DSGVO

Sinnvolle DSGVO Tools schützen vor hohen Strafen

[vc_row][vc_column][vc_column_text]Die Datenschutzgrundverordnung DSGVO beschäftigt seit mehr als anderthalb Jahren Unternehmen, Vereine und Organisationen in der Europäischen Union. Zwar ist die die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten am 25. Mai 2018 ausgeblieben. Doch mittlerweile schauen sich die Datenschutzbeauftragten der Länder vor allem die Unternehmen und den von ihnen praktizierten Datenschutz sehr genau an. Jüngst teilte die Berliner Datenschutzbeauftragte mit, dass der Immobilienkonzern Deutsche Wohnen 14,5 Millionen Euro Strafe wegen Verstößen gegen die DSGVO zahlen müsse. SAT empfiehlt auch vor diesem Hintergrund die Nutzung zweier Websites, mit denen sich Unternehmen einen Überblick über den Stand ihres Datenschutzes verschaffen und im Zweifelsfall die entsprechenden Maßnahmen einleiten können.

1. dsgvo-bussgeld-rechner.de

Sollten Sie sich immer noch nicht sicher sein, ob Sie das Thema DSGVO überhaupt betrifft, empfehlen wir Ihnen die Nutzung des DSGVO-Bußgeld-Rechners. Damit können Sie ganz leicht Ihr individuelles Bußgeldrisiko wegen Verstößen gegen die Datenschutzgrundverordnung berechnen. Es basiert auf der Formel zur Berechnung von Bußgeldern, die die Deutsche Datenschutzkonferenz am 14. Oktober 2019 veröffentlicht hat.

2. seeyourdata.de

SeeYourData ist die bequemste Art für Unternehmen und Selbständige, ihre gesetzliche Pflicht aus Art. 30 DSGVO zu erfüllen. Der schreibt vor, dass jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. www.seeyourdata.de bietet Vorlagen für die häufigsten Verarbeitungen, Vorlagen für typische Unternehmenssoftware (Office, Google Dienste, Slack …) inklusive Empfänger, komfortable TOM / AV Verwaltung und einen automatischen Vollständigkeitscheck.

Auch für Websites bietet SeeYourData ein interessantes Tool, um die Datenschutzerklärung vollständig und richtig zu machen.

  • Automatischer Website Scan
    SeeYour Data scannt automatisch eine Website mit allen Unterseiten, um Abmahnrisiken zu erkennen.
  • Übernahme in Ihr Verzeichnis von Verarbeitungstätigkeiten
    Die auf der Website gefundenen Verarbeitungen werden automatisch in das Verarbeitungsverzeichnis importiert inklusive Rechtsgrundlagen, Zweck der Verarbeitung usw.
  • Anpassung Ihrer Datenschutzerklärung
    Ein Datenschutzerklärungsgenerator erzeugt eine abmahnsichere Fassung der Datenschutzerklärung.

SeeYourData gibt es sowohl in einer kostenlosen Basisversion (ohne Website-Scan) als Monatsabonnement sowie als Einmalkauf.

Warum empfiehlt SAT diese Tools für Ihren Datenschutz?

Entwickelt wurden die Websites und die dahinterliegenden Analysewerk-zeuge von Rechtsanwalt Fritz Mehler und der Hamburger Herting Oberbeck Datenschutz GmbH. „Aus Compliance-Sicht befürworten wir diese Tools eindeutig. Unternehmen erfahren dadurch schnell und zuverlässig, an welcher Stelle sie beim Thema Datenschutz – und damit Compliance – nacharbeiten müssen“, sagt SAT-Geschäftsführer Stefan Pawils.

Außerdem folge das Angebot dem unumkehrbaren Trend, die künstliche Intelligenz in der juristischen Welt voranzutreiben.[/vc_column_text][/vc_column][/vc_row]

Bußgeldzumessung

Datenschutzaufsichtsbehörden legen Konzept zur Bußgeldzumessung vor

[vc_row][vc_column][vc_column_text]Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben Mitte Oktober 2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen vorgelegt, die gegen die europäische Datenschutz-Grundverordnung DSGVO verstoßen haben. Ziel des Konzeptes ist es laut einer Pressemitteilung der Deutschen Datenschutzkonferenz vom 16. Oktober 2019, „den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.“ Das Konzept richtet sich ausschließlich an Unternehmen, nicht aber an Vereine oder Private.

Bußgeld richtet sich nach Unternehmensumsatz

Die Bußgeldzumessung bei DSGVO-Verstößen ist mit dem neuen Konzept an den Umsatz eines Unternehmens geknüpft. Darin kommt der „Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen“, zum Ausdruck.

Das Konzept sieht die Bußgeldzumessung in fünf Schritten vor:

  1. Zuordnung des Unternehmens zu einer Größenklasse nach weltweit erzieltem Vorjahresumsatz
    • Kleinstunternehmen mit maximal 2 Mio. Euro Jahresumsatz
    • Kleine Unternehmen (Umsatz zwischen 2 und 10 Mio. Euro)
    • Mittlere Unternehmen (Umsatz zwischen 10 und 50 Mio. Euro)
    • Großunternehmen mit einem Umsatz größer 50 Mio. Euro
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung eines wirtschaftlichen Grundwertes
  4. Multiplikation des Grundwertes mit einem Faktor, der von der Schwere der Tatumstände abhängt:
    Hier spielen Art und Dauer des Verstoßes, Zahl der betroffenen Personen und das Schadensausmaß eine Rolle.
  5. Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände.

Das neue Bußgeldkonzept gilt ausschließlich für deutsche Aufsichtsbehörden und zwar solange, bis es endgültige Leitlinie des Europäischen Datenschutzausschuss gibt. Wie die Berechnung konkret erfolgt, lesen Sie hier in einer Information der Datenschutzkonferenz.

Aktuelle Bußgeldverfahren

Nachdem die befürchtete Abmahnwelle nach dem endgültigen Inkrafttreten der DSGVO im Mai 2018 ausgeblieben war, greifen die Aufsichtsbehörden beim Thema Datenschutz in jüngster Zeit offenbar stärker durch. Gegen die Delivery Hero Germany GmbH hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk das bislang höchste Bußgeld in Deutschland über 195.407 Euro verhängt. „Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch“, schrieb die Berliner Datenschützerin in einer Presserklärung vom 19.9.2019. Dort hieß es weiter: „Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein erstes beträchtliches Bußgeld nach den Maßstäben der DSGVO in Höhe von 50.000 Euro gegen die Online Bank N26 festgesetzt. Das junge Unternehmen hatte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.“

Konsequenzen für Unternehmen

Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DSGVO wirkt dem entgegen. „Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten“, sagte Maja Smoltczyk.

Wer mit personenbezogenen Daten arbeite, brauche ein funktionierendes Datenschutzmanagement. Das helfe nicht nur, Bußgelder zu vermeiden, sondern stärke auch das Vertrauen und die Zufriedenheit der Kundschaft.

In Berlin beispielsweise gibt es zweimal im Monat Start-up-Sprechstunden für Unternehmen in der Gründungsphase, in denen sie Fragen zum Datenschutz klären können. Auch SAT unterstützt Unternehmen mit Kooperationspartnern bei der Umsetzung der EU-Vorschriften zu Datenschutz und Datenverarbeitung. Suchen Sie einen externen Datenschutzbeauftragten, können Sie sich gerne für ein erstes unverbindliches Gespräch an das SAT-Team wenden.[/vc_column_text][/vc_column][/vc_row]

Compliance Management System

Compliance Management System gibt vor Gericht den Ausschlag

Das Oberlandesgericht Hamm hat im Sommer ein weitreichendes Urteil über die Relevanz eines Compliance Management Systems in Unternehmen getroffen. Es urteilte, dass einem Geschäftsführer wegen gravierender Compliance-Verstöße aus wichtigem Grund ohne vorherige Abmahnung gekündigt werden kann (OLG Hamm, 8 U 146/18).

In dem Fall hatte der Geschäftsführer einer konzernzugehörigen GmbH mit einem Geschäftspartner eine Provisionsvereinbarung getroffen, die den im Konzern geltenden Compliance-Vorschriften widersprach. Demnach musste bei Provisionen ab einer bestimmten Größenordnung das Vier-Augen-Prinzip eingehalten werden. Auch durften derartige Vereinbarungen nicht ohne Zustimmung des Bereichsvorstandes getroffen werden. Im Urteil des OLG Hamm heißt es daher: „Gibt ein GmbH-Geschäftsführer eine Zahlung auf eine – wie er weiß – fingierte Forderung frei, um damit eine Provisionsabrede zu honorieren, die gegen die unternehmensinternen Compliance-Vorschriften über zustimmungsbedürftige Geschäfte verstieß, kann darin eine Pflichtverletzung liegen, die einen wichtigen Grund zur Kündigung des Anstellungsvertrages darstellt.“ (Quelle: justiz.nrw.de)

Das Oberlandesgericht Hamm stellte in seinem Urteil fest, dass der Verstoß gegen die Compliance-Regelung schon für sich eine schwerwiegende Pflichtverletzung darstelle. Die Klage des ehemaligen Geschäftsführers gegen die Abberufung als Geschäftsführer und die fristlose Kündigung des Dienstverhältnisses sowie auf Fortzahlung des Geschäftsführergehaltes wies es daher ab. Das OLG betont: „Wer die Compliance-Regeln seines eigenen Unternehmens und die Sanktionen, mit denen sie bewehrt sind, nicht kennt, ist von vornherein ungeeignet, dieses zu führen.“

Bedeutung des Urteils für die Praxis

Das Urteil des OLG Hamm stellt einmal mehr klar, dass ein Compliance Management System in Unternehmen nicht nur „nice to have“ ist und ethisches wie moralisches Verhalten der Mitarbeiter und Führungskräfte regelt. Es ist darauf ausgerichtet, alle Abläufe in einer Organisation regel- und gesetzeskonform umzusetzen. Relevant sind dabei alle nationalen und internationalen Richtlinien und Gesetze, die eine Firma – definiert durch ihr Tätigkeitsfeld – berücksichtigen muss. Die Größe der Organisation ist dabei irrelevant: Vom Konzern bis zum mittelständischen oder kleinen Unternehmen sind alle an rechtskonformes Handeln und Verhalten gebunden.

Ganz klar wird durch das Urteil, dass mit einem funktionierenden Compliance Management System dem Unternehmen ein Werkzeug an die Hand gegeben ist, gegen Mitarbeiter und Führungskräfte – bis zur fristlosen Kündigung – vorzugehen, die sich nicht Compliance-konform verhalten.

Etablierung eines Compliance Management Systems

Vor diesem Hintergrund sei darauf hingewiesen, dass ein unternehmensinternes Compliance Management System der langfristigen, strategischen Vorbereitung, Einführung, Umsetzung und Kontrolle bedarf. Mit Hilfe eines Gesetzeskataster sollten Unternehmen die Grundlage schaffen zu ermitteln, welche gesetzlichen Regelungen für das eigene Tätigkeitsgebiet relevant sind. Darauf aufbauend, muss ein Compliance Management System über alle Geschäftsbereiche und –hierarchien in das Unternehmen eingeführt und dessen Umsetzung in regelmäßigen Abständen überprüft werden.

SAT berät Sie zu den detaillierten Schritten bei der Umsetzung Ihres Compliance Management Systems.

Dual-Use-Güter

EU-Kommission empfiehlt interne Compliance-Programme für Dual-Use-Güter

[vc_row][vc_column][vc_column_text]Die Europäische Kommission hat am 30. Juli dieses Jahres Empfehlungen „zu internen Compliance-Programmen für die Kontrolle des Handels mit Gütern mit doppeltem Verwendungszweck (Dual-Use-Gütern) nach Maßgabe der Verordnung (EG) Nr. 428/2009 des Rates“ veröffentlicht.

Darin heißt es unter anderem: „Ein wirksames, einheitliches und kohärentes Kontrollsystem für die Ausfuhr von Gütern mit doppeltem Verwendungszweck ist notwendig, um die Sicherheit der EU und die internationale Sicherheit zu fördern und die Einhaltung der internationalen Verpflichtungen und Zuständigkeiten der Mitgliedstaaten und der Europäischen Union (EU), insbesondere hinsichtlich der Nichtverbreitung, sowie die Förderung gleicher Bedingungen für die Wirtschaftsbeteiligten in der EU zu gewährleisten.  Gemeinsame Ansätze und Verfahren in Bezug auf interne Compliance-Programme können zu einer einheitlichen und kohärenten Durchführung von Kontrollen in der EU beitragen.“

Was sind Dual-Use-Güter?

Als „Dual-Use-Güter“ werden solche Waren, Software und Technologien bezeichnet, die sowohl militärisch als auch zivil eingesetzt werden können. „Die überwiegende Mehrheit der Dual-use-Güter wird in der gesamten EU einheitlich kontrolliert. Basis hierfür ist die Dual-use-Verordnung (Verordnung (EG) Nr. 428/2009). Diese Güter sind in Anhang I der EG-Dual-use-Verordnung enthalten.  Die Listen sind regelmäßigen Änderungen unterworfen“, schreibt die Industrie- und Handelskammer Stuttgart dazu auf Ihrer Website. Die jeweils aktuelle Fassung sei auf der Internetseite des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) unter dem Stichwort „Güterlisten” zu finden.

Was bedeutet das für Unternehmen?

Für Unternehmen besteht die Herausforderung im Umgang mit Dual-Use-Gütern darin sicherzustellen, dass sie keine Waren ungenehmigt ausführen. Die regelmäßige Prüfung der Güterlisten ist deshalb ein Muss. Die Kontrollmechanismen mit den notwendigen Maßnahmen und Verfahren sollten in einem internen Compliance Programm festgehalten werden. „Diese Leitlinien bieten Ausführern einen Orientierungsrahmen, der ihnen helfen soll, Risiken im Zusammenhang mit der Kontrolle des Handels mit Gütern mit doppeltem Verwendungszweck zu ermitteln, zu steuern und zu verringern und die Einhaltung der einschlägigen Rechtsvorschriften der EU und der Mitgliedstaaten zu gewährleisten“, heißt es im Schreiben der Europäischen Kommission.

Zugleich bieten die „Leitlinien den Behörden der Mitgliedstaaten einen Orientierungsrahmen für ihre Bewertung von Risiken im Rahmen ihrer Zuständigkeit für Entscheidungen über Einzel- und Globalausfuhrgenehmigungen und nationale allgemeine Ausfuhrgenehmigungen, Genehmigungen für Vermittlungstätigkeiten, für die Durchfuhr von nichtgemeinschaftlichen Gütern mit doppeltem Verwendungszweck und Genehmigungen für die Verbringung von Gütern mit doppeltem Verwendungszweck innerhalb der Europäischen Union.“

Lesen Sie das gesamte Schreiben HIER.[/vc_column_text][/vc_column][/vc_row]

Transparenzregister

Transparenzregister gegen Geldwäsche wird öffentlich zugänglich

Seit Sommer 2017 ist das Geldwäschegesetz in Kraft, das ein elektronisches Transparenzregister vorsieht. Konnten bislang nur Strafverfolgungsbehörden, Steuerfahnder und Menschen mit „berechtigtem Interesse“ auf das Register zugreifen, soll es nun im Zuge der Umsetzung der Fünften EU-Geldwäscherichtlinie öffentlich zugänglich gemacht werden.

Das sogenannte Transparenzregister ist ein elektronisches Verzeichnis, in dem „wirtschaftlich Berechtigte“ aufgeführt werden, die mehr als 25 Prozent an einem Unternehmen besitzen. Es soll verhindern, dass illegale Vermögenswerte durch komplexe Firmenkonstruktionen verschleiert werden. Ziel ist es außerdem, die strafrechtliche Verfolgung unter anderem von organisierter Kriminalität, Geldwäsche und Steuerhinterziehung zu erleichtern.

Meldepflicht für das Transparenzregister

Die Pflicht zur Eintragung ins Transparenzregister gilt prinzipiell für alle Unternehmen. Aktiv werden sollten spätestens jetzt aber vor allem ältere Gesellschaften mit beschränkter Haftung (GmbH) ohne elektronisch abrufbare Gesellschafterlisten im Handelsregister. Sie müssen die wirtschaftlich Berechtigten ihres Unternehmens offenlegen. Betroffen sind vor allem Gesellschaften mit Eintragung vor 2007 und seither nicht mehr aktualisierter Gesellschafterliste.

Die IHK Hannover schreibt dazu auf Ihrer Internetseite https://www.hannover.ihk.de: „Die Angaben zu den wirtschaftlich Berechtigten dieser Vereinigungen sind auf aktuellem Stand zu halten.  Bei juristischen Personen oder sonstigen Vereinigungen ist jede natürliche Person wirtschaftlich Berechtigter, die unmittelbar oder mittelbar mehr als 25 Prozent der Kapitalanteile hält oder mehr als 25 Prozent der Stimmrechte kontrolliert oder auf vergleichbare Weise Kontrolle ausübt.“ Außerdem informiert die IHK darüber, wer die Eintragungen im Transparenzregister vornehmen muss: „Gesetzliche Vertreter von juristischen Personen des Privatrechts und rechtsfähige Personengesellschaften (vgl. § 20 Abs. 1 GwG) sowie Trustees und Treuhänder (vgl. § 21 Abs. 1 und 2 GwG) sind zu unverzüglichen Mitteilungen ihrer wirtschaftlich Berechtigten an das Transparenzregister verpflichtet, sofern sich die wirtschaftlich Berechtigten nicht bereits aus anderen öffentlichen Quellen (z. B. dem Handelsregister) ergeben. Börsennotierte Gesellschaften sind von gesonderten Mitteilungen an das Transparenzregisters ausgenommen, sofern sich die kontrollierende Stellung bereits aus entsprechenden Stimmrechtsmitteilungen ergibt.“

Angaben im Transparenzregister

Mitteilungspflichtig seien folgende Angaben zum wirtschaftlich Berechtigten: der Vor- und Familienname, das Geburtsdatum, der Wohnort, der Typ des wirtschaftlich Berechtigten (fiktiv oder tatsächlich) sowie Art und der Umfang des wirtschaftlichen Interesses (vgl. § 19 Abs. 1 GwG). Sowohl nachträgliche Änderungen der Angaben zum wirtschaftlich Berechtigten als auch Hinweise darauf, dass der wirtschaftlich Berechtigte sich zwischenzeitlich (wieder) aus anderen Registern ergibt, seien mitteilungspflichtig.

Kritik wegen Datenschutz

Kritik an den Plänen von Bundesfinanzminister Scholz, das Transparenzregister nach EU-Vorgaben öffentlich zugänglich zu machen, hat es zuletzt aus der Wirtschaft gegeben: Ihr gehen die Auskünfte über die „wirtschaftlich Berechtigten“ aus Datenschutzgründen zu weit. Deshalb will die Bundesregierung den eingeräumten Spielraum bei der Umsetzung der 5. Geldwäscherichtlinie für Auskünfte aus dem Transparenzregister nicht nutzen. „In der Antwort (19/10716) auf eine Kleine Anfrage der FDP-Fraktion (19/10359) erläutert die Regierung, Auskünfte über wirtschaftlich Berechtigte von Unternehmen für die Öffentlichkeit würden mindestens Name, Jahr der Geburt, Wohnsitzland und Staatsangehörigkeit sowie Art und Umfang des wirtschaftlichen Interesses enthalten. Darüber hinaus könnten die Mitgliedstaaten Zugang zu weiteren Informationen wie Geburtstag und Kontaktdaten der wirtschaftlich Berechtigten gewähren. Die Bundesregierung beabsichtigt jedoch zum Schutz der personenbezogenen Daten der wirtschaftlich Berechtigten nicht, von den erweiterten Möglichkeiten Gebrauch zu machen und Zugang zu weiteren als den mindestens erforderlichen Daten zu gewähren, heißt es in der Antwort“ laut Pressemitteilung des Deutschen Bundestages.

Im vergangenen Jahr wurden insgesamt 1003 Anträge auf Einsichtnahme aus dem Personenkreis der Öffentlichkeit gestellt. In 512 Fällen wurde dem Antrag stattgegeben, in 421 abgelehnt. 70 Anträge haben die Antragsteller selbst zurückgenommen.

Das Transparenzregister bietet eine kostenlose Servicenummer (0800-1234337), Mo–Fr von 8:00 bis 18:30 Uhr.

Whistleblower

EU schützt Whistleblower künftig einheitlich

Auf europäischer Ebene wird es künftig hohe Standards für den Schutz sogenannter Whistleblower geben, die Verstöße gegen das EU-Recht in Unternehmen melden. „Hinweisgeber tun das Richtige für die Gesellschaft und sollten von uns geschützt werden, damit sie dafür nicht bestraft, entlassen, degradiert oder vor Gericht verklagt werden“, sagte Frans Timmermans, zum Zeitpunkt der Entscheidung in diesem Frühjahr Erster Vizepräsident der EU-Kommission. Bislang ist der Schutz von Whistleblowern in der Europäischen Union nicht einheitlich geregelt.

„Die neuen EU-weiten Vorschriften zum Schutz von Hinweisgebern dienen genau diesem Zweck und werden dafür sorgen, dass Hinweisgeber Verstöße gegen das EU-Recht in vielen Bereichen sicher melden können. Dies wird Betrug, Korruption, Steuervermeidung durch Unternehmen sowie Schädigungen der menschlichen Gesundheit und der Umwelt bekämpfen helfen. Wir fordern die Mitgliedstaaten auf, ausgehend von diesen Prinzipien umfassende Rahmenbedingungen für den Schutz von Hinweisgebern zu schaffen“, so Timmermans weiter.

Hinweisgeber sollen dabei helfen, rechtswidrige Handlungen und illegale Machenschaften aufzudecken. Die Whistleblower sollen aber zugleich umfassende Unterstützung und Schutz genießen. Das neue System stärkt außerdem Arbeitgeber darin,  Probleme intern zu lösen, Hinweisgebern aber auch die Möglichkeit zu erhalten, sich ohne Angst vor Vergeltung an Behörden zu wenden.

„Die neuen Vorschriften decken ein breites Spektrum an EU-Rechtsbereichen ab, unter anderem die Geldwäschebekämpfung, die Unternehmensbesteuerung, den Datenschutz, den Schutz der finanziellen Interessen der Union, die Lebensmittel- und Produktsicherheit sowie den Umweltschutz und die nukleare Sicherheit. Überdies steht es den Mitgliedstaaten frei, diese Vorschriften auf andere Bereiche auszuweiten. Die Kommission empfiehlt ihnen, ausgehend von diesen Prinzipien umfassende Rahmenbedingungen für den Schutz von Hinweisgebern zu schaffen.

Klare Meldeverfahren und Pflichten für Arbeitgeber

Mit den neuen Vorschriften wird ein System von sicheren Kanälen für die Meldung von Missständen sowohl innerhalb einer Organisation als auch an Behörden geschaffen.

Sichere Meldekanäle

Hinweisgeber werden ermutigt, Missstände zunächst intern zu melden, wenn der Verstoß, den sie aufdecken möchten, innerhalb ihrer Organisation wirksam angegangen werden kann und sie keine Vergeltungsmaßnahmen riskieren. Je nach den Umständen im jeweiligen Fall können sie sich auch direkt an die zuständigen Behörden wenden. Wenn nach der Meldung an die Behörden keine geeigneten Maßnahmen ergriffen werden, eine drohende oder offenkundige Gefahr für das öffentliche Interesse zu erkennen ist oder eine Meldung an die Behörden keine Option wäre, beispielsweise weil die betreffenden Behörden und der Straftäter Absprachen getroffen haben, können Hinweisgeber mit ihren Informationen an die Öffentlichkeit gehen und hierfür auch die Medien nutzen. Dies bietet Hinweisgebern Schutz, wenn sie als Quellen für investigativen Journalismus dienen.

Vermeidung von Vergeltungsmaßnahmen und wirksamer Schutz

Die Vorschriften schützen Hinweisgeber vor Kündigungen, Zurückstufungen und anderen Repressalien. Ferner werden die nationalen Behörden verpflichtet, die Bürgerinnen und Bürger über die Verfahren zur Meldung von Missständen und über den bestehenden Schutz zu informieren. Darüber hinaus werden Hinweisgeber in Gerichtsverfahren geschützt.“  (Quelle: Pressemitteilung der Europäischen Kommission vom 12. März 2019)

Was bedeutet das für Unternehmen?

Unternehmen werden künftig verpflichtet sein, ein Hinweisgebersystem aufzubauen, so dass Whistleblower interne Verstöße gegen geltendes Recht anzeigen können, ohne Repressalien befürchten zu müssen. SAT wird Sie künftig beraten, wie Sie ein solches System einführen können und damit den EU-Vorschriften gerecht werden.

ISO 37301

Zertifizierbare Compliance-Management-Norm ISO 37301 kommt Ende 2020

Mit Hilfe der internationalen  Norm ISO 19600 erhalten Unternehmen jeglicher Branche und Größe bereits heute sowohl Empfehlungen wie auch praktische Hinweise, wie ein Compliance-Management-System wirksam und organisationsspezifisch umgesetzt werden kann. Hierdurch wird die Grundlage geschaffen, dass sich Führungskräfte und Mitarbeiter im Sinne ihres Compliance Management Systems regelkonform verhalten. Die ISO 19600 hat jedoch einen entscheidenden Nachteil: Sie ist kein zertifizierbarer Standard. Diese Lücke soll ab Ende 2020 die neue Norm ISO 37301 schließen.

ISO 37301 ist bei Anti-Korruption angesiedelt

Aktuell wird die Norm ISO 19600 einer Revision unterzogen. Als Ergebnis soll im kommenden Jahr die ISO 37301 als Managementsystem-Standard etabliert werden, der dann auch zertifiziert werden kann. Der neue Standard wird von der Systematik her beim internationalen Standard für Anti-Korruptionsmanagementsysteme ISO 37001 angesiedelt sein, den die International Organization for Standardization ISO bereits im Oktober 2016 veröffentlicht hat. ISO 37001 beschreibt die Anforderungen an Organisationen jeder Größenordnung und Branche, ein wirkungsvolles Anti-Korruptionsmanagement-System einzuführen und umzusetzen. Ziel ist es, optimale Rahmenbedingungen zu schaffen, um Korruption und Bestechung erfolgreich aufzudecken und dauerhaft und zu verhindern.

Zertifizierbarkeit der ISO-Standards

Sollte ein Unternehmen bereits jetzt eine Zertifizierung anstreben, empfehlen wir aktuell den TR CMS 101:2015 des TÜV Rheinland. Dieser Standard ist sehr eng an die ISO 19600 angelehnt und beinhaltet alle Grundelemente für die Feststellung eines überprüfbaren und nachweisbaren Compliance-Management Systems. Der TR CMS 101:2015 wird voraussichtlich durch die ISO 37301 abgelöst werden.

Mit der Zertifizierung können die Unternehmen den Beweis antreten, dass sie alle notwendigen und möglichen Maßnahmen ergriffen haben, um die Anforderungen der verschiedenen Standards umzusetzen. Das betrifft ISO 37001 für die Korruptionsbekämpfung ebenso wie den kommenden ISO 37301 für die Etablierung von Compliance-Management-Systemen. Ein zertifiziertes Unternehmen bekennt sich nachweislich zur gesetzeskonformen Tätigkeit in allen Bereichen. Die extern überprüfte und dafür notwendige Transparenz schafft Vertrauen bei den Geschäftspartnern und bildet damit die Grundlage für einen langfristigen Unternehmenserfolg.

Neben der ISO 37301 soll die ISO 19600 als Informationsstandard auch über das Jahr 2020 hinaus erhalten bleiben.

SAT-Lindlbauer

SAT kooperiert mit Rechtsanwaltskanzlei ljh Lindlbauer

SAT, Berater für Compliance und Organisation aus Düsseldorf, kooperiert nun mit der Münchner Rechtsanwaltskanzlei ljh Lindlbauer. ljh Lindlbauer ist spezialisiert auf die Vertretung von Organen und Unternehmen im Zusammenhang mit Organhaftungsansprüchen, White Collar Crime, Compliance, Datenschutz  und deckt als sogenannte „full-service“ Kanzlei die  gesamten relevanten Rechtsgebiete des Wirtschaftsrechts ab.

“Wir verstehen unsere Kooperation als logische Ergänzung beider Partner”, betonen SAT-Geschäftsführer Jochen Wilckens und Stefan Pawils. Das SAT-Spezialwissen rund um Compliance und Organisation kombiniert mit der juristischen Expertise  von ljh Lindlbauer im Compliance Bereich nutze den Mandanten und Kunden beider Unternehmen unmittelbar.

Finden Sie hier die Website von ljh Lindlbauer.

Corporate Digital Responsibility

Justizministerium entwickelt Leitlinien für Corporate Digital Responsibility

Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat gemeinsam mit den Unternehmen Deutsche Telekom, Miele, Otto Group, SAP, Telefónica und ZEIT Online einen gemeinsamen Prozess zur Entwicklung von Leitlinien für eine Corporate Digital Responsibility angestoßen. Das gaben das Ministerium und die Unternehmen Anfang April bekannt.

„Unternehmerische Verantwortung unterliegt beständiger Veränderung. Die Digitalisierung hat inzwischen alle Bereiche unserer Gesellschaft erfasst. Auch in der Wirtschaft stellt sie bestehende Regeln aus der analogen Welt in Frage. Neu entstandene Geschäftspraktiken müssen kontinuierlich überprüft und mit bestehendem Recht in Einklang gebracht werden. Mit unserer Initiative zu Corporate Digital Responsibility (CDR) wollen wir diese Verantwortung von Unternehmen deutlich machen“, sagte Justizministerim Katarina Barley.

Datenschutz und Datensicherheit in Unternehmen

Der Gesetzgeber gebe klare Regeln vor, aber in der Praxis müssten Unternehmen Datenschutz und Datensicherheit mit Leben füllen. Unternehmen trügen Verantwortung dafür, was mit den Daten geschehe, die sie von ihren Kunden erhielten. Daten müssten sicher sein vor Missbrauch und Diebstahl. „Je mehr digitale Services die Unternehmen ihren Kunden bieten, desto wichtiger ist es, auch einen zuverlässigen Schutz der persönlichen Daten zu gewährleisten. Dies gilt für Bestellungen im Online-Shop ebenso wie etwa für Ortungsdienste, Fernwartung oder das Leben im intelligent vernetzten Zuhause, Stichwort „Smart Home“, sagte Dr. Stefan Breit, Miele-Geschäftsführer Technik bei der Veröffentlichung.

Plattform für Austausch über Corporate Digital Responsibility

Das Bundesjustizministerium will mit der gemeinsamen CDR-Initiative Prinzipien und Eckpunkte für ein verantwortliches Handeln von Unternehmen in der digitalen Welt vorantreiben. „Genauso wie Corporate Social Responsibility ein feststehender Begriff und eine Auszeichnung für Unternehmen geworden ist, wollen wir das für die Corporate Digital Responsibility erreichen. Dafür bieten wir eine Plattform, bei der sich Wirtschaft und Politik auf kurzen Wegen austauschen können. Ziel ist es, noch mehr Firmen und Unternehmen zu motivieren, diesem guten Beispiel zu folgen und eine Selbstverpflichtung für eine menschen- und werteorientierte Gestaltung der Digitalisierung einzugehen. Dazu gehören zentrale Fragen wie die Transparenz in der Datenverarbeitung und die Nutzung persönlicher Daten“, sagte Katarina Barley.

Corporate Digital Responsibility stellt ebenso wie Corporate Social Responsibility (CSR) eine freiwillige Selbstverpflichtung dar. Basis ist die Notwendigkeit, gesetzliche Pflichten und Standards zum Beispiel beim Umgang mit Kundendaten zu erfüllen. Aber ebenso wie bei der CSR geht sie weiter bis hin zu grundlegenden Überlegungen der Unternehmen über ihre Werte und Ethik im Zeitalter der Digitalisierung.

Strahlenschutzverordnung

Strahlenschutzverordnung geändert – was Sie jetzt beachten müssen

Das Bundeskabinett hat Ende vergangenen Jahres eine „Verordnung zur weiteren Modernisierung des Strahlenschutzrechts“ mit einer aktualisierten Strahlenschutzverordnung (StrlSchV) beschlossen. Sie ist am 31.12.2018 in Kraft getreten. Die Neufassung der StrlSchV enthält nun auch die Vorschriften, die zuvor in der Röntgenverordnung (RöV) geregelt waren. Gleichzeitig wird mit der Neufassung die RöV außer Kraft gesetzt. Die neugefasste StrlSchV soll den Schutz der Gesundheit vor ionisierender und nichtionisierender Strahlung verbessern. Die StrlSchV konkretisiert die Vorgaben des Strahlenschutzgesetzes, das bereits ein Jahr zuvor neu verabschiedet wurde.

Was enthält die geänderte Strahlenschutzverordnung?

Die neue Strahlenschutzverordnung hat viele Vorgaben aus der Altfassung der StrlSchV und der RöV übernommen. Die StrlSchV besteht nunmehr aus sechs Teilen und 19 Anlagen und regelt somit auf Grundlage des StrlSchG den gesamten Bereich des Strahlenschutzes. Die StrlSchV enthält nicht nur Vorgaben zum beruflichen und medizinischen Strahlenschutz, sondern auch Vorgaben zum Schutz der Bevölkerung.

Teil 1 besteht lediglich aus einem einzigen Paragraphen, der die Begriffsdefinitionen enthält.

Der zweite Teil der Verordnung regelt den Strahlenschutz bei geplanten Expositionssituationen. Unter anderem enthält dieser Teil Vorgaben zur betrieblichen Organisation des Strahlenschutzes, zur Fachkunde und zu Kenntnissen im Strahlenschutz sowie Anforderungen an die durch den Hersteller oder Lieferanten bereitzustellenden Informationen oder Unterlagen über Geräte. Ebenso werden  hier Anforderungen im Zusammenhang mit der Ausübung von Tätigkeiten (Physikalische Strahlenschutzkontrolle; Strahlenschutzbereiche) festgelegt. Teil 2 ist der umfangreichste Teil der StrlSchV.

Teil 3 betrifft den Strahlenschutz bei Notfallexpositionssituationen und enthält spezifische Regelungen für den Strahlenschutz der Einsatzkräfte sowie Hilfeleistungs- und Beratungspflichten des Strahlenschutzverantwortlichen gegenüber Behörden, Hilfsorganisationen und Einsatzkräften bei einem Notfall.

Teil 4 bezieht sich auf bestehende Expositionssituationen. Hier werden Regelungen zum Schutz vor Radon sowohl in Aufenthaltsräumen als auch an Arbeitsplätzen getroffen. Ebenso geregelt wird in Teil 4 der Umgang mit radioaktiven Altlasten.

Teil 5 enthält Regelungen, die alle drei Expositionssituationen betreffen. So werden zum Beispiel Regelungen zu Abhandenkommen, Fund und Erlangung getroffen. Darüber hinaus werden Anforderungen an die Bestimmung von Sachverständigen konkretisiert.

In Teil 6 enthält die Bußgeldvorschriften sowie die erforderlichen Übergangsregelungen.

Außerdem neu in der Strahlenschutzverordnung

Obgleich in der neuen Strahlenschutzverordnung viele bereits vorhandene Regelungen aus der alten StrlSchV sowie der aufgehobenen RöV übernommen wurden, wurden auch an vielen Stellen Änderungen vorgenommen.

Die §§ 43 bis 46 enthalten nunmehr die Vorgaben zur betrieblichen Organisation des Strahlenschutzes. Die Vorschriften ergänzen die Vorgaben der §§ 69 bis 75 des StrlSchG. Neu sind die Pflichten bei Nutzung durch weitere Strahlenschutzverantwortliche nach § 44. Dies berücksichtigt diejenigen Fälle, bei denen ein Gerät unter der Verantwortung mehrerer Strahlenschutzverantwortlicher betrieben wird. Die betroffenen Strahlenschutzverantwortlichen sind verpflichtet, einen Abgrenzungsvertrag abzuschließen, der regelt, wie die Pflichten nach dem Strahlenschutzrecht verteilt und wahrgenommen werden. Für eine Röntgeneinrichtung oder einen genehmigungsbedürftigen Störstrahler, die oder der bereits vor dem 31.12.2018 von mehreren Strahlenschutzverantwortlichen betrieben wurde, ist der Vertrag  bis zum 31.12.2019 abzuschließen (§ 188 Abs. 1).

  • 45 regelt die Erstellung von Strahlenschutzanweisungen wie bisher § 34 StrlSchV und § 15a RöV. Neu ist, dass auch beim genehmigungsbedürftigen Betrieb von Röntgeneinrichtungen die Erstellung einer Strahlenschutzanweisung verpflichtend ist. Zu den in der Strahlenschutzanweisung aufzuführenden Maßnahmen gehören künftig auch solche zur Vermeidung, Untersuchung und Meldung von Vorkommnissen. Die Strahlenschutzanweisung ist bei wesentlichen Änderungen unverzüglich zu aktualisieren. Für Tätigkeiten, die vor dem 31.12.2018 aufgenommen wurden, muss die Strahlenschutzanweisung bis zum 01.01.2020 erstellt sein. Eine bereits vor dem 31.12.2018 erstellt Strahlenschutzanweisung ist bis zum 01.01.2020 zu aktualisieren.

Strahlenschutzverantwortlicher und Strahlenschutzbeauftragter sollten sich gemeinsam mit der neuen Strahlenschutzverordnung auseinander setzen. Dem Strahlenschutzverantwortliche werden zahlreiche Pflichten auferlegt. Er wird in der StrlSchV zum Hauptadressaten der Pflichten im Strahlenschutz gemacht. Er hat dafür Sorge zu tragen, dass die Pflichten innerbetriebliche umgesetzt und eingehalten werden. Handelt es sich bei dem Strahlenschutzverantwortlichen um eine juristische Person oder rum eine rechtsfähige Personengesellschaft, so werden die Aufgaben des Strahlenschutzverantwortlichen von der durch Gesetz, Satzung oder Gesellschaftsvertrag zur Vertretung berechtigen Person wahrgenommen. Besteht das vertretungsberechtigte Organ aus mehreren Mitgliedern oder sind bei nicht rechtsfähigen Personenvereinigungen mehrere vertretungsberechtigte Personen vorhanden, so ist der zuständigen Behörde mitzuteilen, welche dieser Personen die Aufgaben des Strahlenschutzverantwortlichen wahrnimmt. Die Gesamtverantwortung aller Organmitglieder oder Mitglieder der Personenvereinigung bleibt hiervon unberührt.