Wie Sitecore Tracking & Cookie Consent in 2021 funktionieren

Eine Frau am Whiteboard

Bis Sitecore 9.3 ist für den Umgang mit dem Cookie Consent des Sitecore Analytics Cookies noch viel Individualentwicklung und Sitecore Know how erforderlich. Bei Interesse schaut gern mal hier in meinem alten Blog-Artikel.

Seit Sitecore 10 bietet Sitecore diese Funktionen endlich Out-of-the-Box an. Und so geht’s:

„Wie Sitecore Tracking & Cookie Consent in 2021 funktionieren“ weiterlesen

DSGVO-konformes Sitecore-Tracking

In den letzten Wochen habe ich mich umfassend mit dem schwierigen (und zugegebenermaßen bei mir zunächst auch eher ungeliebten) Thema des DSGVO-konformen Sitecore-Trackings befasst. 

Dabei ging es mir zunächst darum Sitecore-unabhängig zu verstehen, was erforderlich ist, um DSGVO-konform zu tracken, um das Erlernte dann auf Sitecore anzuwenden. Mit diesem ersten von zwei Blogartikeln möchte ich euch gerne auf meine Reise mitnehmen, um dem ein oder anderen von euch das Thema vielleicht schneller zugänglich zu machen.

„DSGVO-konformes Sitecore-Tracking“ weiterlesen

Schlafmittel DSGVO: die Mitarbeiterschulung

Formulieren wir es zum Start mal gleich ketzerisch: Wer mit Einschlafproblemen zu kämpfen hat, dem sei eine DSGVO-Schulung zur Mitarbeitersensibilisierung ans Herz gelegt. In den allermeisten Fällen ist diese leider dazu geeignet, auch einem gestandenen Juristen ein ausgedehntes Schläfchen zu ermöglichen. Generell ist gegen gut ausgeschlafene Mitarbeiter*innen auch nichts einzuwenden. Nur benötigen wir diese genau jetzt wach und aufnahmefähig.

„Schlafmittel DSGVO: die Mitarbeiterschulung“ weiterlesen

Von DSGVO zu Ethik: Der comspace-Weg

Datenschutz im Unternehmen

Gleich ein Disclaimer vorweg: Dies wird keine allgemeingültige Anleitung, wie man die Umsetzung der DSGVO, den Datenschutz allgemein und die angrenzenden Themen in einem Unternehmen zum Laufen bekommt.
Was ich geben will, ist ein Einblick in den Weg, den wir bei comspace gegangen sind und noch immer gehen. 

Und ich möchte von Anfang an ehrlich sein: Auch bei uns war die DSGVO ein Thema welches – euphemistisch formuliert – zunächst eher mit verhaltener Begeisterung umgesetzt wurde. Das Thema glich sogar einem Wanderpokal auf den niemand sonderlich scharf war. 

„Von DSGVO zu Ethik: Der comspace-Weg“ weiterlesen

EuGH: No consent, no cookie

„Nun sag, wie hältst Du’s mit dem Cookie?”

Die Gretchenfrage für den Onlinemarketer. Einfach setzen? Opt-out? Impliziter Opt-in? Oder doch expliziter Opt-in?

Die Antwort ist eigentlich schon lange klar. Kein Consent, kein Cookie. Das hat bisher aber kaum jemand umgesetzt und sich in der Grauzone wohlgefühlt. Im Normalfall wird getracked, es sei denn jemand wehrt sich per Klick dagegen.

„Und bist du nicht willig, so brauch’ ich Gewalt.”

Klar, alle haben sich an die datenreiche Welt gewöhnt. Userprofile, Personalisierung, Lokalisierung: Für Werbetreibende und Webseitenbetreiber stürzen ohne Tracking ganze Gebäude ein. Wie geht das weiter?

„EuGH: No consent, no cookie“ weiterlesen

DSGVO-Umsetzung bei comspace – 5 Fragen an unseren Datenschutzkoordinator

dsgvo datenschutzkoordinator

In einem Interview mit unserem Datenschutzbeauftragen Lars Christiansen hatten wir neulich schon über die neuen Regelungen der EU-DSGVO und nötige Maßnahmen zu ihrer Umsetzung in Unternehmen gesprochen.
Auch wir arbeiten agenturintern daran, uns für den Stichtag am 25. Mai fit zu machen und ein Häkchen hinter „DSGVO“ zu machen. Was das im Einzelnen bedeutet, erläutert unser Datenschutzkoordinator und Kollege im IT-Service Gwenn Dauen. „DSGVO-Umsetzung bei comspace – 5 Fragen an unseren Datenschutzkoordinator“ weiterlesen

DSGVO – was ändert sich? 20 Fragen an unseren Datenschutzbeauftragten Lars Christiansen

Am 25. Mai 2018 tritt die neue europaweite Datenschutzgrundverordnung (DSGVO) in Kraft. Nicht mehr viel Zeit also für Unternehmen, sich für den Stichtag fit zu machen und die neuen gesetzlichen Anforderungen zu erfüllen.
Was ändert sich, was bleibt, wo muss kurzfristig gehandelt werden? Diese und weitere Fragen haben wir unserem DSGVO-Experten und langjährigen externen Datenschutzbeauftragten Lars Christiansen gestellt und praxisorientierte Antworten bekommen.

Was ist die DSGVO?

Die neue Datenschutz-Grundverordnung ist nach meiner Einschätzung die umfangreichste und gleichzeitig am meisten unterschätzte Gesetzesinitiative, die die EU jemals auf den Weg gebracht hat. Viele Beteiligte haben lange nicht wahrgenommen, worum es genau geht und wie komplex sich die Umsetzung gestaltet.
Bei der DSGVO geht es nicht um eine schlichte Gesetzesänderung, sondern einen kompletten Neuanfang im Bereich Datenschutz. In Deutschland sind allein rund 300 Gesetze betroffen, die geändert werden müssen, weil sie in irgendeiner Weise etwas mit Datenschutzregelungen zu tun haben. In Hinblick auf die Umsetzung geben sich die Aufsichtsbehörden noch zurückhaltend, da es bisher weder Erfahrungswerte noch Gerichtsurteile gibt. Daher bleibt in der Praxis leider noch vieles im Unklaren.

Welche Änderungen ergeben sich aus der DSGVO für mittelständische Unternehmen?

Die gesetzlichen Änderungen betreffen alle Unternehmen. Generell gibt es keine Unterscheidung nach kleinen, mittelständischen oder großen Unternehmen.
Die einzige Ausnahme besteht in der Bestellpflicht eines Datenschutzbeauftragten: Dieser müssen Unternehmen erst nachkommen, sobald sie mehr als 10 Mitarbeiter beschäftigen.

Sollten Unternehmen in einigen Bereichen über die DSGVO hinausgehen?

Grundsätzlich gilt bei der Umsetzung der DSGVO der risikobasierte Ansatz, d.h. die DSGVO macht die Erlaubnis der Datenverarbeitung von einer Risikoanalyse abhängig. Jedes Unternehmen muss im Einzelnen abwägen, wie stark die „Interessen, Grundrechte und Grundfreiheiten“ der betroffenen Personen durch die Verarbeitung ihrer personenbezogenen Daten gefährdet wird. Dementsprechend sind geeignete technische und organisatorische Maßnahmen zu ergreifen, die die Datensicherheit der erhobenen und verarbeiteten Daten gewährleisten.

Welche zusätzlichen Pflichten ggü. dem bisherigen Bundesdatenschutzgesetz (BDSG) ergeben sich für deutsche Unternehmen aus der DSGVO?

In vielen Regelungen unterscheidet sich die DSGVO gar nicht so wesentlich vom BDSG. In anderen Punkten gibt es gravierende Änderungen. Die wichtigsten sind folgende:

  • Ausweitung des Begriffs der personenbezogenen Daten: Die Definition ist in der DSGVO wesentlich weiter gefasst als zuvor (s. auch die nächste Frage). Bisher ging es um den Schutz der Daten, um physischen und materiellen Schaden abzuwenden. Zukünftig müssen Daten auch gegen immateriellen Schaden geschützt werden.
  • Informationspflichten: Diese sind umfangreicher geworden. Den Betroffenen muss bei der Erhebung seiner Daten Auskunft darüber gegeben werden, “wer was wann und bei welcher Gelegenheit über sie weiß”.
  • Recht auf Datenportabilität: Die Übertragbarkeit der Daten von einem Anbieter zu einem anderen muss gewährleistet sein. Dies auf Anforderung auch im maschinenlesbaren Format, damit die Daten ggfs. woanders wieder eingelesen werden können.
  • Sicherstellen der Sicherheit und Belastbarkeit der Systeme
  • Rechenschaftspflicht im Sinne der Beweislastumkehr: Bisher musste ein Betroffener vor Gericht selbst nachweisen, dass das Unternehmen für eine fehlerhafte Verarbeitung von Daten verantwortlich ist. Diese Pflicht liegt nun bei dem Unternehmen, das die Daten verarbeitet.

Welche personenbezogenen Daten sind konkret von der Verordnung betroffen und was genau versteht man unter “personenbezogen”?

Personenbezogene Daten sind alle Angaben, die man einer natürlichen Person zuordnen kann. Außer naheliegenden Daten wie Name und Adresse etc. zählen künftig auch digitale Informationen wie Standortdaten, IP, Cookies, Scoring- und Ranking-Daten dazu.

Welche Dokumentationspflichten sind unternehmensintern notwendig?

Die Dokumentationspflichten steigen insofern, als dass jede verantwortliche Stelle den Nachweis erbringen können muss, dass sie personenbezogene Daten DSGVO-konform verarbeitet. Außerdem müssen alle Datenverarbeitungsprozesse dokumentiert werden.
Neu ist, dass ein Unternehmen wie das Ihre (Anm. =comspace) als Auftragnehmer und damit Auftragsverarbeiter jetzt mit in der Haftung sind. Bisher war das nur der Auftraggeber.

Welche Auskünfte müssen bei einem Antrag auf Datenauskunft künftig bereitgestellt werden? Wie schnell und in welcher Form?

Es müssen alle im Unternehmen befindlichen Daten, die die anfragende Person betreffen, zur Verfügung gestellt werden, und dies lt. Gesetzgeber “zeitnah und vollumfänglich”. Zeitnah meint eine Frist von 2 Wochen. Die Bereitstellung der Daten muss kostenfrei und in geeigneter Form (pdf, Mail o.ä.) erfolgen.

Welche Anforderungen werden an wirksame Einwilligungserklärungen gestellt? Warum braucht es überhaupt Einwilligungserklärungen, wenn man sich DSGVO-konform verhält?

Die Einwilligung zur Datenerhebung muss freiwillig und gut informiert erfolgen und sie darf nicht an einen Vertragsabschluss gekoppelt sein. Bei Datenerhebung muss dem Kunden außerdem mitgeteilt werden. was mit seinen Daten geschieht. Bestehende Einwilligungen sind davon unberührt und nach wie vor wirksam, sofern sie den Anforderungen aus dem BDSG genügen.
Neu ist, dass eine Dateneinwilligung von Kindern und Jugendlichen erst ab dem 16. Lebensjahr möglich ist.
Nach meiner Einschätzung wird die Einwilligung zukünftig sicherlich an Bedeutung verlieren.

Was beinhaltet das Recht auf Vergessenwerden? Welche Fristen sind zu beachten?

Das Recht auf Vergessenwerden existiert schon heute. “Vergessen” ist im digitalen Zeitalter ja ein eher unpassendes Wort. Der Begriff “Löschung” trifft es besser. Auch wenn die Daten auf Aufforderung gelöscht werden, verbleiben sie aufgrund der Pflicht zur Aufbewahrung von Unterlagen noch für mindestens 6-10 Jahre im Unternehmen.
Eine genaue Zeitvorgabe für die Löschung gibt es meines Wissens nicht. Man kann allerdings davon ausgehen, dass die Aufsichtsbehörden hier ähnliche Zeiten wie bei einem Auskunftsersuchen ansetzen. Da liegt die Frist bei zwei Wochen. Die Löschung sollte immer so schnell wie möglich erfolgen.

Gibt es spezielle Anforderungen für Daten von Personen ausländischer Nationalität (EU / international)? Ab wann betrifft die DSGVO deutsche Unternehmen nicht?

Die DSGVO greift, sobald die Daten eines europäischen Bürgers betroffen sind bzw. sobald ein Unternehmen Produkte oder Dienstleistungen für europäische Bürger anbietet und zugänglich macht.

Welche Auswirkungen hat die Verordnung auf den Datenschutz für Beschäftigte?

Der Datenschutz für Beschäftigte sollte ursprünglich einmal in einem eigenen Gesetz geregelt werden, dies ist aber nicht geschehen.
Die Verarbeitung von Mitarbeiterdaten erfolgt beispielsweise auf Basis einer Betriebsvereinbarung, im Rahmen eines Arbeitsvertrags oder aufgrund einer Einzeleinwilligung. Aufgrund des Abhängigkeitsverhältnisses, das durch einen Arbeitsvertrag entsteht, kann die Freiwilligkeit einer Einzeleinwilligung ggfs. in Frage gestellt werden. Dies wird mit der DSGVO zukünftig einfacher sein, denn dann gilt: Wenn eine Datenverarbeitung einen wirtschaftlichen oder rechtlichen Vorteil für den Mitarbeiter mit sich bringt, kann der Arbeitgeber von einer Einwilligung ausgehen.
Zusätzlich gibt es höhere Transparenzpflichten für den Arbeitgeber: Er muss die Mitarbeiter über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht informieren.

Welche Folgen kann ein Verstoß gegen die DSGVO haben?

Hier wird unterschieden zwischen organisatorischen Verstöße und Datenverlust. Bei organisatorischen Verstößen können bis zu 10 Mio. Euro bzw. bis zu 2 % des weltweiten Vorjahresumsatzes fällig werden. Bei Datenverlust beträgt die Geldbuße bis zu 20 Mio. Euro bzw. bis zu 4 Prozent des weltweiten Vorjahresumsatzes. Bei Datenschutzverletzungen entsteht außerdem ein Anspruch auf Schadensersatz für materiellen und (neu) immateriellen Schaden.

Welche Herangehensweise empfehlen Sie Unternehmen, um sich möglichst schnell fit zu machen für die neuen Bestimmungen? Was sind die wichtigsten to do’s?

Wer jetzt noch nicht angefangen hat, sich mit dem Thema zu beschäftigen, sollte sich eine gute Versicherung suchen ;). Die wichtigsten Schritte auf dem Weg zur Umsetzung der DSGVO sind folgende:

  • Ist-Aufnahme der Systeme und Prozesse deren saubere Dokumentation
  • Informationspflichten beachten und wahrnehmen
  • Datenschutzerklärung anpassen
  • Datenschutz-Folgenabschätzung vornehmen:
    Diese betrifft jede Datenverarbeitung, die ein besonders hohes Risiko für den Betroffenen darstellt, bspw. bei der Erhebung von Daten zum Scoring oder Profiling. Vor der Datenverarbeitung müssen die Risiken abgeschätzt und es muss dokumentiert werden, wie ein Rechtsrisiko abgefangen werden kann.
  • Meldepflichten bei Datenschutz beachten
  • Abbildung aller Datenschutzvorgänge in Prozessen

Stichwort Online-Marketing: was bringt da die DSGVO für Veränderungen?

Es gibt keine speziellen Vorschriften für die Zulässigkeit von Werbung. Daher gelten nach wie vor die allgemeinen Bestimmungen für die Verarbeitung personenbezogener Daten im Online-Marketing. Das z.Zt. noch bestehende Listenprivileg entfällt mit der DSGVO. Es wird in Zukunft stärker auf eine Interessensabwägung bei der Datenverarbeitung ankommen. Der Bereich Online-Marketing wird durch die kommende ePrivacy-Verordnung neu geregelt werden. Diese wird für das Jahr 2019 erwartet.
Da zukünftig innerhalb der EU über nationale Grenzen hinweg dieselben Bestimmungen angewendet werden, wird die DSGVO für international tätige Unternehmen eher Erleichterungen bringen.

Wie bewerten Sie persönlich die DSGVO?

Ich sehe die DSGVO als einen guten Ansatz in die richtige Richtung: Alte Regelungen des BDSG werden komplett überholt, was im digitalen Zeitalter dringend nötig war, da die Regelungen von 1995 nicht mehr die Realität widerspiegeln. Viele Basisfragen sind noch heute ungeklärt, so dass häufig Richterrecht greifen musste und Stellungnahmen der Aufsichtsbehörden bis heute in der Praxis nicht umgesetzt wurden.
Allerdings wurde die DSGVO mit Blick auf die großen amerikanischen Unternehmen konzipiert mit dem Nachteil, dass sie keine Abstufungen nach Unternehmensgröße vorsieht, d.h. es gibt keine Anpassungen für kleine und mittelständische Unternehmen. Außerdem wird die DSGVO mit viel Angst und Schrecken verkauft.

Lässt sich die DSGVO irgendwie umgehen?

Nein, das ist nicht möglich, denn sie ist ab dem 25. Mai 2018 EU-weit geltendes Datenschutzrecht.

Ist die DSGVO eher ein Wettbewerbsvor- oder Nachteil im internationalen Markt?

Für deutsche Unternehmen ist sie eher ein Vorteil, weil sich die DSGVO in vielen Punkten relativ nah an die Regelungen des Bundesdatenschutzgesetzes hält. Für Unternehmen anderer europäischer Länder, in denen der Datenschutz bisher nicht ganz so strikt geregelt wurde wie in Deutschland, wird die Umstellung viel größer ausfallen.

Wenn Sie Einfluss darauf hätten, welche Änderungen an der Verordnung würden Sie sich wünschen?

Ich würde mir eindeutigere, griffige Vorgaben wünschen. Es gibt noch viel zu viele Unklarheiten in der Interpretation und Umsetzung der Verordnung. Dies führt zu starken Verunsicherungen bei den Unternehmen.

Seit wann beschäftigen Sie sich mit der DSGVO?

Ich habe schon 2011 damit begonnen, seit der erste Entwurf der neuen Verordnung durch die EU-Kommission veröffentlicht wurde. Seit 2015 beschäftige ich mich sehr intensiv mit dem Thema.

Welche weitere Links zur DSGVO können Sie zur weiteren Einarbeitung in das Thema empfehlen?

Auf diesen Seiten finden Sie weitere, detaillierte Informationen rund um die DSGVO-Bestimmungen:
DSGVO – Expertenwissen für die Praxis:
https://dsgvo.expert/materialien/synopse-zur-dsgvo/
Hier findet man eine Gegenüberstellung der alten und neuen Gesetzestexte und eine Zuordnung der Artikel der DSGVO zu den Erwägungsgründen. Da auf EU-Ebene die Erwägungsgründe Teil der Gesetzgebung sind und die Artikel der DSGVO immer mit Blick auf die entsprechenden Erwägungsgründe ausgelegt werden müssen, ist das bei der Beurteilung der neuen Vorgaben hilfreich. In Deutschland kennen wir dieses Vorgehen nicht und die Erwägungsgründe werden oft mit Kommentaren verwechselt, die nicht zur Gesetzgebung gehören. Das führt dann u.U. zu einer fehlerhaften Auslegung.
Informationen des Bayrischen Landesamtes für Datenschutzaufsicht (BayLDA):
https://www.lda.bayern.de/de/datenschutz_eu.html
Diese Informationen findet man zwar bei allen Landesaufsichtsbehörden, aber die Bayern haben m.E.  die übersichtlichste Webseite dazu erstellt. Bei den Informationen handelt es sich um Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz DSK). Hier ist die konsolidierte Ansicht der Landesbehörden zu bestimmten Themen beschrieben.
Europäische Kommission zur DSGVO:
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_de
Da sich in Zukunft viel auf europäischer Ebene abspielen wird und es ein europaweites, einheitliches Vorgehen aller Aufsichtsbehörden geben soll, ist ein Blick nach Brüssel hilfreich um abzuschätzen, wohin sich der Datenschutz in Europa und damit auch in Deutschland entwickeln wird.

Aktuelle regulatorische Änderungen mit Auswirkung auf das Compliance Management

Compliance als Teamplay (Photo by Mpho Mojapelo on Unsplash)

„Es dauert 20 Jahre, sich eine Reputation zu erwerben und 5 Minuten, sie zu verlieren.“ Warren Buffet

Die Sensibilität für Compliance Themen ist in den meisten Unternehmen so hoch wie nie. Lt. einer aktuellen Compliance-Umfrage unter Geschäftsführern, Vorständen sowie Leitern und Mitarbeitern von Compliance- und Rechtsabteilungen verfügen bspw. mittlerweile 65% der deutschen Unternehmen über eine eigene Compliance-Abteilung und die Compliance-Kultur wird in 89% der Unternehmen vom Vorgesetzten vorgelebt. (An dieser Stelle wäre es  interessant zu erfahren, ob das auch in dieser Größenordnung in den Unternehmen wahrgenommen wird ;)).
Dennoch scheinen die Meldungen über rechtliche Verstöße von Unternehmen nicht abzureißen. Im Gegenteil. Immer neue Skandale erschüttern das Land und die Wirtschaft. Wirtschaftskriminalität wie der VW-Abgasskandal, Doping-Vergehen im Sport oder Missbrauch im Gesundheitswesen sind da nur einige Beispiele. Viele beschäftigen seit Jahren die Gerichte, führen zu bedeutenden Strafzahlungen, geschäftsschädigenden Reputationsverlusten und Kündigungen von sog. Whistleblowern. Wie die aktuellste, alle 2 Jahre durchgeführte KPMG-Studie zur Wirtschaftskriminalität in Deutschland zeigt, war seit 2015 jedes dritte Unternehmen von wirtschaftskriminellen Handlungen im eigenen Haus betroffen, bei den großen Unternehmen sogar fast 50% – eine ernüchternde Bilanz.
Daher sollten Unternehmen die Einrichtung, kontinuierliche Überprüfung und Anpassung von wirksamen Compliance-Strukturen und -Systemen sowie die Sensibilisierung für eine gelebte Compliance-Kultur weiter vorantreiben. Nähere Informationen über die Bedeutung und Entstehung von Compliance Management können Sie hier in unserem Blog nachlesen.

Was bedeuten diese 3 regulatorischen Änderungen für das Compliance Management?

Einige regulatorische Änderungen aus diesem und dem nächsten Jahr werden wegweisende Auswirkungen auf das Compliance Management in Unternehmen haben.

1. Änderung des Deutschen Corporate Governance Kodex

Im Frühjahr 2017 hat die Regierungskommission Deutscher Corporate Governance Kodex verschiedene Änderungen an dem Kodex vorgenommen, der für alle börsennotierten Unternehmen gilt. Ziel ist es, die Transparenz zu erhöhen und den Kodex an internationale Best Practice anzupassen. U.a. wurde dem Kodex eine neue Regelung hinzugefügt, die es u.a. Mitarbeiter_innen ermöglichen muss, anonyme Hinweise auf Regelverstöße zu geben:
“Er (der Vorstand) soll für angemessene, an der Risikolage des Unternehmens ausgerichtete Maßnahmen (Compliance Management System) sorgen und deren Grundzüge offenlegen. Beschäftigten soll auf geeignete Weise die Möglichkeit eingeräumt werden, geschützt Hinweise auf Rechtsverstöße im Unternehmen zu geben; auch Dritten sollte diese Möglichkeit eingeräumt werden.” (Quelle: Deutscher Corporate Governance Kodex, Fassung vom 07.02.2017, Punkt 4.1.3.)
Diese Kodex-Änderung kann für betroffene Unternehmen Anlass sein, ihr Compliance Management kritisch zu überprüfen und ggfs. nachzubessern.

2. BGH-Urteil über die bußgeldmindernde Wirkung eines Compliance Management Systems

In einem Urteil vom 09.05.2017 weist der Bundesgerichtshof erstmals auf die Bedeutung eines Compliance Management Systems für die Bemessung von Bußgeldern hin. Zugrunde lag ein Fall, bei dem ein Mitarbeiter aufgrund eines Bestechungsdelikts der Beihilfe zur Steuerhinterziehung beschuldigt und entsprechend verurteilt wurde. Gegen seinen Arbeitgeber, einen deutschen Lieferanten, wurde ein Bußgeld verhängt.  
Nach dem BGH-Urteil ist für die Bemessung der Geldbuße entscheidend, ob zum Zeitpunkt des Vergehens ein effektives Compliance Management System (CMS) zur Verhinderung von Rechtsverstößen im Unternehmen installiert war. Und nicht nur das: Das BGH erkennt zusätzlich als bußgeldmindernd an, wenn als Folge des Gerichtsverfahrens die bereits existierenden CMS-Regelungen optimiert und so gestaltet werden, dass ähnliche Normverletzungen zukünftig verhindert werden können.  
Der genaue Wortlaut des Urteils lautet wie folgt:
„Für die Bemessung der Geldbuße ist zudem von Bedeutung, inwieweit die Nebenbeteiligte ihrer Pflicht, Rechtsverletzungen aus der Sphäre des Unternehmens zu unterbinden, genügt und ein effizientes Compliance-Management installiert hat, das auf die Vermeidung von Rechtsverstößen ausgelegt sein muss […]. Dabei kann auch eine Rolle spielen, ob die Nebenbeteiligte in der Folge dieses Verfahrens entsprechende Regelungen optimiert und ihre betriebsinternen Abläufe so gestaltet hat, dass vergleichbare Normverletzungen künftig jedenfalls deutlich erschwert werden“. (BGH 1 StR 265/16, Rn. 118)

3. Die neue EU Datenschutz Grundverordnung

Am 25. Mai 2018 tritt die neue Datenschutz Grundverordnung (DSGVO) in Kraft, die einen einheitlichen Rechtsrahmen in allen EU-Staaten schaffen soll. Das bedeutet:

  • Der Anwendungsbereich der DSGVO gilt ab dann für alle Verarbeitungen, die personenbezogene Daten von EU-Bürgern betreffen, egal ob das Unternehmen, das diese verarbeitet, in der EU sitzt oder nicht.
  • Der Bußgeldrahmen bei Verstößen wird drastisch erhöht: auf bis zu 20 Millionen oder 4% des weltweiten Jahresumsatzes.

Darüber hinaus räumt die EU-DSGVO den betroffenen Personen mehr Rechte ein wie z.B. Informationsrechte, Recht auf Zugriff, Korrekturen und Vergessen personenbezogener Daten und das Recht auf Datenübertragung von einem auf einen anderen Anbieter.
Vor allem aufgrund der ab 2018 drohenden hohen Bußgelder wird der Datenschutz daher in Zukunft einen ähnlich gewichtigen Anteil für das Risikomanagement und die Compliance-Abteilungen haben wie Verstöße gegen Kartell-, Korruptions- oder Steuerrecht.

Compliance Management (Photo by Mark Duffel on Unsplash)
Photo byMark Duffel on Unsplash

Welche Erkenntnisse können Unternehmen aus diesen Neuregelungen ziehen?

Der Druck für Unternehmen, im Bereich Compliance zu handeln und sich vorbeugend noch besser gegen Regelverstöße abzusichern, steigt mit zunehmender Anzahl von Regularien. Auch wenn – oder gerade weil – im Gegensatz zu anderen Ländern in Deutschland noch kein einheitliches Compliance Gesetz existiert, das rechtlich Halt und Struktur gibt, ist vorbeugendes Agieren allemal besser als im Ernstfall nachträgliches Reagieren.  
Neben der zunehmenden Verantwortung für Compliance Manager wächst aber auch gleichzeitig die Chance, mit geeigneten Compliance Maßnahmen die Risiken weiter zu minimieren und selbst für den Fall eines Regelverstoßes finanziell ggfs. “mit einem blauen Auge” davon zu kommen.
Nicht zuletzt trägt ein auf die individuellen Risiken des Unternehmens ausgerichtetes Compliance Management System, das von möglichst vielen Mitarbeitern im Unternehmen mitgetragen und -gelebt wird, zur Steigerung der Glaubwürdigkeit des Unternehmens gegenüber in- und ausländischen Geschäftspartnern bei und erhöht dessen Wettbewerbsfähigkeit. 

Webbasiertes Hinweisgebersystem bietet Unterstützung

Ein Compliance Management System besteht im besten Fall aus verschiedenen Bausteinen, die sich gegenseitig ergänzen und kontinuierlich evaluiert und weiterentwickelt werden müssen. Diese können von Compliance Richtlinien über interne Compliance Beauftragte und / oder einen anwaltlichen Ombudsmann bis hin zu einem digitalen Hinweisgebersystem reichen, über das Mitarbeiter Unregelmäßigkeiten melden können. Die Effektivität einer solchen Hinweisgeberplattform hängt dabei elementar davon ab, ob dem Hinweisgeber die vollständige Vertraulichkeit und Anonymität gewährleistet wird. Eine interne Hotline, die nur vom Firmentelefon aus erreichbar ist und damit die Telefonnummer des Hinweisgebers sichtbar macht, ist bspw. wenig hilfreich.
In einigen Ländern wie bspw. Frankreich sind Unternehmen ab einer bestimmten Größe bereits dazu verpflichtet, ein internes Whistleblowing-System zu installieren. In Deutschland dagegen sind webbasierte Hinweisgebersysteme bislang nur in einigen Branchen wie der Finanz- und Versicherungswirtschaft gesetzliche Pflicht. Aber auch ohne eine Vorgabe des Gesetzgebers ist die Implementierung einer Whistleblower-Plattform sinnvoll: zum einen aus den oben erwähnten strategischen Gründen, zum anderen um das persönliche Haftungsrisiko zu reduzieren, dem Unternehmer unterliegen. Außerdem sorgen technische Lösungen für Transparenz und Dokumentation – zwei wesentliche Bestandteile einer effektiven Compliance-Strategie.