EuGH: No consent, no cookie

„Nun sag, wie hältst Du’s mit dem Cookie?”

Die Gretchenfrage für den Onlinemarketer. Einfach setzen? Opt-out? Impliziter Opt-in? Oder doch expliziter Opt-in?

Die Antwort ist eigentlich schon lange klar. Kein Consent, kein Cookie. Das hat bisher aber kaum jemand umgesetzt und sich in der Grauzone wohlgefühlt. Im Normalfall wird getracked, es sei denn jemand wehrt sich per Klick dagegen.

„Und bist du nicht willig, so brauch’ ich Gewalt.”

Klar, alle haben sich an die datenreiche Welt gewöhnt. Userprofile, Personalisierung, Lokalisierung: Für Werbetreibende und Webseitenbetreiber stürzen ohne Tracking ganze Gebäude ein. Wie geht das weiter?

„EuGH: No consent, no cookie“ weiterlesen

Ombudsmann und digitale Hinweisgebersysteme – echte Fressfeinde?

fressfeind-ombudsmann-hinweisgebersystem Kopie

„Entweder Ombudsmann oder digitales Hinweisgebersystem – beides geht nicht.“ Das ist ein weitverbreiteter Irrglaube in der Branche und auch bei Ombudsmännern selbst. Sie befürchten, überflüssig gemacht zu werden und durch eine technische Lösung ersetzt zu werden. Das ist verständlich, aber in der Praxis selten der Fall. Einige unserer Kunden setzen auf eine Kombination und erzeugen Synergien und echte Mehrwerte.

„Ombudsmann und digitale Hinweisgebersysteme – echte Fressfeinde?“ weiterlesen

Make or Buy: das eigene Hinweisgebersystem?!

hinweisgebersystem-selber-machen

Make or Buy, machen oder kaufen; das ist eine grundsätzliche Entscheidung, vor die viele Organisationen in Sachen IT regelmäßig gestellt werden. Manche Unternehmen fahren mit “make” sehr gut, andere setzen eher auf “buy”. In unseren Kundengesprächen für das Hinweisgebersystem Got Ethics kommt das Thema immer mal wieder auf. Insofern versuchen wir uns hier an einer Antwort.

„Make or Buy: das eigene Hinweisgebersystem?!“ weiterlesen

Aktuelle regulatorische Änderungen mit Auswirkung auf das Compliance Management

Compliance als Teamplay (Photo by Mpho Mojapelo on Unsplash)

„Es dauert 20 Jahre, sich eine Reputation zu erwerben und 5 Minuten, sie zu verlieren.“ Warren Buffet

Die Sensibilität für Compliance Themen ist in den meisten Unternehmen so hoch wie nie. Lt. einer aktuellen Compliance-Umfrage unter Geschäftsführern, Vorständen sowie Leitern und Mitarbeitern von Compliance- und Rechtsabteilungen verfügen bspw. mittlerweile 65% der deutschen Unternehmen über eine eigene Compliance-Abteilung und die Compliance-Kultur wird in 89% der Unternehmen vom Vorgesetzten vorgelebt. (An dieser Stelle wäre es  interessant zu erfahren, ob das auch in dieser Größenordnung in den Unternehmen wahrgenommen wird ;)).
Dennoch scheinen die Meldungen über rechtliche Verstöße von Unternehmen nicht abzureißen. Im Gegenteil. Immer neue Skandale erschüttern das Land und die Wirtschaft. Wirtschaftskriminalität wie der VW-Abgasskandal, Doping-Vergehen im Sport oder Missbrauch im Gesundheitswesen sind da nur einige Beispiele. Viele beschäftigen seit Jahren die Gerichte, führen zu bedeutenden Strafzahlungen, geschäftsschädigenden Reputationsverlusten und Kündigungen von sog. Whistleblowern. Wie die aktuellste, alle 2 Jahre durchgeführte KPMG-Studie zur Wirtschaftskriminalität in Deutschland zeigt, war seit 2015 jedes dritte Unternehmen von wirtschaftskriminellen Handlungen im eigenen Haus betroffen, bei den großen Unternehmen sogar fast 50% – eine ernüchternde Bilanz.
Daher sollten Unternehmen die Einrichtung, kontinuierliche Überprüfung und Anpassung von wirksamen Compliance-Strukturen und -Systemen sowie die Sensibilisierung für eine gelebte Compliance-Kultur weiter vorantreiben. Nähere Informationen über die Bedeutung und Entstehung von Compliance Management können Sie hier in unserem Blog nachlesen.

Was bedeuten diese 3 regulatorischen Änderungen für das Compliance Management?

Einige regulatorische Änderungen aus diesem und dem nächsten Jahr werden wegweisende Auswirkungen auf das Compliance Management in Unternehmen haben.

1. Änderung des Deutschen Corporate Governance Kodex

Im Frühjahr 2017 hat die Regierungskommission Deutscher Corporate Governance Kodex verschiedene Änderungen an dem Kodex vorgenommen, der für alle börsennotierten Unternehmen gilt. Ziel ist es, die Transparenz zu erhöhen und den Kodex an internationale Best Practice anzupassen. U.a. wurde dem Kodex eine neue Regelung hinzugefügt, die es u.a. Mitarbeiter_innen ermöglichen muss, anonyme Hinweise auf Regelverstöße zu geben:
“Er (der Vorstand) soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.” (Quelle: Deutscher Corporate Governance Kodex, Fassung vom 07.02.2017, Punkt 4.1.3.)
Diese Kodex-Änderung kann für betroffene Unternehmen Anlass sein, ihr Compliance Management kritisch zu überprüfen und ggfs. nachzubessern.

2. BGH-Urteil über die bußgeldmindernde Wirkung eines Compliance Management Systems

In einem Urteil vom 09.05.2017 weist der Bundesgerichtshof erstmals auf die Bedeutung eines Compliance Management Systems für die Bemessung von Bußgeldern hin. Zugrunde lag ein Fall, bei dem ein Mitarbeiter aufgrund eines Bestechungsdelikts der Beihilfe zur Steuerhinterziehung beschuldigt und entsprechend verurteilt wurde. Gegen seinen Arbeitgeber, einen deutschen Lieferanten, wurde ein Bußgeld verhängt.  
Nach dem BGH-Urteil ist für die Bemessung der Geldbuße entscheidend, ob zum Zeitpunkt des Vergehens ein effektives Compliance Management System (CMS) zur Verhinderung von Rechtsverstößen im Unternehmen installiert war. Und nicht nur das: Das BGH erkennt zusätzlich als bußgeldmindernd an, wenn als Folge des Gerichtsverfahrens die bereits existierenden CMS-Regelungen optimiert und so gestaltet werden, dass ähnliche Normverletzungen zukünftig verhindert werden können.  
Der genaue Wortlaut des Urteils lautet wie folgt:
„Für die Bemessung der Geldbuße ist zudem von Bedeutung, inwieweit die Nebenbeteiligte ihrer Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss […]. Dabei kann auch eine Rolle spielen, ob die Nebenbeteiligte in der Folge dieses Verfahrens entsprechende Regelungen optimiert und ihre betriebsinternen Abläufe so gestaltet hat, dass vergleichbare Normverletzungen künftig jedenfalls deutlich erschwert werden“. (BGH 1 StR 265/16, Rn. 118)

3. Die neue EU Datenschutz Grundverordnung

Am 25. Mai 2018 tritt die neue Datenschutz Grundverordnung (DSGVO) in Kraft, die einen einheitlichen Rechtsrahmen in allen EU-Staaten schaffen soll. Das bedeutet:

  • Der Anwendungsbereich der DSGVO gilt ab dann für alle Verarbeitungen, die personenbezogene Daten von EU-Bürgern betreffen, egal ob das Unternehmen, das diese verarbeitet, in der EU sitzt oder nicht.
  • Der Bußgeldrahmen bei Verstößen wird drastisch erhöht: auf bis zu 20 Millionen oder 4% des weltweiten Jahresumsatzes.

Darüber hinaus räumt die EU-DSGVO den betroffenen Personen mehr Rechte ein wie z.B. Informationsrechte, Recht auf Zugriff, Korrekturen und Vergessen personenbezogener Daten und das Recht auf Datenübertragung von einem auf einen anderen Anbieter.
Vor allem aufgrund der ab 2018 drohenden hohen Bußgelder wird der Datenschutz daher in Zukunft einen ähnlich gewichtigen Anteil für das Risikomanagement und die Compliance-Abteilungen haben wie Verstöße gegen Kartell-, Korruptions- oder Steuerrecht.

Compliance Management (Photo by Mark Duffel on Unsplash)
Photo byMark Duffel on Unsplash

Welche Erkenntnisse können Unternehmen aus diesen Neuregelungen ziehen?

Der Druck für Unternehmen, im Bereich Compliance zu handeln und sich vorbeugend noch besser gegen Regelverstöße abzusichern, steigt mit zunehmender Anzahl von Regularien. Auch wenn – oder gerade weil – im Gegensatz zu anderen Ländern in Deutschland noch kein einheitliches Compliance Gesetz existiert, das rechtlich Halt und Struktur gibt, ist vorbeugendes Agieren allemal besser als im Ernstfall nachträgliches Reagieren.  
Neben der zunehmenden Verantwortung für Compliance Manager wächst aber auch gleichzeitig die Chance, mit geeigneten Compliance Maßnahmen die Risiken weiter zu minimieren und selbst für den Fall eines Regelverstoßes finanziell ggfs. “mit einem blauen Auge” davon zu kommen.
Nicht zuletzt trägt ein auf die individuellen Risiken des Unternehmens ausgerichtetes Compliance Management System, das von möglichst vielen Mitarbeitern im Unternehmen mitgetragen und -gelebt wird, zur Steigerung der Glaubwürdigkeit des Unternehmens gegenüber in- und ausländischen Geschäftspartnern bei und erhöht dessen Wettbewerbsfähigkeit. 

Webbasiertes Hinweisgebersystem bietet Unterstützung

Ein Compliance Management System besteht im besten Fall aus verschiedenen Bausteinen, die sich gegenseitig ergänzen und kontinuierlich evaluiert und weiterentwickelt werden müssen. Diese können von Compliance Richtlinien über interne Compliance Beauftragte und / oder einen anwaltlichen Ombudsmann bis hin zu einem digitalen Hinweisgebersystem reichen, über das Mitarbeiter Unregelmäßigkeiten melden können. Die Effektivität einer solchen Hinweisgeberplattform hängt dabei elementar davon ab, ob dem Hinweisgeber die vollständige Vertraulichkeit und Anonymität gewährleistet wird. Eine interne Hotline, die nur vom Firmentelefon aus erreichbar ist und damit die Telefonnummer des Hinweisgebers sichtbar macht, ist bspw. wenig hilfreich.
In einigen Ländern wie bspw. Frankreich sind Unternehmen ab einer bestimmten Größe bereits dazu verpflichtet, ein internes Whistleblowing-System zu installieren. In Deutschland dagegen sind webbasierte Hinweisgebersysteme bislang nur in einigen Branchen wie der Finanz- und Versicherungswirtschaft gesetzliche Pflicht. Aber auch ohne eine Vorgabe des Gesetzgebers ist die Implementierung einer Whistleblower-Plattform sinnvoll: zum einen aus den oben erwähnten strategischen Gründen, zum anderen um das persönliche Haftungsrisiko zu reduzieren, dem Unternehmer unterliegen. Außerdem sorgen technische Lösungen für Transparenz und Dokumentation – zwei wesentliche Bestandteile einer effektiven Compliance-Strategie.

Compliance Management System – eine sinnvolle Investition für deutsche Unternehmen?

Wegweiser Compliance Management

Am 16. und 17. November findet in Berlin der Bundeskongress Compliance Management 2016 statt. Es ist bereits die 4. Veranstaltung dieser Art in Deutschland, was zeigt dass das Thema Compliance Management in den vergangenen Jahren zunehmend an Bedeutung gewonnen hat – sicherlich nicht zuletzt befeuert durch die juristischen und moralischen Verfehlungen bei Firmen wie Siemens, dem ADAC oder VW.

Wie aktuell das Thema ist, zeigt auch die für Ende 2016 geplante Einführung einer ISO-Norm für Anti-Korruptions-Prozesse in Unternehmen. Mit der ISO-Norm 37001 „Anti-Korruptions Management Systeme“ soll ein neuer internationaler Standard geschaffen werden, der einheitliche Maßstäbe für die Entwicklung, Implementierung und den Betrieb von Compliance Management Systemen festlegt.

Anlass für einen kleinen Überblick zum Stand des Compliance Management und seinen Gestaltungsmöglichkeiten in der deutschen Wirtschaft.

Wegweiser Compliance Management

Über die Bedeutung und Entstehung von Compliance Management

Den Begriff Compliance kann man im Deutschen am ehesten mit Regeltreue oder Regelkonformität übersetzen. Er bedeutet die Sicherung der Einhaltung vorgeschriebener Gesetze und rechtlicher Rahmenbedingungen, aber auch freiwilliger unternehmensinterner Richtlinien.

Die Selbstverpflichtung von Firmen, ein System einzurichten, das die Einhaltung von Richtlinien jeglicher Art gewährleistet, entstand ursprünglich in den USA, wo Rechtsverstöße regelmäßig zur Zahlung von riesigen Geldsummen führen. Über international tätige Finanzdienstleister kam diese Entwicklung in den 70er Jahren nach Deutschland und mittlerweile ist Compliance Management ein wichtiges Thema in vielen Branchen geworden.

Compliance braucht Kommunikation und Bewusstsein

Compliance-Richtlinien müssen mittlerweile in fast allen Unternehmensbereichen berücksichtigt werden. Aber nicht selten gibt es in den Unternehmen, v.a. im Mittelstand, Widerstände bei der Einführung eines Compliance Systems. Entsprechende Kontrollmechanismen können schnell zu Unverständnis oder Verunsicherung bis hin zu Misstrauen bei den Mitarbeitern führen.

Daher muss eine Implementierung von Compliance Management immer mit Aufklärung und sensibler Kommunikation einhergehen. Mitarbeiter müssen Compliance und deren betriebswirtschaftlichen Mehrwert verstehen, für deren Ziele sensibilisiert werden und das Compliance Management aktiv mittragen. Jedem sollte bewusst gemacht werden, dass die Einhaltung von Regeln auch dem Erhalt des Unternehmens dient. Sprich, es muss eine Compliance-Kultur geschaffen werden.

Wie wird Compliance Management in den Unternehmen organisiert?

In deutschen Unternehmen findet sich die ganze Bandbreite möglicher Compliance Management Lösungen – von der eigenständigen Compliance Abteilung mit einem Chief Compliance Officer (CCO) über Compliance Mitarbeiter als Ombudsmänner in verschiedenen Abteilungen, eine simple Briefkasten-Lösung oder einen Rechtsanwalt als externen Compliance Officer bis hin zu einem technischen Hinweisgebersystem.

Lt. der Studie “CMS Compliance Barometer”, die das Marktforschungsinstitut Ipsos im Jahr 2015 erstmalig herausgebracht hat, haben erst rund ein Drittel der Großunternehmen eine separate Compliance-Abteilung eingerichtet. Kleine und mittelständische Unternehmen können sich i.d.R. keine eigene Abteilung leisten – hier kümmern sich oft Mitarbeiter der Rechtsabteilung, der Revision oder dem Risikomanagement quasi “nebenbei” um Compliance-Belange.

Wie kann eine Software helfen, Compliance sicher zu stellen?

Eine technischen Hinweisgeberplattform kann das Management und die Compliance-Beauftragten dabei unterstützen, ihren Aufgaben und ihrer Verantwortung strukturiert nachzukommen. Zudem bietet eine Compliance-Software besonders internationalen Unternehmen, die verschiedene Gesetzeslagen in verschiedenen Ländern berücksichtigen müssen, eine gute und sichere Möglichkeit, ihre Compliance-Prozesse abzubilden. Letztendlich sind die Kosten für die Implementierung eines Compliance-Systems weitaus günstiger als die Aufwendungen für die eventuelle Strafe und die negativen betriebswirtschaftlichen Folgen im Falle eines Compliance-Verstoßes.

Dies sind die wesentlichen Vorteile einer Hinweisgeberplattform:

  • Anonymitäts-Garantie für den sog. Whistleblower: Der den Verstoß meldende Mitarbeiter muss sichergehen können, dass seine Information vertraulich behandelt wird und ihm keine arbeitsrechtlichen Nachteile daraus entstehen.
  • Weltweite Verfügbarkeit rund um die Uhr
  • Berücksichtigung unterschiedlicher Gesetze und Datenschutzvorschriften in einzelnen Ländern
  • Flexible Anpassung der Lösung auf die individuellen Bedürfnisse des Unternehmens
  • Systematische Dokumentation, themenbezogene Klassifizierung und Nachverfolgung aller relevanten Compliance-Informationen für mehr Transparenz
  • Übersichtliche Analyse-Möglichkeiten
  • Da das Vorhandensein eines Compliance Management Systems als effektives Risikomanagement gegen Korruption angesehen wird, verbessert es das Rating bei der Bewertung von Unternehmen und kann vorteilhaftere Voraussetzungen für eine Finanzierung schaffen.

Welche Rolle spielt Compliance Management in deutschen Unternehmen?

Lediglich in der Finanz- und Versicherungsbranche ist Compliance Management aufgrund entsprechender Vorschriften im Kreditwesengesetz eine unabdingbare Notwendigkeit. Für alle anderen Unternehmen ist die Implementierung eines Compliance Managements zwar keine gesetzliche Verpflichtung, aber oft eine durch externe Faktoren auferlegte Maßnahme, um sich vor Datenmissbrauch, Korruption, Schmiergeldaffären und Betrug zu schützen. Zum einen führt der Gesetzgeber immer wieder neue Straftatbestände ein und erweitert die Haftung, zum anderen verlangen häufig Geschäftspartner aus In- und Ausland den Nachweis eines Compliance Systems, denn das schafft Vertrauen.

So ist das Bewusstsein für Regelkonformität, Regeltreue und Unternehmensethik in deutschen Unternehmen in den letzten Jahren zwar deutlich gewachsen und die Bedeutung von Compliance für die Reputationssicherung wird vielfach erkannt. Allerdings tun sich viele Unternehmen noch schwer mit der Umsetzung. Vielfach fehlt es auch noch an Prozessen, wie mit aufgedeckten Regelverstößen umzugehen ist.

Fazit

Compliance Management ist ein komplexes Thema, das von vielen Faktoren bestimmt wird. Unterschiedliche Gesetze und Vorschriften für einzelne Branchen und Länder und die individuellen Voraussetzungen und Anforderungen jedes Unternehmens beeinflussen den Umgang mit Compliance. Daher lassen sich Empfehlungen für bestimmte Compliance-Maßnahmen auch nicht pauschal an der Größe, dem Umsatz oder der Mitarbeiterzahl eines Unternehmens fest machen.

Grundsätzlich sollten Sie bei der Installierung einer Compliance Management Lösung folgende zwei Faktoren berücksichtigen:

  • Halten Sie die Hürde für Mitarbeiter, Vorfälle zu melden, möglichst niedrig. Da sich manche Menschen in einer solchen Situation lieber einem persönlichen Ansprechpartner, andere eher einem Online-Formular anvertrauen, ist das parallele Bereitstellen mehrerer Lösungen empfehlenswert.
  • Stellen Sie bei der Wahl des Systems die absolute Anonymität des Hinweisgebers sicher. Dies bietet eine Hinweisgeberplattform Out-of-the-box. Bei der Berufung eines externen Rechtsanwalts greift die anwaltliche Schweigepflicht.

Eine Hinweisgeberplattform kann also bereits vorhandene interne Compliance-Strukturen sinnvoll ergänzen, zumal die Kosten für ein solches System sehr überschaubar sind.

Mehr Informationen an unserem Stand auf dem Bundeskongress Compliance Management

Der Bundeskongress am 16. und 17. November in Berlin bietet Ihnen in kompakter Form einen branchenübergreifenden Einblick in viele Compliance Management Themen. In zahlreichen Vorträgen, Workshops und Best Practices stehen Wissenstransfer, Austausch und neue Compliance-Lösungen im Vordergrund. Am gemeinsamen Stand mit unserem Partner Got Ethics stellen wir Ihnen die sichere und einfach zu bedienende Hinweisgeberplattform Got Ethics vor. Oder Sie nehmen direkt Kontakt mit uns auf und fordern eine unverbindliche Demo an.