Online Marketing und die DSGVO

Oder: „How to trigger a Marketing Professional”

Von Kerstin Wittemeier, Digital Marketing Managerin bei der SAVISCON GmbH

Ein Wort reicht aus und so gut wie jeder Online Marketer verdreht die Augen: Datenschutzgrundverordnung (DSGVO). Was war sie schön, die Zeit vor Mai 2018. Keine DSGVO. Kein Double-Opt-In. Keine komplizierten Cookie-Banner. Die DSGVO hat den Arbeitsalltag von Online Marketern verkompliziert, denn mit ihr sind auch einige rechtliche Stolpersteine hinzugekommen. So wurde beispielsweise die Nutzung von Google Analytics in Frage gestellt: Geht das überhaupt noch datenschutzkonform? Wir von der SAVISCON GmbH haben das interne Programm GRC@SAVISCON ins Leben gerufen, um unser eigenes Governance-, Risk- and Compliance-Management – darunter auch das Datenschutz-Management – strukturiert aufzubauen. Wir nutzen dazu unsere eigene GRC-Software, das GRC-COCKPIT. Aber darum soll es hier gar nicht gehen. Wir wollen viel mehr darüber berichten, was uns in der Marketing-Abteilung auf dieser Reise bisher aufgefallen ist und wie wir damit umgegangen sind. Was müssen Online Marketer beachten, um DSGVO-konform zu arbeiten? Disclaimer: Das hier soll und kann keine Handlungsempfehlung oder Rechtsberatung sein. Wir berichten lediglich von unseren ganz eigenen, individuellen Erfahrungen.

Wie betrifft die DSGVO das Online Marketing?

Vereinfacht gesagt: Die DSGVO soll personenbezogene Daten schützen. Also müssen wir uns im Online Marketing fragen: An welcher Stelle erheben und verarbeiten wir personenbezogene Daten und an welche Dienstleister geben wir sie eventuell sogar weiter? Personenbezogene Daten werden im Online Marketing beispielsweise hier erhoben:

  • Webanalyse-Tools (z. B. Google Analytics)
  • Schnittstellen zu Social Media Kanälen (z. B. Facebook Teilen-Buttons im eigenen Blog)
  • Kontaktformular auf der eigenen Webseite
  • Anmeldung zum Newsletter
  • Bestellung im Online-Shop

Hier haben wir im ersten Schritt eine Übersicht unserer Online Marketing Prozesse und Tools erstellt und festgehalten, welche personenbezogenen Informationen wir erheben und an welche Stellen wir sie weitergeben. Dieser Schritt ist Teil zum Aufbauen und Führen eins Verzeichnisses für Verarbeitungstätigkeiten. Dieses Verzeichnis ist eine Anforderung der DSGVO. Dafür ist bei uns im Unternehmen Karin Selzer (Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte der SAVISCON GmbH) zuständig. Sie hat dazu Feedback aus allen Fachabteilungen eingeholt, dokumentiert und in unser GRC-COCKPIT eingepflegt. Darüber hat sie schon in ihrem Blog-Beitrag „Verzeichnis von Verarbeitungstätigkeiten aufbauen“ berichtet.

Was sind personenbezogene Daten?

Laut Artikel 4 der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Kann Google Analytics datenschutzkonform eingesetzt werden?

Google Analytics kann zurzeit noch datenschutzkonform eingesetzt werden, wenn es dazu genutzt wird, Statistikdaten zu erheben und nicht, um den einzelnen Nutzer zu Marketingzwecken zu tracken. Dazu müssen einige Punkte beachtet werden. Hier eine Auflistung von Einstellungen und Maßnahmen, um Google Analytics datensparsam und nutzerfreundlich einzusetzen:

  • Auftragsverarbeitungsvertrag (AVV) mit Google abschließen
  • IP-Adresse der Nutzer anonymisieren
  • „User-ID-Funktion“ deaktivieren (damit könnte man einzelne User über verschiedene Geräte hinweg tracken)
  • Remarketing-Funktion deaktivieren (damit könnte man beispielsweise über Google Ads gezielt Anzeigen an Personen ausspielen, die die eigene Webseite bereits besucht haben)
  • Hinweis zu Deaktivierungs-Addon in die eigene Datenschutzerklärung einbinden
  • Opt-Out-Möglichkeit in der eigenen Datenschutzerklärung bereitstellen
  • keine weiteren Google-Dienste mit Analytics verknüpfen
  • Link auf die Datenschutzerklärung von Google in die eigene Datenschutzerklärung einbauen
  • Speicherdauer der Daten auf 14 Monate ab dem ersten Besuch begrenzen

Diese Einstellungen verwenden wir auch bei unserem Google Analytics Konto. Uns ist wichtig, dass wir erfolgreiche oder auch nicht so erfolgreiche Seiten und Blog-Beiträge auf unserer Webseite identifizieren können. Das setzen wir anhand der Besucherzahlen, der Absprungrate und der Verweildauer um. Für uns haben diese Informationen vor allem einen redaktionellen Nutzen, damit wir die Inhalte auf unserer Webseite noch besser auf die Interessen unserer Zielgruppe zuschneiden können.

Google Analytics datenschutzkonform einsetzen: Screenshot aus dem GRC-COCKPIT

So haben wir die Nutzung von Google Analytics in unserem GRC-COCKPIT dokumentiert. Bisher haben wir drei Risiken aus dem Prozess abgeleitet.

Update: Urteil in Österreich zu Google Analytics

Januar 2022: In Österreich hat die Datenschutzbehörde die Nutzung von Google Analytics für unzulässig erklärt. Ausgelöst hat dieses Urteil die Datenschutzorganisation NOYB von Max Schrems, die, nachdem der EuGH das Privacy Shield Abkommen in 2020 gekippt hat, in 101 Fällen Beschwerde eingereicht hat. Auch für das Ende des Privacy Shields im Jahr 2020 war NOYB rund um Max Schrems verantwortlich, daher wird es auch das Schrems-II-Urteil genannt. Im aktuellen Fall hat die österreichische Datenschutzbehörde entschieden, dass US-Behörden keine Daten von der EU in die USA übermitteln dürfen. Denn in den USA gibt es nicht so ein hohes Datenschutzniveau, wie in der EU. Die Google-Maßnahmen würden nicht ausreichen, um die Nutzerdaten hinreichend zu sichern. Doch was heißt das für deutsche Unternehmen? Bisher handelt es sich um eine Entscheidung für einen konkreten Fall. Es entstehen dadurch keine direkten Auswirkungen für deutsche Webseitenbetreiber und Google Analytics Nutzer. Dennoch: NOYB hat auch bei der deutschen Datenschutzbehörde Beschwerden eingereicht und sobald eine deutsche Behörde darüber entscheidet, könnte es zu einem ähnlichen Urteil kommen. Es sind zurzeit also keine übereilten Änderungen nötig, dennoch sind Google Analytics Nutzer gut darin beraten, die Situation genau zu beobachten und sich bereits frühzeitig über eine Alternative zu informieren, damit es im Ernstfall schnell gehen kann.

E-Mail-Marketing datenschutzkonform gestalten

Zum Thema E-Mail-Marketing gibt es eine wichtige Änderung seit Einführung der DSGVO. Die Empfänger müssen dem Erhalt des Newsletters vorab zugestimmt haben. Das muss per Double-Opt-In geschehen, also einem doppelten Zustimmungsverfahren. Das bedeutet, dass sich die Interessenten selbstständig in den Newsletterverteiler eintragen, dann eine Mail erhalten und in dieser Mail nochmals bestätigen müssen, dass sie den Newsletter auch wirklich erhalten möchten. Gerade der zweite Schritt erschwert es den Marketern einen Newsletterverteiler aufzubauen, weil einige – auch wenn sie den Newsletter erhalten wollen – die Anmeldung im zweiten Schritt nicht bestätigen. Auch bei der Auswahl des Mailing-Tools ist Vorsicht geboten. Da hier personenbezogene Daten, wie Namen und Mailadressen, durch einen Drittanbieter verarbeitet werden, muss mit dem Tool-Anbieter ein AVV geschlossen werden. Das funktioniert meist unkompliziert online.

Außerdem ist besondere Vorsicht bei Anbietern aus dem nicht-europäischen Ausland geboten. Beliebte Anbieter sind da beispielsweise mailchimp oder hubspot. Denn 2020 hat der Europäische Gerichtshof das EU-US Privacy Shield für ungültig erklärt, nachdem sich Unternehmen freiwillig verpflichten konnten, der EU-DSGVO nachzukommen. Deutsche Unternehmen sollten also am besten direkt einen deutschen oder europäischen Anbieter auswählen, der ebenfalls den Vorgaben der DSGVO gerecht werden muss. In unserem Fall ist die Wahl auf rapidmail gefallen, ein Deutscher Anbieter mit Serverstandort in Deutschland. Wenn die Wahl dann auf einen Tool-Anbieter gefallen ist, muss dies auch transparent in der eigenen Datenschutzerklärung des Unternehmens kommuniziert werden.

Stolpersteine bei Cookie-Bannern

Laut DSGVO müssen Webseitennutzern den Cookies vorab zustimmen. Angenommen Sie nutzen zur Webanalyse Google Analytics, dann darf das Skript auf Ihrer Webseite erst laden und diese Drittanbieter-Cookies setzen, sobald der User dem auch zugestimmt hat – andernfalls nicht. Wenn Sie dem Nutzer die Wahl lassen, welche Cookies er annehmen kann, dann dürfen keine Optionen vorausgewählt sein. Wichtig ist außerdem, dass die Webseitenbesucher auf der ersten Seite, wenn sie mit einem Klick allen Cookies zustimmen können, auch an derselben Stelle alle Cookies mit einem Klick ablehnen können. Im besten Fall sind diese beiden Optionen dann auch optisch gleichwertig gestaltet. Außerdem müssen die Nutzer die Möglichkeit haben, ihre Cookie-Einstellungen jederzeit anpassen zu können und so auch im Nachhinein noch das Tracking unterbinden zu können. Cookie-Banner sollten nutzerfreundlich gestaltet werden und nicht dazu führen, die Absprungrate zu erhöhen.

Auszug aus der SAVISCON Datenschutzerklärung

Bearbeitungsmöglichkeit: Den Nutzern muss in der Datenschutzerklärung die Möglichkeit gegeben werden, im Nachgang die ihre Cookie-Einstellungen anzupassen.

Ausblick ePrivacy Verordnung (ePVO)

Die ePrivacy Verordnung soll zukünftig die DSGVO ergänzen und damit die in Deutschland bisher geltende ePrivacy Richtlinie ablösen. Ziel ist es, das Datenschutzniveau für Nutzer elektronischer Kommunikationsdienste zu verbessern und beispielsweise die Bestimmungen für Cookies und Cookie-Banner zu konkretisieren. Wann genau die ePVO in Kraft tritt ist noch unklar. Der Bundesverband Digitale Wirtschaft e. V. (BVDW) hat die Entwicklung der ePVO auf ihrer Webseite zusammengefasst: Aktuelle Informationen zur ePVO.

Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Zusätzlich zur DSGVO ist hat am 20.05.2021 der Bundestag den Entwurf des „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ mehrheitlich angenommen und zum 01.12.2021 ist das TTDSG nun gemeinsam mit dem neuen Telekommunikationsgesetz (TKG) in Kraft getreten. Damit sollen bisher offene Lücken geschlossen werden. Zudem wurden im TTDSG auch weitestgehend die Vorgaben der ePrivacy-Richtlinie (nicht zu verwechseln mit der noch ausstehenden ePrivacy-Verordnung!) umgesetzt. Das TTDSG hat folgende Inhalte:

  • Umgang mit dem digitalen Erbe
  • Verlangen eines amtlichen Ausweises
  • Auskunftsverfahren bei Bestands- und Nutzungsdaten
  • Schutz der Privatsphäre bei Endeinrichtungen
  • Anerkannte Dienste zur Einwilligungsverwaltung (PIMS)
  • Cookie-Consent
  • Straf- und Bußgeldvorschriften

Für Detail-Informationen können Sie unseren Blog-Beitrag „TTDSG – schon wieder ein neues Gesetz?“ von unserer Datenschutzbeauftragten Karin Selzer lesen.

Zusammenfassung Datenschutz im Online Marketing:

  • Übersicht verschaffen: In welchen Digital Marketing Prozessen werden personenbezogene Daten erhoben?
  • Übersicht konkretisieren: Welche personenbezogenen Daten werden in diesen Prozessen erhoben und werden sie an Dritte weitergegeben?
  • Maßnahmen ableiten: Müssen Auftragsverarbeitungsverträge mit den Dienstleistern geschlossen werden? Müssen die Dienstleister in der Datenschutzerklärung genannt werden?
  • Bei Unsicherheit immer Rücksprache mit der intern zuständigen Person für den Datenschutz halten oder sich externen Rat einholen
  • Google Analytics kann datenschutzkonform eingesetzt werden, wenn die passenden Einstellungen vorgenommen werden; wichtig: Skript darf erst nach Cookie-Zustimmung laden
  • Augen auf bei der Newsletter-Software: arbeitet der Anbieter selbst DSGVO-konform?
  • Cookie-Banner müssen nutzerfreundlich gestaltet werden

Fakt ist: Auch wenn es manchmal lästig ist, der Datenschutz ist ein wichtiger Teil des Online Marketings. Marketer sollten bereits vor der Auswahl eines neuen Marketing-Tools die Augen offen halten und prüfen, ob der Anbieter der DSGVO gerecht wird. Im Zweifel lohnt sich vorab die Rücksprache mit dem internen Datenschutzbeauftragten. Das bewahrt einen vor Fehlentscheidungen und spart im Zweifel Zeit und Geld.

Über die Autorin

Porträt Kerstin WittemeierKerstin Wittemeier arbeitet als Digital Marketing Managerin bei der SAVISCON GmbH. Seit 2020 kümmert sie sich um die Inhalte für die Webseite, die Social Media Kanäle und den Blog. Bei Fragen, Anregungen oder zum Austausch: kerstin.wittemeier@saviscon.de

Marian Grzabel neuer Geschäftsführer

Mit Beginn des Geschäftsjahres 2022 hat die SAVISCON GmbH ihre Geschäftsführung erweitert. Marian Grzabel, Experte im Projektmanagement mit über 20 Jahren Berufserfahrung v. a. im Versicherungsumfeld, ist seit dem 1. Januar 2022 neben dem Gründer Ingo Simon zweiter Geschäftsführer der SAVISCON GmbH. Die Aufteilung der Managementverantwortung auf zwei Personen wird die Leistungsfähigkeit der SAVISCON GmbH erhöhen.

Practice what you preach 2.0

Ein Resümee nach einem Jahr Programm GRC@SAVISCON

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Rückblick: Vor fast einem Jahr haben wir in der SAVISCON GmbH das Programm GRC@SAVISCON gestartet. In meinem allerersten Blog-Beitrag vom 14.01.2021 habe ich beschrieben, wie wir das Programm angegangen sind. Seitdem haben wir in verschiedenen Blogs einerseits erläutert, wie wir inhaltlich arbeiten und vorangekommen sind, andererseits haben wir generelle Tipps rund um Risiko- Compliance-, Informationssicherheits- und Datenschutz-Management gegeben.

Nun, nach einem Jahr Programlaufzeit, möchte ich zusammenfassen, wo wir stehen, welche Hürden wir genommen haben, wie wir weiter machen und uns noch mehr verbessern wollen.

Motivierter Start in die GRC-Projekte

Also, wir sind Anfang 2021 mit großem Elan in das Programm gestartet. Die Projektleiter wurden benannt und wir haben den Zeitplan festgelegt. Wie ich an anderer Stelle beschrieben habe, sind wir in vielen Dingen erst einmal pragmatisch vorgegangen:

  • Risiko-Management: Wir haben im Team alle Risiken gesammelt, die wir für das Unternehmen sehen.
  • Compliance-Management: Wir haben in einem Brainstorming geschaut, welche gesetzliche Normen wir zu erfüllen haben.
  • ISMS: Wir haben angefangen eine IT-Strukturanalyse durchzuführen
  • Datenschutz: Wir haben die einzelnen Kapitel der DSGVO angeschaut und begonnen, Compliance-Risiken und bereits umgesetzte Maßnahmen abzuleiten

In dem Vorgehen haben wir für ein doch noch kleines Unternehmen schon eine Menge Daten zusammengetragen. Im nächsten Schritt war also die Aufgabe, die Daten entsprechend weiter zu nutzen und zu bewerten. Hier mussten wir an der ein oder anderen Stelle zuerst konzeptionelle Schritte durchführen, die man so ja auch in den einschlägigen Normen findet. Beispiele:

Die Fortschritte im Risiko-Management

Es wurde ein Risikoleitfaden erstellt, indem wir z.B. die Schwellwerte für die Eintrittswahrscheinlichkeit und Schadenshöhe festgelegt haben, die wir in der SAVISCON nutzen wollen. Außerdem wurde der Risikoprozess unter Nutzung unseres GRC-COCKPITs beschrieben, damit jeder Mitarbeitende weiß, wie wir das machen. Dann haben wir die gesammelten Risiken analysiert, bewertet und festgestellt, dass viele doch zu kleinteilig sind, also nicht wesentlich. Die Erkenntnis war, dass es im Wesentlichen zwei Risken gab, die den Bestand der Firma gefährden und zu denen daher unmittelbar Maßnahmen getätigt werden müssen:

Risiko 1: Als inhabergeführte Firma ist der Wegfall des Inhabers und Geschäftsführers fatal

Maßnahmen: Unterschrifts- und Vertreter-Regelung und Verstärkung der Geschäftsführung. Die Implementierung des neuen Geschäftsführers haben wir zum 01.01.2022 umgesetzt. Die Formulierung der Unterschriftsregelungen sind dann zur Umsetzung im März geplant.

Screenshot aus dem GRC-COCKPIT Risiko und verknüpfte Maßnahmen

Das Risiko und die verknüpften Maßnahmen im GRC-COCKPIT.

Screenshot GRC-COCKPIT Bruttorisiko vs. Nettorisiko

Risikobewertung vor (brutto) und nach (netto) Umsetzung der Maßnahme.

Risiko 2: Abhängigkeit von einem Großkundenprojekt

Maßnahmen: Erhöhung der Wahrscheinlichkeit zur Akquise weitere Projekte durch z.B. Partnerschaften, Netzwerken, Ausbau des GRC Produkt-Standbeins, etc.
Die Fortschritte im Compliance-Management
Hier haben wir uns erst den Scope festgelegt, welche der Normen auf uns den größten Impact haben. Mit denen beschäftigen wir uns seitdem intensiver. Das führte dann auch dazu, dass wir den Datenschutz und das Compliance-Management Projekt zusammengelegt haben, da als Ergebnis unserer Compliance-Risikoanalyse der Datenschutz einerseits einer der wichtigsten Normen war, die wir am Anfang betrachten müssen, anderseits dies ja eigentlich auch eine Compliance-Betrachtung ist. Also haben wir begonnen, AV-Verträge mit allen Dienstleistern zu prüfen, bzw. neu abzuschließen und alle Prozesse, die Verarbeitungstätigkeiten darstellen, entsprechend zu dokumentieren. Und vor allem haben wir uns mit der Dokumentation der Personalprozesse dem Beschäftigtendatenschutz gewidmet.

Screenshot GRC-COCKPIT Prozess-Übersicht

Abbildung der Prozesslandschaft und Definition der Verarbeitungstätigkeiten.

Screenshot GRC-COCKPIT Personalbestandsverwaltung

Erfassung der Daten für das Verzeichnis der Verarbeitungstätigkeiten.

Außerdem haben wir ein paar kleinere Dinge erledigen können, wie Einführung einer Datenschutztonne in den Büroräumen, etc.
Neben der DSGVO haben wir uns des Weiteren mit dem GmbH-Gesetz beschäftigt. Das oben beschriebene Risiko zum Geschäftsführer zahlt beispielsweise auf den §35 „Vertretung der Gesellschaft“ ein. Und wir sind noch dabei die GoBD detaillierter zu betrachten und haben in dem Zuge z.B. das Thema E-Mail-Archivierung bereits umgesetzt. Also, es ist doch recht umfangreich und herausfordernd für unsere recht kleine Mannschaft.

Die Fortschritte im ISMS

Auch hier haben wir dann ersteinmal den Leitfaden geschrieben und – ganz wichtig – den Scope festgelegt. Wir haben uns im ersten Schritt dazu entschieden, uns auf die IT-Aspekte zu fokussieren, die mittelbar und unmittelbar mit unserem Produkt GRC-COCKPIT zusammenhängen. Festgelegtes Ziel ist es, für die Prozesse rund um Entwicklung, Test und Bereitstellung der Kundensysteme in 2022 eine ISO Zertifizierung zu erlangen. Insofern haben wir die Strukturanalyse an der Stelle zu Ende geführt, die Schutzbedarfsanalyse nach IT-Grundschutz weitestgehend abgeschlossen und sind nun in der Risikoanalyse und entsprechenden Ableitungen von zusätzlichen oder verbesserten Maßnahmen unterwegs.

Screenshot GRC-COCKPIT Asset-Übersicht

Übersicht über die Strukturanalyse und die Ergebnisse der Schutzwertanalyse (rot: besonders schützenswert).

Screenshot GRC-COCKPIT Schutzbedarfsanalyse

Schutzbedarfsanalyse im Umfeld der Kundensysteme.

Fazit:

Ein Jahr ist um und als ich mich hingesetzt habe, um diesen Blog zu schreiben, hatte ich ein wenig das Gefühl, dass ich nicht allzu viel zu berichten habe. Aber wenn man genauer hinschaut, haben wir doch sehr viel bewegt. Denn man darf ja nicht vergessen: das Tagesgeschäft und die Kundenprojekte müssen ja auch weiterlaufen, das ist schließlich der Grund, warum die SAVISCON als Wirtschaftsunternehmen gegründet wurde.
Dementsprechend kann ich nur sagen: Rom wurde auch nicht an einem Tag erbaut. Man darf nicht die Vorstellung haben, dass man ein Compliance- oder Risiko-Management oder ein ISMS mit ein paar Köpfen in ein paar Wochen komplett hinstellt. Das ist ein Prozess, mit Lernkurven und viel notwendigem Austausch. Aber man wird feststellen, dass, wenn man kontinuierlich daran arbeitet, die Mannschaft und das System immer wieder ein Stück besser werden. Und damit ist für das Thema GRC eine Menge gewonnen.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

Neues Jahr, neue Regierung, neue Gesetze

Compliance-Management: das ändert sich 2022

Von Ingo Simon, Geschäftsführer der SAVISCON GmbH

Mit der neuen Regierung entscheidet erstmals auf Bundesebene die Ampel-Koalition aus Grünen, FDP und SPD. Mit dem verabschiedeten Koalitionsvertrag ergeben sich auch einige Änderungen im Compliance-Umfeld für das aktuelle Jahr 2022. Das betrifft unter anderem das Hinweisgeberschutzgesetz sowie das Lieferkettengesetz. Welche Anforderungen aus den Gesetzen auf Sie zukommen, lesen Sie in diesem Blog-Beitrag:

Compliance in Unternehmen / allgemeines Unternehmensrecht

„Wir schützen ehrliche Unternehmen vor rechtsuntreuen Mitbewerberinnen und Mitbewerbern. Wir überarbeiten die Vorschriften der Unternehmenssanktionen einschließlich der Sanktionshöhe, um die Rechtssicherheit von Unternehmen im Hinblick auf Compliance-Pflichten zu verbessern und für interne Untersuchungen einen präzisen Rechtsrahmen zu schaffen.”, steht im Koalitionsvertrag.

Auch wenn das Verbandssanktionsgesetz, das in 2021 im Entwurf veröffentlicht wurde, hier nicht mehr explizit genannt wird, wird das Thema Compliance generell weiter in den Fokus geraten. Auch für Unternehmen, die bisher nicht in stark regulierten Branchen unterwegs sind. Grundsätzlich ist also die Auseinandersetzung mit Compliance und die Etablierung von entsprechenden Prozessen auf jeden Fall sinnvoll und wichtig für die Zukunftssicherheit von Unternehmen jeglicher Branche und Größe.  

Hinweisgeberschutzgesetz (HinSchG)

Bild einer Trillerpfeife

„Wir setzen die EU-Whistleblower-Richtlinie rechtssicher und praktikabel um“, schreibt die Regierung im Koalitionsvertrag. Das Hinweisgeberschutzgesetz soll den Hinweisgebern mehr Rechtssicherheit bei Missstandsmeldungen bringen. Hinweisgeber können aus Unternehmenssicht die eigenen Mitarbeiter sein, Lieferanten, Partner oder Dienstleister, die während ihrer beruflichen Tätigkeit Verstöße gegen das geltende Recht festgestellt haben. Das Gesetz sieht vor, dass alle Unternehmen ab 50 Mitarbeitern ein Hinweisgebersystem mit interner Meldestelle einführen müssen. Für Unternehmen mit bis zu 249 Mitarbeitern gilt eine Übergangsfrist bis zum 17. Dezember 2023. Eine interne Meldestelle hat für Unternehmen einen großen Vorteil: Sie haben die Möglichkeit Missstände zu beseitigen, bevor die Öffentlichkeit und die Presse davon erfahren. So können sie einem möglichen Imageschaden vorbeugen. Welche Anforderungen das Hinweisgebersystem erfüllen muss und wieso eine digitale Lösung sinnvoll ist, lesen Sie in unserem Blog-Beitrag „Hinweisgeberschutzgesetz“.

Lieferkettengesetz (LkSG)

Sinnbild für das Lieferkettengesetz„Wir unterstützen ein wirksames EU-Lieferkettengesetz, basierend auf den UN-Leitprinzipien Wirtschaft und Menschenrechte, das kleinere und mittlere Unternehmen nicht überfordert. […]“, so steht es im Koalitionsvertrag. Am 11. Juni 2021 hat der Deutsche Bundestag das Lieferkettengesetz in Deutschland verabschiedet. Mit diesem Gesetz wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt. Offiziell heißt es „Gesetz über die unternehmerischen Sorgfaltspflichten zur Vermeidung von Menschenrechtsverletzungen in Lieferketten (Lieferkettensorgfaltspflichtengesetz – LkSG)“ oder eben kurz: Lieferkettengesetz. Es sieht vor, dass Unternehmen ab 1.000 Mitarbeitern nachweisen müssen, dass ihre Lieferkette sicher ist. Dazu haben Unternehmen mit über 3.000 Beschäftigten bis Januar 2023 Zeit. Bei Unternehmen mit mehr als 1.000 Mitarbeitenden verschiebt sich die Frist um ein Jahr nach hinten auf Januar 2024. Was es für konkrete Anforderungen vorsieht und welche Sanktionen bei Non-Compliance drohen, lesen Sie in unserem Blog-Beitrag „Das Lieferkettengesetz kommt“.

Fazit

2022 wird ein spannendes Jahr für das Compliance-Umfeld. Es ergeben sich einige Änderungen und die Anforderungen aus den neu in Kraft tretenden Gesetzen erhöhen sich. Um allen Anforderungen gerecht zu werden ist es ratsam sich frühzeitig mit der Umsetzung auseinanderzusetzen, auch wenn Sie beispielsweise das HinSchG erst bis 2023 umsetzen müssen. Um den Überblick im Gesetzesdschungel zu behalten, bietet sich eine Compliance-Management-Software an, die beim Dokumentieren unterstützt. So können alle Compliance-Themenfelder unter einem Software-Dach zusammengehalten werden und greifen auf dieselbe Datenbasis zu. Das erleichtert das konsistente Arbeiten und das monitoren aller Maßnahmen bis hin zur Report-Erstellung auf Knopfdruck. Übrigens: Wir bieten mit unserem GRC-COCKPIT eine Software an, die genau das kann. Wenn Sie interessiert sind, vereinbaren Sie gerne online einen Termin bei uns und wir erörtern, wie Sie das GRC-COCKPIT mit Ihren individuellen Bedürfnissen nutzen können.

Über den Autor

Foto Ingo SimonIngo Simon ist Geschäftsführer der SAVISCON GmbH. Er hat das Unternehmen im Jahr 2010 gegründet und war bis 2018 größtenteils mit einigen Beratern in Kundenprojekten auf Basis von Dienstleistungsverträgen unterwegs. Ende 2018 übernahm die SAVISCON GmbH die Software des heutigen GRC-COCKPITs und weitete das Geschäftsfeld von Corporate Communication und Enterprise Content Management auf das GRC-Management aus. Ingo Simon ist zertifizierter Compliance & Integrity-Manager und ebenfalls zertifizierter ISMS-Manager. Kontakt: 040 80 90 81 446

SAVISCON GmbH | Heegbarg 16 | 22391 Hamburg | Geschäftsführer: Ingo Simon, Marian Grzabel