Compliance Blog

Compliance Blog

Unternehmen sollten ihre Compliance-Aktivitäten kontinuierlich verbessern. Neben zunehmend komplexen regulatorischen Anforderungen und Erwartungen sind auch Flexibilität und bessere Abstimmung zwischen Compliance und unternehmenseigener Geschäftsstrategie erforderlich. Je früher Veränderungen und Entwicklungen im Compliance-Umfeld erkannt und entsprechende Anpassungen vorgenommen werden, desto besser können sich Unternehmen positionieren.

Um diesen Herausforderungen begegnen zu können, geht der Compliance-Bereich von Q_PERIOR monatlich auf ausgewählte Themen und Entwicklungen ein. Der Blog selbst erhebt keinen Anspruch auf Vollständigkeit. Es werden vielmehr exemplarisch relevante Sachverhalte dargestellt.

Juni 2020

Nachdem bereits bei einer großen britischen Fluglinie im Jahr 2018 Informationen von ca. 380.000 Passagieren wie etwa Namen, Adressen und Kreditkartendaten durch einen Cyberangriff abgegriffen wurden, ist nun Mitte Mai publik geworden, dass eine weitere bekannte britische Airline angegriffen wurde.

Dabei wurden unter anderem Daten wie Namen, E-Mail-Adressen und Reisedaten von etwa neun Millionen Kundinnen und Kunden abgegriffen. Ein Missbrauch von diesen personenbezogenen Daten ist derzeit noch nicht bekannt.

Insbesondere seit dem Ausbruch von Covid-19 und angesichts des damit in Verbindung stehenden erhöhten Risikos ausgehend von Phishing-E-Mails, sollte diesem Thema erhöhte Aufmerksamkeit zukommen.

Den im vorab angesprochenen Fall betroffenen Kundinnen und Kunden ist zu raten, nun besonders achtsam zu sein, wenn unerwartete Nachrichten bei ihnen eingehen und diese angeblich von der Fluggesellschaft stammen.

Mit Phishing-E-Mails versuchen Hacker von Betroffenen Kontodaten oder Sicherheitsinformationen abzufragen, was bis hin zum Erlangen von sensiblen Passwörtern führen kann.

Wie kann diesem Risiko begegnet werden?

In einem ersten Schritt sollten im Zweifelsfall keine E-Mails oder Anhänge geöffnet werden, wenn der Absender nicht zugeordnet werden kann. Auch sollte eine Identifikation sichergestellt sein, bevor persönliche Informationen preisgegeben werden. Des Weiteren gilt es stets Links in den entsprechenden E-Mails zu überprüfen, bevor diese geöffnet werden.  Dies kann erfolgen, in dem der Mauszeiger über den Link bewegt wird, wodurch die Quelle des Links angezeigt und geprüft werden kann.

Selbstverständlich ist an dieser Stelle lediglich eine kleine Auswahl an Maßnahmen dargelegt, wie dem Risiko eines Phishings zu begegnen ist. Empfehlenswert sind dahingehend regelmäßige Schulungen der Mitarbeiter bzw. das Aufsetzen eines Schulungskonzeptes, um hinsichtlich der Thematik zu sensibilisieren. Ebenso erweist sich der Aufbau eines Prüfungszyklus technischer und organisatorischer Maßnahmen (TOM), wie unter Art. 28 EU-DSGVO vorgeschrieben als ratsam. Diese sollten im Unternehmen implementiert sein, um einen bestmöglichen Schutz vor Cyberangriffen zu gewährleisten.

Haben Sie Fragen zum Thema Schulungen oder TOM-Prüfungen? Sprechen Sie uns gerne an.

Am 13.05.2020 veröffentlichte die BaFin das Rundschreiben 03/2020 (GW) und hat damit die Anforderungen an Maßnahmen in Bezug auf Länder mit erhöhtem Risiko im Bereich Geldwäsche und Terrorismusfinanzierung aktualisiert. Darüber hinaus wurde jeweils eine Allgemeinverfügung zur Anordnung einer Meldepflicht bei Geschäftsbeziehungen und Transaktionen mit Länderbezug zu Nordkorea und dem Iran erlassen.

Das BaFin-Rundschreiben bezieht sich neben der von der FATF am 21.02.2020 aktualisierten Erklärung „Jurisdictions under Increased Monitoring“ auf die Liste „High-Risk Jurisdictions subject to a Call for Action“. Auf dieser befindet sich neben Nordkorea nun ebenso der Iran. Bei Geschäftsvorfällen in Bezug auf Nordkorea und den Iran sind somit neben den verstärkten Sorgfaltspflichten gemäß § 15 Abs. 5 GwG u. a. auch die folgenden Maßnahmen zu ergreifen:

  • Wirtschaftlich Berechtigte, insbesondere im Falle von juristischen Personen und Gesellschaften, sind einer vollständigen Identifizierung zu unterziehen
  • Deutsche Kreditinstitute haben sorgfältig zu überprüfen, ob und inwieweit ausländische Banken, mit denen sie Korrespondenzbeziehungen unterhalten, Konten für Unternehmen oder Personen aus Nordkorea führen und ob diese in Bezug auf solche Konten verstärkte Kundensorgfaltspflichten anwenden, die den aufgeführten Maßnahmen entsprechen; diese Pflicht gilt insbesondere für Konten, die von ausländischen Banken für öffentliche Stellen aus diesem Land geführt werden

Zudem werden Zweigstellen und Tochterunternehmen von im Iran ansässigen Finanzinstituten weiterhin einer verstärkten Aufsicht unterzogen. Die BaFin stellt mit dem Rundschreiben erneut erhöhte Anforderungen an die Betrachtung diverser Geschäftsvorfälle im Zusammenhang mit Hochrisikoländern und fordert von Unternehmen ein erhöhtes Bewusstsein für Transaktionen ins Ausland. Verpflichtete werden somit verstärkt in Verantwortung genommen.

Das Bundesministerium für Finanzen (BMF) hat am 17.04.2020 die öffentliche Konsultation des Referentenentwurfes zum Risikoreduzierungsgesetz (RiG) gestartet.

Das Gesetz dient der Umsetzung des sogenannten EU-Bankenpakets. Es enthält Maßnahmen zur Risikoreduzierung im Bankensektor und zur Stärkung der Proportionalität.

Der Referentenentwurf des BMF stellt ein Mantelgesetz dar, welches insgesamt 13 deutsche Gesetze (zum Beispiel EinSiG, KAGB, KWG, SAG und WpHG) überarbeiten soll. Im Wesentlichen soll das RiG zur Umsetzung des im Juni 2019 verabschiedeten EU-Bankenpaketes (CRD 5, CRR 2, BRRD 2 und SRMR 2) in Deutschland dienen. Zusätzlich sind weitere, über die EU-Vorgaben hinausgehende bzw. national veranlasste Anpassungen vorgesehen. Diese sollen größtenteils am 29. Dezember 2020 in Kraft treten. Obwohl die darin enthaltenen Änderungen bereits aus den umzusetzenden Richtlinien bekannt sind, ist erfahrungsgemäß immer noch ein Blick in das Umsetzungsgesetz selbst anzuraten.

Wie soll die Risikoreduzierung aussehen?

Zur Risikoreduzierung sollen die Kapital- und Liquiditätsanforderungen für Banken im Einklang mit internationalen Standards gestärkt werden. Dazu werden eine verbindliche Verschuldungsquote (Leverage Ratio) und eine strukturelle Liquiditätsquote (Net Stable Funding Ratio) eingeführt. Außerdem wird ein internationaler Standard zu Verlustpuffern (Total Loss Absorbing Capacity) umgesetzt. Dies dient dazu die Abwicklung von Banken glaubwürdig zu machen und die Steuerzahler zu schützen.

Für kleine und mittlere Banken wird das Prinzip der Proportionalität gestärkt. Hier geht es um eine zielgerichtete, passgenaue Regulierung für Banken mit wenig komplexen Geschäftsmodellen, damit sich diese voll auf ihre Kernaufgabe, die Kreditversorgung mittelständischer Unternehmen, konzentrieren können.

Um die rechtzeitige Umsetzung zu gewährleisten, sollte frühzeitig mit einer Impact Analyse begonnen werden. Die konkreten Änderungen werden hier institutsspezifisch identifiziert und ggf. erforderliche Maßnahmen definiert. Hierbei sollte immer eine vollständige und nachhaltige Umsetzung im Vordergrund stehen, die gleichzeitig unter Berücksichtigung einer sorgfältigen Ressourcenplanung erfolgt.

Wer auf Internetseiten Cookies setzen will, braucht in jedem Fall die aktive Zustimmung des Nutzers. Das entschied der Bundesgerichtshof (BGH) am 28.05.2020. Ein voreingestellter Haken im Feld zur Cookie-Einwilligung benachteilige den Nutzer unangemessen und stellt keine wirksame Einwilligung gem. DSGVO dar.

Mit diesem Urteil bekräftigt der BGH die Rechtsauffassung des Europäischen Gerichtshofs (EuGH).  Internetseiten bzw. deren Betreiber können sich nun nicht mehr auf die Widerspruchslösung des TMG berufen.

Nutzer müssen nun stattdessen ihr explizites Einverständnis geben. Außerdem müssen sie genau darüber informiert werden, was mit ihren Daten passiert – etwa ob diese an Werbetreibende weitergegeben werden.

Wir raten daher jedem Unternehmen, das eine Webseite betreibt und Cookies verwendet, umgehend zu prüfen, ob der aktuelle Online-Einwilligungsprozess den hohen europäischen Transparenzanforderungen genügt. Dies auch, wenn das Urteil z. B. nicht darlegt, welche Cookies tatsächlich gemeint sind.

Sprachassistenten, autonomes Fahren, Smart Home – Künstliche Intelligenz (kurz „KI“) gewinnt im Alltag zunehmend an Bedeutung. Entsprechend rückt KI auch in den Fokus diverser Diskussionen zu den Themen Recht und Ethik. Es erscheint trivial, dass bei der Entwicklung und Produktion von Maschinen und Systemen, die automatisiert Tätigkeiten erbringen sollen, Rechts- und Regelkonformität sowie ethische Grundsätze einzuhalten sind. Doch benötigen diese Maschinen und Systeme darüber hinaus auch selbst rechtliche und ethische Vorgaben für die Ausübung ihrer Tätigkeiten? Sind Rechtmäßigkeit und Ethik ausschließlich Menschen vorbehalten oder haben sich auch Maschinen und Systeme danach zu richten?

Die von der Europäischen Kommission eingesetzte unabhängige und hochrangige Expertengruppe für KI (kurz „HEG-KI“) hat sich mit diesen Fragen auseinandergesetzt und eine Ethik-Leitlinie für eine vertrauenswürdige KI erarbeitet.

Gemäß der Leitlinie zeichnet sich eine vertrauenswürdige KI „durch drei Komponenten aus, die während des gesamten Lebenszyklus [Entwicklung, Einführung und Nutzung] des Systems erfüllt sein sollten:

  1. Sie sollte rechtmäßig sein und somit geltendes Recht und alle gesetzlichen Bestimmungen einhalten;
  2. sie sollte ethisch sein und somit die Einhaltung ethischer Grundsätze und Werte garantieren; und
  3. sie sollte robust sein, und zwar sowohl in technischer als auch in sozialer Hinsicht, da KI-Systeme möglicherweise unbeabsichtigten Schaden verursachen, selbst wenn ihnen gute Absichten zugrunde liegen.“

Jede der Komponenten ist nach Ansicht der HEG-KI unabdingbar, um das Ziel einer vertrauenswürdigen KI zu erreichen. Gleichzeitig müsse jedoch sichergestellt sein, dass alle drei Komponenten nicht einzeln, sondern gemeinsam wirken.

Was bedeutet das für die Compliance-Praxis? Um diese Frage beantworten zu können, muss der Begriff KI zunächst genauer betrachtet werden. Dabei lässt sich schnell feststellen: Eine allgemeingültige Definition für KI existiert nicht. Die HEG-KI definiert KI als „Systeme, die angesichts eines komplexen Ziels in der physischen oder digitalen Dimension agieren, indem sie ihre Umgebung durch Datenerfassung wahrnehmen, die gesammelten strukturierten oder unstrukturierten Daten interpretieren, über das Wissen nachdenken oder die aus diesen Daten abgeleiteten Informationen verarbeiten und die besten Maßnahmen zur Erreichung des vorgegebenen Ziels festlegen.“ Die Definition der Expertengruppe ist jedoch kritisch zu betrachten. So wird KI durch die Formulierung (insbesondere durch die Wortwahl „nachdenken“) nahezu vermenschlicht. Nicht alle KI-Systeme sind jedoch in der Lage selbstständige Entscheidungen zu treffen. Entsprechend ist eine weitere Konkretisierung vorzunehmen.

Man unterscheidet zwischen sogenannter schwacher KI und starker KI. Während schwache KI ausschließlich auf Grundlage von Algorithmen definierte und somit vorhersehbare Entscheidungen treffen kann, ist starke KI dazu fähig, Entscheidungen selbst zu treffen. Eine gewisse Emotionalität und Selbstständigkeit – also Menschlichkeit – ist diesen Systemen zuzuschreiben. Dazwischen existiert die sogenannte generelle KI. Dieser kann aufgrund ihrer Lernfähigkeit eine Teilselbstständigkeit zugeschrieben werden. Die definierten Algorithmen können sich hierbei selbstständig weiterentwickeln. So kann generelle KI neu Gelerntes auf künftige Anwendungsbereiche übertragen.

Daraus lässt sich folgender Schluss ziehen: Handelt es sich um schwache KI oder generelle KI, lassen sich die Entscheidungen der Maschinen und Systeme zumindest grundsätzlich vorhersagen. Die Einhaltung von rechtlichen und ethischen Standards lässt sich mithin programmieren und erscheint als gesichert. Handelt es sich hingegen um starke KI, lassen sich die Entscheidungen – genau wie beim Menschen – nicht vorhersagen. In diesem Fall sind die daraus resultierenden Risiken durch Compliance zu identifizieren, zu bewerten und mitigierende Maßnahmen abzuleiten, um sicherstellen zu können, dass sich die unvorhersehbaren Entscheidungen im rechtlichen und ethischen Rahmen des Unternehmens befinden.

Mai 2020

Das Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk ist erstmalig 2005 in Kraft getreten und somit ein vergleichsweises junges Regelwerk, steht aber dennoch schon kurz vor der 6. Novellierung. Seit Veröffentlichung der letzten MaRisk-Novelle im Jahr 2017 wurden verschiedene EBA-Leitlinien mit MaRisk-Bezug erlassen, sodass die Umsetzung dieser Leitlinien im Zuge einer Neufassung der MaRisk möglich ist. Etwas länger diskutiert wird bereits jetzt eine Anpassung der „Bankaufsichtliche Anforderungen an die IT (BAIT)“, welche am 3. November 2017 veröffentlicht wurde.

Die EBA veröffentlicht ihre Leitlinien zu verschiedenen Themenbereichen mittlerweile in atemberaubender Geschwindigkeit. Hier erklärt sich die BaFin im Rahmen des Comply-or-Explain-Verfahrens in der Regel auch zur Übernahme dieser Leitlinien in ihrer Verwaltungspraxis bereit. Damit sind die wesentlichen Vorgaben für eine potenziell anstehende MaRisk-Novelle im Grunde schon vorbestimmt.

Im besonderen Fokus stehen bei der angekündigten Überarbeitung der MaRisk:

  • die Leitlinien über das Management notleidender und gestundeter Risikopositionen (EBA/GL/2018/06)
  • die Leitlinien zu Auslagerungen (EBA/GL/2019/02)
  • die noch in Konsultation befindlichen Leitlinien zur Kreditgewährung und -überwachung (EBA/CP/2019/04)
  • ICT & Security Risk Management (diese wurden in ihrer finalen englischsprachigen Fassung am 28.11.2019 veröffentlicht und sollen bis zum 30.06.2020 in die EU-Amtssprachen übersetzt sein)

Sehr konkret sind dagegen die Arbeiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hinsichtlich des Cloud-Computing als wesentlicher Variante des Third-Party-Risk. Hier hat das BSI einen überarbeiteten Cloud-Computing Compliance Criteria Catalogue (C5) in einer eigenen Fachkonferenz am 21.01.2020 vorgestellt. Auch an dieser Stelle ist zu erwarten, dass diese Anforderungen von der BaFin aufgegriffen werden.

Ob die erwartete BAIT-Novellierung bereits bis 31.12.2020 erfolgen wird, ist vor dem Hintergrund, dass nach den jüngsten BaFin-Aussagen bereits mit einer Verzögerung der Fertigstellung der geplanten MaRisk-Novelle über das Jahr 2020 hinaus gerechnet werden muss, aktuell fraglich. Dies dürfte sich mit Blick auf die COVID-19 Situation auch bewahrheiten.

Inhaltlich nimmt die Komplexität des Risikomanagements und der Gesamtbanksteuerung stetig zu. Auch wenn Nicht-Finanzielle-Risiken tendenziell an Wichtigkeit zunehmen (vgl. z. B. Nachhaltigkeitsrisiken), ist es dringend angeraten die Entwicklungen der EBA-Regulatorik hinsichtlich der angesprochenen Themenbereiche zu beobachten. Ebenfalls zunehmen wird die Gewichtung der IT-Compliance.

Am 20. März 2020 ist der von der Regierungskommission Deutscher Corporate Governance Kodex am 16. Dezember 2019 beschlossene neue Deutsche Corporate Governance Kodex (DCGK) im Bundesanzeiger veröffentlicht worden und damit unmittelbar in Kraft getreten. Der neue DCGK ersetzt den bisher geltenden Kodex in der Fassung vom 7. Februar 2017.

Im Vergleich zum DCGK von 2017 ist der reformierte Kodex komplett neu strukturiert worden. Der DCGK enthält nun 25 sogenannte „Grundsätze“, welche die wesentlichen rechtlichen Vorgaben verantwortungsvoller Unternehmensführung wiedergeben und zur Information der Anleger und weiterer Stakeholder dienen sollen.

Sogenannte „Empfehlungen“, von denen Gesellschaften nur abweichen können, wenn sie dies jährlich offenlegen und begründen, werden im Kodextext mit „soll“ gekennzeichnet. Somit folgt der DCGK dem Grundsatz „comply or explain“.

Fazit:
Unter dem Begriff der Corporate Governance versteht man allgemein „Grundsätze guter Unternehmensführung, genauer den Mechanismus der Führung und Überwachung der Aktiengesellschaft einschließlich der Beziehungen zwischen dem Leitungsorgan, den Aktionären und sonstigen Akteuren“.

Da gute Corporate Governance besonders im Hinblick auf Nachhaltigkeit und Wettbewerbsfähigkeit Vorteile verschafft, lohnt es sich auch für Unternehmen, die nicht unter den direkten Regelungsbereich des DCGK fallen, sich die darin enthaltenen Grundsätze zu eigen zu machen. Zum Beispiel könnten Teile des DCGK Umsetzung in einem internen Verhaltenskodex finden.

Besonders ist jedoch auf das Spannungsfeld zwischen DCGK und dem AktG zu achten. Die Unternehmensverfassung deutscher Aktiengesellschaften wird vom Prinzip der Satzungsstrenge § 23 AktG, geprägt. Somit ist der Spielraum für Satzungsänderungen oder Neufassungen von Satzungen bei Aktiengesellschaften deutlich eingeschränkt.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 29.04.2020 die Überarbeitung der Mindestanforderungen an die Compliance von Wertpapierunternehmen (Rundschreiben 05/2018 (WA)) veröffentlicht.

Neben den Anpassungen des BT 7 zur Geeignetheitsprüfung an die aktuell geltende ESMA-Leitlinien (ESMA35-43-869) wurden auch die Ausführungen zum Rückmelderegime in BT 5 zur Product Governance überarbeitet.

In BT 11 gelten nun besondere Qualifikationsanforderungen für Mitarbeiter, die an der Konzeption und Durchführung der Geeignetheitsprüfung beteiligt sind und keine Anlageberater, Vertriebsmitarbeiter, Finanzportfolioverwalter oder Vertriebsbeauftragte sind.

Im Zusammenhang mit Staffelprovisionen nimmt die MaComp nun Bezug auf das deutsche WpHG sowie die Durchführungsverordnung WpDVerOV.

In dem neuen Modul BT 15 werden die Anforderungen an das Produktinformationsblatt geregelt. Die aufgenommenen Inhalte waren bislang weitestgehend im separaten PIB-Rundschreiben (Rundschreiben (WA) 4/2013) geregelt.

Neben den beschriebenen Änderungen hat die BaFin weitere Abschnitte der MaComp zur Konsultation gestellt. Hierbei handelt es sich um geplante Anpassungen der BT 3 (Anforderungen an redliche, eindeutige und nicht irreführende Informationen nach § 63 Abs. 6 WpHG) und BT 6 (Zur-Verfügung-Stellen der Geeignetheitserklärung nach § 64 Abs. 4 WpHG).

Unsere Experten freuen sich auf einen Austausch mit Ihnen über die (künftig) geltenden Anforderungen und wie Sie diese effizient umsetzen können.

Im Dezember 2019 wurde ein Urteil des Bundesarbeitsgerichts (BAG) hinsichtlich des Sonderkündigungsschutzes eines Datenbeauftragten getroffen. Interessanterweise bezieht sich das Urteil aber nicht auf die Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz (wirksam ab 25.05.2018), sondern auf die alte Fassung des Bundesdatenschutzgesetzes. Ursache hierfür war, dass der Kläger vom Beklagten im Jahr 2010 zum Datenschutzbeauftragten bestellt wurde und die ordentliche Kündigung mit gesetzlicher Fristeinhaltung im Jahr 2017 erhielt. Zur Klage kam es, da der Kläger auf seinen Sonderkündigungsschutz bestand. Durch einige wirtschaftliche Veränderungen des Beklagten in den Jahren 2010 bis 2017 musste das Gericht prüfen, ob der Kläger noch immer den Sonderkündigungsschutz genießt oder ob dieser erloschen ist.

Mit dem Urteil des Bundesarbeitsgerichts (BAG) vom 05.12.2019 (AZ: 2 AZR 223/119) wurde entschieden, dass der Datenschutzbeauftragte unter folgenden Voraussetzungen keinen Sonderkündigungsschutz gem. § 4f Abs. 3 S.5 BDSG aF genießt: Der Sonderkündigungsschutz erlischt, wenn die Anzahl der Angestellten im Unternehmen unter den Schwellenwert von neun Beschäftigten sinkt, § 4f Abs. 1 S. 4 BDSG aF.

Die Abberufung als Datenschutzbeauftragter sieht vor, dass eine Kündigung innerhalb eines Jahres unzulässig ist, außer ein wichtiger Grund liegt vor, der keine Einhaltung einer Kündigungsfrist fordert, § 4f Abs. 3 S. 6 BDSG aF. Die Interpretation des Begriffs „Abberufung“ gem. § 4f Abs. 3 S. 6 BDSG aF, beinhaltet auch, die Verringerung der Anzahl der Beschäftigten unter den Schwellenwert. Für den Verantwortlichen beginnt der nachwirkende Sonderkündigungsschutz.

Art. 37 DSGVO regelt die Benennung eines Datenschutzbeauftragten (DSB). Wichtig hierfür ist, dass der Verantwortliche die benötigten Qualifikationen und die Erfahrung in der Praxis mit sich bringt (Art. 37 Abs. 5 DSGVO). Es kann ein interner oder externer DSB ernannt werden, seine Aufgaben sind in Art. 39 DSGVO beschrieben.

Die Frage, ob ein Datenschutzbeauftragter nun ein Sonderkündigungsschutz genießt oder nicht, lässt sich nicht eindeutig beantworten. Dem besonderen Kündigungsschutz unterliegen Verantwortliche, die im Betrieb ein Amt innehalten und eine Überwachungspflicht haben, z. B. der Betriebsrat. Somit kann nur bei Vorliegen eines wichtigen Grundes, gekündigt werden und es bedarf keiner Fristeinhaltung. Hierfür gelten die Reglungen aus § 626 BGB. Weder die DSGVO noch das BDSG nF. regelt eine vollumfängliche Abberufung eines internen DSB. Art. 3 DSGVO verdeutlicht, dass ein Datenschutzbeauftragter wegen der Erfüllung seiner Aufgaben weder benachteiligt noch abberufen werden darf. Der interne Datenschutzbeauftragte genießt den Sonderkündigungsschutz, wenn die Ernennung zwingend erforderlich war, § 38 Abs. 2 BDSG nF.

Anders sieht dies bei externen Datenschutzbeauftragten aus. Ein externer Datenschutzbeauftragter genießt keinen Kündigungsschutz. Grund hierfür ist erforderlich, dass zwischen dem Unternehmen und dem Datenschutzbeauftragten kein Arbeitsverhältnis besteht. Der Datenschutzbeauftragte kann lediglich abberufen und der entsprechendeDienstleistungsvertrag im Anschluss gekündigt werden.

Am 20.05.2020 hat das Bundesministerium der Justiz und für Verbraucherschutz einen Referentenentwurf eines Gesetzes zur Stärkung der Integrität in der Wirtschaft veröffentlicht. Ein bereits Ende vergangenen Jahres öffentlich gewordener Entwurf wurde als Vorgänger in unserem Februar Blog beleuchtet.

Abgesehen von der Positivierung durch geänderte Namensgebung können nur wenige Änderungen festgestellt werden. Jedoch wird noch einmal deutlich: Ein Verbandssanktionengesetz wird in Deutschland im Sinne eines Unternehmensstrafrechts Realität werden.

Die Bundesregierung verfolgt somit stringent das Vorhaben, die Sanktionierung von Verbänden auf eine eigene juristische Grundlage zu stellen. Mittels eines breit angelegten Instrumentariums an Möglichkeiten der Sanktionierung sowie durch höher angesetzte Kappungsgrenzen soll es dem Gesetzgeber ermöglicht werden, der Diversität von Fallkonstellationen gerecht zu werden. Durch die zwingende Anwendung des Legalitätsprinzips wird zudem die Verfolgung unter Zwang gestellt und obliegt nicht wie bisher dem Ermessen der Behörde. Des Weiteren wird durch ein Schaffen von Anreizen zur Etablierung von Compliance-Strukturen und Durchführung von Compliance-Maßnahmen sowie für Internal Investigations einerseits die gezielte Aufklärung von Straftaten angestrebt und andererseits eine strafmildernde Wirkung bedacht.

Im Regelungsbereich des §1 VerSanG-E wird konkretisierend ausgeführt, dass die Anwendung des Gesetzes lediglich auf Verbände zutrifft, deren Zweck auf einen wirtschaftlichen Geschäftsbetrieb ausgerichtet ist. Des Weiteren wurde in §2 VerSanG-E eine redaktionelle Änderung vorgenommen. So ist hier nicht mehr die Rede von „Verbandsstraftaten“, sondern vielmehr von „Verbandstaten“. Die Zumessungskriterien, die zur Bemessung der Geldsanktion herangezogen werden, sind unverändert geblieben. Das bedeutet konkret, dass ein funktionierendes Compliance Management System (CMS) sowie die ordnungsgemäße Durchführung von Internal Investigations zu Aufklärungszwecken weiterhin wesentliche Kriterien bzgl. der Strafbemessung darstellen. Was die möglicherweise sanktionsmildernden Maßnahmen der Internal Investigations betrifft, weist der neue Entwurf eine für die Unternehmen nicht unerhebliche Änderung auf. So ist aus der Option auf Milderung („kann“) eine Soll-Anwendung geworden. Internal Investigations kommen folglich eine noch tiefgreifendere Bedeutung zu. In diesem Zusammenhang konkretisiert der neu hinzugekommene Abs. 3 des §17 VerSanG-E Beurteilungskriterien für die Entscheidung über eine Sanktionsmilderung. Dabei sind v. a. Art und Umfang der offenbarten Tatsachen sowie deren Bedeutung für die Aufklärung, die zeitliche Komponente der Offenlegung sowie das Kooperationsverhalten mit den Strafverfolgungsbehörden im Fokus. Weiterhin wird ein Ausschluss der Milderung festgeschrieben, sofern Ergebnisse der Internal Investigation erst nach Eröffnung des Hauptverfahrens offenbart werden.

Fazit:
Zwar werden bereits nach aktueller Rechtsprechung Bemühungen im Bereich Compliance gewürdigt und ggf. mildernd berücksichtigt, allerdings fehlen bislang ausdrückliche gesetzliche Regelungen hierzu. Zukünftig wird es durch das angestrebte Gesetz zur Stärkung der Integrität in der Wirtschaft von Bedeutung sein, dass Unternehmen, um ihr wirtschaftliches Risiko in Bezug auf Verbandstaten zu mitigieren, ein wirksames CMS unterhalten und im Rahmen dessen Anforderungen hinsichtlich Compliance Maßnahmen nachkommen können. Zudem wird eine dezidierte Auseinandersetzung mit den Regelungsgrundlagen für eine ordnungsgemäße Durchführung von Internal Investigations unabdingbar.

Demnach erscheint es bereits jetzt als ratsam, die ausstehende Zeit bis zum Inkrafttreten des Gesetzes (ca. 2 Jahre) zu nutzen, um entweder ein CMS zu implementieren oder ein bestehendes CMS hinsichtlich dessen Wirksamkeit und Verbesserungspotentialen zu analysieren und zu optimieren.

April 2020

Der Fortbestand des Unternehmens ist in diesen schwierigen Zeiten mit Sicherheit das oberste Ziel einer jeden Geschäftsleitung. Dabei ist primär zu klären, ob und wie an dem allgemeinen Geschäftsbetrieb festgehalten werden kann. Umsatzeinbußen, Kurzarbeit für viele Unternehmen und häufig eine nicht auf die Situation ausgerichtete Infrastruktur, die es den Mitarbeitern ermöglicht vollständig aus dem „Home-Office“ zu arbeiten, sind nur einige Herausforderungen denen zahlreiche Unternehmen aktuell entgegensehen.

Das Aufrechterhalten des Geschäftsbetriebes umfasst aber auch die Einhaltung rechtlicher und regulatorischer Vorgaben und somit die Tätigkeit der Compliance-Funktion. Dies mag zwar im ersten Moment nicht offensichtlich sein, doch wer denkt die Aufsicht oder Staatsanwaltschaft würde aufgrund der aktuellen Pandemie vom Verfolgen von Compliance-Verstößen absehen, geht ein hohes (aber vermeidbares) Risiko ein.

Doch welche Herausforderungen bestehen für die Compliance Funktion konkret in dieser Zeit?

Betrachtet man die allgemeinen Aufgaben der Compliance Funktion, ergeben sich aktuell vier maßgebliche Spannungs- und Handlungsfelder.

Die Grafik zeigt die Spannungs- und Handlungsfelder der Compliance-Funktion

Compliance-Risiken

Corona bringt neue Compliance-Risiken! Diese reichen neben datenschutzrechtlichen und informationssicherheitsrelevanten Risiken für Mitarbeiter im Home-Office bis hin zu Einhaltung von Clean-/Clear-Desk Anforderungen und HR-Compliance (bspw. im Rahmen der Zeiterfassung und Arbeitszeitüberwachung). Es gilt auch hier der Grundsatz eines risikobasierten Ansatzes. Dennoch muss entsprechend auf die „neuen“ Risiken reagiert werden. Essenziell ist zunächst die unternehmensspezifische Identifizierung, sowie einer anschließenden Bewertung und bewusste Steuerung dieser Risiken. Dies kann beispielsweise durch die Aufnahme der Risiken in den Kontrollplan und der Durchführung von geeigneten und effektiven Kontrollhandlungen erfolgen.

Kontrollhand­lungen

Der Ausgangspunkt der vorzunehmenden Kontrollhandlungen ist der Compliance-(Kontroll-)Plan. Dieser ist wie beschrieben an die geänderte Risikosituation entsprechend anzupassen. Daneben sind aber auch die laufenden Kontrollhandlungen weiterhin durchzuführen. Wie und ob dies unter der ggf. abweichenden Arbeitsumgebung möglich ist, kann nicht pauschal beantwortet werden. Zahlreiche Kontrollhandlungen besitzen das Potenzial, digitalisiert und automatisiert zu werden, was eine örtlich unabhängige Durchführung mit minimalem Ressourceneinsatz ermöglicht. Dies trifft auch auf den Reporting-Bereich zu. Reports lassen sich automatisch generieren, sofern sie aufgrund automatisierter Prozesse auf eine gute Datengrundlage zugreifen können. Dabei ist kaum zusätzlicher manueller Aufwand erforderlich. Lediglich die Qualitätssicherung obliegt dann noch den Verantwortlichen.

Kommuni­kation

Zentrales Element in jeder Krise ist die Kommunikation. Dies gilt auch für die Compliance-Funktion. Es ist gerade in Zeiten allgemeiner Unsicherheit unerlässlich, dass Transparenz geschaffen wird. Neue Richtlinien (z. B. für die Arbeit von zu Hause) sollten offen kommuniziert und Mitarbeiter hierfür sensibilisiert werden.
Daneben sollte aber auch die „interne Kommunikation“ entlang der 2nd LoD Funktionen ausgeweitet werden. Durch neu hinzukommende Risiken ist gerade dieser Austausch von großer Bedeutung. Neben gemeinsamen Erfahrungen kann so der ganzheitliche und übergreifende Blick auf die Gesamtrisikolage des Unternehmens geschärft werden. Auf diesem Wege lassen sich auch gemeinsame Ansätze der Kommunikation an die Mitarbeiter entwickeln und vorantreiben.

Überwach­ung

Hinsichtlich erforderlicher Überwachungshandlungen sind zwei Aspekte zu differenzieren: Zum einen ist es erforderlich zu evaluieren, in welchem Rahmen welche Überwachungshandlungen überhaupt (technisch) möglich sind. Auch hier sind Digitalisierungs- und Automatisierungsmöglichkeiten zu bewerten, sofern noch nicht geschehen. Eine Effizienzsteigerung bei gleichzeitiger Verbesserung der Effektivität entlang des Compliance Management Systems bietet auch wesentliche Vorteile nach der „Krise“.
Zum anderen ist im Rahmen von Überwachungshandlungen auch zu prüfen, ob diese tatsächlich sinnvoll erscheinen. So ist in Zeiten, in denen die Büroräume nur teilweise besetzt sind oder Produktionsstrecken gänzlich eingestellt werden, nicht jede vorgesehene Überwachungshandlung erforderlich und sinnvoll. Ein angepasster Überwachungsplan kann hier eine sinnvolle und nachhaltige Ressourceneinteilung begünstigen. Gerade in dieser Krise ist es wichtig, dass die Effizienz im Vordergrund steht, Synergien gestärkt werden und sich die Beteiligten auf das Wesentliche konzentrieren.

Fazit:
Zusammengefasst zeigt sich, dass sich auch die Compliance-Funktion der Krise entsprechend anpassen muss. Es zeigt sich daneben aber ebenso, dass jede Krise Raum für Maßnahmen zur Effektivitäts- und Effizienzsteigerung sowie zur Einführung neuer Mittel bietet. Gerade im Bereich Automatisierung und Digitalisierung (vom Vertragswesen bis hin zum Compliance Reporting) gibt es eine Vielzahl an Maßnahmen, die unternehmensindividuell herangezogen werden können und über die aktuell anhaltende Situation hinaus großes Potenzial beinhalten. Aber auch bereits im Kleinen können einzelne Prozesse und Wege isoliert betrachtet entsprechend angepasst und optimiert werden. Wichtig ist, dass schnell und zielgerichtet gehandelt wird.

Unsere Compliance Experten freuen sich auf Ihre Berichte und Erfahrungen im Umgang mit der aktuellen Situation und unterstützen Sie gerne bei einer ersten Aufnahme des Ist-Zustandes. Q_PERIOR bietet einen ganzheitlichen Ansatz auch zu den angrenzenden Bereichen der IT-Sicherheit, Datenschutz und Informationsrisikomanagement. Sprechen Sie uns gerne an.

Durch die fortschreitende Digitalisierung steigt der Stellenwert von Informationssicherheit für die künftige Geschäftstätigkeit und das Risikomanagement immer weiter an. Mangelhafte Informationssicherheit kann folglich schwerwiegende Folgen für Unternehmen und Behörden haben. Die Verlegung der Arbeit ins Home-Office stellt Unternehmen aus Sicht der Informationssicherheit vielfach vor neuen Herausforderungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb am 18.03.2020 Empfehlungen zum sicheren mobilen Arbeiten im Home-Office veröffentlicht.
Diese Empfehlungen befassen sich insbesondere mit zentralen organisatorischen und technischen Maßnahmen zur Adressierung der Risiken im Zusammenhang mit diesem Thema.

Die Bandbreite der Empfehlungen ist dabei weitreichend. Aus organisatorischer Sicht sind hier vor allem Maßnahmen im Zusammenhang mit der Erstellung von klaren Regelungen, Prozessen, die Aufrechterhaltung des Informationsflusses und die Sensibilisierung der Mitarbeiter zu nennen. Aus technischer Sicht sind insbesondere Maßnahmen im Zusammenhang mit der Härtung von IT-Systemen, der sichere Umgang mit schützenswerten dienstlichen Informationen und der Schutz der Kommunikationsverbindungen zwischen Heim- und Firmennetzwerk beschrieben.

Unsere Erfahrung aus der Beratungspraxis zeigt hierbei, dass eine Vielzahl von Unternehmen und Behörden Nachholbedarf bei der Absicherung ihrer Telearbeitsplätze haben. Unternehmen sollten sich deshalb schnellstmöglich mit den beschriebenen Empfehlungen des BSI befassen und potenzielle Lücken aus Informationssicherheitssicht entsprechend schließen. Hierdurch lassen sich mögliche Cyberrisken deutlich reduzieren.

Erwähnenswert ist in diesem Zusammenhang die Tatsache, dass es sich hierbei nicht um neue Empfehlungen des BSI handelt. Die beschriebenen Empfehlungen basieren auf dem vom BSI entwickelten IT-Grundschutz. Der IT-Grundschutz stellt mit seinen verschiedenen Veröffentlichungen in Form von Standards, Leitfäden und dem BSI IT-Grundschutz-Kompendium eine solide Vorgehensweise für die Etablierung eines angemessenen Schutzniveaus für Informationssicherheit innerhalb von Unternehmen und Behörden dar.

Besonders relevant ist dabei das frei verfügbare IT-Grundschutz-Kompendium des BSI. Dieses besteht in seiner aktuellen Edition aus 96 IT-Grundschutz Bausteinen, in denen jeweils detaillierte Anforderungen zur Erhöhung des Schutzniveaus im Zusammenhang mit Informationssicherheit beschrieben werden. Die oben genannten Empfehlungen basieren dabei primär auf den IT-Grundschutz-Bausteinen OPS.1.2.4 (Telearbeit) und INF.8 (Häuslicher Arbeitsplatz). Das von Q_PERIOR entwickelte Tool zum IT-Grundschutz-Kompendium ermöglicht dabei ein systematisches Vorgehen zur Durchführung eines Soll-/Ist-Vergleichs und kann Sie sowohl bei der Identifikation als auch bei der Schließung von potenziellen Lücken unterstützen.

Fazit:
Durch die aktuelle Situation sind viele Unternehmen und Behörden zur Verlegung ihrer Mitarbeiter in das Home-Office als präventive Maßnahme übergegangen. Aus Informationssicherheitssicht sollten Unternehmen nun ihre internen organisatorischen und technischen Anforderungen an die Arbeit im Home-Office kritisch hinterfragen. Die vom BSI veröffentlichten Empfehlungen bieten hierfür einen soliden Einstieg. Gemeinsam mit den detaillierten Anforderungen aus den beschriebenen IT-Grundschutz Bausteinen können potenzielle Risiken im Zusammenhang mit der Arbeit im Home-Office nachhaltig adressiert werden. Bei der Identifikation von Verbesserungspotenzialen und der Umsetzung der genannten Anforderungen und Maßnahmen steht Ihnen Q_PERIOR als kompetenter und erfahrender Ansprechpartner gerne zur Seite.

Zentraler Bestandteil eines effektiven Compliance-Management-Systems (CMS) ist die Compliance Kultur. Unter Kultur ist in diesem Zusammenhang nicht das „Was wird gemacht?“, sondern viel mehr das „Wie wird es gemacht?“ zu verstehen. Im Kontext eines wirksamen CMS sind hierfür nicht allein die schriftlich fixierten Regelwerke oder der sogenannte „Tone from the Top“ (die Bereitschaft und das Bekenntnis durch den Vorstand oder die Geschäftsführung) von Nöten, sondern insbesondere die Kommunikation und Vorbildwirkung durch Führungskräfte. Das „Middle Management“ ist entscheidender Bestandteil eines wirksamen CMS, der oft nicht ausreichend berücksichtigt wird.

Dabei ist dieser „Tone from the Middle“ essenziell für die Umsetzung der vom Top Management vorgegebenen Compliance Strategie sowie für die Einhaltung und Wahrnehmung des übergeordneten, unternehmensinternen Rahmenwerkes. Funktioniert dieser Transport der unternehmensinternen Compliance-Vorgaben über Führungskräfte in die Linie nicht vollständig, wirkt sich dies auch unmittelbar auf die Wirksamkeit und Effektivität des CMS aus.

Die nachhaltige Umsetzung beginnt zunächst mit der Erkenntnis der Unternehmensleitung, dass eine entsprechende Entwicklung des „Middle Managements“ zwingend erforderlich ist.
Sodann ist es ratsam einen unternehmensspezifischen und strukturierten Ansatz zu entwickeln, wie es Führungskräften gelingen kann, ihre Rolle innerhalb des CMS bestmöglich auszufüllen.
Hierfür muss auf unterschiedlichen Ebenen angesetzt werden:

  • Personality: persönliche Entwicklung der Führungskräfte mit dem Fokus der Persönlichkeitsentwicklung, Vorbildfunktion und Mitarbeiterwahrnehmung.
  • Experience: „Storytelling“ und Nutzen persönlicher Erfahrungen von Führungskräften zur Veranschaulichung von Problemen auf einer persönlicheren Ebene. Hierfür ist eine Compliance „Grundausbildung“ des Managements erforderlich.
  • Transparency: Aufklärung der Mitarbeiter über Maßnahmen, Mittel und Möglichkeiten, sowie regelmäßige Informationen zum Thema Compliance und Compliance-Risiken.
  • Communication: Neben allgemeinen Kommunikations-Skills sollte ein abgestimmtes Kommunikationsmodell entwickelt werden. Hier kann mit der Compliance Funktion ein 1st LoD Schulungsmodell mit dem Ziel entwickelt werden, Risiken dort zu identifizieren und zu steuern, wo sie entstehen.
  • Commitment: Einbeziehen der Führungskräfte in die Entwicklung von Compliance Regelwerken und Maßnahmen. Daneben sollte auch die Rolle als Vermittler/in von Compliance Inhalten und als (Compliance-)Vorbild in die persönlichen Jahresziele aufgenommen und bewertet werden.

Wenn Führungskräfte Compliance umfassend vorleben und in der Unternehmensorganisation verankern, stellt dies eine Motivation für Mitarbeiter dar, ein entsprechendes Verhalten anzunehmen und selbst umzusetzen. Es findet nahezu automatisch eine Sensibilisierung statt. Ergänzend wird durch einen starken „Tone from the Middle“ die Glaubwürdigkeit der Führungskraft und des gesamten Managements nachhaltig gestärkt, was wiederum Vertrauen schafft und sich positiv auf die allgemeine Unternehmenskultur auswirkt.

Gerne unterstützen wir Sie dabei, Ihre Führungskräfte bestmöglich vorzubereiten und zu schulen. Wir erstellen gemeinsam mit Ihnen ein auf Ihr Unternehmen abgestimmtes Umsetzungs- und Schulungskonzept und begleiten Ihre Führungskräfte bei dessen Implementierung, um bestehende Ressourcen optimal einzusetzen. Auch ermitteln wir gerne mit Ihnen die Wirksamkeit und Effektivität Ihres CMS und des Kontrollumfeldes, um mögliche Optimierungspotenziale zu identifizieren. Sprechen Sie uns gerne an, wir freuen uns auf einen Austausch!

Für alle Notfälle in zeitkritischen Aktivitäten und Prozessen haben Finanzdienstleistungsunternehmen Vorsorge zu treffen. Diese Vorsorge ist im Notfallkonzept manifestiert. Die hier festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren. Dabei beziehen sich Notfälle nicht nur auf den Ausfall von IT-Systemen, sondern auch auf den Ausfall wesentlicher Geschäftsprozesse oder Standorte.

In das MaRisk ist dieses geregelt im AT 7.3. Hiernach sind ein Notfallplan bzw. ein Notfallhandbuch vorzuhalten, welche alle Maßnahmen, die nach Eintritt des notfallauslösenden Ereignisses zu ergreifen sind, enthält. Dies umfasst nicht nur sämtliche relevanten Informationen, sondern z. B. auch das Notfall-Reporting.

Unter dem Eindruck der COVID – 19 / SARS-Situation hat nun die BaFin bestimmte Anforderungen im Handelsbereich gelockert und diese Lockerung mit dem Erfordernis einer wirksamen Notfallplanung gem. MaRisk AT 7.3 begründet.

Gem. MaRisk BTO 2.2.1 Tz. 3 Vorschriften zu Handelsgeschäften, die außerhalb der Geschäftsräume abgeschlossen werden (Außer-Haus-Geschäfte) gilt, dass Handelsgeschäfte außerhalb der Geschäftsräume nur zulässig sind, wenn dies vom Institut klar geregelt und jedes Geschäft sauber dokumentiert ist. Es kann zu organisatorischen und technischen Problemen führen, wenn Handelstätigkeiten kurzfristig und ausnahmsweise außerhalb der Geschäftsräume, z. B. vom Home-Office ausgeübt werden sollen.

Diese Regeln im Handelsraum vorübergehend (COVID – 19 / SARS bedingt) für eine Home-Office-Regelung zu lockern, ist aus Sicht der Aufsicht vom Wortlaut der MaRisk gedeckt und bankaufsichtlich vertretbar, wenn nicht sogar – als Teil eines Notfallkonzeptes i. S. von AT 7.3. – in Krisensituationen erforderlich. Bei fehlender Zugangsmöglichkeit zu Büro- und Handelsräumen sei es erforderlich, eine Alternative zu schaffen, um den Geschäftsbetrieb aufrecht zu erhalten.

Fazit:
Sofern Institute für Handelsgeschäfte bislang Home-Office Tätigkeiten ausgeschlossen haben, müssen die Regelungsadressaten das Verbot explizit aufheben und klar umreißen, unter welchen Bedingungen und – sofern abschätzbar – über welchen Zeitraum die Neuregelung gelten soll. Dies muss in den Arbeitsanweisungen niedergelegt werden.
Ungeachtet des konkreten Falls ist es aufgrund der aktuellen Lage dringend geboten, sich mit der bestehenden Notfallplanung inkl. zugehöriger Governance zu befassen und diese entsprechend anzupassen. Nicht auszuschließen ist, dass dieses demnächst Prüfungsschwerpunkt der Aufsicht werden kann.

März 2020

Werden Mitarbeiterfotos ohne Zustimmung des Arbeitnehmers veröffentlicht, kann der Arbeitnehmer einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO geltend machen.

Eine Pflegeeinrichtung veröffentlichte im August 2018 ein Foto auf ihrer Facebook-Seite, dass eine inzwischen ehemalige Angestellte zeigte. Zwar hatte die Angestellte ihre Zustimmung zu einem entsprechenden Aushang in der Einrichtung erteilt, der Veröffentlichung ihres Fotos auf Facebook jedoch nicht zugestimmt.

Durch die ungenehmigte Veröffentlichung auf Facebook habe der Arbeitgeber das Recht am eigenen Bild verletzt, so das Gericht. Grundsätzlich bestünde kein berechtigtes Interesse an der Veröffentlichung von Mitarbeiterfotos in sozialen Netzwerken.

Insbesondere Marketingabteilungen von Unternehmen sollten darauf achten, dass – soweit Marketingmaßnahmen in sozialen Netzwerken geplant sind – eine explizite Einwilligung für eine derartige Veröffentlichung vorliegt. Nicht ausreichend dürfte sein, sich eine „Generaleinwilligung“ für Werbezwecke erteilen zu lassen, ohne auf den genauen Zweck einzugehen.

Die Richtlinie, welche einheitliche Standards vorschreibt, ist am 16.12.2019 in Kraft getreten. Die Mitgliedstaaten haben nun zwei Jahre Zeit, um die Vorschriften in nationales Recht umzusetzen.

Die neue Richtlinie zum Schutz von Whistleblowern deckt viele Schlüsselbereiche des EU-Rechts ab. Dies gilt zum Beispiel für die Bekämpfung von Geldwäsche oder den Datenschutz.

Ab dem 17. Dezember 2021 sollen sich Whistleblower sowohl innerhalb von Unternehmen als auch gegenüber den Behörden auf sichere Kanäle zur Informationsweitergabe verlassen können. Darüber hinaus sollen sie wirksam vor Entlassung, Belästigung oder anderen Formen von Vergeltungsmaßnahmen geschützt werden. Hierbei bezieht sich der Schutz lediglich auf das Melden von Missständen mit Bezug auf EU-Recht – wie etwa Steuerbetrug, Geldwäsche oder Delikte im Zusammenhang mit öffentlichen Aufträgen, Produkt- und Verkehrssicherheit, Umweltschutz, öffentlicher Gesundheit sowie Verbraucher- und Datenschutz.

Der Hinweisgeber hat die Wahl, ob er einen Missstand zunächst intern im Unternehmen oder direkt bei der zuständigen Aufsichtsbehörde meldet. Wenn auf eine solche Meldung hin nichts geschieht oder der Hinweisgeber Grund zur Annahme hat, dass ein öffentliches Interesse besteht, kann er auch direkt an die Öffentlichkeit gehen. Whistleblower sollen die Möglichkeit erhalten, Meldungen entweder schriftlich über ein Onlinesystem, einen Briefkasten, per Postweg und/oder mündlich per Telefonhotline oder Anrufbeantwortersystem abzugeben. Auf Verlangen des Hinweisgebers soll auch ein persönliches Treffen ermöglicht werden. Bei allen Meldewegen muss nicht nur die Vertraulichkeit des Whistleblowers geschützt sein, sondern seine Meldung muss auch DSGVO konform verarbeitet werden.

Unternehmen ab 50 Mitarbeitern oder mit mehr als 10 Millionen Euro Jahresumsatz, müssen künftig geeignete interne Meldekanäle bereitstellen. Während Unternehmen ab 250 Mitarbeitern dabei lediglich zwei Jahre Übergangsfrist haben (bis 17.12.2021), gilt für Unternehmen zwischen 50 und 250 Mitarbeitern eine erweiterte Übergangsfrist bis 17.12.2023.

Die Herausforderung für die Regelungsadressaten dürfte sein, mit vertretbaren Mitteln eine technisch orientierte Lösung zu implementieren, die den geforderten Schutzinteressen gerecht wird. Insbesondere das Erfordernis der Anonymität stellt eine Herausforderung dar. Hinzu kommt die Pflicht, dem Whistleblower intern innerhalb der geforderten Frist abzuhelfen, um eine Meldung an die zuständige Behörde oder gar die Öffentlichkeit zu vermeiden. Ansprechpartner und prozessverantwortlich dürften in den meisten Fällen die Compliance-Verantwortlichen der Unternehmen sein.

Eine weitere Datenschutzpanne bei einem Autovermieter zeigt, wie wichtig die Einhaltung der Vorgaben aus der DSGVO ist. Grund der Datenschutzpanne war ein fehlerhaft konfigurierter Back-Up Server. Dieser ermöglichte es, dass persönliche Daten von über 3 Mio. Kunden, wochenlang im Internet frei zugänglich waren. Weiterhin waren auch Daten von Kunden betroffen, die nicht direkt über den Autovermieter ein Fahrzeug gemietet hatten. Die Datensätze, die bis in das Jahr 2003 zurückreichen, enthielten ca. 9 Mio. Mietverträge, E-Mails, Adressen, Telefonnummern und Führerscheindaten. Auch Beschäftigungsverhältnisse, Informationen zu Unfällen, Bilder und polizeiliche Ermittlungsunterlagen waren öffentlich zugänglich.

Die Aufdeckung erfolgte über einen privaten IT-Sicherheitsmann, der zuvor zweimal erfolglos den Autovermieter über den Vorfall informiert hatte. Schlussendlich wandte er sich an die zuständige Aufsichtsbehörde und Presse.

Über die Höhe des Bußgeldes gibt es noch keine Details. Jedoch wird vermutet, dass eine Strafe von bis zu zwei Prozent vom Vorjahresumsatz des Gesamtkonzerns angesetzt werden könnte. In diesem Fall müsste das Unternehmen mit einer Strafe von ca. 60 Mio. Euro rechnen. Mit geeigneten technischen und organisatorischen Maßnahmen hätte dieser Vorfall verhindert, oder das Ausmaß eingedämmt werden können.

Diese Panne zeigt, dass in vielen Unternehmen noch einige Hausaufgaben hinsichtlich der Umsetzung von Anforderungen aus der DSGVO gemacht werden müssen. Gemäß DSGVO ist u.a. die Speicherung von Kundendaten nur über einen bestimmten Zeitraum erlaubt. Artikel 5 Abs. 1 lit. e) DSGVO besagt, dass Daten nur solange gespeichert werden dürfen, wie es für einen Zweck erforderlich ist. Dabei ist auch vorgeschrieben, dass wenigstens mittels einer turnusmäßigen Überprüfung der Speicher- und Löschfristen von Daten durch die verantwortlichen Stellen, dieser Anforderung nachgekommen werden kann.

Zum Abschluss sollte nicht unerwähnt bleiben, dass bei dieser Datenpanne nicht ausgeschlossen werden kann, dass Cyberkriminelle schon längst die Daten und Informationen für sich genutzt haben. Selbst das BSI (Bundesamt für Sicherheit in der Informationstechnik) bestätigt, dass die Folgen dieser Datenpanne gar nicht abschätzbar sind – man kann somit auch nach Jahren noch Opfer dieser Datenschutzversäumnisse werden.

Das Bewusstsein für Compliance hat sich in den vergangenen Jahren sowohl national als auch international stetig weiterentwickelt. Immer mehr Unternehmen verfügen über ein Compliance Management System (CMS), um die Risiken rechts- und regelwidrigen Verhaltens zu vermindern. Dennoch kommt es regelmäßig und zunehmend zu Verstößen.

Welche Schlüsse können daraus gezogen werden? Während selbst ein wirksames CMS gerade nicht jeden potenziellen Regelverstoß verhindern kann, ist zumindest systematisches Fehlverhalten auszuschließen. So kann die erhöhte Aufdeckung von einmaligem Fehlverhalten für die Wirksamkeit eines CMS sprechen, während das gestiegene Auftreten von systematischem Fehlverhalten von dessen Unwirksamkeit zeugt Zahlreiche Vorfälle in der Praxis zeigen jedoch deutlich, dass systematisches Fehlverhalten, trotz des Einsatzes umfassender CMS, kein Einzelfall ist.
Die Ursachen für das aufgetretene systematische Fehlverhalten sind im Einzelnen verschieden. Dennoch legt ein Vergleich der Vorfälle nahe, dass in der Vergangenheit mangelnde Ernsthaftigkeit und Glaubwürdigkeit der Unternehmensleitung bei der Umsetzung von Compliance-Maßnahmen mehrheitlich zum Auftreten des systematischen Fehlverhaltens beigetragen haben. Die Grundeinstellung und das Führungsverhalten der Unternehmensleitung prägen im Wesentlichen die Compliance-Kultur einer Organisation. Mangelt es an einer ernsthaften und glaubwürdigen Umsetzung durch die Unternehmensleitung, fehlt es auch an Akzeptanz der Mitarbeiter. Ein CMS ist nur dann effektiv und wirksam, wenn das Verständnis für Compliance und gleichermaßen das Bekenntnis zur Compliance in allen Hierarchieebenen einer Organisation besteht. Entscheidendes Kernstück erfolgreichen Compliance-Managements ist folglich die Förderung einer nachhaltigen Compliance-Kultur.

Dazu gilt es zunächst die Bedeutung der Begriffe Glaubwürdigkeit und Ernsthaftigkeit in diesem Kontext zu klären. Beide Begriffe stehen in Relation zueinander. Im Zusammenhang mit Compliance bedeutet Ernsthaftigkeit, dass ausschließlich Maßnahmen und Prozesse implementiert werden, welche auch tatsächlich zur Erreichung der Ziele der Compliance beitragen und somit die Angemessenheit eines CMS bestimmt werden kann. Ob die implementierten Maßnahmen und Prozesse akzeptiert und eingehalten werden, ist von deren Glaubwürdigkeit abhängig. Dies wird im Wesentlichen von den jeweiligen Stakeholdern beurteilt. Entsteht dabei der Eindruck, dass die Maßnahmen und Prozesse nicht verlässlich sind, ist auch davon auszugehen, dass diese ohne Ernsthaftigkeit implementiert wurden.

Insgesamt ist die Effektivität und damit die Ernsthaftigkeit der Maßnahmen und Prozesse maßgeblich von zwei Faktoren abhängig: Motivation und Kompetenz. Ein mit Ernsthaftigkeit betriebenes und gleichzeitig glaubwürdiges CMS setzt neben dem reinen Aufbau fachlicher Kompetenzen somit auch auf die Förderung der Motivation aller Unternehmensangehörigen, sich ethisch und regelkonform zu verhalten. Vereinfacht ausgedrückt heißt das: Mitarbeiter und Führungskräfte eines Unternehmens sollten nicht nur Regeln einhalten, sondern auch verstehen, warum regelkonformes und ethisches Verhalten in den einzelnen Situationen richtig ist.

Zu Beginn des Jahres wurde bekannt, dass im Kundenzentrum eines schwedischen Modehauses Daten von Mitarbeitern widerrechtlich aufgenommen wurden. Dabei handelte es sich um detaillierte und systematische Aufzeichnungen von Vorgesetzten über Gesundheitsdaten als auch um private Informationen wie familiäre Streitigkeiten, Todesfälle und Urlaubserlebnisse von Arbeitnehmerinnen und Arbeitnehmern.

Diese Datenschutzpanne ist nicht die erste des Unternehmens. Bereits im Dezember letzten Jahres wurden persönliche Daten widerrechtlich gespeichert. Beide Vorfälle wurden jeweils per Zufall durch Mitarbeiter und einen technischen Fehler offengelegt.

Das Unternehmen bedauere den Vorfall und wird voll umfänglich mit der Datenschutzbehörde kooperieren. Über die Höhe des Bußgeldes lässt sich noch keine Aussage treffen. Jedoch ist laut DSGVO mit einem Bußgeld in Höhe von bis zu 20 Mio. Euro oder bis zu vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahrs (Umsatz in 2018: 20.3 Mrd. Euro) zu rechnen.

Das Ausmaß dieser Datenpanne ist enorm und stellt jeden einzelnen vor die Frage, ob vergleichbare Vorfälle auch im eigenen Unternehmen auftreten und welche Vorkehrungen zur Prävention getroffen werden können. Eine Möglichkeit bieten Datenschutzschulungen, die klar aufzeigen, inwiefern und vor allem mit welcher Art von Daten umgegangen werden darf. Eine weitere Option stellt eine Überarbeitung bzw. Anpassung der Unternehmensrichtlinien dar. Hierzu zählen auch die Unternehmenswerte, wie zum Beispiel die Zusammenarbeit, der respektvolle Umgang miteinander und die Vorbildfunktion der Führungskräfte.

Bei allen möglichen Maßnahmen, die hinsichtlich der Datenschutzpanne einzuführen oder zu ändern sind, als auch die Verhängung des Bußgeldes, die dem Unternehmen zugesprochen werden, ist die persönliche Haftung von verantwortlichen Leitungsorganen im Unternehmen nicht außer Acht zu lassen. Hier greift das Gesetz über Ordnungswidrigkeiten (OWiG). So können die für die Leitung des Betriebs oder Unternehmens einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung verantwortlich handelnden nach § 30 I Nr. 5 OwiG als auch Inhaber eines Betriebes oder Unternehmens der vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt nach § 130 OWiG mit einem Bußgeld von bis zu 10 Millionen Euro, gem. § 30 II OWiG belangt werden.

Februar 2020

Das Bundesministerium der Justiz und für Verbraucherschutz legt mit dem Entwurf zum Verbands­sanktionen­gesetz umfangreiche Neuregelungen in Bezug auf die Thematik der Unternehmensstrafbarkeit vor.

Verbände i.S.d. Gesetzesentwurfs sind juristische Personen des öffentlichen/privaten Rechts, nicht rechtsfähige Vereine, rechtsfähige Personengesellschaften, Parteien sowie ausländische Rechtsträger, sofern vergleichbar mit den oben genannten, unabhängig vom Verwaltungs- bzw. Satzungssitz. Eine Straftat nach dem Entwurf ist eine Handlung, durch die Pflichten (auch Sorgfaltspflichten), die den Verband treffen, verletzt worden sind oder durch die der Verband bereichert worden ist oder werden sollte. Eine objektive Pflichtwidrigkeit d. h. die bloße Verwirklichung des Tatbestandes, ist ausreichend.

Gemäß §3 VerSanG-E ist der Verband verantwortlich, wenn jemand (1) als Leitungsperson des Verbandes eine Verbandsstraftat begangen hat oder (2) wenn „sonst jemand“ in Wahrnehmung der Angelegenheiten des Verbandes eine Verbandsstraftat begangen hat und Leitungspersonen die Straftat durch angemessene Vorkehrungen hätten wesentlich erschweren können.
Der Strafrahmen liegt in einer Spanne zwischen 1.000 EUR – 10 Mio. EUR. Dieser halbiert sich bei einer nicht vorsätzlich, sondern lediglich fahrlässig begangenen Straftat (§9 Abs. 1 VerSanG-E). Bei Unternehmen deren Umsatz 100 Mio. EUR übersteigt, liegt der Strafrahmen zwischen EUR 10.000 und 10 % des durchschnittlichen Jahresumsatzes (hier gilt ebenfalls die Halbierung bei Fahrlässigkeit). Des Weiteren kann das Gericht unter gewissen Voraussetzungen den Verband verwarnen, eine Verbandsgeldsanktion festlegen und dabei die Verhängung vorbehalten (Verbandsgeld­sanktions­vorbehalt). Dies ist innerhalb eines Zeitraums von 1-5 Jahren möglich und kann mit Auflagen (z. B. zu zahlende Geldbeträge) sowie Weisungen an den Verband verbunden sein. Weisungen in diesem Zusammenhang sind beispielsweise präventive Compliance-Maßnahmen oder das Erbringen von Nachweisen.

Im Zusammenhang mit der im VerSanG-E etablierten Unternehmensstrafbarkeit ist somit auch eine erhebliche Stärkung der Bedeutung eines effektiven Compliance-Management-Systems zu erwarten. Einfluss haben Compliance-Maßnahmen nach aktuellem Entwurf nämlich einerseits auf die Bemessung der Sanktionshöhe und andererseits auf die Sanktionsmaßnahme als solche. Abhängig ist der Einfluss sowohl von der Schwere des Verstoßes als auch vom Ausmaß unterlassener, angemessener Vorkehrungen i.S.d. §16 Abs. 1 Nr.2 VerSanG-E. Ebenfalls fließen solche Maßnahmen in die Beurteilung ein, welche nachgelagert an eine Verbandsstraftat getroffen werden (§16 II Nr. 7 VerSanG-E). Strafverschärfend in diesem Zusammenhang kann sich jedoch die Einrichtung eines CMS auswirken, welchem unterstellt werden kann, dass es lediglich der Überdeckung delinquenter Strukturen dienen soll.
Unternehmen werden somit vor neue Herausforderungen gestellt. Ein CMS erscheint nur dann als geeignet, wenn es integriert in die Unternehmensstrategie und Unternehmenskultur wirkt. Die Durchführung entsprechender Maßnahmen sowie eine ausreichend etablierte Compliance-Kultur und -Kommunikation erscheint indes unabdingbar. Eine Effizienzsteigerung und ein Sicherstellen von einerseits ausreichendem aber anderseits gleichzeitig auch nicht unnötig kostensteigernden Ressourceneinsatz kann nur dann optimal erzielt werden, wenn Synergieeffekte erkannt und genutzt werden.

Bis dato fehlt es an eindeutig definierten Kriterien für sanktionsmildernd wirkende Compliance-Maßnahmen. Nichtsdestotrotz erscheint es bereits jetzt, mithin frühzeitig, als ratsam für Unternehmen ein bestehendes CMS einer fortlaufenden Überprüfung hinsichtlich Effektivität und Verbesserungsbedarf zu unterziehen. Sofern noch kein CMS implementiert wurde, ist jedem vom Gesetzesentwurf erfassten Unternehmen spätestens jetzt eine Implementierung dringend zu empfehlen.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat ihre Tätigkeitsschwerpunkte für 2020 veröffentlicht.
Die vier aktuellen Schwerpunktthemen der BaFin beinhalten zwei Nachhaltigkeitsthemen:

  • Die Behörde will verstärkt darauf achten, dass die von ihr überwachten Banken, Versicherungen und Vermögensverwalter ein nachhaltiges Geschäftsmodell haben.
  • Ökologische, soziale und an guter Unternehmensführung ausgerichtete Kriterien (die sogenannten ESG-Kriterien) sollen bei Risikoüberlegungen berücksichtigt werden.

  • Weiterhin im Fokus stehen Digitalisierung, IT­ und Cyberrisiken sowie die
  • Integrität des Finanzsystems und Bekämpfung von Finanzkriminalität

Für die Regulierungsadressaten bedeutet dies zum einen, dass die Themen IT-Sicherheit sowie Datenschutz auch weiterhin in den Fokus der Aufsicht rücken, zum anderen aber auch, dass die Eignung des Geschäftsmodells an Bedeutung gewinnt. Insbesondere Versicherungsunternehmen werden nun verstärkt in den Bereichen Geldwäsche sowie Sanktionen in den Fokus geraten.

Laut einem inoffiziellen Dokument der EU-Kommission über den Umgang mit künstlicher Intelligenz, überlegt die EU-Kommission den Einsatz von Gesichtserkennungssystemen im öffentlichen Raum für einen Zeitraum von drei bis zu fünf Jahren zu „pausieren“ bzw. zu verbieten. Mit dieser „Pause“ hätte die EU-Kommission respektive der Gesetzgeber genug Zeit, die gesellschaftlichen Auswirkungen sowie mögliche Risiken dieser Technologie nochmals zu bewerten.
Ausnahmen aufgrund von Sicherheitsanliegen als auch für Forschung und Entwicklung könnten gemacht werden. Die Veröffentlichung der durch die EU-Kommission verabschiedeten Version ist für Februar 2020 geplant. Von einer Änderung gegenüber der aktuellen Version des Dokumentes ist auszugehen.

Auch Ulrich Kelber, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), hat hierzu bereits Stellung genommen. Aus Kelbers Sicht ist der Einsatz biometrischer Gesichtserkennung im öffentlichen Raum als kritisch zu betrachten, da stark in die Grundrechte von Personen eingegriffen wird. Kelber sprach sich dabei gegen den Einsatz der Technologie in Europa aus.
Sollte es wirklich zu einem „Verbot“ automatisierter Systeme zur Gesichtserkennung im öffentlichen Raum für die nächsten drei bis fünf Jahre kommen, würde dies die Pläne der Bundesregierung konterkarieren. Berichten zufolge wird die Einführung von Gesichtserkennungssystemen an 135 deutschen Bahnhöfen und 14 Verkehrsflughäfen geplant.

EU-DSGVO schränkt Systeme mit künstlicher Intelligenz (KI-Systeme) bereits ein

Artikel 22 DSGVO besagt, dass eine betroffene Person das Recht hat, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Dies bedeutet, dass jede Person der Verwendung solcher Systeme mit künstlicher Intelligenz (KI) zustimmen und natürlich darüber vorab informiert werden müsste.

Es ist in Bezug auf die Entwicklung möglicher Regelungen hinsichtlich des Einsatzes von KI-Systemen davon auszugehen, dass keine Anpassung der EU-DSGVO erfolgen wird. Vielmehr gehen wir davon aus, dass die Regelungen, analog der ePrivacy-Verordnung begleitend bzw. ergänzend zu EU-DSGVO durch die EU-Kommission verabschiedet werden.

Prüfen Sie daher wo und wie in Ihrer Organisation Videotechnik zum Einsatz kommt und ob Sie sich etwa an die Vorgaben der EU- DSGVO halten. Ein erster Schritt um gesetzeskonform zu handeln, wäre die Umsetzung des Standarddatenschutzmodells, welches im November 2019 in seiner Version 2.0 auf der Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) in ihrer Sitzung am 6.11.2019 verabschiedet wurde. Begleitend zum Standarddatenschutzmodell sollte die Umsetzung der Anforderungen aus dem BSI-Grundschutz Kompendium hierbei in Betracht gezogen werden.

Versicherungsunternehmen unterliegen bereits seit vielen Jahren den Anforderungen des Geldwäschegesetzes (GwG). Die am 19. Juni 2018 veröffentlichte 5. EU-Geldwäscherichtlinie trat am 9. Juli 2018 in Kraft und wurde im Januar 2020 in nationales Recht umgesetzt. Für das deutsche Recht bedeutete dies eine erneute Anpassung des letztmals zum 26. Juni 2017 geänderten Geldwäschegesetzes. Mit den Änderungen werden unter anderem der geldwäscherechtliche Verpflichtetenkreis erweitert, verstärkte Sorgfaltspflichten bei Hochrisikoländern vereinheitlicht und der Kreis „politisch exponierter Personen“ konkretisiert. Hinzu kommen Konkretisierungen und Erweiterungen im Bereich der allgemeinen Sorgfaltspflichten sowie eine Erweiterung des Anwendungsbereichs verstärkter Sorgfaltspflichten, insbesondere bei Hochrisikoländern.
In Zuge dessen veröffentlichte die BaFin am 31.01.2020 ihre „Auslegungs- und Anwendungshinweise – Besonderer Teil für Versicherungsunternehmen“. Die Hinweise konkretisieren die gesetzlichen Vorschriften, welche die nach § 2 Abs. 1 Nr. 7 GwG verpflichteten Versicherungsunternehmen bei der Umsetzung ihrer Pflichten unterstützen sollen. Mit diesen Auslegungs- und Anwendungshinweisen soll die Verwaltungspraxis hinsichtlich der Umsetzung der Sorgfaltspflichten und der internen Sicherungsmaßnahmen nach den gesetzlichen Bestimmungen zur Verhinderung von Geldwäsche und von Terrorismusbekämpfung dargelegt werden. Speziell vor dem Hintergrund der Änderungen am Geldwäschegesetz und anderen den Finanzsektor betreffende Gesetze – darunter auch das Versicherungsaufsichtsgesetz (VAG) und die Prüfungsberichteverordnung (PrüfV) durch den Bundestag am 14. November 2019 – gewinnen diese Konkretisierungen zusätzlich an Bedeutung.

Mehr zum Thema

Können wir Sie unterstützen? Kontaktieren Sie unsere Experten!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!