Ein Rechtskataster ist ein Verzeichnis von Rechtsvorschriften, das die Rechtslage in einem bestimmten Bereich systematisch erfasst. Sie können für verschiedene Zwecke verwendet werden, z. B. zur Information, zur Rechtsberatung oder zur Rechtsdurchsetzung.

In Deutschland gibt es verschiedene Rechtskataster, die sich auf verschiedene Rechtsbereiche beziehen. Zu den bekanntesten gehören:

  • Bundesrecht: Das Bundesrecht wird im Bundesgesetzblatt veröffentlicht. Das Bundesgesetzblatt kann online abgerufen werden.
  • Landesrecht: Das Landesrecht wird in den jeweiligen Landesgesetzblättern veröffentlicht. Die Landesgesetzblätter können online abgerufen werden.
  • Europäisches Recht: Das Europäische Recht wird im Amtsblatt der Europäischen Union veröffentlicht. Das Amtsblatt der Europäischen Union kann online abgerufen werden.
  • Internationales Recht: Das Internationale Recht wird in verschiedenen Quellen veröffentlicht, z. B. in den Sammlungen der Vereinten Nationen oder in den Sammlungen von Rechtswissenschaftlern.

Darüber hinaus gibt es auch spezialisierte Rechtskataster, die sich auf bestimmte Rechtsbereiche beziehen. Beispiele hierfür sind:

  • Baurecht: Das Baurecht wird im Baugesetzbuch und in den jeweiligen Landesbauordnungen geregelt.
  • Arbeitsrecht: Das Arbeitsrecht wird im Arbeitsgesetzbuch und in den jeweiligen Landesarbeitsgesetzen geregelt.
  • Umweltrecht: Das Umweltrecht wird im Umweltgesetzbuch und in den jeweiligen Landesumweltgesetzen geregelt.

Rechtskataster können auf verschiedene Weise aufgebaut sein. Einige sind nach Rechtsgebieten gegliedert, andere nach Sachgebieten. Etliche enthalten auch Informationen zu den Rechtsfolgen der jeweiligen Rechtsvorschriften.

Rechtskataster können eine wichtige Informationsquelle für Unternehmen, Behörden und Privatpersonen sein. Sie können dabei helfen, die Rechtslage zu verstehen und Rechtsrisiken zu vermeiden.

Hier sind einige Beispiele für die Verwendung:

  • Information: Rechtskataster können verwendet werden, um sich über die Rechtslage in einem bestimmten Bereich zu informieren.
  • Rechtsberatung: Sie können verwendet werden, um Rechtsberatung zu erhalten.
  • Rechtsdurchsetzung: Rechtskataster können verwendet werden, um Rechtsansprüche durchzusetzen.
Compliance Management System

Compliance Management System gibt vor Gericht den Ausschlag

Das Oberlandesgericht Hamm hat im Sommer ein weitreichendes Urteil über die Relevanz eines Compliance Management Systems in Unternehmen getroffen. Es urteilte, dass einem Geschäftsführer wegen gravierender Compliance-Verstöße aus wichtigem Grund ohne vorherige Abmahnung gekündigt werden kann (OLG Hamm, 8 U 146/18).

In dem Fall hatte der Geschäftsführer einer konzernzugehörigen GmbH mit einem Geschäftspartner eine Provisionsvereinbarung getroffen, die den im Konzern geltenden Compliance-Vorschriften widersprach. Demnach musste bei Provisionen ab einer bestimmten Größenordnung das Vier-Augen-Prinzip eingehalten werden. Auch durften derartige Vereinbarungen nicht ohne Zustimmung des Bereichsvorstandes getroffen werden. Im Urteil des OLG Hamm heißt es daher: „Gibt ein GmbH-Geschäftsführer eine Zahlung auf eine – wie er weiß – fingierte Forderung frei, um damit eine Provisionsabrede zu honorieren, die gegen die unternehmensinternen Compliance-Vorschriften über zustimmungsbedürftige Geschäfte verstieß, kann darin eine Pflichtverletzung liegen, die einen wichtigen Grund zur Kündigung des Anstellungsvertrages darstellt.“ (Quelle: justiz.nrw.de)

Das Oberlandesgericht Hamm stellte in seinem Urteil fest, dass der Verstoß gegen die Compliance-Regelung schon für sich eine schwerwiegende Pflichtverletzung darstelle. Die Klage des ehemaligen Geschäftsführers gegen die Abberufung als Geschäftsführer und die fristlose Kündigung des Dienstverhältnisses sowie auf Fortzahlung des Geschäftsführergehaltes wies es daher ab. Das OLG betont: „Wer die Compliance-Regeln seines eigenen Unternehmens und die Sanktionen, mit denen sie bewehrt sind, nicht kennt, ist von vornherein ungeeignet, dieses zu führen.“

Bedeutung des Urteils für die Praxis

Das Urteil des OLG Hamm stellt einmal mehr klar, dass ein Compliance Management System in Unternehmen nicht nur „nice to have“ ist und ethisches wie moralisches Verhalten der Mitarbeiter und Führungskräfte regelt. Es ist darauf ausgerichtet, alle Abläufe in einer Organisation regel- und gesetzeskonform umzusetzen. Relevant sind dabei alle nationalen und internationalen Richtlinien und Gesetze, die eine Firma – definiert durch ihr Tätigkeitsfeld – berücksichtigen muss. Die Größe der Organisation ist dabei irrelevant: Vom Konzern bis zum mittelständischen oder kleinen Unternehmen sind alle an rechtskonformes Handeln und Verhalten gebunden.

Ganz klar wird durch das Urteil, dass mit einem funktionierenden Compliance Management System dem Unternehmen ein Werkzeug an die Hand gegeben ist, gegen Mitarbeiter und Führungskräfte – bis zur fristlosen Kündigung – vorzugehen, die sich nicht Compliance-konform verhalten.

Etablierung eines Compliance Management Systems

Vor diesem Hintergrund sei darauf hingewiesen, dass ein unternehmensinternes Compliance Management System der langfristigen, strategischen Vorbereitung, Einführung, Umsetzung und Kontrolle bedarf. Mit Hilfe eines Gesetzeskataster sollten Unternehmen die Grundlage schaffen zu ermitteln, welche gesetzlichen Regelungen für das eigene Tätigkeitsgebiet relevant sind. Darauf aufbauend, muss ein Compliance Management System über alle Geschäftsbereiche und –hierarchien in das Unternehmen eingeführt und dessen Umsetzung in regelmäßigen Abständen überprüft werden.

SAT berät Sie zu den detaillierten Schritten bei der Umsetzung Ihres Compliance Management Systems.

Dual-Use-Güter

EU-Kommission empfiehlt interne Compliance-Programme für Dual-Use-Güter

[vc_row][vc_column][vc_column_text]Die Europäische Kommission hat am 30. Juli dieses Jahres Empfehlungen „zu internen Compliance-Programmen für die Kontrolle des Handels mit Gütern mit doppeltem Verwendungszweck (Dual-Use-Gütern) nach Maßgabe der Verordnung (EG) Nr. 428/2009 des Rates“ veröffentlicht.

Darin heißt es unter anderem: „Ein wirksames, einheitliches und kohärentes Kontrollsystem für die Ausfuhr von Gütern mit doppeltem Verwendungszweck ist notwendig, um die Sicherheit der EU und die internationale Sicherheit zu fördern und die Einhaltung der internationalen Verpflichtungen und Zuständigkeiten der Mitgliedstaaten und der Europäischen Union (EU), insbesondere hinsichtlich der Nichtverbreitung, sowie die Förderung gleicher Bedingungen für die Wirtschaftsbeteiligten in der EU zu gewährleisten.  Gemeinsame Ansätze und Verfahren in Bezug auf interne Compliance-Programme können zu einer einheitlichen und kohärenten Durchführung von Kontrollen in der EU beitragen.“

Was sind Dual-Use-Güter?

Als „Dual-Use-Güter“ werden solche Waren, Software und Technologien bezeichnet, die sowohl militärisch als auch zivil eingesetzt werden können. „Die überwiegende Mehrheit der Dual-use-Güter wird in der gesamten EU einheitlich kontrolliert. Basis hierfür ist die Dual-use-Verordnung (Verordnung (EG) Nr. 428/2009). Diese Güter sind in Anhang I der EG-Dual-use-Verordnung enthalten.  Die Listen sind regelmäßigen Änderungen unterworfen“, schreibt die Industrie- und Handelskammer Stuttgart dazu auf Ihrer Website. Die jeweils aktuelle Fassung sei auf der Internetseite des Bundesamts für Wirtschaft und Ausfuhrkontrolle (BAFA) unter dem Stichwort „Güterlisten” zu finden.

Was bedeutet das für Unternehmen?

Für Unternehmen besteht die Herausforderung im Umgang mit Dual-Use-Gütern darin sicherzustellen, dass sie keine Waren ungenehmigt ausführen. Die regelmäßige Prüfung der Güterlisten ist deshalb ein Muss. Die Kontrollmechanismen mit den notwendigen Maßnahmen und Verfahren sollten in einem internen Compliance Programm festgehalten werden. „Diese Leitlinien bieten Ausführern einen Orientierungsrahmen, der ihnen helfen soll, Risiken im Zusammenhang mit der Kontrolle des Handels mit Gütern mit doppeltem Verwendungszweck zu ermitteln, zu steuern und zu verringern und die Einhaltung der einschlägigen Rechtsvorschriften der EU und der Mitgliedstaaten zu gewährleisten“, heißt es im Schreiben der Europäischen Kommission.

Zugleich bieten die „Leitlinien den Behörden der Mitgliedstaaten einen Orientierungsrahmen für ihre Bewertung von Risiken im Rahmen ihrer Zuständigkeit für Entscheidungen über Einzel- und Globalausfuhrgenehmigungen und nationale allgemeine Ausfuhrgenehmigungen, Genehmigungen für Vermittlungstätigkeiten, für die Durchfuhr von nichtgemeinschaftlichen Gütern mit doppeltem Verwendungszweck und Genehmigungen für die Verbringung von Gütern mit doppeltem Verwendungszweck innerhalb der Europäischen Union.“

Lesen Sie das gesamte Schreiben HIER.[/vc_column_text][/vc_column][/vc_row]

Strahlenschutzverordnung

Strahlenschutzverordnung geändert – was Sie jetzt beachten müssen

Das Bundeskabinett hat Ende vergangenen Jahres eine „Verordnung zur weiteren Modernisierung des Strahlenschutzrechts“ mit einer aktualisierten Strahlenschutzverordnung (StrlSchV) beschlossen. Sie ist am 31.12.2018 in Kraft getreten. Die Neufassung der StrlSchV enthält nun auch die Vorschriften, die zuvor in der Röntgenverordnung (RöV) geregelt waren. Gleichzeitig wird mit der Neufassung die RöV außer Kraft gesetzt. Die neugefasste StrlSchV soll den Schutz der Gesundheit vor ionisierender und nichtionisierender Strahlung verbessern. Die StrlSchV konkretisiert die Vorgaben des Strahlenschutzgesetzes, das bereits ein Jahr zuvor neu verabschiedet wurde.

Was enthält die geänderte Strahlenschutzverordnung?

Die neue Strahlenschutzverordnung hat viele Vorgaben aus der Altfassung der StrlSchV und der RöV übernommen. Die StrlSchV besteht nunmehr aus sechs Teilen und 19 Anlagen und regelt somit auf Grundlage des StrlSchG den gesamten Bereich des Strahlenschutzes. Die StrlSchV enthält nicht nur Vorgaben zum beruflichen und medizinischen Strahlenschutz, sondern auch Vorgaben zum Schutz der Bevölkerung.

Teil 1 besteht lediglich aus einem einzigen Paragraphen, der die Begriffsdefinitionen enthält.

Der zweite Teil der Verordnung regelt den Strahlenschutz bei geplanten Expositionssituationen. Unter anderem enthält dieser Teil Vorgaben zur betrieblichen Organisation des Strahlenschutzes, zur Fachkunde und zu Kenntnissen im Strahlenschutz sowie Anforderungen an die durch den Hersteller oder Lieferanten bereitzustellenden Informationen oder Unterlagen über Geräte. Ebenso werden  hier Anforderungen im Zusammenhang mit der Ausübung von Tätigkeiten (Physikalische Strahlenschutzkontrolle; Strahlenschutzbereiche) festgelegt. Teil 2 ist der umfangreichste Teil der StrlSchV.

Teil 3 betrifft den Strahlenschutz bei Notfallexpositionssituationen und enthält spezifische Regelungen für den Strahlenschutz der Einsatzkräfte sowie Hilfeleistungs- und Beratungspflichten des Strahlenschutzverantwortlichen gegenüber Behörden, Hilfsorganisationen und Einsatzkräften bei einem Notfall.

Teil 4 bezieht sich auf bestehende Expositionssituationen. Hier werden Regelungen zum Schutz vor Radon sowohl in Aufenthaltsräumen als auch an Arbeitsplätzen getroffen. Ebenso geregelt wird in Teil 4 der Umgang mit radioaktiven Altlasten.

Teil 5 enthält Regelungen, die alle drei Expositionssituationen betreffen. So werden zum Beispiel Regelungen zu Abhandenkommen, Fund und Erlangung getroffen. Darüber hinaus werden Anforderungen an die Bestimmung von Sachverständigen konkretisiert.

In Teil 6 enthält die Bußgeldvorschriften sowie die erforderlichen Übergangsregelungen.

Außerdem neu in der Strahlenschutzverordnung

Obgleich in der neuen Strahlenschutzverordnung viele bereits vorhandene Regelungen aus der alten StrlSchV sowie der aufgehobenen RöV übernommen wurden, wurden auch an vielen Stellen Änderungen vorgenommen.

Die §§ 43 bis 46 enthalten nunmehr die Vorgaben zur betrieblichen Organisation des Strahlenschutzes. Die Vorschriften ergänzen die Vorgaben der §§ 69 bis 75 des StrlSchG. Neu sind die Pflichten bei Nutzung durch weitere Strahlenschutzverantwortliche nach § 44. Dies berücksichtigt diejenigen Fälle, bei denen ein Gerät unter der Verantwortung mehrerer Strahlenschutzverantwortlicher betrieben wird. Die betroffenen Strahlenschutzverantwortlichen sind verpflichtet, einen Abgrenzungsvertrag abzuschließen, der regelt, wie die Pflichten nach dem Strahlenschutzrecht verteilt und wahrgenommen werden. Für eine Röntgeneinrichtung oder einen genehmigungsbedürftigen Störstrahler, die oder der bereits vor dem 31.12.2018 von mehreren Strahlenschutzverantwortlichen betrieben wurde, ist der Vertrag  bis zum 31.12.2019 abzuschließen (§ 188 Abs. 1).

  • 45 regelt die Erstellung von Strahlenschutzanweisungen wie bisher § 34 StrlSchV und § 15a RöV. Neu ist, dass auch beim genehmigungsbedürftigen Betrieb von Röntgeneinrichtungen die Erstellung einer Strahlenschutzanweisung verpflichtend ist. Zu den in der Strahlenschutzanweisung aufzuführenden Maßnahmen gehören künftig auch solche zur Vermeidung, Untersuchung und Meldung von Vorkommnissen. Die Strahlenschutzanweisung ist bei wesentlichen Änderungen unverzüglich zu aktualisieren. Für Tätigkeiten, die vor dem 31.12.2018 aufgenommen wurden, muss die Strahlenschutzanweisung bis zum 01.01.2020 erstellt sein. Eine bereits vor dem 31.12.2018 erstellt Strahlenschutzanweisung ist bis zum 01.01.2020 zu aktualisieren.

Strahlenschutzverantwortlicher und Strahlenschutzbeauftragter sollten sich gemeinsam mit der neuen Strahlenschutzverordnung auseinander setzen. Dem Strahlenschutzverantwortliche werden zahlreiche Pflichten auferlegt. Er wird in der StrlSchV zum Hauptadressaten der Pflichten im Strahlenschutz gemacht. Er hat dafür Sorge zu tragen, dass die Pflichten innerbetriebliche umgesetzt und eingehalten werden. Handelt es sich bei dem Strahlenschutzverantwortlichen um eine juristische Person oder rum eine rechtsfähige Personengesellschaft, so werden die Aufgaben des Strahlenschutzverantwortlichen von der durch Gesetz, Satzung oder Gesellschaftsvertrag zur Vertretung berechtigen Person wahrgenommen. Besteht das vertretungsberechtigte Organ aus mehreren Mitgliedern oder sind bei nicht rechtsfähigen Personenvereinigungen mehrere vertretungsberechtigte Personen vorhanden, so ist der zuständigen Behörde mitzuteilen, welche dieser Personen die Aufgaben des Strahlenschutzverantwortlichen wahrnimmt. Die Gesamtverantwortung aller Organmitglieder oder Mitglieder der Personenvereinigung bleibt hiervon unberührt.

 

VerpackG

VerpackG ersetzt Verpackungsverordnung

Das neue Verpackungsgesetz Verpack G ist am 1. Januar 2019 in Kraft getreten. Es ersetzt die bisherige Verpackungsverordnung.

Für wen gilt das VerpackG?

Relevant ist das VerpackG grundsätzlich für alle Anbieter, die verpackte Ware für private Endverbraucher in Deutschland gewerbsmäßig erstmalig in Verkehr bringen. Diese Gewerbetreibenden sollen sich künftig verstärkt an einem dualen Versorgungssystem und damit an den späteren Entsorgungskosten beteiligen.

Wer „privater Endverbraucher“ ist, regelt das Gesetz wie zuvor die Verpackungsordnung: Demnach gilt VerpackG auch für „vergleichbare Anfallstellen“, wo typischerweise der Art nach ähnliche Verpackungsabfälle anfallen wie in Privathaushalten. „Vergleichbare Anfallstellen sind zum Beispiel Gaststätten, Hotels, Raststätten, Kantinen und Verwaltungen“, heißt es auf www.verpackungsregister.org. Dort findet sich auch eine komplette Liste der Anfallstellen.

Was ändert sich durch das VerpackG?

Mit dem VerpackG wird die „Zentrale Stelle Verpackungsregister“ eingerichtet. „Europaweit gilt für Verpackungen, dass der Hersteller eines Produkts auch für die Verpackung die Produktverantwortung im Sinne von Vermeidung, Wiederverwendung und Verwertung übernimmt. […] Die Zentrale Stelle Verpackungsregister übernimmt in diesem Zusammenhang die Aufgabe, die Produktverantwortlichen zu registrieren und damit öffentlich zu machen und über weitere Aufgaben (z. B. Datenmeldung) für Transparenz und Rechtsklarheit zu sorgen. Die weiteren ökologischen Ziele, wie unter anderem die Erfüllung der Recyclingquoten und die finanzielle Förderung von nachhaltigeren Verpackungen, werden durch die Zentrale Stelle Verpackungsregister überwacht“, heißt es von Seiten der Zentralen Stelle.

Eine wesentliche Änderung durch das VerpackG ist der neue Katalog, in dem branchenweise typische Verpackungsarten und Verpackungsgrößen genannt werden. Der Katalog gibt an, ob diese „systembeteiligungspflichtig“ sind. Wer also gewerbsmäßig Verpackungen in Umlauf bringt, muss zunächst anhand dieser Liste prüfen, ob er vom VerpackG betroffen ist. In diesem Fall gelten folgende Pflichten:

  • Kostenlose Registrierung im Verpackungsregister LUCID der Zentralen Stelle
  • Erhalt einer Registrierungsnummer
  • Systembeteiligungsvertrag mit einem Systempartner im dualen Systems
  • Vollständigkeitserklärung bei der Zentralen Stelle (einmal im Jahr)

Das Register kann von jedermann eingesehen werden. Kunden, Wettbewerber, duale Systeme oder Umwelt- und Verbraucherverbände können also überprüfen, ob ein Verpackungs-Inverkehrbringer seine Pflichten erfüllt. Registriert sich ein dazu verpflichteter Anbieter nicht, darf er seine Produkte nicht mehr in den Verpackungen vertreiben, es drohen Bußgelder.

Wer ist Hersteller im Sinne des VerpackG?

Hersteller ist nach diesem Gesetz nicht nur derjenige, der eine Ware produziert hat und unter seinem Namen vertreibt. Oftmals gilt auch ein Händler/Vertreiber als Hersteller (Quelle: www.verpackungsregister.org):

  • „Das Handelsunternehmen, das verpackte Ware durch einen Lohnhersteller produzieren lässt und ausschließlich selbst auf der Verpackung genannt wird (Link „Wer ist Inverkehrbringer bei Eigenmarken?“)
  • Das ausländische Unternehmen, das mit Ware befüllte Verpackungen nach Deutschland exportiert und zum Zeitpunkt des Grenzübertritts die rechtliche Verantwortung für die Ware trägt.
  • Der Versandhändler, der Ware in seine Versandverpackungen füllt und an die Endverbraucher weiterversendet (Hersteller für die Versandverpackungen).
  • Der Versandhändler, der mit Ware befüllte Verpackungen nach Deutschland importiert und zum Zeitpunkt des Grenzübertritts die rechtliche Verantwortung für die Ware trägt.
  • Der Online-Shop mit Sitz im Ausland, der verpackte Waren direkt an private Endverbraucher in Deutschland liefert.
  • Online-Händler mit Sitz in Deutschland, die im Fall von Retouren das selbst reparierte Produkt in eigener Verpackung an den Endkunden zurückschicken.

Bei Online-Geschäften, bei denen der Online-Händler die Bestellung des Kunden bei dem in Deutschland sitzenden Produzenten bzw. Großhändler abruft und dieser an den Endkunden des Online-Händlers liefert (sog. Dropshipping bzw. Streckengeschäft), ist der Produzent bzw. Großhändler systembeteiligungspflichtiger Hersteller.“

Startups

Startups und Compliance – ein Muss von Anfang an

Startups und Compliance – ein Gegensatz? Auf keinen Fall! Gerade für junge Unternehmen und Gründer können sich durch konsequente Compliance von Anfang an Türen öffnen, die für andere verschlossen bleiben. Stichwort: Vertrauen schaffen bei (Risiko-) Kapitalgebern und Geschäftspartnern.

Insbesondere in Deutschland ist es für Start-ups in der Gründungs- und Wachstumsphase entscheidend, nicht nur eine überzeugende Geschäftsidee zu haben, sondern auch potenzielle Investoren davon zu überzeugen, dass ihr Geld sicher und rentabel angelegt ist. Deshalb sollte kein Unternehmen an den Start gehen, dass sich über das rechtliche Umfeld, in dem es sich bewegt, nicht richtig informiert und seine Organisation darauf ausgerichtet hat.

Investoren erwarten geeignetes Risikomanagement

Allerdings liegt auf dem Risikomanagement gerade in den ersten Jahren nicht unbedingt der Fokus eines expandierenden Unternehmens. Für Geldgeber aber ist es gerade bei kleineren Unternehmen mitunter ein absolutes K.O.-Kriterium, scheint das Management die möglichen Risiken seiner Organisation nicht ausreichend auf dem Schirm zu haben oder zu beherrschen. Essentiell ist das Bewusstsein über geltende relevante Vorschriften und Gesetze – sowohl national als auch international – für jedes Unternehmen unabhängig von der Größe. Denn das Strafrecht unterscheidet in seinem Strafmaß bei Delikten nicht danach, wie groß eine Organisation ist. Die Bandbreite der Vorschriften hingegen ist enorm: vom Steuerrecht über Rechnungslegungs- und Bilanzierungsvorschriften, Regelungen zum Arbeits- und Umweltschutz bis hin zur Frage, ab wann Aufmerksamkeiten der Vertriebsmitarbeiter für Kunden den Tatbestand der Korruption erfüllen.

Strafrecht kennt keine Haftungsbeschränkung

Verstoßen junge Unternehmen gegen geltendes Recht, kann das gravierende Folgen haben: Oftmals starten Firmen mit einer Rechtsform, in der die Eigentümer persönlich mit ihrem gesamten Vermögen haften. In diesem Fall ist Non-Compliance für Unternehmen und Gründer schlichtweg existenzbedrohend. Dazu kommt, dass Sanktionen für strafrechtliche Vergehen, für die ein Gründer gerade stehen muss, nicht durch eine Haftungsbeschränkung reduziert werden können.

Wie für große und etablierte Organisationen auch, geht mit der Aufdeckung nicht rechtskonformen Verhaltens überdies ein erheblicher Vertrauens- und Imageverlust einher. Gerade für Start-ups ist dieses aber noch weitaus entscheidender für das weitere Wachstum als bei etablierten Marktteilnehmern. Herwig Felber und Manuel Konold schreiben in der Zeitschrift „Compliance-Berater“ dazu: „Das Festlegen von Regeln für das tägliche Geschäftsgebaren und betriebliche Abläufe oder Sicherheit bei der Rechtsform, Markenrechten und regulatorischen Vorgaben können bereits in einer frühen Phase des Lebenszyklus eines Unternehmens angedacht und etabliert werden.“ (Ausgabe 10/2018 vom 4.10.2018, S. 414). Bereits die Tatsache, dass ein Start-up diese Überlegungen anstelle und somit auch dem Thema Compliance einen entsprechenden Stellenwert gebe, schaffe Vertrauen bei internen und externen Stakeholdern.

Rechtskataster als Grundlage jedes Compliance Management Systems

Stellt sich also die Frage, wie junge Unternehmen von Anfang an ein funktionierendes Compliance Management System aufbauen können. Das ist eine Herausforderung: Für jedes Unternehmen gibt es in Deutschland rund 200 Regelwerke, die es unabhängig von seiner Größe berücksichtigen muss, will es rechtskonform aufgestellt sein. Die Compliance-Strukturen müssen trotzdem die umfassende Regelkenntnis und -befolgung in Unternehmen gewährleisten, Mitarbeiter vor Fehlverhalten und Unfällen bewahren, Führungskräften dabei helfen, Organisationsverschulden zu vermeiden.

Das setzt voraus, dass ein umfassendes Rechtskataster installiert ist. Es erfasst die Gesetze und Vorschriften in ausnahmslos allen Unternehmensbereichen und Sachgebieten. Sollte das Start-up sowohl national als auch international tätig sein, muss das Rechtskataster um die jeweiligen länderspezifischen Regelungen ergänzt werden. Voraussetzung für ein funktionierendes Rechts- oder Gesetzeskataster ist größtmögliche Aktualität. Deshalb empfiehlt es sich, gerade am Anfang, wenn die personellen Ressourcen in einem jungen Unternehmen noch nicht zur Verfügung stehen, auf externe Partner zur kontinuierlichen Pflege des Rechtskatasters zu vertrauen.

Rechtskataster

Rechtskataster – Grundlage gesetzeskonformen Handelns

Compliance im Sinne von Rechtskonformität und Rechtssicherheit lässt sich in einem Unternehmen nur sicherstellen, wenn auf der einen Seite alle relevanten und aktuellen Verordnungen und Rechtsnormen bekannt sind. Auf der anderen Seite sollte ein umfassendes Rechtskataster installiert sein, das eben diese Vorschriften und Gesetze abbildet. Ist ein Unternehmen sowohl national als auch international tätig sein, muss das Rechtskataster um die jeweiligen länderspezifischen Regelungen ergänzt werden. Voraussetzung für die Wirksamkeit dieses Rechts- oder Gesetzeskataster – darauf sei noch einmal ausdrücklich hingewiesen – ist größtmögliche Aktualität.

Rechtskataster zählt vermehrt zur Organisationspflicht

Auch, wenn ein Rechtskataster generell nicht verpflichtend ist: In manchen Unternehmen gehört es dennoch zur Organisationspflicht, um das Unternehmensrisiko zu mindern. Managementsysteme wie das Sicherheits- und Gesundheitsmanagementsystem DIN EN ISO 45001 verlangen beispielsweise die Dokumentation, dass alle relevanten Bestimmungen, rechtlichen Verpflichtungen und sonstigen Anforderungen erkannt und erfüllt werden. Dazu zählt unter anderem die Bestimmung gesetzlicher Vorschriften und sonstiger Anforderungen.

Unabhängig von dem speziellen Thema der DIN EN ISO 45001 setzt eine ordentliche Geschäftsführung voraus, dass die entsprechenden Gesetze und Vorschriften bekannt sind. Die IHK Hochrhein-Bodensee nennt in einem Leitfaden ein Beispiel aus dem Umweltrecht: „ Dort ist es eine zentrale Aufgabe

  • dafür zu sorgen, dass der Betrieb über alle erforderlichen behördlichen Genehmigungen verfügt,
  • dass bestehende Genehmigungen den betrieblichen Veränderungen angepasst werden, wenn der Betrieb ausgeweitet oder die Produktionsweise verändert wurde. (Sind Verfahren von der Genehmigung nicht gedeckt, so kommt § 327 StGB zur Anwendung).

Wird die Organisationspflicht verletzt, so haftet der zuständige Geschäftsführer/Vorstand neben dem jeweiligen Mitarbeiter, der den Schaden unmittelbar verursacht hat (sog. Organisationsverschulden). Die geschilderten Grundsätze gelten auch beim Outsourcing bestimmter Aufgaben an unternehmensfremde Dritte. Alleine durch die Vergabe einer Tätigkeit an einen Externen (Fremdfirma), entfällt keineswegs automatisch und in jedem Fall die Haftung (Bsp.: Verkehrssicherungspflicht) des Unternehmens (Auftraggeber).“

Rechtskataster als Basis unternehmerischer Compliance-Strukturen

Die Compliance-Strukturen in einem Unternehmen sollen die Regelkenntnis und -befolgung sicherstellen, Mitarbeiter vor Fehlverhalten und Unfällen bewahren und Führungskräften dabei helfen, Organisationsverschulden zu vermeiden. Das funktioniert nur mit einem von Beginn an ganzheitlich und individuell auf ein Unternehmen zugeschnittenen Compliance Management System, das den Mitarbeitern ohne großen Zusatzaufwand Transparenz und Klarheit bei der Regelkenntnis bietet. So können Sie ihre Tätigkeiten regelkonform verrichtet.

Ein Rechtskataster dient dabei dazu, Gesetze und Vorschriften in ausnahmslos allen Unternehmensbereichen und Sachgebieten einer Organisation zu erfassen. Seine Grundlage ist das Wissen darüber, ob ein Unternehmen von bestimmten Gesetzen und Rechtsvorschriften betroffen ist.

Rechtskataster – in Eigenregie oder mit Dienstleister?

Alle Regularien durchgängig im Blick zu behalten, kann je nach Organisationsform und -umfang schwierig sein: Neue kommen hinzu, alte ändern sich in regelmäßigen Abständen. Unternehmen stehen deshalb vor der Entscheidung, intern umfangreiche Kenntnisse und Ressourcen zur Pflege des Rechtskatasters aufzubauen oder einen externen Dienstleister zu beauftragen. Egal, wie sich die Organisation entscheidet, Voraussetzung ist eine exakte Analyse der betrieblichen Situation, die Erstellung eines aktuellen Rechtskataster und seine dauerhaft, rechtskonforme Pflege.

Risikoanalyse

Risikoanalyse im Compliance Management

Risikoanalyse im Compliance Management ist eine zentrale Aufgabe für jeden Compliance Beauftragen im Unternehmen. Die ISO 19600 als Compliance-Standard basiert sogar zu einem ganz wesentlichen Teil auf der Bewertung der Compliance-Risiken. Wie gehen Unternehmen dabei vor?

Risikoanalyse – Grundlage jedes Compliance Management Systems

Bei der Analyse und Bewertung der Risiken, die sich aus der Compliance oder Non-Compliance einer Organisation ergeben, geht es im Wesentlichen darum, sämtliche relevanten Gesetze, Vorschriften und Normen national und gegebenenfalls auch international zu identifizieren und in ihrer Bedeutung für das Unternehmen zu bewerten. Dabei geht es nicht nur um eine einmalige Feststellung der Gesetzeslage. „Die Organisation muss in regelmäßigen Abständen ihre Compliance-Risiken und –Verpflichtungen ermitteln, aktualisieren und neu bewerten oder bei folgenden Ereignissen eine Neubewertung vornehmen:

  • bei neuen oder geänderten anzuwendenden Gesetzen, Geschäftsaktivitäten, Produkten, Aufgaben oder Dienstleistungen,
  • bei einer geänderten Organisations- bzw. Unternehmensstruktur oder Unternehmensstrategie,
  • bei beträchtlichen äußeren Änderungen wie finanziellen, wirtschaftlichen Umständen, Haftungsänderungen und Kundenbeziehungen,
  • bei Änderungen von Compliance-Verpflichtungen und –Verstößen.“ (Quelle: Standard für Compliance-Management-Systeme – TR CMS 101:2015 des TÜV Rheinland, Köln)

Im besten Fall verfügt die Organisation deshalb über ein maßgeschneidertes Rechtskataster, das sämtliche relevanten Rechtsgebiete permanent beobachtet und Veränderungen auf ihre Bedeutung für das Unternehmen hin untersucht. Dieses Rechtskataster ist der Kern eines funktionierenden Compliance Management Systems, von dem alle weiteren Maßnahmen ausgehen.

Wie lassen sich Compliance-Risiken ermitteln?

Ein einzelner Compliance Manager oder selbst eine damit betraute Abteilung ist möglicherweise nicht in der Lage, die Risiken, gegen Compliance zu verstoßen, über alle Geschäftsbereiche und über alle Hierarchieebenen hinweg zu beurteilen. Sinnvoll scheint es daher zu sein, eine möglichst breite Basis zu schaffen – mit Beteiligten aus den verschiedenen Tätigkeitsfeldern und aus unterschiedlichen Managementfunktionen. Damit wird die Voraussetzung geschaffen, das Thema Compliance und potenzielle Risiken aus möglichst vielen Perspektiven zu betrachten und zu beurteilen.

Wir empfehlen, zu diesem Zweck die Beteiligten zumindest am Anfang oder in regelmäßigen Abständen für kurze Zeit aus ihrem Tagesgeschäft herauszuholen und beispielsweise in Arbeitstreffen konzentriert an das Thema heranzugehen. Strukturiert lassen sich die Compliance-Risiken beispielsweise pro Geschäfts- oder Produktbereich aufdecken. Ist die initiale Risikoanalyse erfolgt, bietet es sich an, über strukturierte Informations- und Kommunikationsprozesse den Austausch zwischen Compliance Beauftragtem und Geschäftsbereichen permanent aufrecht zu erhalten.

Bewertung der Compliance-Risiken

Die Risiken zu erkennen, ist der erste wichtige Schritt. Um ressourcenschonend zu arbeiten, ist es aber entscheidend zu beurteilen, wie groß die einzelnen Risiken für ein Unternehmen sind. Alle „Gefahrenherde“ für die  Compliance auf einmal ausschalten zu wollen, ist kaum praktikabel. Empfehlenswert ist deshalb die Entwicklung einer sogenannten „Compliance-Risikolandkarte“.

Ein Risiko einschätzen lässt sich an Kriterien wie der Wahrscheinlichkeit, dass ein Schaden eintritt und der möglichen Höhe eines Schadens bei Verstoßes gegen die Rechtskonformität. Führen Sie diese Kriterien zusammen, erhalten Sie einen Überblick, welche Schäden im negativen Fall mit hoher Wahrscheinlichkeit eintreten und dabei hohe Schäden verursachen. Oder im umgekehrten Fall kaum vorkommen werden und auch vernachlässigbare Folgen haben. Tragen Sie diese Bewertungen zusammen, erhalten Sie eine Risikolandkarte, mit der sich die Risiken und die daraus resultierenden Maßnahmen priorisieren lassen.

Was sind mögliche Schäden?

Mögliche Schäden durch Compliance-Verstöße sind nicht nur finanzieller Art, beispielsweise durch Strafzahlungen. Auch ein Imageverlust wirkt sich massiv negativ auf den Unternehmenserfolg aus, wenn Geschäftspartner die Zusammenarbeit beenden. Wichtig ist daher die qualitative Betrachtung und Bewertung der Compliance-Risiken. Das setzt voraus, dass die beteiligten Mitarbeiter und Führungskräfte in der Lage sind, Risiken hinsichtlich ihrer möglichen Schadenshöhe richtig einzuschätzen. Die Bild der Risikolandkarte kann sich schon dadurch entscheidend verändern, dass Risiken aus Compliance-Verstößen tendenziell eher zu gering bewertet werden.

Ist die Risikobewertung abgeschlossen, ist sie die Basis für die Entwicklung eines Maßnahmenkatalogs: Wie gehen Sie in Ihrem Unternehmen gegen Compliance-Risiken vor? Beseitigen, verringern, zunächst wegen geringer Relevanz zunächst zurückstellen? Diese Entscheidung ist ein zentrales Element der Unternehmensführung und -steuerung, die sowohl von Geschäftsführung und Vorstand als auch vom Aufsichtsrat wahrgenommen werden muss.

Datenschutz-Compliance

Datenschutz-Compliance: Sind Sie bereit?

Am 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung (DSGVO) in Kraft. Eine der größten Herausforderungen, vor denen Unternehmen europaweit damit aktuell stehen, ist die Umsetzung der Datenschutz-Compliance. Bis Mai müssen sie ihre Organisation auf die neuen Datenschutzanforderungen umgestellt haben. Ansonsten drohen Strafen bis zu vier Prozent des Umsatzes, alternativ maximal 20 Millionen Euro.

Datenschutz-Compliance: Ein Konflikt?

Zur Herausforderung kann dabei schon der potenzielle Konflikt zwischen Datenschutz und Compliance an sich werden: Obwohl die Einhaltung des Datenschutzes wichtiger Bestandteil der Rechtskonformität ist, stellt sie zugleich ein Problem dar. Denn die Kontrollfunktion der Compliance kann selbst zum Verstoß gegen den Datenschutz werden. Die DSGVO setzt dort allerdings Prioritäten, indem sie Verstöße gegen den Datenschutz mit erheblichen Bußgeldern ahndet. Diese Diskrepanz zu beseitigen zählt im Rahmen der Compliance damit zu den wichtigen Aufgaben bei der Umsetzung der DSGVO.

Besonderer Schutz personenbezogener Daten

Laut DSGVO müssen im Rahmen der Datenschutz-Compliance personenbezogene Daten im Unternehmen besonders geschützt werden. Wer mit den Informationen über Geschäftspartner wie Lieferanten, Käufer oder Mitarbeiter umgeht, hat sich sowohl an die europäischen als auch an nationale Gesetze zu halten. So schreibt die DSGVO vor, dass Personen das Recht haben, ihre persönlichen Daten, die in einem Unternehmen erhoben werden, zu erfahren und diese gegebenenfalls korrigieren oder sogar löschen zu lassen. Dazu ist es zwingend erforderlich, dass Unternehmen die Daten so vorhalten, dass sie sie jederzeit und schnell zur Verfügung stellen können. Die Verwendung falscher Daten hat zugleich nicht nur Relevanz für den Datenschutz, sondern auch für die Compliance des Unternehmens insgesamt.

Die Geschäftsleitung muss deshalb mit technischen und organisatorischen Maßnahmen nachweisen, dass in ihrem Unternehmen eine DSVGO-konforme Datenverarbeitung gewährleistet ist. Vorgeschrieben ist überdies deren regelmäßige Überprüfung. Im Rahmen der Datenschutz-Compliance sollten Unternehmen ihre Mitarbeiter im Umgang mit persönlichen Daten auf jeden Fall umfassend schulen, um den Anforderungen zu genügen.

Weitere Anforderungen der DSGVO

Was sieht die Datenschutzgrundverordnung noch vor? Unter anderem dieses:

  • Mit der DSGVO gibt es zum ersten Mal eine europaweit gültige Pflicht, unter bestimmten Voraussetzungen einen betrieblichen Datenschutzbeauftragten zu bestellen (Art. 37 DSGVO). Kommen Unternehmen dieser Pflicht nicht nach, begehen sie eine Ordnungswidrigkeit, die mit einem Bußgeld von bis zu 50.000 € belegt werden kann.
  • Die DSGVO stellt neue Regeln für die Benachrichtigung von Behörden und Personen bei einer Datenschutzverletzung auf. (Art. 33 und 34 DSGVO)
  • Personen müssen der Erhebung ihrer Daten für einen bestimmten Zweck ausdrücklich zugestimmt haben. Der Zweck (oder auch mehrere) der Datenverarbeitung muss konkret benannt werden.
  • Prinzip der Datensparsamkeit: Es dürfen nur Daten für definierte, klare und gesetzlich zulässige Zwecke erhoben werden.
  • Sensible Daten dürfen nur mit der ausdrücklichen Einwilligung der Person erhoben werden. Ansonsten ist „die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person untersagt.“ (Art. 9 DSGVO)
  • „Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.“ (Art. 20 DSGVO)
  • Neu ist auch das „Recht auf Vergessenwerden“ bzw. auf Löschung: Art. 17 DSGVO beschreibt das Recht auf Datenlöschung unter bestimmten Voraussetzungen, zum Beispiel wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr nötig sind.

Da die Vorschriften der DSGVO bereits in zwei Monaten in Kraft treten, wird es höchste Zeit, sich mit der Datenschutz-Compliance auseinandersetzen. Benötigen Sie Unterstützung, stehen wir für die Beratung zur Verfügung.

VerpackG

Neues Verpackungsgesetz VerpackG kommt 2019

Deutschland bekommt ein neues Verpackungsgesetz (VerpackG). Es tritt am 1. Januar 2019 in Kraft. „Es bezweckt, die Auswirkungen von Verpackungsabfällen auf die Umwelt zu vermeiden oder zu verringern. Um dieses Ziel zu erreichen, soll das Gesetz das Verhalten der Verpflichteten so regeln, dass Verpackungsabfälle vorrangig vermieden oder darüber hinaus einer Vorbereitung zur Wiederverwendung oder dem Recycling zugeführt werden. Dabei sollen die Marktteilnehmer vor unlauterem Wettbewerb geschützt werden“, heißt es im Gesetzestext. Wichtig ist das für alle Unternehmen, die Verpackungen in Umlauf bringen, betrifft somit auch Online-Händler.

VerpackG enthält „Zentrale Stelle Verpackungsregister“

Das VerpackG enthält zahlreiche Pflichten für Hersteller von Verpackungen, Systembetreiber und Vertreiber. Hersteller sind Erstinverkehrbringer fertiger Verpackungen. Systembetreiber sind Unternehmen, die restentleerte Verpackungen flächendeckend erfassen und einer Verwertung zuführen dürfen. Vertreiber ist jeder, der unabhängig von der Vertriebsmethode oder Handelsstufe Verpackungen gewerbsmäßig in Verkehr bringt (z.B. Versandhändler).

Hersteller systembeteiligungspflichtiger Verpackungen müssen sich laut neuem VerpackG bei der neuen Zentralen Stelle Verpackungsregister registrieren lassen. Wer nicht oder nicht ordnungsgemäß registriert ist, darf systembeteiligungspflichtige Verpackungen nicht in den Verkehr bringen. Vertreiber dürfen Waren in diesen Verpackungen nicht oder nicht ordnungsgemäß registrierter Hersteller nicht verkaufen.

Registrierungsnummer bei Zentraler Stelle erhältlich

Die notwendige Registrierungsnummer erhalten Unternehmen künftig bei der Stiftung Zentrale Stelle Verpackungsregister. Die schreibt auf Ihrer Internetseite www.verpackungsregister.org:  „Die Stiftung Zentrale Stelle Verpackungsregister wird ab dem 01.01.2019 gemäß Verpackungsgesetz (VerpackG) mit einem Register und einer Datenbank für mehr Transparenz sorgen. Bereits ab Q3/2018 können sich Hersteller von systembeteiligungspflichtigen Verpackungen voraussichtlich bei uns vorregistrieren lassen“.

Die Einrichtung der „Zentralen Stelle Verpackungsregister“ sieht das neue VerpackG vor, um mit dem zentralen Datenregister für mehr Transparenz und Kontrolle bei der Entsorgung und beim Recycling von Verpackungen zu  sorgen. Damit soll die Beteiligung der Unternehmen am Recycling spürbar steigen.

Breitere Finanzierungsbasis für Duale Systeme

Zahlreiche Unternehmen kennen die Pflichten gemäß Verpackungsverordnung und neuem VerpackG nicht. Mit den neuen Regeln wird es leichter nachvollziehbar, welche Verpackungen angemeldet – also beim Dualen System beteiligt – sind und welche nicht. Die Finanzierungsbasis für die Dualen Systeme soll steigen, für die einzelnen Unternehmen die Kosten sinken.

Die Dualen Systeme müssen die Beteiligungsentgelte künftig ökologisch gestalten. Damit soll ein Anreiz für die Hersteller geschaffen werden,  Verpackungen aus Materialien herzustellen, die möglichst gut recycelt werden können oder aus  Recyclaten und nachwachsenden Rohstoffen bestehen.

Bundesdatenschutzgesetz

Neufassung Bundesdatenschutzgesetz BDSG

Neues vom Bundesdatenschutzgesetz: Es wurde durch das “Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU)” neu gefasst. Die Änderung tritt zum 25. Mai  2018 in Kraft. Bis dahin gilt noch die jetzige Fassung.

Grund für die Neufassung des Bundesdatenschutzgesetzes (BDSG) sind die Vorgaben der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L EU L 119 vom 4.5.2016,S. 1). Ziel der Verordnung (EU) 2016/679 ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten. Diese EU-Verordnung ist direkt anwendbar und bedarf prinzipiell keiner Umsetzung. Dennoch enthält die EU-Verordnung darüber hinaus Regelungsaufträge an die Mitgliedstaaten, die in nationales Recht umzusetzen sind. Dies geschieht durch die Neufassung des Bundesdatenschutzgesetzes.

Bundesdatenschutzgesetz betrifft auch Unternehmen

Das BDSG gilt auch für nichtöffentliche Stellen wie natürliche und juristische Personen, Gesellschaften und andere Personenvereinigung des privaten Rechts (§ 3 Abs. 4 Satz 1). Dabei geht es um die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zu Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Auf nichtöffentliche Stellen findet das Gesetz auf Datenverarbeitung im Inland Anwendung (§ 1 Abs. 4 Satz 1 Nr. 1). § 1 Abs. 4 Satz 1 Nr. 2 bestimmt, dass die Vorschriften des BDSG nur dann zur Anwendung kommen, wenn eine Datenverarbeitung durch eine in Deutschland ansässige Niederlassung vorliegt.

  • §22 Absatz 1 legt fest, unter welchen Voraussetzungen die Verarbeitung besonderer Kategorien personenbezogener Daten (rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) ausnahmsweise zulässig ist. Danach ist die Verarbeitung bei nicht nichtöffentlichen Stellen zulässig, wenn sie
  • erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen,
  • zum Zweck der Gesundheitsvorsorge,
  • für die Beurteildung der Arbeitsfähigkeit des Beschäftigten,
  • für die medizinische Diagnostik
  • die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
  • für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrages (Behandlungsvertrag) der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oderdurch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden.

Der Begriff der Gesundheitsvorsorge beinhaltet dabei auch die arbeitsmedizinische Vorsorge.

Zur Wahrung der Grundrechte und Interessen der betroffenen Person enthält § 22 Abs. 2 eine Auflistung von angemessene und spezifische Maßnahmen wie beispielsweise die Pseudonymisierung personenbezogener Daten, die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten und die Verschlüsselung.

  • §26 (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) Abs. 1 regelt – wie bisher § 32 Abs. 1 BDSG als Fassung –, zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis verarbeitet werden dürfen, wenn dies zum Zweck des Beschäftigungsverhältnisses erforderlich ist. Von § 26 Abs. 1 Satz 1 wird auch die Verarbeitung personenbezogener Daten zum Zweck des Beschäftigungsverhältnisses umfasst, wenn dies zur Ausübung oder Erfüllung der sich aus Gesetz oder Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
  • §26 Abs. 1 Satz 2 benennt die Voraussetzungen für die Verarbeitung personenbezogener Daten von Beschäftigten zur Aufdeckung von Straftaten, die im Beschäftigungsverhältnis begangen worden sind.
  • 26 Abs. 2 trägt der Besonderheit des Beschäftigungsverhältnisses als Abhängigkeitsverhältnis und der daraus resultierenden Situation der Beschäftigten Rechnung und regelt die Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung. Als formelle Voraussetzung einer Einwilligung ist grundsätzlich die Schriftform angeordnet, um die informationelle Selbstbestimmung der betroffenen Beschäftigten abzusichern. Darüber hinaus hat der Arbeitgeber den Beschäftigten über den Zweck der Datenverarbeitung schriftlich aufzuklären.

Nach § 26 Abs. 3 ist eine Verarbeitung besonderer Kategorien personenbezogener Daten zu Beschäftigungszwecken zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses kann auch die Verarbeitung von Daten zur Beurteilung der Arbeitsfähigkeit einschließen. Die Einwilligung des betroffenen Beschäftigten muss sich auf die Verarbeitung besonderer Kategorien personenbezogener Daten beziehen.

  • §26 Abs. 4 bestimmt, dass die Verarbeitung personenbezogener Beschäftigtendaten aufgrund von Kollektivvereinbarungen zulässig ist. Tarifverträge, Betriebsvereinbarungen oder Dienstvereinbarungen können weiterhin die Rechtsgrundlage für Regelungen zum Beschäftigtendatenschutz bilden. Dabei haben die Verhandlungspartner Artikel 88 Abs. 2 der Verordnung (EU) 2016/679 zu beachten.

Nach § 26 Abs. 5 muss der Verantwortliche geeignete Maßnahmen zur Wahrung der Grundrechte und Interessen des Beschäftigten vorsehen. Beispielsweise muss bei der Datenverarbeitung sichergestellt sein, dass sie auf rechtmäßige Weise, nach Treu und Glauben und in einer für den Beschäftigten nachvollziehbaren Weise erfolgt. Die Daten werden in einer Form gespeichert, die die Identifizierung des Beschäftigten nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Der Verantwortliche stellt sicher, dass die Verarbeitung in einer Weise erfolgt, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung. Er trifft sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die darauf ausgelegt sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen. Der Verantwortliche unternimmt Schritte um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur aufgrund seiner Anweisung verarbeiten, es sei denn, diese sind rechtlich zur Verarbeitung verpflichtet.

  • §26 Abs. 6 entspricht dem § 32 Absatz 3 BDSG a. F. und stellt klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.

Nach § 26 Abs. 7 sind zuvor aufgeführten Kriterien (§ 26 Abs. 1 bis 6) gelten im Beschäftigungsverhältnis auch, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeite werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

  • §26 Abs. 8 definiert den Begriff „Beschäftigte“ i.S.d. BDSG und entspricht weitestgehend § 3 Abs. 11 BDSG alte Fassung.
  • §31 (Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften) regelt die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) und enthält die Zulässigkeitsvoraussetzungen. Scoringverfahren und Kreditinformationssysteme mit der Einmeldung von Positiv- und Negativdaten, die z. B. durch Kreditinstitute, Finanzdienstleistungsunternehmen, Zahlungsinstitute, Telekommunikations-, Handels-, Energieversorgungs- und Versicherungsunternehmen oder Leasinggesellschaften erfolgt, bleiben prinzipiell weiter zulässig.

Die §§ 32 bis 39 regeln die Rechte der betroffenen Person.

Wie bisher auch besteht für nichtöffentliche Stellen die Pflicht zu Bestellung eines Datenschutzbeauftragten (§ 38), wenn sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.

SAT-Handlungsempfehlung: Betriebsvereinbarungen überprüfen

Neben dem neuen Bundesdatenschutzgesetz ist auch die EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/6479) zu beachten und anzuwenden. Die Umsetzung der Forderungen muss bis zum 25. Mai 2018 erfolgen.

Bestehende Betriebsvereinbarungen sollten überprüft werden, ob sie mit dem neuen Datenschutzrecht kompatibel sind. Gegebenenfalls ist eine Überarbeitung und Anpassung an das neue Recht erforderlich. Tarifverträge, Betriebsvereinbarungen und sonstige Kollektivvereinbarungen in Bezug auf Mitarbeiterdatenverarbeitung haben dabei den Anforderungen von Art. 88 Abs. 2 der EU-Datenschutz-Grundverordnung zu genügen. Betriebsvereinbarungen bleiben ebenso wie Einwilligungen Mittel zur rechtskonformen Verarbeitung von personenbezogenen Daten. Einwilligungen sollten dabei die Vorgaben des § 26 Abs. 2 BDSG einhalten, bestehende Einwilligungen überprüft werden, ob sie den Anforderungen genügen.

Für die Verarbeitung sensibler Daten wie Krankheits- oder Religionsdaten von Mitarbeitern müssen gesonderte Schutzmaßnahmen (z.B. Pseudonymisierung oder Verschlüsselung) ergriffen werden.