unternehmens und die Sanktionen, mit denen sie bewehrt sind, nicht kennt, ist von vornherein ungeeignet, dieses zu führen.“

Bedeutung des Urteils für die Praxis

Das Urteil des OLG Hamm stellt einmal mehr klar, dass ein Compliance Management System in Unternehmen nicht nur „nice to have“ ist und ethisches wie moralisches Verhalten der Mitarbeiter und Führungskräfte regelt. Es ist darauf ausgerichtet, alle Abläufe in einer Organisation regel- und gesetzeskonform umzusetzen. Relevant sind dabei alle nationalen und internationalen Richtlinien und Gesetze, die eine Firma – definiert durch ihr Tätigkeitsfeld – berücksichtigen muss. Die Größe der Organisation ist dabei irrelevant: Vom Konzern bis zum mittelständischen oder kleinen Unternehmen sind alle an rechtskonformes Handeln und Verhalten gebunden.

Ganz klar wird durch das Urteil, dass mit einem funktionierenden Compliance Management System dem Unternehmen ein Werkzeug an die Hand gegeben ist, gegen Mitarbeiter und Führungskräfte – bis zur fristlosen Kündigung – vorzugehen, die sich nicht Compliance-konform verhalten.

Etablierung eines Compliance Management Systems

Vor diesem Hintergrund sei darauf hingewiesen, dass ein unternehmensinternes Compliance Management System der langfristigen, strategischen Vorbereitung, Einführung, Umsetzung und Kontrolle bedarf. Mit Hilfe eines Gesetzeskataster sollten Unternehmen die Grundlage schaffen zu ermitteln, welche gesetzlichen Regelungen für das eigene Tätigkeitsgebiet relevant sind. Darauf aufbauend, muss ein Compliance Management System über alle Geschäftsbereiche und –hierarchien in das Unternehmen eingeführt und dessen Umsetzung in regelmäßigen Abständen überprüft werden.

SAT berät Sie zu den detaillierten Schritten bei der Umsetzung Ihres Compliance Management Systems.

Dual-Use-Güter

EU-Kommission empfiehlt interne Compliance-Programme für Dual-Use-Güter

[vc_row][vc_column][vc_column_text]Die Europäische Kommission hat am 30. Juli dieses Jahres Empfehlungen „zu internen Compliance-Programmen für die Kontrolle des Handels mit Gütern mit doppeltem Verwendungszweck (Dual-Use-Gütern) nach Maßgabe der Verordnung (EG) Nr. 428/2009 des Rates“ veröffentlicht.

Darin heißt es unter anderem: „Ein wirksames, einheitliches und kohärentes Kontrollsystem für die Ausfuhr von Gütern mit doppeltem Verwendungszweck ist notwendig, um die Sicherheit der EU und die internationale Sicherheit zu fördern und die Einhaltung der internationalen Verpflichtungen und Zuständigkeiten der Mitgliedstaaten und der Europäischen Union (EU), insbesondere hinsichtlich der Nichtverbreitung, sowie die Förderung gleicher Bedingungen für die Wirtschaftsbeteiligten in der EU zu gewährleisten.  Gemeinsame Ansätze und Verfahren in Bezug auf interne Compliance-Programme können zu einer einheitlichen und kohärenten Durchführung von Kontrollen in der EU beitragen.“

Was sind Dual-Use-Güter?

Als „Dual-Use-Güter“ werden solche Waren, Software und Technologien bezeichnet, die sowohl militärisch als auch zivil eingesetzt werden können. „Die überwiegende Mehrheit der Dual-use-Güter wird in der gesamten EU einheitlich kontrolliert. Basis hierfür ist die Dual-use-Verordnung (Verordnung (EG) Nr. 428/2009). Diese Güter sind in Anhang I der EG-Dual-use-Verordnung enthalten.  Die Listen sind regelmäßigen Änderungen unterworfen“, schreibt die Industrie- und Handelskammer Stuttgart dazu auf Ihrer Website. Die jeweils aktuelle Fassung sei auf der Internetseite des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) unter dem Stichwort „Güterlisten” zu finden.

Was bedeutet das für Unternehmen?

Für Unternehmen besteht die Herausforderung im Umgang mit Dual-Use-Gütern darin sicherzustellen, dass sie keine Waren ungenehmigt ausführen. Die regelmäßige Prüfung der Güterlisten ist deshalb ein Muss. Die Kontrollmechanismen mit den notwendigen Maßnahmen und Verfahren sollten in einem internen Compliance Programm festgehalten werden. „Diese Leitlinien bieten Ausführern einen Orientierungsrahmen, der ihnen helfen soll, Risiken im Zusammenhang mit der Kontrolle des Handels mit Gütern mit doppeltem Verwendungszweck zu ermitteln, zu steuern und zu verringern und die Einhaltung der einschlägigen Rechtsvorschriften der EU und der Mitgliedstaaten zu gewährleisten“, heißt es im Schreiben der Europäischen Kommission.

Zugleich bieten die „Leitlinien den Behörden der Mitgliedstaaten einen Orientierungsrahmen für ihre Bewertung von Risiken im Rahmen ihrer Zuständigkeit für Entscheidungen über Einzel- und Globalausfuhrgenehmigungen und nationale allgemeine Ausfuhrgenehmigungen, Genehmigungen für Vermittlungstätigkeiten, für die Durchfuhr von nichtgemeinschaftlichen Gütern mit doppeltem Verwendungszweck und Genehmigungen für die Verbringung von Gütern mit doppeltem Verwendungszweck innerhalb der Europäischen Union.“

Lesen Sie das gesamte Schreiben HIER.[/vc_column_text][/vc_column][/vc_row]

Transparenzregister

Transparenzregister gegen Geldwäsche wird öffentlich zugänglich

Seit Sommer 2017 ist das Geldwäschegesetz in Kraft, das ein elektronisches Transparenzregister vorsieht. Konnten bislang nur Strafverfolgungsbehörden, Steuerfahnder und Menschen mit „berechtigtem Interesse“ auf das Register zugreifen, soll es nun im Zuge der Umsetzung der Fünften EU-Geldwäscherichtlinie öffentlich zugänglich gemacht werden.

Das sogenannte Transparenzregister ist ein elektronisches Verzeichnis, in dem „wirtschaftlich Berechtigte“ aufgeführt werden, die mehr als 25 Prozent an einem Unternehmen besitzen. Es soll verhindern, dass illegale Vermögenswerte durch komplexe Firmenkonstruktionen verschleiert werden. Ziel ist es außerdem, die strafrechtliche Verfolgung unter anderem von organisierter Kriminalität, Geldwäsche und Steuerhinterziehung zu erleichtern.

Meldepflicht für das Transparenzregister

Die Pflicht zur Eintragung ins Transparenzregister gilt prinzipiell für alle Unternehmen. Aktiv werden sollten spätestens jetzt aber vor allem ältere Gesellschaften mit beschränkter Haftung (GmbH) ohne elektronisch abrufbare Gesellschafterlisten im Handelsregister. Sie müssen die wirtschaftlich Berechtigten ihres Unternehmens offenlegen. Betroffen sind vor allem Gesellschaften mit Eintragung vor 2007 und seither nicht mehr aktualisierter Gesellschafterliste.

Die IHK Hannover schreibt dazu auf Ihrer Internetseite https://www.hannover.ihk.de: „Die Angaben zu den wirtschaftlich Berechtigten dieser Vereinigungen sind auf aktuellem Stand zu halten.  Bei juristischen Personen oder sonstigen Vereinigungen ist jede natürliche Person wirtschaftlich Berechtigter, die unmittelbar oder mittelbar mehr als 25 Prozent der Kapitalanteile hält oder mehr als 25 Prozent der Stimmrechte kontrolliert oder auf vergleichbare Weise Kontrolle ausübt.“ Außerdem informiert die IHK darüber, wer die Eintragungen im Transparenzregister vornehmen muss: „Gesetzliche Vertreter von juristischen Personen des Privatrechts und rechtsfähige Personengesellschaften (vgl. § 20 Abs. 1 GwG) sowie Trustees und Treuhänder (vgl. § 21 Abs. 1 und 2 GwG) sind zu unverzüglichen Mitteilungen ihrer wirtschaftlich Berechtigten an das Transparenzregister verpflichtet, sofern sich die wirtschaftlich Berechtigten nicht bereits aus anderen öffentlichen Quellen (z. B. dem Handelsregister) ergeben. Börsennotierte Gesellschaften sind von gesonderten Mitteilungen an das Transparenzregisters ausgenommen, sofern sich die kontrollierende Stellung bereits aus entsprechenden Stimmrechtsmitteilungen ergibt.“

Angaben im Transparenzregister

Mitteilungspflichtig seien folgende Angaben zum wirtschaftlich Berechtigten: der Vor- und Familienname, das Geburtsdatum, der Wohnort, der Typ des wirtschaftlich Berechtigten (fiktiv oder tatsächlich) sowie Art und der Umfang des wirtschaftlichen Interesses (vgl. § 19 Abs. 1 GwG). Sowohl nachträgliche Änderungen der Angaben zum wirtschaftlich Berechtigten als auch Hinweise darauf, dass der wirtschaftlich Berechtigte sich zwischenzeitlich (wieder) aus anderen Registern ergibt, seien mitteilungspflichtig.

Kritik wegen Datenschutz

Kritik an den Plänen von Bundesfinanzminister Scholz, das Transparenzregister nach EU-Vorgaben öffentlich zugänglich zu machen, hat es zuletzt aus der Wirtschaft gegeben: Ihr gehen die Auskünfte über die „wirtschaftlich Berechtigten“ aus Datenschutzgründen zu weit. Deshalb will die Bundesregierung den eingeräumten Spielraum bei der Umsetzung der 5. Geldwäscherichtlinie für Auskünfte aus dem Transparenzregister nicht nutzen. „In der Antwort (19/10716) auf eine Kleine Anfrage der FDP-Fraktion (19/10359) erläutert die Regierung, Auskünfte über wirtschaftlich Berechtigte von Unternehmen für die Öffentlichkeit würden mindestens Name, Jahr der Geburt, Wohnsitzland und Staatsangehörigkeit sowie Art und Umfang des wirtschaftlichen Interesses enthalten. Darüber hinaus könnten die Mitgliedstaaten Zugang zu weiteren Informationen wie Geburtstag und Kontaktdaten der wirtschaftlich Berechtigten gewähren. Die Bundesregierung beabsichtigt jedoch zum Schutz der personenbezogenen Daten der wirtschaftlich Berechtigten nicht, von den erweiterten Möglichkeiten Gebrauch zu machen und Zugang zu weiteren als den mindestens erforderlichen Daten zu gewähren, heißt es in der Antwort“ laut Pressemitteilung des Deutschen Bundestages.

Im vergangenen Jahr wurden insgesamt 1003 Anträge auf Einsichtnahme aus dem Personenkreis der Öffentlichkeit gestellt. In 512 Fällen wurde dem Antrag stattgegeben, in 421 abgelehnt. 70 Anträge haben die Antragsteller selbst zurückgenommen.

Das Transparenzregister bietet eine kostenlose Servicenummer (0800-1234337), Mo–Fr von 8:00 bis 18:30 Uhr.

Whistleblower

EU schützt Whistleblower künftig einheitlich

Auf europäischer Ebene wird es künftig hohe Standards für den Schutz sogenannter Whistleblower geben, die Verstöße gegen das EU-Recht in Unternehmen melden. „Hinweisgeber tun das Richtige für die Gesellschaft und sollten von uns geschützt werden, damit sie dafür nicht bestraft, entlassen, degradiert oder vor Gericht verklagt werden“, sagte Frans Timmermans, zum Zeitpunkt der Entscheidung in diesem Frühjahr Erster Vizepräsident der EU-Kommission. Bislang ist der Schutz von Whistleblowern in der Europäischen Union nicht einheitlich geregelt.

„Die neuen EU-weiten Vorschriften zum Schutz von Hinweisgebern dienen genau diesem Zweck und werden dafür sorgen, dass Hinweisgeber Verstöße gegen das EU-Recht in vielen Bereichen sicher melden können. Dies wird Betrug, Korruption, Steuervermeidung durch Unternehmen sowie Schädigungen der menschlichen Gesundheit und der Umwelt bekämpfen helfen. Wir fordern die Mitgliedstaaten auf, ausgehend von diesen Prinzipien umfassende Rahmenbedingungen für den Schutz von Hinweisgebern zu schaffen“, so Timmermans weiter.

Hinweisgeber sollen dabei helfen, rechtswidrige Handlungen und illegale Machenschaften aufzudecken. Die Whistleblower sollen aber zugleich umfassende Unterstützung und Schutz genießen. Das neue System stärkt außerdem Arbeitgeber darin,  Probleme intern zu lösen, Hinweisgebern aber auch die Möglichkeit zu erhalten, sich ohne Angst vor Vergeltung an Behörden zu wenden.

„Die neuen Vorschriften decken ein breites Spektrum an EU-Rechtsbereichen ab, unter anderem die Geldwäschebekämpfung, die Unternehmensbesteuerung, den Datenschutz, den Schutz der finanziellen Interessen der Union, die Lebensmittel- und Produktsicherheit sowie den Umweltschutz und die nukleare Sicherheit. Überdies steht es den Mitgliedstaaten frei, diese Vorschriften auf andere Bereiche auszuweiten. Die Kommission empfiehlt ihnen, ausgehend von diesen Prinzipien umfassende Rahmenbedingungen für den Schutz von Hinweisgebern zu schaffen.

Klare Meldeverfahren und Pflichten für Arbeitgeber

Mit den neuen Vorschriften wird ein System von sicheren Kanälen für die Meldung von Missständen sowohl innerhalb einer Organisation als auch an Behörden geschaffen.

Sichere Meldekanäle

Hinweisgeber werden ermutigt, Missstände zunächst intern zu melden, wenn der Verstoß, den sie aufdecken möchten, innerhalb ihrer Organisation wirksam angegangen werden kann und sie keine Vergeltungsmaßnahmen riskieren. Je nach den Umständen im jeweiligen Fall können sie sich auch direkt an die zuständigen Behörden wenden. Wenn nach der Meldung an die Behörden keine geeigneten Maßnahmen ergriffen werden, eine drohende oder offenkundige Gefahr für das öffentliche Interesse zu erkennen ist oder eine Meldung an die Behörden keine Option wäre, beispielsweise weil die betreffenden Behörden und der Straftäter Absprachen getroffen haben, können Hinweisgeber mit ihren Informationen an die Öffentlichkeit gehen und hierfür auch die Medien nutzen. Dies bietet Hinweisgebern Schutz, wenn sie als Quellen für investigativen Journalismus dienen.

Vermeidung von Vergeltungsmaßnahmen und wirksamer Schutz

Die Vorschriften schützen Hinweisgeber vor Kündigungen, Zurückstufungen und anderen Repressalien. Ferner werden die nationalen Behörden verpflichtet, die Bürgerinnen und Bürger über die Verfahren zur Meldung von Missständen und über den bestehenden Schutz zu informieren. Darüber hinaus werden Hinweisgeber in Gerichtsverfahren geschützt.“  (Quelle: Pressemitteilung der Europäischen Kommission vom 12. März 2019)

Was bedeutet das für Unternehmen?

Unternehmen werden künftig verpflichtet sein, ein Hinweisgebersystem aufzubauen, so dass Whistleblower interne Verstöße gegen geltendes Recht anzeigen können, ohne Repressalien befürchten zu müssen. SAT wird Sie künftig beraten, wie Sie ein solches System einführen können und damit den EU-Vorschriften gerecht werden.