Wertemanagement

Konsequentes Wertemanagement: Schutz vor Haftung und Imageverlust

Ein durchgängiges Wertemanagement tut heute mehr denn je Not. Nicht nur im Zuge der Compliance: Jegliche Formen von Betrug oder Korruption schaden den Unternehmen und ihrem Ansehen. Daraus ergibt sich die Anforderung, mit einem umfassenden Verständnis gemeinsamer Werte gegenzusteuern.

Wertemanagement – Basis für Compliance

Auf welchen Grundsätzen basiert das tägliche Handeln in einem Unternehmen? An welchen Werten muss sich jeder Mitarbeiter und jeder Vorstand oder Geschäftsführer messen lassen? Durch ein systematisches Wertemanagement lassen sich Anspruch und Wirklichkeit ganz klar gegenüberstellen. Damit ist es die Basis für das grundlegende Verständnis von Compliance über alle Hierarchie-Ebenen eines Unternehmens hinweg. Und: Gemeinsame Werte schaffen noch mehr, nämlich Identität und Verbundenheit mit einem Unternehmen als Grundlage erfolgreicher Arbeit.

Wertemanagement – wozu?

Das Ansehen eines Unternehmens am Markt ist sein grundlegendes Kapital. Genießt es kein Vertrauen bei seinen Geschäftspartnern, lassen sich wirtschaftliche Ziele kaum erreichen. Doch Korruption oder illegales Verhalten lassen sich weder durch strafrechtliche Verfolgung noch durch permanente Kontrolle allein verhindern.

Konsequentes Wertemanagement dient also dazu,

  • eine Entscheidungsbasis für werteorientiertes Handeln zu schaffen.
  • eine durchgängige Unternehmensidentität mit klar kommunizierten Wertvorstellungen zu schaffen, an der sich alle Mitarbeiter orientieren können.
  • Vorgänge im Unternehmen transparent und nachvollziehbar zu gestalten.
  • Mitarbeitern Orientierung zu geben, sie zu motivieren und nicht zuletzt an das Unternehmen zu binden.
  • Vertrauen bei Geschäftspartnern und auf den Kapitalmärkten aufzubauen und zu erhalten.

Wertemanagement – Instrument der Compliance

Wird das Wertemanagement in einem Unternehmen diesen Anforderungen gerecht, ist es ein äußerst wirkungsvolles Werkzeug der Compliance. Es ist ein Mittel der Prävention, hilft, die Haftung der Unternehmen, seiner Mitarbeiter und Führungskräfte zu reduzieren. Damit ist die Entwicklung durchgängiger Wertvorstellungen eine elementare Führungs- und Managementaufgabe.

Wie Werte und Compliance im Unternehmen gelebt werden, ist also eine zentrale und mitunter existenzielle Frage. Gibt es kein gemeinsames Werteverständnis, gibt es keine wirkungsvolle Compliance.

Compliance im internationalen Geschäft

Andere Länder, andere Sitten: Compliance im internationalen Geschäft

Compliance im internationalen Geschäft? In Deutschland offenbar weiterhin mehr als ausbaufähig. Wie eine Umfrage aus dem vergangenen Jahr zeigt, sind deutsche Unternehmen oftmals nur unzureichend auf die Compliance-Risiken im internationalen Geschäft vorbereitet. Fast die Hälfte hat keinen Überblick über nationale Gesetze anderer Länder.

Zwar halten es die meisten Firmen laut der Umfrage von KrolLDiscovery für notwendig, „neue Märkte zu erschließen, um ihre Wettbewerbsposition in internationalen Absatz- und Einkaufsmärkten zu sichern“. Unsicher aber sind sie, wie sie die zahlreichen Gesetze und Vorschriften im Ausland handhaben sollen. Dabei betrifft die Frage, wie sie Compliance im internationalen Geschäft organisieren, alle deutschen Unternehmen, die ausländische Niederlassungen oder Tochtergesellschaften haben, außerdem Zulieferer, Vertriebs- und Handelspartner außerhalb Deutschlands.

Compliance im internationalen Geschäft: „Andere Länder – andere Sitten“

Die Kenntnis länderspezifischer Gesetze und Vorschriften ist für deutsche Unternehmen unabdingbar, um Haftungsrisiken für das Gesamtunternehmen zu vermeiden. Ein ganzheitliches, länderübergreifendes Compliance Management System mit einem umfassenden internationalen Rechtskataster  kann dieses Problem lösen.

Besondere Relevanz – und deshalb auch in einem Rechts- bzw. Gesetzeskataster besonders zu berücksichtigen – haben neben der allgemeinen Jurisdiktion auf internationaler Ebene unter anderem diese Themen:

  • Kartellrecht
  • EU-Datenschutz-Grundverordnung
  • Steuerrecht – in der Literatur oftmals als „Einfallstor für Compliance-Falle“ beschrieben

Compliance im internationalen Geschäft erfordert Um- und Weitsicht

Durch die internationale Rechtsheterogenität ist es wichtig, dass sich Unternehmen mit den internationalen Vorschriften zur Compliance auskennen. Sämtliche Compliance-Risiken des jeweiligen Landes müssen in den relevanten Bereichen bekannt sein und unternehmensspezifisch bewertet werden. Ziel ist es, Geldstrafen oder/und Imageverlusten am Markt umfassend vorzubeugen.

Auch der Umgang mit geltenden Vorschriften und Gesetzen ist international durchaus unterschiedlich. In den Vereinigten Staaten beispielsweise greift bereits seit 1977 der US Foreign Corrupt Practices Act (FCPA) als umfassendes Regelwerk im Kampf gegen internationale Korruption. In Großbritannien gilt der UK-Bribery Act als Anti-Korruptionsgesetzt. Auch Russland arbeitet seit geraumer Zeit an wirtschaftlichen und rechtlichen Reformen auch im Hinblick auf Compliance. Korruption ist dort aber nach wie vor ein großes Problem. Unternehmen sollten sich auf diese Besonderheiten einstellen – beispielsweise mit weltweit firmeneinheitlichen Compliance-Regeln, die gleichzeitig lokale Gegebenheiten berücksichtigen. Gehen sie länderübergreifende Kooperationen oder Joint Ventures ein, dürfen sie auf keinen Fall die entsprechenden Vereinbarungen zur Compliance vernachlässigen.

Mitarbeiter im Ausland – gute Vorbereitung unabdingbar

Unternehmen haben eine gesetzliche Fürsorgepflicht, Mitarbeiter, die im Ausland für sie arbeiten, umfassend darauf vorzubereiten und zu beraten. Sie müssen dabei alle Bedingungen erfüllen, die eine ordnungsgemäße Tätigkeit erfordern. Dazu zählen zum Beispiel

  • falls notwendig, ein Arbeitsvisum
  • eine Arbeitserlaubnis im jeweiligen Land
  • gegebenenfalls ein lokaler Arbeitsvertrag
  • Regelung der Sozialversicherung im Ausland
  • Aufklärung über steuerliche Veränderungen durch die Auslandstätigkeit

Rechtskonformes Verhalten im Sinne der Compliance verlangt vom Unternehmen, dass es alle vertraglichen Konditionen vor der Abreise des Mitarbeiters ins Ausland festlegt und regelt.

Compliance-Risiken

Compliance-Risiken erkennen – aber wie?

Ihr Unternehmen hat sich die Etablierung und Aufrechterhaltung regelkonformer Geschäftsabläufe im Sinne der Compliance auf die Fahnen geschrieben. Doch um diesem Anspruch in allen Geschäftsfeldern konstant gerecht zu werden, müssen Sie vor allem eines: Ihre Compliance-Risiken kennen.

Und zwar alle, um daraus einen schlüssigen Maßnahmenkatalog für die Unternehmens-Compliance entwickeln zu können.

Wie erkenne ich „meine“ Compliance-Risiken?

Doch wie gelingt Ihnen dieser umfassende Überblick? Allgemein gesprochen, sind Compliance-Risiken solche, die dem Unternehmen

  • einen erheblichen finanziellen Schaden(z.B. durch Bußgelder),
  • einen nachhaltigen Imageschaden bei den Geschäftspartnern oder/und
  • Umsatzeinbußen zufügen können.

Wir empfehlen Ihnen zur Identifizierung dieser Risiken ein sogenanntes Gesetzeskataster, das Ihnen eine Übersicht über die gesetzlichen Regelungen gibt, die für Ihr Unternehmen relevant sind. Daraus können Sie im zweiten Schritt die Anforderungen ableiten, die sich aus den Vorschriften, Gesetzen und Regelungen individuell für Ihre Tätigkeit ergeben. Eines sei aber schon an dieser Stelle gesagt: Mit einer einmaligen Bestandsaufnahme ist es nicht getan. Das rechtliche Umfeld kann sich jederzeit ändern. Arbeiten Sie also mit einem Experten zusammen, der die für Sie Compliance-relevanten Themen im Auge behält und Sie auf Änderungen der Gesetzeslage frühzeitig hinweist.

Wichtig ist, dass Sie effektiv die Außensicht eines Experten mit der Innensicht Ihrer Mitarbeiter verknüpfen, um Ihre unternehmensspezifischen Compliance-Risiken zu identifizieren und die passenden Maßnahmen daraus abzuleiten.

Orientierung an den Unternehmensprozessen

Beziehen Sie Ihre Mitarbeiter von der Geschäftsführung über alle Unternehmensebenen hinweg ein und nutzen Sie deren Wissen und Erfahrungen auf ihrem Gebiet. Orientieren Sie sich bei der Analyse am besten an Ihren eigenen Geschäftsprozessen und gehen Sie sie systematisch gemeinsam durch. In Workshops und in ergebnisoffenen Diskussionen sind die Ergebnisse meistens am aussagekräftigsten. Sie erfahren aus der Praxis, wo Ihr Unternehmen steht und können daraus Maßnahmen ableiten, mit denen Sie die Geschäftsabläufe und -prozesse dauerhaft regelkonform gestalten können.

Als theoretische Hilfsmittel bei der Identifizierung aller relevanten Compliance-Risiken und um den Prozess strukturiert zu gestalten, beschreibt die Literatur zum Beispiel die Pestel-Analyse oder Fraud-Triangle. Die Pestel-Analyse dient dazu, politische, ökonomische, sozio-kulturelle, technische, ökologische und rechtliche Einflussfaktoren im Umfeld Ihres Unternehmens zu identifizieren. Laut Gabler Wirtschaftslexikon setzt sich der Begriff Fraud-Triangle „zusammen aus Fraud (lat. fraus, fraudis: Betrug, Täuschung; engl. fraud: Betrug, Fälschung, List, Schwindel, Unterschlagung) und Triangle (engl. triangle: Dreieck, lat. triangulum: Dreieck) und soll folgende Frage beantworten: Unter welchen Voraussetzungen können Menschen dolose, d.h. geschäftssschädigende Handlungen begehen?“

Die theoretischen Verfahren helfen zudem, die Relevanz der einzelnen Compliance-Risiken festzulegen. Nicht jedes Risiko muss mit demselben Nachdruck reduziert werden, weil seine Nichtbeachtung dem Unternehmen im Zweifelsfall keinen wesentlichen Schaden zufügt. Stichwort hier: Priorisierung. So erhalten Sie ein schlüssiges und praxistaugliches Instrument, um Ihre Compliance-Risiken zu kennen. Mit Hilfe des professionellen Gesetzeskatasters bleiben Sie immer auf dem aktuellen Stand.

VerpackG

Neues Verpackungsgesetz VerpackG kommt 2019

Deutschland bekommt ein neues Verpackungsgesetz (VerpackG). Es tritt am 1. Januar 2019 in Kraft. „Es bezweckt, die Auswirkungen von Verpackungsabfällen auf die Umwelt zu vermeiden oder zu verringern. Um dieses Ziel zu erreichen, soll das Gesetz das Verhalten der Verpflichteten so regeln, dass Verpackungsabfälle vorrangig vermieden oder darüber hinaus einer Vorbereitung zur Wiederverwendung oder dem Recycling zugeführt werden. Dabei sollen die Marktteilnehmer vor unlauterem Wettbewerb geschützt werden“, heißt es im Gesetzestext. Wichtig ist das für alle Unternehmen, die Verpackungen in Umlauf bringen, betrifft somit auch Online-Händler.

VerpackG enthält „Zentrale Stelle Verpackungsregister“

Das VerpackG enthält zahlreiche Pflichten für Hersteller von Verpackungen, Systembetreiber und Vertreiber. Hersteller sind Erstinverkehrbringer fertiger Verpackungen. Systembetreiber sind Unternehmen, die restentleerte Verpackungen flächendeckend erfassen und einer Verwertung zuführen dürfen. Vertreiber ist jeder, der unabhängig von der Vertriebsmethode oder Handelsstufe Verpackungen gewerbsmäßig in Verkehr bringt (z.B. Versandhändler).

Hersteller systembeteiligungspflichtiger Verpackungen müssen sich laut neuem VerpackG bei der neuen Zentralen Stelle Verpackungsregister registrieren lassen. Wer nicht oder nicht ordnungsgemäß registriert ist, darf systembeteiligungspflichtige Verpackungen nicht in den Verkehr bringen. Vertreiber dürfen Waren in diesen Verpackungen nicht oder nicht ordnungsgemäß registrierter Hersteller nicht verkaufen.

Registrierungsnummer bei Zentraler Stelle erhältlich

Die notwendige Registrierungsnummer erhalten Unternehmen künftig bei der Stiftung Zentrale Stelle Verpackungsregister. Die schreibt auf Ihrer Internetseite www.verpackungsregister.org:  „Die Stiftung Zentrale Stelle Verpackungsregister wird ab dem 01.01.2019 gemäß Verpackungsgesetz (VerpackG) mit einem Register und einer Datenbank für mehr Transparenz sorgen. Bereits ab Q3/2018 können sich Hersteller von systembeteiligungspflichtigen Verpackungen voraussichtlich bei uns vorregistrieren lassen“.

Die Einrichtung der „Zentralen Stelle Verpackungsregister“ sieht das neue VerpackG vor, um mit dem zentralen Datenregister für mehr Transparenz und Kontrolle bei der Entsorgung und beim Recycling von Verpackungen zu  sorgen. Damit soll die Beteiligung der Unternehmen am Recycling spürbar steigen.

Breitere Finanzierungsbasis für Duale Systeme

Zahlreiche Unternehmen kennen die Pflichten gemäß Verpackungsverordnung und neuem VerpackG nicht. Mit den neuen Regeln wird es leichter nachvollziehbar, welche Verpackungen angemeldet – also beim Dualen System beteiligt – sind und welche nicht. Die Finanzierungsbasis für die Dualen Systeme soll steigen, für die einzelnen Unternehmen die Kosten sinken.

Die Dualen Systeme müssen die Beteiligungsentgelte künftig ökologisch gestalten. Damit soll ein Anreiz für die Hersteller geschaffen werden,  Verpackungen aus Materialien herzustellen, die möglichst gut recycelt werden können oder aus  Recyclaten und nachwachsenden Rohstoffen bestehen.

Whistleblower-Hotline

Whistleblower-Hotline – Raum für Denunzianten oder für Compliance?

In Amerika schon lange vollkommen normal, in Deutschland immer noch mit dem Ruf der Nestbeschmutzung behaftet – die Whistleblower-Hotline. Nicht selten stehen Mitarbeiter, die in ihrem Unternehmen auf einen Rechtsverstoß wie beispielsweise Korruption oder Kartellbildung aufmerksam werden, vor einer schwierigen Frage: wegschauen, um Kollegen und Unternehmen nicht zu belasten oder die Gesetzeswidrigkeit der Geschäftsführung oder sogar Behörden melden. In diesem Konflikt kann die Whistleblower-Hotline ein geeignetes Mittel sein, um nicht gesetzeskonformes Verhalten im Unternehmen zu unterbinden.

Was nutzt eine Whistleblower-Hotline?

Die Whistleblower-Hotline unterstützt die Unternehmensleitung dabei, überhaupt erst einmal vom nicht gesetzeskonformen Verhalten ihrer Mitarbeiter zu erfahren. Das ist umso wichtiger, als bei Bekanntwerden nicht nur der betreffende Mitarbeiter zur Verantwortung gezogen wird. Auch die Geschäftsführung haftet selbst dann, wenn sie von den Verstößen zuvor keine Kenntnis hatte.

Ziele der Hotline sind demnach, Verstöße gegen die Compliance aufzuklären und künftig zu verhindern sowie die Risiken der Geschäftsleitung zu minimieren, für dieses Verhalten zu haften.

Gibt es Regeln für die Einrichtung einer Whistleblower-Hotline?

In Deutschland gibt es keine Gesetze, die die Gestaltung der Hotline festlegen. Für ihre Einführung spricht aus rechtlicher Sicht aber das Gesetz über Ordnungswidrigkeiten (§ 130). Das besagt: „Wer als Inhaber eines Betriebes oder Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, handelt ordnungswidrig, wenn eine solche Zuwiderhandlung begangen wird, die durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre.“ Die Ordnungswidrigkeit kann mit Geldbußen bis zu einer Million Euro geahndet werden.

Außerdem unterliegen Tochtergesellschaften US-amerikanischer Unternehmen dem  Sarbanas-Oxley-Act. Sie müssen eine Whistleblower-Hotline einrichten.

Auf jeden Fall sind bei der Einführung die entsprechenden Regelungen  aus dem Datenschutz und dem Arbeitsrecht zu beachten. Außerdem muss das Mitbestimmungsrecht des Betriebsrates berücksichtigt werden.

Bestandteil der internen Compliance-Richtlinien

Um ein Zeichen für gesetzeskonformes Verhalten im Unternehmen zu setzen, ist es wichtig, die Regelungen über eine Whistleblower-Hotline in die internen Compliance-Richtlinien aufzunehmen. Dort kann ein Unternehmen festlegen, was Mitarbeiter bei der Entdeckung von Regelverstößen tun können.

Ob sie ihre Hinweise anonym geben dürfen oder nicht, ist derweil umstritten. Um Denunzierungen zu vermeiden, ist eine namentliche Nennung des Tippgebers sinnvoll. Sie verringert aber möglicherweise die Bereitschaft, die Whistleblower-Hotline zu nutzen. Auf jeden Fall sollten Unternehmen dem Hinweisgeber größtmögliche Vertraulichkeit zusichern, wenn er seinen Namen nennt.

Arbeitsrechtlich ist das Whistleblowing nicht unkritisch. Aufgrund der Treue- und Loyalitätspflichten nach § 241 BGB ist der Arbeitnehmer verpflichtet, Rücksicht auf die Rechte, Rechtsgüter und Interessen des Arbeitgebers zu nehmen. Aufgrund fehlender Regelungen muss in Zweifelsfällen auf die allgemeinen Kündigungsgrundsätze zurückgegriffen werden. Das bedeutet, dass ggf. eine Abwägung stattfindet, ob eine Meldung noch als angemessen und verhältnismäßig gilt. Diese Frage stellt sich vor allem bei Fällen, in denen der Arbeitnehmer die Öffentlichkeit über mögliche Missstände beim Arbeitgeber informiert.

Praktische Umsetzung

Whistleblower-Hotlines können sowohl mit internen als auch mit externen Kontaktpersonen besetzt werden. Extern kommen beispielsweise Rechtsanwälte infrage: Sie unterliegen der Schweigepflicht und können die Meldungen unmittelbar auf ihre rechtliche Relevanz hin beurteilen.

Bundesdatenschutzgesetz

Neufassung Bundesdatenschutzgesetz BDSG

Neues vom Bundesdatenschutzgesetz: Es wurde durch das „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU)“ neu gefasst. Die Änderung tritt zum 25. Mai  2018 in Kraft. Bis dahin gilt noch die jetzige Fassung.

Grund für die Neufassung des Bundesdatenschutzgesetzes (BDSG) sind die Vorgaben der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L EU L 119 vom 4.5.2016,S. 1). Ziel der Verordnung (EU) 2016/679 ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten. Diese EU-Verordnung ist direkt anwendbar und bedarf prinzipiell keiner Umsetzung. Dennoch enthält die EU-Verordnung darüber hinaus Regelungsaufträge an die Mitgliedstaaten, die in nationales Recht umzusetzen sind. Dies geschieht durch die Neufassung des Bundesdatenschutzgesetzes.

Bundesdatenschutzgesetz betrifft auch Unternehmen

Das BDSG gilt auch für nichtöffentliche Stellen wie natürliche und juristische Personen, Gesellschaften und andere Personenvereinigung des privaten Rechts (§ 3 Abs. 4 Satz 1). Dabei geht es um die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zu Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Auf nichtöffentliche Stellen findet das Gesetz auf Datenverarbeitung im Inland Anwendung (§ 1 Abs. 4 Satz 1 Nr. 1). § 1 Abs. 4 Satz 1 Nr. 2 bestimmt, dass die Vorschriften des BDSG nur dann zur Anwendung kommen, wenn eine Datenverarbeitung durch eine in Deutschland ansässige Niederlassung vorliegt.

  • §22 Absatz 1 legt fest, unter welchen Voraussetzungen die Verarbeitung besonderer Kategorien personenbezogener Daten (rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) ausnahmsweise zulässig ist. Danach ist die Verarbeitung bei nicht nichtöffentlichen Stellen zulässig, wenn sie
  • erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen,
  • zum Zweck der Gesundheitsvorsorge,
  • für die Beurteildung der Arbeitsfähigkeit des Beschäftigten,
  • für die medizinische Diagnostik
  • die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
  • für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrages (Behandlungsvertrag) der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oderdurch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden.

Der Begriff der Gesundheitsvorsorge beinhaltet dabei auch die arbeitsmedizinische Vorsorge.

Zur Wahrung der Grundrechte und Interessen der betroffenen Person enthält § 22 Abs. 2 eine Auflistung von angemessene und spezifische Maßnahmen wie beispielsweise die Pseudonymisierung personenbezogener Daten, die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten und die Verschlüsselung.

  • §26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) Abs. 1 regelt – wie bisher § 32 Abs. 1 BDSG als Fassung –, zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis verarbeitet werden dürfen, wenn dies zum Zweck des Beschäftigungsverhältnisses erforderlich ist. Von § 26 Abs. 1 Satz 1 wird auch die Verarbeitung personenbezogener Daten zum Zweck des Beschäftigungsverhältnisses umfasst, wenn dies zur Ausübung oder Erfüllung der sich aus Gesetz oder Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
  • §26 Abs. 1 Satz 2 benennt die Voraussetzungen für die Verarbeitung personenbezogener Daten von Beschäftigten zur Aufdeckung von Straftaten, die im Beschäftigungsverhältnis begangen worden sind.
  • 26 Abs. 2 trägt der Besonderheit des Beschäftigungsverhältnisses als Abhängigkeitsverhältnis und der daraus resultierenden Situation der Beschäftigten Rechnung und regelt die Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung. Als formelle Voraussetzung einer Einwilligung ist grundsätzlich die Schriftform angeordnet, um die informationelle Selbstbestimmung der betroffenen Beschäftigten abzusichern. Darüber hinaus hat der Arbeitgeber den Beschäftigten über den Zweck der Datenverarbeitung schriftlich aufzuklären.

Nach § 26 Abs. 3 ist eine Verarbeitung besonderer Kategorien personenbezogener Daten zu Beschäftigungszwecken zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses kann auch die Verarbeitung von Daten zur Beurteilung der Arbeitsfähigkeit einschließen. Die Einwilligung des betroffenen Beschäftigten muss sich auf die Verarbeitung besonderer Kategorien personenbezogener Daten beziehen.

  • §26 Abs. 4 bestimmt, dass die Verarbeitung personenbezogener Beschäftigtendaten aufgrund von Kollektivvereinbarungen zulässig ist. Tarifverträge, Betriebsvereinbarungen oder Dienstvereinbarungen können weiterhin die Rechtsgrundlage für Regelungen zum Beschäftigtendatenschutz bilden. Dabei haben die Verhandlungspartner Artikel 88 Abs. 2 der Verordnung (EU) 2016/679 zu beachten.

Nach § 26 Abs. 5 muss der Verantwortliche geeignete Maßnahmen zur Wahrung der Grundrechte und Interessen des Beschäftigten vorsehen. Beispielsweise muss bei der Datenverarbeitung sichergestellt sein, dass sie auf rechtmäßige Weise, nach Treu und Glauben und in einer für den Beschäftigten nachvollziehbaren Weise erfolgt. Die Daten werden in einer Form gespeichert, die die Identifizierung des Beschäftigten nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Der Verantwortliche stellt sicher, dass die Verarbeitung in einer Weise erfolgt, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung. Er trifft sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die darauf ausgelegt sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen. Der Verantwortliche unternimmt Schritte um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur aufgrund seiner Anweisung verarbeiten, es sei denn, diese sind rechtlich zur Verarbeitung verpflichtet.

  • §26 Abs. 6 entspricht dem § 32 Absatz 3 BDSG a. F. und stellt klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Nach § 26 Abs. 7 sind zuvor aufgeführten Kriterien (§ 26 Abs. 1 bis 6) gelten im Beschäftigungsverhältnis auch, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeite werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

  • §26 Abs. 8 definiert den Begriff „Beschäftigte“ i.S.d. BDSG und entspricht weitestgehend § 3 Abs. 11 BDSG alte Fassung.
  • §31 (Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften) regelt die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) und enthält die Zulässigkeitsvoraussetzungen. Scoringverfahren und Kreditinformationssysteme mit der Einmeldung von Positiv- und Negativdaten, die z. B. durch Kreditinstitute, Finanzdienstleistungsunternehmen, Zahlungsinstitute, Telekommunikations-, Handels-, Energieversorgungs- und Versicherungsunternehmen oder Leasinggesellschaften erfolgt, bleiben prinzipiell weiter zulässig.

Die §§ 32 bis 39 regeln die Rechte der betroffenen Person.

Wie bisher auch besteht für nichtöffentliche Stellen die Pflicht zu Bestellung eines Datenschutzbeauftragten (§ 38), wenn sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.

SAT-Handlungsempfehlung: Betriebsvereinbarungen überprüfen

Neben dem neuen Bundesdatenschutzgesetz ist auch die EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/6479) zu beachten und anzuwenden. Die Umsetzung der Forderungen muss bis zum 25. Mai 2018 erfolgen.

Bestehende Betriebsvereinbarungen sollten überprüft werden, ob sie mit dem neuen Datenschutzrecht kompatibel sind. Gegebenenfalls ist eine Überarbeitung und Anpassung an das neue Recht erforderlich. Tarifverträge, Betriebsvereinbarungen und sonstige Kollektivvereinbarungen in Bezug auf Mitarbeiterdatenverarbeitung haben dabei den Anforderungen von Art. 88 Abs. 2 der EU-Datenschutz-Grundverordnung zu genügen. Betriebsvereinbarungen bleiben ebenso wie Einwilligungen Mittel zur rechtskonformen Verarbeitung von personenbezogenen Daten. Einwilligungen sollten dabei die Vorgaben des § 26 Abs. 2 BDSG einhalten, bestehende Einwilligungen überprüft werden, ob sie den Anforderungen genügen.

Für die Verarbeitung sensibler Daten wie Krankheits- oder Religionsdaten von Mitarbeitern müssen gesonderte Schutzmaßnahmen (z.B. Pseudonymisierung oder Verschlüsselung) ergriffen werden.

Lean Compliance

Lean Compliance – kein Widerspruch durch unternehmensindividuelle Lösungen

Lean Compliance – ein Widerspruch in sich? Häufig werden Compliance-Strukturen noch als notwendiges Übel angesehen. Doch hier verhält es sich ähnlich wie bei dem Bonmot „Wem Gesundheitsvorsorge zu teuer ist, kann es ja mal mit Krankheit versuchen!“

Wer Regelkenntnis und -befolgung also gar nicht oder nur lax in seinem Unternehmen umsetzt, kann schnell in schwierige bis hin zu unternehmensgefährdende Situationen kommen. Die Folgen bei Nichtbeachtung von Regeln können aktuell gerade eindrucksvoll in der Automobilindustrie oder Kartellverfahren der vergangenen Jahre beobachtet werden. So stellt sich nicht mehr die Frage, ob man Compliance-Strukturen umsetzt, sondern wie diese im Sinne von Effizienz und Kosten am besten in die Unternehmensprozesse integriert werden können. Hierfür bietet die Philosophie des Lean Management sehr gute Ansätze.

Lean Management: ganzheitlich und individuell

Lean steht für Vermeidung von Verschwendung und auf wertschöpfende, am Kundeninteresse ausgerichtete Unternehmensprozesse. Compliance-Strukturen sollen ganzheitlich die Regelkenntnis und -befolgung in Unternehmen sicherstellen, Mitarbeiter vor Fehlverhalten und Unfällen bewahren, Führungskräften dabei helfen, Organisationverschulden zu vermeiden.

Dies funktioniert nur mit einem von Beginn an ganzheitlich und individuell auf ein Unternehmen zugeschnittenes Compliance Management System, das den Mitarbeitern ohne großen Zusatzaufwand Transparenz und Klarheit hinsichtlich der Regelkenntnis bietet, damit sie ihre Tätigkeiten regelkonform verrichtet können. Auch umfasst ein Compliance Management System ausnahmslos alle Unternehmensbereiche und Sachgebiete. Denn häufig hört man noch die Meinung, dass Compliance sich nur auf Themen wie Betrug, Untreue, Korruption bezieht. Fehlverhalten mit anschließenden Sanktionen kommt aber mit  Abstand am häufigsten im Umwelt- und Arbeitsschutz vor.

Compliance darf die Unternehmenspraxis nicht lähmen

Eines ist vielen Unternehmern heutzutage bewusst, unabhängig von Branche oder Größe: Halten sie sich nicht an Gesetze, Regeln und Vorschriften, laufen sie Gefahr, erhebliche Reputations- und Imageverluste zu erleiden und infolge signifikante Marktanteile zu verlieren bis hin zu unternehmensgefährdenden Ergebniseinbußen. Die rechtlichen Konsequenzen einer Non-Compliance sind dabei noch gar nicht berücksichtigt.

In der Praxis aber ist die Umsetzung aller relevanten Gesetze, Vorschriften und Richtlinien im Unternehmensalltag äußerst komplex. Compliance-Anforderungen und alle Unternehmensprozesse müssen deshalb miteinander in Einklang gebracht werden, sollen sie sich nicht gegenseitig blockieren. Konkret heißt das: Sämtliche Regularien, denen ein Unternehmen unterliegt, müssen individuell und möglichst förderlich in die Wertschöpfung integriert werden. Vorschriften und Formulare dürfen Entwicklungen nicht verlangsamen. Nur so gelangt eine Organisation mit Lean Compliance zu klaren und nachvollziehbaren Abläufen und Resultaten.

Mit Lean Compliance zu Qualität und Effizienz

Wie beim ursprünglichen Konzept des Lean Managements stehen auch bei der Lean Compliance Effizienz, Kostenbewusstsein und Qualität im Fokus. Die notwendigen Compliance-unterstützenden Aktivitäten können hierbei ohne allzu großen Aufwand in die eigentlichen Unternehmensprozesse und ihre Dokumentation integriert werden. So unterstützen sie auch und vor allem das Beauftragtenwesen effizient und rechtssicher.

Hierbei hat sich folgendes Vorgehen bewährt:

  1. Mit einem kurzen Audit, dem sogenannten „Quick-Check“, wird im Unternehmen eine Lückenanalyse durchgeführt, um zu prüfen, wo es Handlungsfelder gibt, die nach einer Bearbeitung einen ausreichenden Soll-Zustand für ein Compliance-System ergeben. Als Leitlinie für den Soll-Zustand kann z.B. der vom TÜV Rheinland entwickelte Standard für Compliance Management Systeme (TR CMS 101:2011) dienen.
  2. Ganzheitliches und unternehmensindividuelles Gesetzes- und Vorschriftenkataster: Wer Regeln befolgen möchte, sollte sie kennen. Eine Binsenwahrheit, aber nach wie vor gibt es in vielen Unternehmen keinen ganzheitlichen und strukturierten Überblick, welche Gesetze, Vorschriften und Regel zu befolgen sind. So ein Kataster kann ideal als Aufsetzpunkt für eine sach- und arbeitsplatzbezogene Transparenz und Vermittlung der einzuhaltenden Regeln dienen.
  3. Einflechtung der regelbasierten Vorgaben in die vorhandenen Unternehmensprozesse, wo nötig bis auf Tätigkeitsebene, z.B. als zusätzliche Prozessebene mit Darstellung und bei Bedarf mit schneller Verfügbarkeit der notwendigen Regeln. Hierbei wird streng auf die Vermeidung unnötiger Schritte und Aktivitäten geachtet, möglichst die unterstützende Rolle von Regeln zur Steigerung der Wertschöpfung bzw. Kundenorientierung herausgearbeitet, Informationsfluss und Schnittstellenmanagement optimiert
  4. Unterstützung durch eine einfache, IT-gestützte Organisationsplattform, entweder durch Integration in das bestehende System oder Verwendung z.B. durch eine ausgereifte, web-gestützte Plattform wie das „EcoWebDesk“

Fazit: pro Lean Management

Compliance-Strukturen müssen kein kostenerzeugender Ballast sein. Durch geschickte Einflechtung der notwendigen Compliance-Aktivitäten in die Unternehmensprozesse auf Basis der LEAN-Philosophie, Regeltransparenz auf Basis eines ganzheitlichen und professionell gestalteten Gesetzes- und Vorschriftenkatasters sowie ein modernes IT-Management der Compliance-Aktivitäten lässt sich Compliance in ein integriertes Managementsystems sehr zum Unternehmensvorteil einbringen. Denn regelkonform erzeugte Produkte und Dienstleistungen sind in der komplexen Angebotswelt der heutigen Zeit auch ein Wert an sich.

Bundesdatenschutzgesetz

Auf einen Blick: Neufassung des Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG) wurde durch das „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-, Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU)“ neu gefasst.

Weiterlesen

Genehmigungskataster

Genehmigungskataster: Alle wichtigen Dokumente und Fristen auf einen Blick

Haben Sie alle Genehmigungen und Nebenbestimmungen für den rechtskonformen Betrieb Ihrer Anlagen und Prozesse im Blick und auf dem aktuellen Stand? Im Zuge der Compliance Ihres Unternehmens empfehlen wir, dass Sie ein Genehmigungskataster etablieren.

Damit stellen Sie sicher, dass alle Bestimmungen umgesetzt, fristgerecht eingehalten und ständig kontrolliert werden können.

Grundlage für ein Genehmigungskataster: Bestandsaufnahme

Ein Genehmigungskataster sollte fester Bestandteil jedes Compliance Management Systems in einem Unternehmen sein. Voraussetzung, um es inhaltlich sinnvoll und vollständig füllen zu können, ist zunächst die Bestandsaufnahme in Ihrem Betrieb: Welche behördlichen Genehmigungen brauchen Sie überhaupt für Ihre Anlagen? Gibt es international Unterschiede, wie müssen Sie auf länderspezifische Regularien reagieren? Diese Bestandsaufnahme können die unternehmensinternen Compliance-Beauftragten durchführen. Sie kann aber auch an externe Experten vergeben werden, um personelle Unternehmensressourcen zu sparen und sich weitergehendes Know-how zu sichern.

Kontinuierliche Kontrolle durch vollständige Unterlagen

Haben Sie die Grundlagen mit einem Überblick über alle notwendigen Genehmigungen geschaffen, bietet es sich aus unserer Erfahrung an, das Genehmigungskataster so anzulegen, dass es alle wichtigen Unterlagen und Dokumente enthält. So lässt es sich jederzeit zentral überwachen.

Vorschlag für ein Kataster:

  • Standort / Betrieb
  • Anlage / Prozess
  • Rechtsgrundlage
  • Titel Bescheid
  • Aktenzeichen
  • Datum
  • Titel Nebenstimmung
  • Aufgabe/Pflicht aus Nebenbestimmung

Durch das Genehmigungskataster erhalten Sie einen Überblick über alle relevanten Genehmigungen inklusive aller Nebenbestimmungen für Ihr Unternehmen. Hier sind also sämtliche Bewilligungen, Erlaubnisse und Bescheide in einem System erfasst. Es ermöglicht die permanente Kontrolle, erfordert aber auch die kontinuierliche Pflege.

Lästig, aber wichtig

Den Überblick über Genehmigungen und vor allem den damit verbundenen Nebenstimmungen zu behalten, gehört in den meisten Unternehmen allerdings nicht zu den beliebtesten Aufgaben und in den seltensten Fällen zum Kerngeschäft. Es raubt – obwohl existenziell wichtig – Zeit. Allerdings verhindert es oftmals weitaus größere Schäden: Werden Ihre Anlagen von den Behörden stillgelegt, weil Ihnen die entsprechende Genehmigung fehlt, haben Sie nicht nur Verluste durch den Produktionsausfall. Schlimmstenfalls können Sie Liefertermine nicht einhalten und leiden langfristig unter dem damit einhergehenden Vertrauensverlust Ihrer Geschäftspartner.

Ein Genehmigungskataster ist deshalb eine wichtige Investition, um Ihr Unternehmen im Sinne der Compliance dauerhaft regelkonform aufzustellen.

ISO 19600

ISO 19600 – Vorteile für Ihr Unternehmen

In unserem aktuellen Blog-Beitrag widmen wir uns der ISO 19600 und ihren Vorteilen für Ihr Unternehmen. Mit Hilfe dieser internationalen  Norm erhalten Unternehmen jeglicher Branche und Größe sowohl Empfehlungen wie auch praktische Hinweise, wie ein wirksames Compliance-Management System wirksam und organisationsspezifisch umgesetzt werden kann.

Hierdurch wird die Grundlage geschaffen, dass sich Führungskräfte und Mitarbeiter im Sinne ihres Compliance Management Systems regelkonform verhalten. Vor allem für grenzüberschreitend tätige Firmen bietet die international gültige ISO 19600 ein zuverlässig anwendbares System, damit die Organisation auch im Ausland regelkonform aufgestellt ist: Mehr als 160 Staaten weltweit tragen die Norm mit. Als Grundlage aber trägt sie insbesondere dazu bei, dass die Empfehlungen für ein Compliance Management System je nach Kontext, Art und Komplexität der Tätigkeiten einer Organisation praktikabel und umsetzbar sind.

ISO 19600: kein Zertifizierungsstandard

Die ISO 19600 ist kein Zertifizierungsstandard. Sollte sich ein Unternehmen entschließen, eine Zertifizierung vornehmen zu wollen, kann hierfür der TR CMS 101:2015 des TÜV Rheinland empfohlen werden. Dieser Standard ist sehr eng an die ISO 19600 angelehnt und beinhaltet alle Grundelemente für die Feststellung eines überprüfbaren und nachweisbaren Compliance Management Systems. Vorteil einer Zertifizierung: Ein zertifiziertes Unternehmen, bekennt sich nachweislich zur gesetzeskonformen Tätigkeit in allen Bereichen. Die extern überprüfte und dafür notwendige Transparenz schafft Vertrauen bei den Geschäftspartnern und bildet damit die Grundlage für einen langfristigen Unternehmenserfolg.

Anforderungen an Compliance Management System

Die ISO 19600 respektive die TR CMS 101:2015 beschreibt ausführlich, wie das unternehmensindividuelle Compliance Management System aufgestellt sein muss, um internationalen Rechtsnormen zu genügen. Dabei entwickelt die Norm Empfehlungen, wie ein Unternehmen sie in Abhängigkeit zum Beispiel von seiner Größe und seiner Geschäftstätigkeit optimal umsetzen kann.

Analyse der Rechtslage und Gesetzeskataster

Basis aller organisatorischen Maßnahmen im Sinne der Compliance ist dabei die Frage, welche rechtlichen Regelungen für das einzelne Unternehmen national und international relevant sind. Diese Analyse der Rechtsanlage muss individuell für die Organisation in Abhängigkeit von seiner Tätigkeit geschehen, auf ihrer Grundlage entwickelt ein Unternehmen sein konkretes Compliance Management System. Die Ingenieur- und Organisationsberatung SAT stellt zu diesem Zweck beispielsweise ein unternehmensindividuelles und ganzheitliches Gesetzes- und Regelwerkkataster zur Verfügung, bei dem alle relevanten Vorschriften identifiziert und Änderungen regelmäßig recherchiert, bewertet und ggf. mit notwendigen Maßnahmen versehen dem Unternehmen mitgeteilt werden.

Bekenntnis zur Compliance durch die Führung

Die ISO 19600 weist der Unternehmensführung im Rahmen des Compliance Management Systems eine besondere Rolle zu: Sie entscheidet darüber, ob die Organisation sich regelkonform aufstellt, definiert Ziele und gibt entsprechende personelle Ressourcen für die Entwicklung, Einrichtung und Implementierung des CMS im Unternehmen frei. Stehen die Führungskräfte nicht hinter der 100prozentigen Gesetzeskonformität ihres Handelns, ist den Mitarbeitern deren Einhaltung kaum glaubhaft zu vermitteln. Außerdem sind die Führungskräfte dafür verantwortlich, interne Regeln wie Handlungsvorschriften, Prozessdefinitionen oder Kodizes aufzustellen und mit den externen Gesetzen und Vorschriften in ein Compliance Management System einfließen zu lassen. Die Kombination interner und externer Regelwerke trägt langfristig dazu bei, die Gefahr der Gesetzesverstöße und daraus resultierender strafrechtlicher Konsequenzen deutlich zu reduzieren.

Schulung der Mitarbeiter

Ein Compliance Management System darf indes nicht nur auf dem Papier existieren, sondern muss Einzug in den praktischen Alltag der Mitarbeiter auf allen Ebenen halten. Dazu müssen sie informiert, trainiert und mit ihnen kommuniziert werden. ISO 19600 empfiehlt deshalb regelmäßige Schulungen, die den Mitarbeitern das rechtliche Umfeld in ihrem Arbeitsgebiet verdeutlichen und dazu beitragen, dass sie sich gesetzeskonform verhalten. Durch den ständigen Dialog mit der Führungsebene über diese Themen soll sich die Unternehmenskultur im Hinblick auf Compliance nachhaltig ändern.

Umsetzungskontrolle im Compliance Management System

Ob die im Rahmen des Compliance Management Systems geschaffenen Abläufe und Strukturen tatsächlich im Alltag eingehalten werden, bedarf der regelmäßigen Kontrolle. Stichproben im Rahmen eines regelmäßigen Monitorings tragen laut ISO 19600 ebenso bei wie interne Audits. Vor allem aber bedarf es der ständigen Überwachung der Gesetzeslage zum Beispiel mit Hilfe des genannten SAT-Gesetzeskatasters. Damit lässt sich das Ergebnis der anfänglichen Risikoanalyse regelmäßig aktualisieren und zeitnah auf rechtliche Veränderungen reagieren.

Vertrauen schaffen durch Zertifizierung

Ist ein Compliance Management System von unabhängiger Stelle nach dem TR CMS 101:2015 zertifiziert, ist dies auch ein Signal an die nationalen und internationalen Geschäftspartner: Das Unternehmen arbeitet gesetzeskonform, transparent und zuverlässig.

© Copyright - SAT Compliance Service Provider | Webdesign: Bodenröder Text & Web
Cookie-Einstellungen